Covid-19 : le NHS, système national de santé en Grande-Bretagne, dévoile le code source de son application de traçage de contacts,

Qui contourne les restrictions d'Apple liées au Bluetooth

Alors que plusieurs pays préparent le déconfinement, le gouvernement britannique s'est empressé de trouver des moyens d'assouplir les restrictions sans mettre en danger la sécurité publique. Parmi ses solutions, il y a une application de traçage de contacts qui peut permettre la recherche numérique de contacts à grande échelle. Au cours de cette semaine, le gouvernement a révélé de plus amples détails sur cette application, dont a première phase de déploiement est en cours sur l'île de Wight avant d’être étendue au reste du Royaume-Uni, si elle s'avère efficace. NHS a dévoilé le code source de l’application de recherche de contacts le jeudi dernier.

Selon un article publié par BBC News, jusqu’à jeudi, plus de 40 000 personnes avaient installé le logiciel pour smartphone. L’application britannique de traçage de contacts, comme toute autre application de ce type, est conçue pour permettre aux personnes de savoir si elles ont été en contact étroit avec une personne qui, par la suite, a signalé un résultat positif au test Covid-19. Elle pourrait permettre de déterminer exactement qui doit être mis en quarantaine et qui ne doit pas l'être, ce qui est essentiel pour assouplir les mesures de distanciation sociale. L'objectif de l'application est d'essayer de retrouver les personnes et de les alerter de la nécessité de s'isoler plus rapidement que les méthodes traditionnelles.


Un système de recherche de contacts centralisé

L'application Covid-19 du NHS est conçue pour utiliser les smartphones des gens afin de savoir quand ils se sont rapprochés les uns des autres et pendant combien de temps, en envoyant des signaux Bluetooth. Les utilisateurs qui téléchargent l'application peuvent choisir volontairement d'enregistrer les détails de leurs symptômes lorsqu'ils commencent à se sentir mal. L'application garde une trace des personnes qui ont été en contact étroit grâce à des signaux Bluetooth qui transmettent une identification anonyme. Ces signaux Bluetooth à faible énergie effectuent une "poignée de main" numérique lorsque deux utilisateurs entrent en contact étroit, mais gardent ces données anonymes, selon NHS.

Si une personne signale ultérieurement qu'elle est positive au coronavirus, elle enverra un message ping aux personnes qui ont été en contact étroit avec elle, et qu’elle aurait pu infecter, au cours des 28 derniers jours, en se basant sur leurs identifiants anonymes. L'application recommandera à ces personnes de s'isoler au cas où elles auraient contracté la maladie, éventuellement avant qu'elles n'aient des symptômes. Les personnes contactées ne connaîtront pas l'identité de la personne susceptible d'avoir transmis le coronavirus. Si la personne passe un test et que celui-ci est négatif, elle peut être libérée de son auto-isolement par une notification via l'application.

Pour son application mobile, le NHSX, l'unité d'innovation numérique du service de santé, a opté pour un système centralisé pour alimenter l'application, de sorte que le processus de recherche des contacts se déroule sur un serveur informatique basé au Royaume-Uni plutôt que sur les smartphones des particuliers.


Et il y a eu beaucoup de spéculations sur le fait que cette décision signifierait que l'application était condamnée à mal fonctionner sur certains smartphones. En effet, l’un des acteurs majeurs des systèmes d’exploitation mobiles, Apple, limite la possibilité pour les applications tierces d'utiliser le Bluetooth lorsqu'elles fonctionnent en arrière-plan, bien qu'elle ait promis d'assouplir cette règle pour les applications de recherche de contacts qui utilisent un système décentralisé qu'elle co-développe avec Google.

L’Allemagne, qui soutenait auparavant l’option de recherche centralisée, a fini par adopter le mois dernier la recherche décentralisée de contacts préconisée par Google et Apple. La communauté scientifique et les associations britanniques ainsi que plusieurs centaines de scientifiques européens et de militants ont critiqué sévèrement le choix du pays en mettant en garde contre les dérives potentielles de l'approche. Selon BBC News, Singapour et l'Australie ont signalé qu'ils passeraient également de l'approche centralisée à des applications décentralisées, pour respecter les contraintes d’Apple.

Des iPhone "jailbreakés" pour contourner les restrictions d’Apple liées au Bluetooth

Malgré les restrictions imposées par Apple aux applications tierces qui n’utilisent pas l’API Apple-Google, le NHSX avait dit avoir trouvé sa propre solution, et les tests préliminaires effectués par une société de cybersécurité suggèrent qu'elle a réussi, a rapporté BBC News. En effet, Pen Test Partners a installé l'application sur une poignée d'iPhone "jailbreakés" – modifiés pour leur permettre de surveiller des activités en arrière-plan.

« Lorsqu'ils étaient placés à proximité les uns des autres, les téléphones commençaient à "balayer" par Bluetooth à des intervalles de huit ou seize secondes », a déclaré le cofondateur Ken Munro. « D'autres ont exprimé leur inquiétude quant à l'inefficacité de l'application lorsqu'elle est placée en arrière-plan. Nos tests ont montré que cela ne semblait pas affecter le balisage, que les téléphones se soient rapprochés pour la première fois ou qu'ils aient été déplacés physiquement puis remis à portée », a-t-il ajouté.

Une autre société, Reincubate, a constaté que l'application était parfois "silencieuse" lorsqu'elle restait en arrière-plan pendant plus de 90 minutes sans être affichée à l’écran, mais a suggéré que cela ne devrait pas être un problème trop important dans des conditions réelles, a rapporté BBC News.


« Un certain nombre de facteurs raisonnables peuvent déclencher l'extension à cette fenêtre, y compris l'utilisation de Bluetooth, la présence d'appareils Android et l'efficacité des notifications [demandant à l'utilisateur de rouvrir l'application] », a-t-elle écrit sur son blog. « Dans nos tests, les appareils iOS sur lesquels nous avons lancé l'application ont continué à faire fonctionner le service en arrière-plan pendant la nuit », a ajouté la société.

Selon BBC News, les tests effectués pour son compte ont confirmé que les développeurs ont trouvé un moyen de contourner les restrictions qu'Apple impose à l'utilisation de Bluetooth dans les iPhone.

La France, dont l’application StopCovid entrera en phase test au cours de la semaine du 11 mai, refuse également d’adopter l’API proposée par Apple et Google et a demandé au fabricant d’iPhone d’assouplir ses restrictions liées au Bluetooth, ce qu’Apple refuse jusqu’à présent. Selon le gouvernement français, le contrôle français de la politique de santé est une « prérogative souveraine » qui ne devait pas être confiée à des entreprises privées.

Le code source de l’application traçage de NHS divulgué

« Il est là ! Le code source des applications COVID-19 BETA ». C’est sous ces termes que le NHSX a annoncé jeudi la divulgation du code source de son application Covid-19. Maintenant que le code est en ligne sur GitHub, l'application, qui fait déjà l’objet de déploiement, fera l'objet d'un examen plus approfondi. Ce qui permettra à d'autres, qui ne veulent pas utiliser l’API des deux géants de la technologie, de voir comment une solution de contournement a été réalisée.


Mais l’application ne passera pas sans critiques. Selon BBC News, déjà cette semaine, la commission conjointe des droits de l'homme a entendu des témoignages selon lesquels, malgré l'anonymat des utilisateurs, ceux-ci pourraient en théorie être réidentifiés, ce qui pourrait permettre aux autorités - voire aux pirates informatiques - de révéler les cercles sociaux des gens à d'autres fins. La commission a déclaré qu'un nouvel observatoire devrait être créé pour surveiller l'utilisation de l'application et les mesures prises pour garder les données en sécurité.

Harriet Harman, président du comité, a déclaré : « Les assurances des ministres sur la vie privée ne sont pas suffisantes ». « Il doit y avoir une protection juridique solide pour les individus sur ce à quoi ces données seront utilisées, qui y aura accès et comment elles seront protégées contre le piratage », a-t-il ajouté.

Selon BBC News, ceux qui critiquent l’approche britannique, disent que décentralisée permettrait de mieux protéger la vie privée des utilisateurs. Aussi, la nomination de la baronne Dido Harding par le ministre de la Santé Matt Hancock pour dirigera le programme de test, de suivi et de traçabilité, a surpris plus d'un. En effet, selon BBC, lorsqu'elle était directrice générale de TalkTalk, le fournisseur d'accès Internet a subi une importante violation de données et n'a pas informé correctement les clients concernés.

Le professeur Christophe Fraser - un épidémiologiste qui conseille NHSX - a déclaré à BBC News que leur approche centralisée avait deux principaux avantages. D’abord, elle permet de demander aux gens de s'autodiagnostiquer plutôt que d'attendre les résultats des tests. Ensuite, les données collectées pourraient être utilisées pour affiner le système afin de fournir différents types d'alertes en fonction des scores de risque calculés.

« Il y a eu beaucoup de discussions sur la vie privée, et à juste titre », a-t-il déclaré. « Mais il y a aussi votre capacité à sauver des vies. Et il y a la capacité de ne pas mettre en quarantaine des millions de personnes ». « La question de savoir comment trouver le système optimal qui permette de concilier ces différentes exigences est un peu ouverte à ce stade », a-t-il ajouté.

Aussi, l'analyse de la façon dont l'application est utilisée sur l'île de Wight permettra de décider de la meilleure façon de procéder. Par ailleurs, M. Fraser a ajouté que les discussions se poursuivaient avec Apple et Google.

Selon un commentateur qui a vu le code publié sur GitHub, il y a beaucoup de problèmes très sérieux qui se posent. « Les clés "secrètes" sont générées par le serveur central, Google Analytics suit les utilisateurs, l’application ne fonctionne pas sur les appareils OnePlus ou Samsung et elle utilise le HTTP », a-t-il écrit. Il a ajouté qu’il n’y a pas de chiffrement et que l’application ne fonctionne pas correctement sur les appareils Apple.

« Ce n'est pas un bon début, et il ne sera certainement pas installé tant qu'il n'aura pas été fortement révisé et que la sécurité n'aura pas été vérifiée », a-t-il conclu. Et vous, qu’en pensez-vous ?

Source : BBC News

Et vous ?

Avez-vous vu le code source publié ? Quel commentaire en faites-vous ?
Quel commentaire faites-vous de l’approche centralisée et l’initiative de contourner les restrictions liées au Bluetooth d’Apple ?
L’application Covid-19 du NHS sera-t-elle efficace, selon vous ?
L’application du NHS constitue-t-elle une menace contre la vie privée ?

Lire aussi

L'application française de traçage Covid-19 devrait être testée dans la semaine du 11 mai, lorsque le déconfinement commencera à entrer en vigueur dans le pays
StopCovid : le gouvernement demande à Apple de lever certaines restrictions liées à Bluetooth dans les iPhone, pour permettre à l'application de fonctionner
Appli de traçage du Covid-19 : comment Apple et Google ont fait plier l'Allemagne. L'Allemagne opte pour la décentralisation des données en se basant sur l'API d'Apple et Google
Une coalition européenne se forme autour de l'adoption d'applications de traçage de proximité, mais tous les pays ne s'accordent pas sur la meilleure façon de traiter des données recueillies