Dans un sale État > Computer Chaos Club : les 10 exigences pour l’évaluation des applications de « Contact Tracing »
Dans un sale État
par CCC • le 26 avril 2020
Computer Chaos Club : les 10 exigences pour l’évaluation des applications de « Contact Tracing »
Lien permanent : https://monde-libertaire.net/index.php?articlen=4741
Traduction Patrick (CRML)
NDLR : nous traduisons ici le texte « 10 requirements for the evaluation of "Contact Tracing" apps » publié le lundi 6 Avril dernier par le plus puissant regroupement de hackers européen, le Computer Chaos Club. Ce texte est très intéressant car c’est la description la plus détaillée des conditions socio-techniques qu’une application informatique de suivi de contamination doit absolument respecter pour ne pas mener au traquage de la population.
Assez rapidement, des chercheurs on démontré que les exigences 7 et 8, ne peuvent pas être totalement respectées.
Pour contenir l’épidémie de SRAS-Cov-2, les « applications Corona » sont sur toutes les lèvres. Le célèbre CCC – Chaos Computer Club – publie 10 exigences pour leur évaluation d’un point de vue technique et sociétal.
À l’heure actuelle, le support technique de «suivi des contacts » est considéré comme un moyen de contrer la propagation du SRAS-Cov-2 d’une manière plus ciblée. La motivation générale est de permettre une plus grande liberté de mouvement pour un large partie de la société en permettant le suivi rapide et l’interruption des chaînes d’infection. Les contacts des personnes infectées devraient être alertés plus rapidement et être ainsi en mesure de se mettre en quarantaine plus rapidement. Cela, à son tour, devrait prévenir d’autres infections. Une « application Corona » ne pourrait donc protéger ni nous-mêmes ni nos contacts : elle serait conçue pour briser les chaînes d’infection en protégeant les contacts de nos contacts.
« Contact Tracing » en tant que technologie de gestion des risques.
On observe un certain nombre de suggestions pour la mise en œuvre technique de ce concept. Ces propositions vont de systèmes dystopiques de surveillance totale à des méthodes ciblées et totalement anonymes d’alerte des personnes potentiellement infectées sans avoir à connaître la personne en question.
En principe, le concept d’une « application Corona » comporte un risque énorme en raison des données de contact et de santé qui peuvent être collectées. En même temps, c’est une opportunité pour les concepts et les technologies de « privacy-by-design » (respect de la vie privée, par conception) qui ont été développés par la communauté cryptographie et vie privée, au cours des dernières décennies. À l’aide de ces technologies, il est possible de déployer le potentiel épidémique du « suivi des contacts » sans créer un désastre pour la vie privée. Pour cette seule raison, tous les concepts qui violent ou même mettent en danger la vie privée doivent être strictement rejetés.
Dans ce qui suit, nous décrivons les exigences sociales et techniques minimales pour ces technologies. Le CCC se voit dans un rôle de conseil et d’observation dans ce débat. Nous ne recommanderons pas d’applications, de concepts ou de procédures spécifiques. Nous déconseillons toutefois l’utilisation d’applications qui ne répondent pas à ces exigences.
I. Exigences sociétales
1. Sens épidémiologique et objectif
La condition de base est que le «suivi de contacts » puisse réellement aider à réduire de manière significative et démontrable le nombre d’infections. La validation de cette évaluation relève de la responsabilité de l’épidémiologie. S’il s’avère que le « suivie de contacts » au moyen d’une application mobile n’est pas utile ou ne remplit pas l’objectif, l’expérience doit être terminée.
L’application et les données recueillies doivent être utilisées exclusivement pour combattre les chaînes d’infection par le SRAS-Cov-2. Toute autre utilisation doit être techniquement empêchée autant que possible et légalement interdite.
2. Caractère volontaire et absence de discrimination
Pour une efficacité épidémiologiquement significative, une application de « suivie de contacts » nécessite un haut degré de diffusion dans la société. Cette large diffusion ne doit pas se faire par la force, mais seulement par la mise en place d’un système digne de confiance qui respecte la vie privée. Dans ce contexte, il ne doit y avoir ni frais d’utilisation ni incitations financières.
Les gens qui refusent de l’utiliser ne doivent pas subir de conséquences négatives. C’est la responsabilité des politiques et de la législation de l’assurer.
L’application doit informer régulièrement les gens de son fonctionnement. Elle doit permettre une simple désactivation temporaire et un retrait permanent. Des mesures restrictives ne doit pas être mises en œuvre, comme par exemple une fonction de «bracelet électronique » destinée à contrôler des restrictions de contacts.
3. Confidentialité à la base
Ce n’est que sur la base d’un principe absolument convainquant assurant le respect absolu de la vie privée que l’acceptation sociale peut être obtenue.
Parallèlement, des moyens techniques vérifiables tels que les technologies de cryptographie et d’anonymisation doivent garantir la confidentialité des utilisateurs. Il ne suffit en aucun cas de s’appuyer sur des mesures organisationnelles, de la « confiance » et des promesses. Dans le climat social actuel de l’état d’urgence et d’éventuelles exceptions de grande portée aux droits constitutionnels par le biais des lois sur la protection contre les infections, les obstacles organisationnels ou juridiques à l’accès aux données ne peuvent pas non plus être considérés comme suffisants.
Nous rejetons l’implication des entreprises développant des technologies de surveillance, sous le nom de « Covid washing ». Par principe, les utilisateurs ne doivent pas avoir à faire confiance à une personne ou à une institution avec leurs données, mais doivent bénéficier d’une sécurité technique documentée et testée.
4. Transparence et vérifiabilité
Le code source complet de l’application et de l’infrastructure doit être disponible gratuitement, sans restriction d’accès, afin de permettre des audits par toutes les parties intéressées. Des techniques de construction reproductibles doivent être utilisées pour s’assurer que les utilisateurs puisse vérifier que l’application qu’ils téléchargent a été construite à partir du code source audité.
II. Exigences techniques
5. Aucune confiance à aucune entité centrale
Un suivi de contact totalement anonyme sans serveurs centraux omniscients est techniquement possible. Une dépendance de la vie privée des utilisateurs sur la fiabilité et la compétence de l’opérateur d’une infrastructure centrale n’est techniquement pas nécessaire. Les concepts fondés sur cette « confiance » doivent donc être rejetés.
En outre, la sécurité et la fiabilité promises par des systèmes centralisés ne peuvent pas être vérifiées efficacement par les utilisateurs – par exemple protéger la connexion d’adresses IP (adresse Internet) avec des identifiants d’utilisateur anonymes. Les systèmes doivent donc être conçus pour garantir la sécurité et la confidentialité des données des utilisateurs exclusivement par leur méthodes de cryptage et d’anonymisation et la vérifiabilité du code source.
6. Économie des données
Seules les données et métadonnées minimales nécessaires à l’application peuvent être stockées. Cette exigence interdit la collecte centralisée de toute donnée qui ne serait pas spécifique à un contact entre les personnes et à sa durée.
Si des données supplémentaires telles que des informations de localisation sont enregistrées localement sur les téléphones, les utilisateurs ne doivent être ni forcés ni tentés de les transmettre ces données à des tiers ou même de les publier. Les données qui ne sont plus nécessaires doivent être supprimées. Les données sensibles doivent également être chiffrées localement et en toute sécurité sur le téléphone.
Pour la collecte volontaire de données à des fins de recherche épidémiologique, qui va au-delà du but réel de la recherche des contacts, un consentement clair et distinct doit être obtenu explicitement dans l’interface de l’application et il doit être possible de le révoquer à tout moment. Ce consentement ne doit pas être une condition préalable à l’utilisation.
7. Anonymat
Les données que chaque appareil recueille au sujet d’autres appareils ne doivent pas permettre la dé-anonymisation de leurs utilisateurs. Les données que chaque personne peut transmettre à son propre sujet ne doivent pas être utilisables pour la dé-anonymiser elle-même. Il doit donc être possible d’utiliser le système sans collecter ou pouvoir dériver des données à caractère personnel de quelque nature que ce soit. Cette exigence interdit les identifications uniques des utilisateurs.
Les identifiants pour le « suivi de contacts » par technologie sans fil (par exemple, Bluetooth ou ultrasons) ne doivent pas être traçables jusqu’au personnes qui les ont utilisés et doivent changer fréquemment. Pour cette raison, il est également interdit de connecter ou de dériver des ID (Identifiants Uniques) avec des données de communication connexes telles que des jetons push, des numéros de téléphone, des adresses IP utilisées, des ID de périphérique, etc.
8. Pas de création de profils de mouvements ou de contact
Le système doit être conçu de manière à ce que des profils de mouvement (suivi de des positions et déplacements) ou des profils de contact (modèles de contacts fréquents) permettant d’identifier des personnes spécifiques, ne puissent pas être établis, soit intentionnellement, soit involontairement. Les méthodes telles que le l’enregistrement de position GPS ou de localisation, ou le couplage des données aux numéros de téléphone, aux comptes de médias sociaux et autres doivent donc être rejetées par principe.
9. Dissociabilité
La conception de la génération d’ID temporaire doit être telle que ces ID ne puissent pas être interprétés et liés sans la possession d’une clé privée contrôlée par l’utilisateur. Elles ne doivent donc pas être dérivées d’autres informations permettant d’identifier l’utilisateur, directement ou indirectement. Quelle que soit la manière dont les ID sont communiqués en cas d’infection, il faut exclure que les données recueillies pour la fonctionnalité de « recherche de contact » puissent être chaînées sur des périodes plus longues.
10. Inobservabilité de la communication
Même si la transmission d’un message est observée dans le système (par exemple, au moyen de métadonnées de communication), il ne doit pas être possible de conclure qu’une personne est infectée elle-même ou a été en contact avec des personnes infectées. Cela doit être garanti tant vis-a-vis des autres utilisateurs que des opérateurs d’infrastructure et de réseau ou d’éventuels attaquants qui acquerraient une connaissance approfondie de ces systèmes.
-----------------------------
Rôle du CCC – Chaos Computer Club
Depuis plus de 30 ans, le CCC fait du travail bénévole à l’intersection de la technologie et de la société. Nos principes éthiques sont en faveur de la protection de la vie privée, de la décentralisation et de l’économie des données – et contre toute forme de surveillance et de coercition.
Sans prétendre être exhaustif, dans cet article, nous nommons les exigences minimales de confidentialité qu’une "Corona App" doit satisfaire afin d’être socialement et technologiquement tolérable à tous. Le CCC ne fournira en aucun cas une mise en œuvre concrète avec approbation, recommandation, certificat ou sceau d’essai.
Il est de la responsabilité des développeurs de systèmes de recherche de contacts de prouver le respect de ces exigences ou de les faire prouver par des tiers indépendants.
Assez rapidement, des chercheurs on démontré que les exigences 7 et 8, ne peuvent pas être totalement respectées.
Pour contenir l’épidémie de SRAS-Cov-2, les « applications Corona » sont sur toutes les lèvres. Le célèbre CCC – Chaos Computer Club – publie 10 exigences pour leur évaluation d’un point de vue technique et sociétal.
À l’heure actuelle, le support technique de «suivi des contacts » est considéré comme un moyen de contrer la propagation du SRAS-Cov-2 d’une manière plus ciblée. La motivation générale est de permettre une plus grande liberté de mouvement pour un large partie de la société en permettant le suivi rapide et l’interruption des chaînes d’infection. Les contacts des personnes infectées devraient être alertés plus rapidement et être ainsi en mesure de se mettre en quarantaine plus rapidement. Cela, à son tour, devrait prévenir d’autres infections. Une « application Corona » ne pourrait donc protéger ni nous-mêmes ni nos contacts : elle serait conçue pour briser les chaînes d’infection en protégeant les contacts de nos contacts.
« Contact Tracing » en tant que technologie de gestion des risques.
On observe un certain nombre de suggestions pour la mise en œuvre technique de ce concept. Ces propositions vont de systèmes dystopiques de surveillance totale à des méthodes ciblées et totalement anonymes d’alerte des personnes potentiellement infectées sans avoir à connaître la personne en question.
En principe, le concept d’une « application Corona » comporte un risque énorme en raison des données de contact et de santé qui peuvent être collectées. En même temps, c’est une opportunité pour les concepts et les technologies de « privacy-by-design » (respect de la vie privée, par conception) qui ont été développés par la communauté cryptographie et vie privée, au cours des dernières décennies. À l’aide de ces technologies, il est possible de déployer le potentiel épidémique du « suivi des contacts » sans créer un désastre pour la vie privée. Pour cette seule raison, tous les concepts qui violent ou même mettent en danger la vie privée doivent être strictement rejetés.
Dans ce qui suit, nous décrivons les exigences sociales et techniques minimales pour ces technologies. Le CCC se voit dans un rôle de conseil et d’observation dans ce débat. Nous ne recommanderons pas d’applications, de concepts ou de procédures spécifiques. Nous déconseillons toutefois l’utilisation d’applications qui ne répondent pas à ces exigences.
I. Exigences sociétales
1. Sens épidémiologique et objectif
La condition de base est que le «suivi de contacts » puisse réellement aider à réduire de manière significative et démontrable le nombre d’infections. La validation de cette évaluation relève de la responsabilité de l’épidémiologie. S’il s’avère que le « suivie de contacts » au moyen d’une application mobile n’est pas utile ou ne remplit pas l’objectif, l’expérience doit être terminée.
L’application et les données recueillies doivent être utilisées exclusivement pour combattre les chaînes d’infection par le SRAS-Cov-2. Toute autre utilisation doit être techniquement empêchée autant que possible et légalement interdite.
2. Caractère volontaire et absence de discrimination
Pour une efficacité épidémiologiquement significative, une application de « suivie de contacts » nécessite un haut degré de diffusion dans la société. Cette large diffusion ne doit pas se faire par la force, mais seulement par la mise en place d’un système digne de confiance qui respecte la vie privée. Dans ce contexte, il ne doit y avoir ni frais d’utilisation ni incitations financières.
Les gens qui refusent de l’utiliser ne doivent pas subir de conséquences négatives. C’est la responsabilité des politiques et de la législation de l’assurer.
L’application doit informer régulièrement les gens de son fonctionnement. Elle doit permettre une simple désactivation temporaire et un retrait permanent. Des mesures restrictives ne doit pas être mises en œuvre, comme par exemple une fonction de «bracelet électronique » destinée à contrôler des restrictions de contacts.
3. Confidentialité à la base
Ce n’est que sur la base d’un principe absolument convainquant assurant le respect absolu de la vie privée que l’acceptation sociale peut être obtenue.
Parallèlement, des moyens techniques vérifiables tels que les technologies de cryptographie et d’anonymisation doivent garantir la confidentialité des utilisateurs. Il ne suffit en aucun cas de s’appuyer sur des mesures organisationnelles, de la « confiance » et des promesses. Dans le climat social actuel de l’état d’urgence et d’éventuelles exceptions de grande portée aux droits constitutionnels par le biais des lois sur la protection contre les infections, les obstacles organisationnels ou juridiques à l’accès aux données ne peuvent pas non plus être considérés comme suffisants.
Nous rejetons l’implication des entreprises développant des technologies de surveillance, sous le nom de « Covid washing ». Par principe, les utilisateurs ne doivent pas avoir à faire confiance à une personne ou à une institution avec leurs données, mais doivent bénéficier d’une sécurité technique documentée et testée.
4. Transparence et vérifiabilité
Le code source complet de l’application et de l’infrastructure doit être disponible gratuitement, sans restriction d’accès, afin de permettre des audits par toutes les parties intéressées. Des techniques de construction reproductibles doivent être utilisées pour s’assurer que les utilisateurs puisse vérifier que l’application qu’ils téléchargent a été construite à partir du code source audité.
II. Exigences techniques
5. Aucune confiance à aucune entité centrale
Un suivi de contact totalement anonyme sans serveurs centraux omniscients est techniquement possible. Une dépendance de la vie privée des utilisateurs sur la fiabilité et la compétence de l’opérateur d’une infrastructure centrale n’est techniquement pas nécessaire. Les concepts fondés sur cette « confiance » doivent donc être rejetés.
En outre, la sécurité et la fiabilité promises par des systèmes centralisés ne peuvent pas être vérifiées efficacement par les utilisateurs – par exemple protéger la connexion d’adresses IP (adresse Internet) avec des identifiants d’utilisateur anonymes. Les systèmes doivent donc être conçus pour garantir la sécurité et la confidentialité des données des utilisateurs exclusivement par leur méthodes de cryptage et d’anonymisation et la vérifiabilité du code source.
6. Économie des données
Seules les données et métadonnées minimales nécessaires à l’application peuvent être stockées. Cette exigence interdit la collecte centralisée de toute donnée qui ne serait pas spécifique à un contact entre les personnes et à sa durée.
Si des données supplémentaires telles que des informations de localisation sont enregistrées localement sur les téléphones, les utilisateurs ne doivent être ni forcés ni tentés de les transmettre ces données à des tiers ou même de les publier. Les données qui ne sont plus nécessaires doivent être supprimées. Les données sensibles doivent également être chiffrées localement et en toute sécurité sur le téléphone.
Pour la collecte volontaire de données à des fins de recherche épidémiologique, qui va au-delà du but réel de la recherche des contacts, un consentement clair et distinct doit être obtenu explicitement dans l’interface de l’application et il doit être possible de le révoquer à tout moment. Ce consentement ne doit pas être une condition préalable à l’utilisation.
7. Anonymat
Les données que chaque appareil recueille au sujet d’autres appareils ne doivent pas permettre la dé-anonymisation de leurs utilisateurs. Les données que chaque personne peut transmettre à son propre sujet ne doivent pas être utilisables pour la dé-anonymiser elle-même. Il doit donc être possible d’utiliser le système sans collecter ou pouvoir dériver des données à caractère personnel de quelque nature que ce soit. Cette exigence interdit les identifications uniques des utilisateurs.
Les identifiants pour le « suivi de contacts » par technologie sans fil (par exemple, Bluetooth ou ultrasons) ne doivent pas être traçables jusqu’au personnes qui les ont utilisés et doivent changer fréquemment. Pour cette raison, il est également interdit de connecter ou de dériver des ID (Identifiants Uniques) avec des données de communication connexes telles que des jetons push, des numéros de téléphone, des adresses IP utilisées, des ID de périphérique, etc.
8. Pas de création de profils de mouvements ou de contact
Le système doit être conçu de manière à ce que des profils de mouvement (suivi de des positions et déplacements) ou des profils de contact (modèles de contacts fréquents) permettant d’identifier des personnes spécifiques, ne puissent pas être établis, soit intentionnellement, soit involontairement. Les méthodes telles que le l’enregistrement de position GPS ou de localisation, ou le couplage des données aux numéros de téléphone, aux comptes de médias sociaux et autres doivent donc être rejetées par principe.
9. Dissociabilité
La conception de la génération d’ID temporaire doit être telle que ces ID ne puissent pas être interprétés et liés sans la possession d’une clé privée contrôlée par l’utilisateur. Elles ne doivent donc pas être dérivées d’autres informations permettant d’identifier l’utilisateur, directement ou indirectement. Quelle que soit la manière dont les ID sont communiqués en cas d’infection, il faut exclure que les données recueillies pour la fonctionnalité de « recherche de contact » puissent être chaînées sur des périodes plus longues.
10. Inobservabilité de la communication
Même si la transmission d’un message est observée dans le système (par exemple, au moyen de métadonnées de communication), il ne doit pas être possible de conclure qu’une personne est infectée elle-même ou a été en contact avec des personnes infectées. Cela doit être garanti tant vis-a-vis des autres utilisateurs que des opérateurs d’infrastructure et de réseau ou d’éventuels attaquants qui acquerraient une connaissance approfondie de ces systèmes.
-----------------------------
Rôle du CCC – Chaos Computer Club
Depuis plus de 30 ans, le CCC fait du travail bénévole à l’intersection de la technologie et de la société. Nos principes éthiques sont en faveur de la protection de la vie privée, de la décentralisation et de l’économie des données – et contre toute forme de surveillance et de coercition.
Sans prétendre être exhaustif, dans cet article, nous nommons les exigences minimales de confidentialité qu’une "Corona App" doit satisfaire afin d’être socialement et technologiquement tolérable à tous. Le CCC ne fournira en aucun cas une mise en œuvre concrète avec approbation, recommandation, certificat ou sceau d’essai.
Il est de la responsabilité des développeurs de systèmes de recherche de contacts de prouver le respect de ces exigences ou de les faire prouver par des tiers indépendants.
PAR : CCC
SES ARTICLES RÉCENTS :
Réagir à cet article
Écrire un commentaire ...
Poster le commentaire
Annuler
