Covid-19 : l’API de tracking de Google et Apple ne sera pas éternelle

 

Apple et Google ont détaillé un peu plus l'usage de leur API permettant de tracer les porteurs de Covid-19. Celle-ci se veut sécurisée, mais surtout temporaire.

Le Bluetooth sera certainement utilisé pour tracer nos interactions

Le Bluetooth sera certainement utilisé pour tracer nos interactions

À mesure que la progression de l’épidémie de Covid-19 ralentit dans certains pays, il est de plus en plus question du déconfinement. En France, celui-ci devrait intervenir à partir du 11 mai, mais cela devra s’accompagner de certaines mesures pour éviter qu’une deuxième vague vienne frapper le pays et engorge de nouveau nos hôpitaux.

Pour beaucoup, cela devra passer par un suivi strict de la population afin de remonter rapidement les personnes contaminées et celles qui ont pu entrer en contact avec le virus. C’est le rôle de StopCovid, une application développée par l’Inria (l’Institut national de recherche en sciences et technologies du numérique), mais aussi d’autres apps attendues de la part des organismes de santé et basées sur une nouvelle API (une interface de programmation) développée conjointement par Apple et Google. Grâce à cela, les applications devraient être capables d’utiliser le Bluetooth de nos téléphones pour partager des données en toute sécurité, et ce que l’on ait un iPhone ou un smartphone Android.

La sécurité des données avant tout

Les deux entreprises américaines ont donné davantage d’informations au sujet de cette API à certains médias, et au travers d’une FAQ publiée en ligne. On y apprend notamment que les données récoltées par ces applications ne seront pas monétisées ou encore que le processus de déclaration de cas de Covid-19 se fera différemment en fonction des applications concernées.

Un point est cependant particulièrement intéressant. Il est précisé que « Google et Apple peuvent désactiver le système de notification d’exposition sur une base régionale lorsqu’il n’est plus nécessaire », ce qui signifie que l’API ne sera effective que pour la période de l’épidémie.

Celle-ci se basant sur un principe de volontariat, on pourrait se dire que ce n’est là qu’un détail mineur, mais c’est rassurant de savoir qu’une application restée installée par mégarde sur un téléphone après la crise ne sera plus en mesure d’utiliser cette API pour suivre les contacts des utilisateurs.

Des modifications ont également été apportées depuis l’annonce initiale, comme le protocole de chiffrage, qui passe de HMAC à l’AES afin de protéger davantage les données, ainsi qu’une génération de clés plus sécurisée, basée sur de l’aléatoire plutôt que sur une formule mathématique pour éviter de remonter à la clé initiale d’un utilisateur.

Quelle utilisation en France ?

La question qui va se poser chez nous, c’est celle de l’utilisation de cette API. Elle seule sera capable de permettre à une application d’être réellement efficace et de fonctionner tout le temps en arrière-plan sans nécessiter que l’usager laisse l’application ouverte en permanence sur son écran.

Pour l’heure, les solutions envisagées par le gouvernement ne reposent pas sur cette API et Cedric O, Secrétaire d’État chargé du Numérique, a appelé les géants de la Silicon Valley à plus de flexibilité. Il semblerait néanmoins que dans ce bras de fer, ce ne soit pas le gouvernement français qui ait les arguments les plus marquants…

Les derniers articles