Ce printemps, des experts en santé publique se sont précipités pour créer des applications de recherche de contacts dans des pays du monde entier. Ils servent un objectif important pour déterminer qui aurait pu être exposé au nouveau coronavirus afin qu’ils puissent être testés et isolés. Mais les risques étaient également clairs. Les applications de recherche de contacts ont le pouvoir de collecter des données personnelles qui révèlent vos mouvements, vos activités et vos relations.

Le préjudice potentiel des applications de traçage des contacts a été mis en évidence à Defcon, un rassemblement annuel de pirates informatiques qui se déroule en ligne cette semaine. Deux présentations ont porté sur les défaillances de confidentialité des applications de suivi des contacts. Le verdict est clair: les applications ont tendance à collecter des informations dont elles n’ont pas besoin.

Ce n’est pas la façon dont les gouvernements devraient aborder les applications de traçage des contacts, avide de données, a déclaré Eivind Arvesen, un chercheur en sécurité norvégien qui a présenté vendredi à Defcon. Au lieu de cela, ils devraient se demander: “Avec combien de données puis-je m’en tirer pour essayer de résoudre ce problème concret, et pas plus?”

Arvesen a présenté l’application de recherche de contacts désormais disparue de la Norvège, qu’il a aidé à examiner dans le cadre d’un audit tiers financé par le gouvernement. Une autre présentation samedi se concentrera sur les autorisations demandées par les applications de suivi des contacts, ainsi que sur les applications de suivi des symptômes et d’information sur le COVID-19.

Les traceurs de contacts humains recherchent généralement les contacts connus de quelqu’un dont le test est positif pour une maladie contagieuse comme le COVID-19. Les applications cherchent à remplir les espaces où une personne contagieuse a exposé un étranger à une maladie. Lorsque deux inconnus se tiennent près l’un de l’autre, par exemple, les applications enregistrent ce contact au cas où l’un d’eux serait positif dans les jours qui suivent. Pour que les applications soient efficaces, un pourcentage élevé de la population doit les utiliser.

Dès que les agences de santé publique se sont tournées vers des applications pour augmenter le processus de recherche des contacts, les experts en confidentialité ont mis en garde contre les risques. Les gouvernements doivent être transparents sur les données qu’ils prennent sur les téléphones, éviter de collecter des données inutiles et également prévoir de mettre fin à la collecte et de supprimer les données lorsque la pandémie passe. Les universités, y compris le MIT, et les entreprises technologiques, comme Apple et Google, se sont précipitées pour créer des logiciels respectueux de la vie privée que les gouvernements pourraient utiliser dans leurs applications.

Application de recherche de contacts en Norvège

Arvesen a déclaré que l’application norvégienne collectait des données de localisation et un code d’identification inchangé pour les utilisateurs, créant un enregistrement permanent et complet de leurs mouvements à stocker de manière centralisée sur un serveur. Cela peut en fait sembler idéal pour les traceurs de contact, mais les experts en confidentialité disent que la collecte de données de localisation est inutile et doit être évitée. L’endroit où deux personnes se sont rencontrées n’a pas d’importance. Tout ce qui compte, c’est qu’ils se sont rencontrés.

Il n’est pas non plus nécessaire de donner à un utilisateur un identifiant unique et inchangé. D’autres applications ont trouvé des moyens d’éviter cela, certains protocoles modifiant l’identifiant de l’utilisateur aussi souvent qu’une fois par minute. Cette approche rend beaucoup plus difficile pour quelqu’un d’abuser des données, en les utilisant pour suivre les mouvements d’une personne lors de l’utilisation de l’application.

Enfin, certaines applications stockent les données localement sur le téléphone de l’utilisateur et n’y accèdent que si elles sont testées positives et acceptent de partager leurs données.

Alors qu’Arvesen et ses collègues examinateurs préparaient leur rapport sur l’application norvégienne, les régulateurs de l’autorité de protection des données du pays ont indiqué qu’ils étaient également préoccupés. Ensuite, le pays a fermé l’application.

Les applications du monde entier prennent des données de localisation

Arvesen a déclaré qu’il trouvait l’application pire en matière de confidentialité que les autres applications de recherche de contacts en Europe. Mais les applications gourmandes en données existent ailleurs dans le monde. Les créateurs de COVID-19 App Tracker, qui présentent leurs résultats samedi, ont automatiquement analysé 136 applications de pays du monde entier et ont constaté que la plupart d’entre elles demandaient des autorisations dont elles n’avaient pas besoin.

Parmi les applications analysées, les trois quarts ont demandé des données de localisation, a déclaré Megan DeBlois, co-créatrice du site Web. Certaines des applications aident simplement les utilisateurs à suivre leurs symptômes et n’ont aucune raison de demander des données de localisation.

DeBlois a fait équipe avec son frère et leurs partenaires respectifs pour créer le tracker d’application, et tous sont bénévoles. L’objectif du projet est de capturer des informations sur chaque application gouvernementale COVID sur le Google Play Store et de les rendre publiques.

Les autorisations ne sont qu’une partie de l’image. Pour vraiment comprendre le comportement d’une application, les chercheurs doivent examiner les données qu’elle envoie et reçoit lorsqu’elle est utilisée. Les auditeurs de sécurité comme Arvesen peuvent le faire au nom des gouvernements.

DeBlois a déclaré qu’elle aimerait voir plus de transparence sur les données utilisées dans les applications de suivi des contacts. Idéalement, les gouvernements rendraient le code open source, ce qui permettrait aux chercheurs en protection de la vie privée de l’analyser et de signaler tout problème au grand public.

L’une des raisons possibles pour lesquelles les gouvernements ne l’ont pas fait est la vitesse à laquelle ils ont dû créer les applications. La précipitation aurait pu inciter les gouvernements à mettre de côté les examens de sécurité qui auraient normalement lieu avant que le logiciel ne soit déployé auprès des utilisateurs. Le code open source permettrait alors aux mauvais acteurs de rechercher facilement les failles évidentes et de les exploiter.

Sans les critiques, ont déclaré DeBlois et Arvesen, les utilisateurs ne peuvent pas croire que le gouvernement ne prend que les données dont ils ont besoin et les protège.

“Nous voulons que les gens regardent le code”, a déclaré DeBlois. “Vous pouvez le vérifier via le code, créer cette confiance.”