Apple et Google apaisent les craintes de confidentialité concernant l’application de recherche des contacts

San Francisco: au milieu du débat croissant sur la confidentialité et la sécurité autour de la technologie de recherche des contacts, Apple et Google ont annoncé de nouvelles mises à jour pour apaiser ces craintes, affirmant que le système de notification d’exposition piloté par Bluetooth pour permettre aux téléphones iOS et Android de suivre la propagation du coronavirus est complètement sûr .
Les chercheurs en cybersécurité ont remis en question la technologie de traçage des contacts, affirmant que les applications de traçage qui permettent aux attaquants d’accéder au Bluetooth d’un utilisateur leur permettent également de lire entièrement toutes les communications Bluetooth.
Problèmes de confidentialité
Les représentants d’Apple et de Google ont déclaré qu’ils chiffraient les métadonnées associées à Bluetooth.
« En chiffrant ces données, nous rendons plus difficile pour quelqu’un d’essayer de l’utiliser pour identifier une personne (par exemple, en associant la puissance de transmission à un modèle particulier de téléphone) », ont déclaré les sociétés dans le document mis à jour.
Le 10 avril, Google et Apple ont annoncé un effort conjoint pour permettre l’utilisation de la technologie Bluetooth pour aider les gouvernements et les agences de santé à réduire la propagation de COVID-19 grâce au suivi des contacts, avec la confidentialité et la sécurité des utilisateurs au cœur de la conception.
Les géants de la technologie ont déclaré que la «spécification Bluetooth de la notification d’exposition» n’utilisait pas la localisation pour la détection de proximité. Il utilise strictement la balise Bluetooth pour détecter la proximité.
« L’identifiant de proximité mobile d’un utilisateur change en moyenne toutes les 15 minutes et a besoin que la » clé d’exposition temporaire « soit corrélée à un contact. Cela réduit le risque de perte de confidentialité lors de leur diffusion », indique le document.
Les identifiants de proximité obtenus à partir d’autres appareils sont traités exclusivement sur l’appareil et les utilisateurs décident de contribuer ou non à la notification d’exposition.
«En cas de diagnostic de COVID-19, les utilisateurs doivent donner leur consentement pour partager les clés de diagnostic avec le serveur. Les utilisateurs ont une transparence dans leur participation à la notification d’exposition », a ajouté la mise à jour.
Modifications techniques
Parmi les changements techniques proposés par Apple et Google au système, il peut désormais partager la force et la durée d’un signal Bluetooth afin que les applications puissent mieux juger avec qui quelqu’un a été en contact.
Pour fournir des protections de confidentialité encore plus solides, Apple et Google ont apporté une multitude de changements.
«Nous mettons à jour l’API afin que les clés soient désormais générées de manière aléatoire plutôt que dérivées d’une clé de traçage temporaire».
« Lorsque l’application demande un temps d’exposition, le temps est enregistré à cinq minutes d’intervalle, et nous plafonnons le temps d’exposition maximal signalé à 30 minutes », ont ajouté les sociétés.
La recherche des contacts est une technique utilisée par les autorités de santé publique pour mesurer et ralentir la propagation des maladies infectieuses.
Cela nécessite de recueillir des informations auprès des personnes infectées sur les personnes avec lesquelles elles ont déjà été en contact. Ces personnes peuvent alors être avisées par les autorités de santé publique de prendre les mesures de sécurité appropriées, telles que la mise en quarantaine et se faire tester.
C’est ainsi que fonctionne la notification d’exposition Apple-Google dans la première phase.
Une fois activés, les appareils des utilisateurs enverront régulièrement une balise via Bluetooth qui comprend un identifiant préservant la confidentialité – essentiellement, une chaîne de nombres aléatoires qui ne sont pas liés à l’identité d’un utilisateur et changent toutes les 10 à 20 minutes pour une protection supplémentaire.
D’autres téléphones écouteront ces balises et diffuseront également les leurs. Lorsque chaque téléphone reçoit une autre balise, il enregistrera et stockera cette balise en toute sécurité sur l’appareil.
« Au moins une fois par jour, le système téléchargera une liste des balises qui ont été vérifiées comme appartenant à des personnes confirmées positives pour COVID-19 par l’autorité de santé publique compétente », indique le document.
Chaque appareil vérifiera la liste des balises qu’il a enregistrées par rapport à la liste téléchargée depuis le serveur. En cas de correspondance entre les balises stockées sur l’appareil et la liste de diagnostics positifs, l’utilisateur peut être averti et informé des étapes à suivre.
Dans la deuxième phase, disponible dans les prochains mois, cette capacité sera introduite au niveau du système d’exploitation pour garantir une large adoption.
Apple et Google ont souligné que ce système ne collecte pas de données de localisation à partir de l’appareil et ne partage pas l’identité des autres utilisateurs entre eux, Google ou Apple.