Les contacts européens PEPP-PT COVID-19 traçant la poussée standard pourraient se préparer à une lutte avec Apple et Google

Apple, une coalition de scientifiques et de technologues de l’UE qui développe ce qui est présenté comme une norme de «confidentialité» pour le suivi de proximité basé sur Bluetooth, en tant que proxy pour le risque d’infection au COVID-19, veut Apple et Google pour apporter des modifications à une API qu’ils développent dans le même but global.

Le PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing) a été dévoilé le 1er avril, appelant les développeurs d’applications de suivi des contacts à adopter une approche standardisée de traitement des données des utilisateurs de smartphones pour coordonner les interventions numériques à travers les frontières et réduire le risque de trop des outils intrusifs de localisation qui gagnent du terrain à la suite de la pandémie.

Le PEPP-PT a déclaré aujourd’hui que sept gouvernements avaient signé pour appliquer son approche aux applications nationales, avec un pipeline revendiqué de 40 autres dans les discussions sur l’adhésion.

« Nous avons maintenant beaucoup de gouvernements qui interagissent », a déclaré Hans-Christian Boos du PEPP-PT, lors d’un webinaire pour les journalistes. «Certains gouvernements déclarent publiquement que leurs applications locales seront construites en plus des principes du PEPP-PT et également des différents protocoles fournis dans le cadre de cette initiative.

« Nous connaissons sept pays qui se sont déjà engagés à le faire – et nous sommes actuellement en conversation avec 40 pays qui sont dans différents états d’intégration. »

Boos a déclaré qu’une liste des gouvernements serait partagée avec les journalistes, bien qu’au moment de la rédaction de cet article, nous ne l’avions pas vue. Mais nous avons demandé des informations à la société de relations publiques de PEPP-PT et nous mettrons à jour ce rapport lorsque nous l’obtiendrons.

« L’approche paneuropéenne a fonctionné », a-t-il ajouté. «Les gouvernements ont décidé à une vitesse inconnue auparavant. Mais avec 40 autres pays dans la file d’attente d’intégration, nous avons définitivement dépassé le cap européen – et pour nous, cela montre que la vie privée comme modèle et comme point de discussion… est une déclaration et c’est quelque chose que nous pouvons exporter parce que nous sommes crédible là-dessus. « 

Paolo de Rosa, le directeur technique du ministère de l’Innovation, de la Technologie et de la Transformation numérique pour le gouvernement italien, était également présent sur le webinaire – et a confirmé que son application nationale sera construite au-dessus de PEPP-PT.

« Nous aurons bientôt une application et elle sera évidemment basée sur ce modèle », a-t-il déclaré, sans donner plus de détails.

La principale revendication de PEPP-PT «préservation de la confidentialité» repose sur l’utilisation d’architectures système qui ne nécessitent pas la collecte de données de localisation. Plutôt, les appareils qui se rapprochent partageraient des identifiants pseudonymisés – qui pourraient plus tard être utilisés pour envoyer des notifications à un individu si le système calcule qu’un risque d’infection s’est produit. Les contacts d’une personne infectée seraient téléchargés au moment du diagnostic, ce qui permettrait d’envoyer des notifications à d’autres appareils avec lesquels ils étaient entrés en contact.

Boos, un porte-parole et coordinateur du PEPP-PT, a déclaré à TechCrunch plus tôt ce mois-ci que le projet soutiendra les approches centralisées et décentralisées. Les anciens ID signifiant sont téléchargés sur un serveur de confiance, tel que celui contrôlé par une autorité sanitaire; ce dernier signifie que les ID sont conservés localement sur les appareils, où le risque d’infection est également calculé – un serveur principal n’est que dans la boucle pour relayer les informations vers les appareils.

C’est un système de traçage des contacts tellement décentralisé qu’Apple et Google collaborent à la prise en charge du PEPP-PT à suivi rapide la semaine dernière en annonçant un plan de suivi des contacts COVID-19 multiplateforme via une API à venir, puis un système (opt-in) pour le suivi de proximité basé sur Bluetooth.

Cette intervention, par les deux seules plates-formes de smartphones qui comptent lorsque l’ambition est l’adoption générale, est un développement majeur – donnant un élan à la recherche décentralisée de contacts pour répondre numériquement à la crise des coronavirus dans le monde occidental, certainement au niveau de la plate-forme.

Dans une résolution adoptée aujourd’hui, le Parlement européen a également appelé à une approche décentralisée du suivi de proximité COVID-19.

Les députés insistent pour que la Commission et les États membres soient «totalement transparents sur le fonctionnement des applications de recherche des contacts, afin que les gens puissent vérifier à la fois le protocole sous-jacent pour la sécurité et la confidentialité et vérifier le code lui-même pour voir si l’application fonctionne comme les autorités le sont. affirmant. » (La Commission a également signalé une préférence pour la décentralisation.)

Cependant, les partisans du PEPP-PT, qui comprennent au moins sept gouvernements (et la revendication de beaucoup d’autres), n’abandonnent pas l’option d’une option centralisée «préservant la vie privée» – que certains dans leur camp surnomment «pseudo -décentralisé »- Boos affirmant aujourd’hui que des discussions sont en cours avec Apple et Google pour apporter des modifications à leur approche.

Dans l’état actuel des choses, les contacts traçant des applications qui n’utilisent pas une infrastructure décentralisée ne pourront pas effectuer de suivi Bluetooth en arrière-plan sur Android ou iOS – car les plateformes limitent la façon dont les applications générales peuvent accéder à Bluetooth. Cela signifie que les utilisateurs de ces applications devraient avoir l’application ouverte et active tout le temps pour que le suivi de proximité fonctionne, avec des impacts (négatifs) associés sur la durée de vie de la batterie et la convivialité de l’appareil.

Il existe également des restrictions (intentionnelles) sur la façon dont les données de suivi des contacts pourraient être centralisées, en raison du déploiement du modèle de serveur de relais dans le modèle conjoint Apple-Google.

« Nous apprécions beaucoup que Google et Apple intensifient leurs efforts pour rendre la couche du système d’exploitation disponible – ou mettre ce qui devrait être le système d’exploitation réellement là-bas, à savoir la mesure Bluetooth et la gestion de la cryptographie et l’exécution en arrière-plan de ces tâches qui doivent continuer à fonctionner de manière résiliente tout le temps – si vous regardez leurs protocoles et si vous regardez qui ils sont fournis par les deux acteurs dominants de l’écosystème mobile, alors je pense que du point de vue du gouvernement en particulier, ou de beaucoup de points de vue du gouvernement, il y a beaucoup de points ouverts à discuter », a déclaré Boos aujourd’hui.

«Du point de vue du PEPP-PT, il y a quelques points à discuter parce que nous voulons que le choix et la mise en œuvre du choix en termes de modèle – décentralisé ou centralisé au-dessus de leur protocole crée en fait le pire des deux mondes – donc il y a beaucoup de points à discuter. Mais contrairement au comportement que beaucoup d’entre nous qui travaillons avec des entreprises technologiques sont habitués à Google et Apple sont très ouverts dans ces discussions et il est inutile de se lever pour l’instant car ces discussions sont en cours et il semble qu’un accord puisse être conclu avec leur. »

Les changements spécifiques que PEPP-PT souhaite d’Apple et de Google n’étaient pas clairs – nous avons demandé plus de détails lors du webinaire, mais nous n’avons pas reçu de réponse. Mais le groupe et ses soutiens gouvernementaux espèrent peut-être diluer la position des géants de la technologie pour faciliter la création de graphiques centralisés de contacts Bluetooth pour alimenter les réponses nationales aux coronavirus.

Dans l’état actuel des choses, l’API d’Apple et de Google est conçue pour bloquer la correspondance des contacts sur un serveur – bien qu’il puisse encore y avoir des moyens pour les gouvernements (et autres) pour contourner partiellement les restrictions et centraliser certaines données.

Nous avons contacté Apple et Google avec des questions sur les discussions revendiquées avec PEPP-PT. Au moment d’écrire ces lignes, aucun n’avait répondu.

En plus de l’Italie, les gouvernements allemand et français sont parmi ceux qui ont indiqué qu’ils soutiennent le PEPP-PT pour les applications nationales – ce qui suggère que de puissants États membres de l’UE pourraient se battre pour une lutte avec les géants de la technologie, dans le style d’Apple par rapport au FBI, si la pression pour modifier l’API échoue.

Un autre élément clé de cette histoire est que le PEPP-PT continue de faire face à de vives critiques de la part des experts de la confidentialité et de la sécurité dans sa propre arrière-cour – y compris après avoir supprimé la référence à un protocole décentralisé pour le suivi des contacts COVID-19 qui est développé par une autre coalition européenne, composé d’experts de la confidentialité et de la sécurité, appelés DP-3T.

Coindesk a rendu compte hier de la modification silencieuse du site Web de PEPP-PT.

Les partisans du DP-3T ont également demandé à plusieurs reprises pourquoi le PEPP-PT n’a pas publié de code ou de protocoles à ce jour – et est même allé jusqu’à qualifier l’effort de «cheval de Troie».

Le Dr Kenneth Paterson de l’ETH Zürich, qui fait à la fois partie de l’effort PEPP-PT et concepteur du DP-3T, n’a pas pu faire la lumière sur les changements exacts que la coalition espère extraire de «Gapple» lorsque nous l’avons demandé.

« Ils n’ont toujours pas dit exactement comment leur système fonctionnerait, donc je ne peux pas dire ce dont ils auraient besoin [in terms of changes to Apple and Google’s system]», Nous a-t-il dit dans un échange d’e-mails.

Aujourd’hui, Boos a qualifié la suppression de la référence au DP-3T sur le site Web de PEPP-PT d’une faute – qu’il a imputée à une «mauvaise communication». Il a également affirmé que la coalition souhaitait toujours inclure l’ancien protocole décentralisé dans son ensemble de technologies standardisées. Ainsi, les lignes déjà parfois floues entre les camps continuent d’être redessinées. (Il est également intéressant de noter que les e-mails de presse à Boos sont désormais triés par Hering Schuppener, une entreprise de communication qui vend des services publicitaires, y compris des RP de crise.)

« Nous en sommes vraiment désolés », a déclaré Boos à propos de l’excision DP-3T. «En fait, nous voulions simplement mettre les différentes options au même niveau que celles qui existent. Il y a encore toutes ces options et nous apprécions beaucoup le travail que font nos collègues et d’autres.

« Vous savez qu’il y a une discussion à ce sujet dans la communauté crypto et nous encourageons cette discussion car il est toujours bon d’améliorer les protocoles. Ce que nous ne devons pas perdre de vue, c’est que nous ne parlons pas de crypto ici, nous parlons de gestion de pandémie et tant qu’une couche de transport sous-jacente peut garantir une confidentialité suffisamment bonne car les gouvernements peuvent choisir ce qu’ils veulent. »

Boos a également déclaré que le PEPP-PT publierait enfin certains documents techniques cet après-midi – choisissant de publier des informations environ trois semaines après son dévoilement public et un vendredi soir (un «aperçu de haut niveau» de sept pages a depuis été mis sur leur GitHub ici [this link has since been deleted – Ed.] – mais encore loin du code à réviser) – tout en faisant un plaidoyer simultané pour que les journalistes se concentrent sur le «tableau d’ensemble» de la lutte contre le coronavirus plutôt que de rester obsédés par les détails techniques.

Lors du webinaire d’aujourd’hui, certains scientifiques soutenant le PEPP-PT ont expliqué comment ils testent l’efficacité de Bluetooth en tant que proxy pour suivre le risque d’infection.

«L’algorithme sur lequel nous avons travaillé examine la quantité cumulée de temps que les individus passent à proximité les uns des autres», a déclaré Christophe Fraser, professeur au Département de médecine de Nuffield et chef de groupe principal en dynamique des pathogènes au Big Data Institute. , Université d’Oxford, offrant une introduction générale sur l’utilisation des données de proximité Bluetooth pour suivre la transmission virale.

«L’objectif est de prédire la probabilité de transmission à partir des données de proximité du téléphone. Le système idéal réduit donc la quarantaine demandée à ceux qui sont le plus à risque d’être infecté et ne donne pas la notification – même si un événement de proximité a été enregistré – aux personnes qui ne courent pas le risque d’être infectées. »

« De toute évidence, ce sera un processus imparfait », a-t-il poursuivi. «Mais le point clé est que, dans cette approche innovante, nous devrions être en mesure de vérifier dans quelle mesure ces informations et ces notifications sont correctes – nous devons donc réellement voir, parmi les personnes qui ont reçu la notification, combien de en fait, ils étaient infectés. Et parmi les personnes identifiées comme contacts, combien ne l’étaient pas.

«L’audit peut se faire de différentes manières pour chaque système, mais cette étape est cruciale.»

L’évaluation de l’efficacité des interventions numériques sera vitale, selon Fraser – dont la présentation aurait pu être interprétée comme plaidant pour que les autorités de santé publique aient un accès plus complet aux graphiques des contacts. Mais il est important de noter que le protocole décentralisé de DP-3T prévoit clairement que les utilisateurs de l’application choisissent de partager volontairement les données avec les épidémiologistes et les groupes de recherche pour leur permettre de reconstruire le graphique d’interaction entre les utilisateurs infectés et à risque (alias pour accéder à un graphe de proximité).

« Il est vraiment important que si vous allez faire une intervention qui va affecter des millions de personnes – en termes de ces demandes à [quarantine] – que ces informations soient la meilleure science possible ou la meilleure représentation possible des preuves au moment où vous donnez la notification », a ajouté Fraser. «Et par conséquent, à mesure que nous progressons, cette preuve – notre compréhension de la transmission du virus – va s’améliorer. Et en fait, l’audit de l’application peut permettre d’améliorer cela, et il semble donc essentiel que ces informations soient réinjectées. »

Aucun des Aligné PEPP-PT les applications qui sont actuellement utilisées pour les tests ou les références se connectent aux systèmes des autorités sanitaires nationales, selon Boos – bien qu’il ait cité un test en Italie qui a été connecté au système de santé d’une entreprise pour exécuter des tests.

«Nous avons fourni aux constructeurs d’applications le backend, nous leur avons fourni des exemples de code, nous leur avons fourni des protocoles, nous leur avons fourni la science de la mesure, et ainsi de suite. Nous avons une application qui ne fonctionne tout simplement pas dans le système de santé d’un pays – sur Android et sur iOS », a-t-il noté.

Sur son site Internet, le PEPP-PT répertorie un certain nombre de «membres» d’entreprises qui soutiennent l’effort – y compris Vodafone – aux côtés de plusieurs instituts de recherche, notamment l’Institut allemand des télécommunications Fraunhofer Heinrich Hertz (HHI), qui aurait dirigé cet effort.

Le directeur exécutif du HHI, Thomas Wiegand, était également de passage aujourd’hui. Notamment, son nom figurait initialement sur la liste des auteurs du livre blanc du DP-3T. Cependant, le 10 avril, il a été retiré de la liste des fichiers README et d’auteur, selon l’historique de son document GitHub. Aucune explication du changement n’a été donnée.

Au cours de la conférence de presse d’aujourd’hui, Wiegand a fait une intervention qui ne semble pas susceptible de lui faire aimer la communauté crypto et des droits numériques au sens large – décrivant le débat autour du système de cryptographie à utiliser pour le suivi des contacts COVID-19 comme une «  exposition parallèle  » et exprimant sa préoccupation quant à ce qu’il appelé «le débat public ouvert» de l’Europe pourrait «détruire notre capacité à nous sortir en tant qu’Européens de cela».

«Je voulais juste sensibiliser tout le monde à la difficulté de ce problème», a-t-il également déclaré. «La cryptographie n’est que l’un des 12 éléments constitutifs du système. J’aimerais donc que tout le monde revienne et reconsidère le problème dans lequel nous nous trouvons ici. Nous devons gagner contre ce virus… or nous avons un autre verrouillage ou nous avons beaucoup de gros problèmes. J’aimerais que tout le monde y réfléchisse et y réfléchisse parce que nous avons une chance si nous agissons ensemble et gagnons vraiment contre le virus. »

La conférence de presse a connu un début encore plus néfaste après que l’appel Zoom a été perturbé par des spams racistes dans le champ de discussion. Juste avant cela, Boos avait lancé l’appel en disant qu’il avait entendu « des gens plus avertis sur le plan technique que nous ne devrions pas utiliser Zoom parce qu’il n’est pas sûr – et pour une initiative qui veut la sécurité et la confidentialité, ce n’est pas le bon outil. »

«Malheureusement, nous avons découvert que beaucoup de nos collègues internationaux ne l’avaient que sur leur PC d’entreprise. Au fil du temps, soit Zoom doit s’améliorer – soit nous devons améliorer les installations. Ce n’est certainement pas notre intention de divulguer les données de ce Zoom », a-t-il ajouté.



Traduit de l’anglais de https://techcrunch.com/2020/04/17/europes-pepp-pt-covid-19-contacts-tracing-standard-push-could-be-squaring-up-for-a-fight-with-apple-and-google/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.