Alerte COVID: mon avis sur les points de contentieux
Quelques lecteurs m’ont demandé au cours des dernières semaines ce que je pensais de l’application de traçage fédérale Alerte COVID. J’en ai déjà parlé un peu ici, mais voici, en gros, ma perception des principaux points de contentieux.
L’application respecte suffisamment la vie privée
Alerte COVID n’est pas une application parfaite, mais elle respecte dans l’ensemble la plupart des meilleures pratiques, comme l’a analysé à la fin juillet le commissaire à la vie privée du Canada. On retient notamment que le positionnement GPS des utilisateurs n’est pas enregistré, ni leurs informations personnelles.
Certains risques persistent, surtout du côté de la sécurité informatique, mais nécessiteraient un effort considérable pour un attaquant, qui devrait notamment obtenir les données du gouvernement canadien et réidentifier les utilisateurs à partir de ces informations anonymisées. Dans les deux cas, ce ne serait pas impossible, mais ce serait difficile. Si quelqu’un voulait obtenir la liste des personnes contaminées par la COVID-19, il y aurait des cibles beaucoup plus faciles, ailleurs dans le système de santé.
On a aussi mentionné pendant les auditions publiques de l’Assemblée nationale sur la question qu’il y a des risques reliés au protocole Bluetooth. C’est le rôle des experts en sécurité informatique de relever tous les risques et tous les dangers. Mais en pratique, les attaques Bluetooth sont quand même rares (je parle ici des attaques, et non des failles).
Le risque relié au protocole Bluetooth est inévitable si on veut utiliser une application de traçage. C’est la technologie qu’utilisent les API de Google et d’Apple, et c’est la meilleure solution technologique offerte en ce moment (l’Ultra Large Bande sera éventuellement plus intéressante, mais trop peu d’appareils sur le marché sont compatibles avec la technologie pour l’instant). Personnellement, comme citoyen, c’est un risque avec lequel je suis tout à fait à l’aise de vivre (je prends des risques beaucoup plus grands dans ma vie de tous les jours).
Ce qui n’empêche évidemment pas que l’on puisse améliorer encore plus l’application. Comme l’a souligné pendant les auditions publiques de l’Assemblée nationale le titulaire de la Chaire de recherche du Canada en cybersécurité Benoit Dupont, de l’Université de Montréal, un hackathon pourrait par exemple être mis en place pour essayer de trouver des failles dans Alerte COVID, dont le code source est ouvert.
Notons qu’un autre risque a été soulevé lors des auditions publiques, soit celui qu’un employeur exige l’utilisation d’une application de traçage, que ce soit celle du gouvernement ou d’une solution privée pour suivre les contacts au sein d’une usine, par exemple. Pour moi, cette question en est toutefois une autre. Même sans Alerte COVID, les employeurs peuvent présentement exiger de porter un bracelet pour le traçage de contacts (ce qui est une méthode beaucoup plus efficace que l’utilisation d’une application mobile, d’ailleurs). Le déploiement de l’application canadienne ne changera rien à cette réalité. Ce sont cela dit deux dossiers qui devraient effectivement être analysés de front.
Les coûts de l’application sont raisonnables dans le contexte actuel
L’application Alerte COVID a été développée gratuitement par des bénévoles de Shopify, et la sécurité a été assurée par des bénévoles de BlackBerry.
Il y a des frais associés à l’appli (stockage de données et temps de calcul sur AWS, dépenses de Service numérique canadien en lien avec le lancement de l’appli et son suivi, etc.), et des investissements seront nécessaires pour relier l’application aux informations du ministère de la Santé, mais toutes proportions gardées, il ne s’agit pas d’une dépense majeure dans le contexte actuel de la lutte à la COVID-19, surtout si on utilise l’application qui a déjà été développée gratuitement, et si on utilise une approche décentralisée, où la santé publique n’a rien à voir avec l’envoi de notifications, et où ceux qui reçoivent l’alerte ne font ensuite qu’utiliser les ressources existantes (les tests).
Notons que si le gouvernement québécois décide de développer sa propre application avec l’aide de firmes de consultants, le calcul ne sera évidemment pas le même. Je crois d’ailleurs que ce serait une erreur.
On ignore combien a coûté Alerte COVID jusqu’ici, mais rappelons que l’application de traçage de l’Alberta ABTraceTogether, qui avait été réalisée par la firme Deloitte à partir du code source de l’application de traçage de Singapour, avait pour sa part coûté 625 000$.
Les risques mentionnés pour la santé publique (surcharge du système, faux sentiment de sécurité) sont à peu près nuls
Outre la sécurité et la vie privée, quelques autres risques ont été mentionnés par rapport à l’application Alerte COVID. Certains députés ont par exemple mentionné dans les auditions publiques de l’Assemblée nationale que les notifications envoyées par l’application pourraient surcharger le système de santé avec des personnes qui voudraient se faire tester.
Le problème est toutefois plutôt l’inverse, selon ce qu’on observe ailleurs : ces applications envoient trop peu de notifications. D’ailleurs, si l’application envoyait 5000 notifications en une seule journée, il serait aussi facile pour le gouvernement de changer ses paramètres pour rendre plus strictes les conditions pour les envois d’alertes (diminuer la distance estimée nécessaire entre deux utilisateurs pour qu’un contact soit considéré, par exemple).
Je ne suis pas d’accord non plus avec ceux qui s’inquiêtent du fait que le Bluetooth n’est pas capable par exemple de savoir si quelqu’un avec qui ont a été en contact portait un masque ou non. L’efficacité des masques n’est pas parfaite. Si j’ai été en contact avec quelqu’un qui avait la COVID-19 pendant plusieurs minutes, je préfère en être informé, même s’il avait un masque.
L’objectif de la santé publique n’est pas (ou du moins n’est plus) non plus de ne tester que ceux qui sont presque assurément atteints de la COVID-19, mais plutôt de tester ceux qui sont à risque d’avoir attrapé le virus. Une application de traçage ne dit pas qu’on l’a attrapé, mais plutôt qu’on a été en contact avec quelqu’un qui l’a. Si on a la capacité de tester, c’est une bonne raison de le faire. Si on n’a pas la capacité de tester, ça ne veut pas dire qu’il faut réduire le nombre de notifications. Ça veut dire qu’il faut augmenter la quantité de tests.
L’autre point parfois soulevé est qu’une telle application pourrait donner un faux sentiment de sécurité, mais j’ai mes réserves par rapport à cet argument. L’appli nous indique qu’on a été en contact avec quelqu’un qui avait la COVID. Elle ne prétend pas être un masque N95. Il ne faut pas prendre les gens pour des valises non plus.
Cela dit, il est vrai qu’une telle application doit être accompagnée d’une bonne documentation.
Les populations à risque auront moins accès à l’application
Selon mes calculs dans mon dernier billet sur le sujet, environ 27% des adultes canadiens n’auront pas accès à l’application Alerte COVID, soit parce qu’ils n’ont pas de téléphone intelligent, soit parce que leur modèle est trop vieux.
Une très grande partie de ces Canadiens sont des personnes plus âgées (le revenu est aussi un facteur pour déterminer qui n’a pas de téléphone, mais l’âge est le plus important), qui sont aussi les plus à risque par rapport à la COVID-19.
Est-ce que cette discrimination est une raison pour ne pas l’adopter? On sort ici de mon champ d’expertise. Mais c’est, cela dit, certainement une raison pour qu’une application de traçage ne soit pas considérée comme une solution magique, mais plutôt comme un élément parmi plusieurs autres pour contribuer au déconfinement (avec les tests facilement accessibles et un bon traçage de contacts manuel).
D’ailleurs, il est important que l’adoption d’une application de traçage ne s’accomapagne pas d’une réduction des effectifs pour le traçage manuel, notamment pour cette raison.
Les effets positifs documentés sont à peu près nuls
Si on analyse ce qui a été fait ailleurs, force est de constater que les effets positifs de ces applications sont à peu près nuls. Leur taux d’adoption est bas et les alertes sont rares.
Cela dit, plusieurs des premières applications étaient mal développées, ce qui a réduit leur efficacité et entraîné une levée des boucliers qui a freiné leur adoption.
À ma connaissance, aucune application dans les règles de l’art n’a été lancée dans un pays pendant que celui-ci était aux prises avec une crise majeure, comme dans certains états aux États-Unis, par exemple. Est-ce qu’une appli utilisée dans ces conditions changerait la donne? Peut-être que oui, peut-être que non.
Bref, je concède que les résultats positifs se font attendre par rapport aux applications de traçage, mais il faut reconnaître que les conditions propices n’ont pas été réunies non plus. Le potentiel positif reste donc présent, même si celui-ci ne sera probablement jamais aussi élevé que ce que les gens espéraient au printemps.
Ceux qui y voient Big Brother devront être considérés
J’ai jusqu’ici surtout parlé de ceux qui ont analysé les dangers de l’application d’une façon raisonnée. Mais certaines personnes ont aussi une réaction viscérale par rapport à Alerte COVID, qu’ils voient comme un outil du gouvernement pour contrôler leur vie et les suivre à la trace.
Technologiquement, l’application Alerte COVID ne permet pas de faire ça.
Il est malgré tout important d’écouter ceux qui y voient Big Brother et de bien leur faire comprendre que le téléchargement de l’application se fait sur une base volontaire, et qu’il en sera toujours ainsi.
Si le gouvernement du Québec va de l’avant avec l’application, il devra trouver un moyen pour écouter cette partie de la population, lui permettre de s’exprimer et lui répondre, tout en évitant de faire déraper la conversation et de donner trop d’importance à cet aspect qui n’est, finalement, pas un véritable enjeu.
J’aurais toutefois tendance ici à faire plus confiance aux sociologues qu’aux experts technologiques pour gérer cette question.
Les bienfaits potentiels me semblent plus grands que les risques
Il est clair que les applications de traçage ne sont pas une solution magique qui va régler la pandémie à elle seule. Dans bien des cas, les applications sont même carrément inutiles. Je n’ai par exemple pas besoin d’une appli pour me dire qu’un ami avec qui j’ai soupé la semaine dernière a attrapé la COVID. L’ami en question pourra me le dire lui-même (ou ceux qui font le traçage de contacts pour la santé publique).
Mais une application de traçage pourrait être importante pour me dire que j’ai été assis pendant 20 minutes au côté de quelqu’un dans l’autobus qui avait la COVID-19, puisque ce genre de contact ne peut être retracé manuellement.
Il ne reste qu’à soupeser l’importance des effets positifs et des risques de l’application.
C’est évident, mais si ces applis avaient sauvé des millions de vies dans les pays où elles sont utilisées, on ne se poserait même pas la question. On accepterait les risques. Mais ce n’est pas le cas. Les bienfaits observés sont limités, alors il est normal que les gens soient plus rigoureux dans leur analyse des dangers.
Je crois personnellement que Alerte COVID adopte suffisamment les bonnes pratiques pour le respect de la vie privée et la sécurité. Alerte COVID augmente notre surface d’attaque, mais aucune des vulnérabilités théoriques potentielles de l’application ne m’a semblé assez importante pour la mettre aux poubelles. La gestion du risque ne veut pas dire la recherche du risque zéro.
Des risques théoriques demeurent, mais quand vous allez faire un test COVID-19, vous donnez aussi votre nom et votre numéro de téléphone. Rien de tout ceci n’est parfait.
Certaines personnes commandent des taxis chez eux, mais d’autres donnent l’adresse d’un voisin et attendent à l’extérieur pour ne pas montrer que leur appartement est vide. Certains chiffrent toutes leurs communications avec des messageries archi-sécurisées, d’autres utilisent Gmail. Certains vont installer Alerte COVID. D’autres non. Et c’est très bien ainsi.
Cela ne veut pas dire qu’il faut donner un passe-droit à l’application. Mais les problèmes qui ont été soulevés jusqu’à présent ne me semblent pas assez importants pour ne pas bénéficier de ses avantages, même en considérant que ces derniers semblent pour l’instant limités.