![\"\"](\"https:\/\/maximejohnson.com\/wp-content\/uploads\/2020\/08\/covd.jpg\")
<\/p>\n<\/p>\n
Quelques lecteurs m\u2019ont demand\u00e9 au cours des derni\u00e8res semaines ce que je pensais de l\u2019application de tra\u00e7age f\u00e9d\u00e9rale Alerte COVID. J\u2019en ai d\u00e9j\u00e0 parl\u00e9 un peu ici<\/a>, mais voici, en gros, ma perception des principaux points de contentieux.<\/p>\n L\u2019application respecte suffisamment la vie priv\u00e9e<\/strong><\/p>\n Alerte COVID n\u2019est pas une application parfaite, mais elle respecte dans l\u2019ensemble la plupart des meilleures pratiques, comme l\u2019a analys\u00e9 \u00e0 la fin juillet le commissaire \u00e0 la vie priv\u00e9e du Canada.<\/a> On retient notamment que le positionnement GPS des utilisateurs n\u2019est pas enregistr\u00e9, ni leurs informations personnelles.<\/p>\n Certains risques persistent, surtout du c\u00f4t\u00e9 de la s\u00e9curit\u00e9 informatique, mais n\u00e9cessiteraient un effort consid\u00e9rable pour un attaquant, qui devrait notamment obtenir les donn\u00e9es du gouvernement canadien et r\u00e9identifier les utilisateurs \u00e0 partir de ces informations anonymis\u00e9es. Dans les deux cas, ce ne serait pas impossible, mais ce serait difficile. Si quelqu\u2019un voulait obtenir la liste des personnes contamin\u00e9es par la COVID-19, il y aurait des cibles beaucoup plus faciles, ailleurs dans le syst\u00e8me de sant\u00e9.<\/p>\n On a aussi mentionn\u00e9 pendant les auditions publiques de l\u2019Assembl\u00e9e nationale sur la question qu\u2019il y a des risques reli\u00e9s au protocole Bluetooth. C\u2019est le r\u00f4le des experts en s\u00e9curit\u00e9 informatique de relever tous les risques et tous les dangers. Mais en pratique, les attaques Bluetooth sont quand m\u00eame rares (je parle ici des attaques, et non des failles).<\/p>\n Le risque reli\u00e9 au protocole Bluetooth est in\u00e9vitable si on veut utiliser une application de tra\u00e7age. C\u2019est la technologie qu\u2019utilisent les API de Google et d\u2019Apple, et c\u2019est la meilleure solution technologique offerte en ce moment (l\u2019Ultra Large Bande sera \u00e9ventuellement plus int\u00e9ressante, mais trop peu d\u2019appareils sur le march\u00e9 sont compatibles avec la technologie pour l\u2019instant). Personnellement, comme citoyen, c\u2019est un risque avec lequel je suis tout \u00e0 fait \u00e0 l\u2019aise de vivre (je prends des risques beaucoup plus grands dans ma vie de tous les jours).<\/p>\n Ce qui n\u2019emp\u00eache \u00e9videmment pas que l\u2019on puisse am\u00e9liorer encore plus l\u2019application. Comme l\u2019a soulign\u00e9 pendant les auditions publiques de l\u2019Assembl\u00e9e nationale le titulaire de la Chaire de recherche du Canada en cybers\u00e9curit\u00e9 Benoit Dupont, de l\u2019Universit\u00e9 de Montr\u00e9al, un hackathon<\/em> pourrait par exemple \u00eatre mis en place pour essayer de trouver des failles dans Alerte COVID, dont le code source est ouvert.<\/p>\n Notons qu’un autre risque a \u00e9t\u00e9 soulev\u00e9 lors des auditions publiques, soit celui qu’un employeur exige l’utilisation d’une application de tra\u00e7age<\/a>, que ce soit celle du gouvernement ou d’une solution priv\u00e9e pour suivre les contacts au sein d’une usine, par exemple. Pour moi, cette question en est toutefois une autre. M\u00eame sans Alerte COVID, les employeurs peuvent pr\u00e9sentement exiger de porter un bracelet pour le tra\u00e7age de contacts (ce qui est une m\u00e9thode beaucoup plus efficace que l’utilisation d’une application mobile, d’ailleurs). Le d\u00e9ploiement de l’application canadienne ne changera rien \u00e0 cette r\u00e9alit\u00e9. Ce sont cela dit deux dossiers qui devraient effectivement \u00eatre analys\u00e9s de front.<\/p>\n Les co\u00fbts de l\u2019application sont raisonnables dans le contexte actuel<\/strong><\/p>\n L\u2019application Alerte COVID a \u00e9t\u00e9 d\u00e9velopp\u00e9e gratuitement par des b\u00e9n\u00e9voles de Shopify, et la s\u00e9curit\u00e9 a \u00e9t\u00e9 assur\u00e9e par des b\u00e9n\u00e9voles de BlackBerry.<\/p>\n Il y a des frais associ\u00e9s \u00e0 l\u2019appli (stockage de donn\u00e9es et temps de calcul sur AWS, d\u00e9penses de Service num\u00e9rique canadien en lien avec le lancement de l\u2019appli et son suivi, etc.), et des investissements seront n\u00e9cessaires pour relier l\u2019application aux informations du minist\u00e8re de la Sant\u00e9, mais toutes proportions gard\u00e9es, il ne s\u2019agit pas d\u2019une d\u00e9pense majeure dans le contexte actuel de la lutte \u00e0 la COVID-19, surtout si on utilise l\u2019application qui a d\u00e9j\u00e0 \u00e9t\u00e9 d\u00e9velopp\u00e9e gratuitement, et si on utilise une approche d\u00e9centralis\u00e9e, o\u00f9 la sant\u00e9 publique n’a rien \u00e0 voir avec l’envoi de notifications, et o\u00f9 ceux qui re\u00e7oivent l’alerte ne font ensuite qu’utiliser les ressources existantes (les tests).<\/p>\n Notons que si le gouvernement qu\u00e9b\u00e9cois d\u00e9cide de d\u00e9velopper sa propre application avec l\u2019aide de firmes de consultants, le calcul ne sera \u00e9videmment pas le m\u00eame. Je crois d’ailleurs que ce serait une erreur.<\/p>\n On ignore combien a co\u00fbt\u00e9 Alerte COVID jusqu\u2019ici, mais rappelons que l\u2019application de tra\u00e7age de l\u2019Alberta ABTraceTogether, qui avait \u00e9t\u00e9 r\u00e9alis\u00e9e par la firme Deloitte \u00e0 partir du code source de l\u2019application de tra\u00e7age de Singapour, avait pour sa part co\u00fbt\u00e9 625\u00a0000$.<\/p>\n Les risques mentionn\u00e9s pour la sant\u00e9 publique (surcharge du syst\u00e8me, faux sentiment de s\u00e9curit\u00e9) sont \u00e0 peu pr\u00e8s nuls<\/strong><\/p>\n Outre la s\u00e9curit\u00e9 et la vie priv\u00e9e, quelques autres risques ont \u00e9t\u00e9 mentionn\u00e9s par rapport \u00e0 l\u2019application Alerte COVID. Certains d\u00e9put\u00e9s ont par exemple mentionn\u00e9 dans les auditions publiques de l\u2019Assembl\u00e9e nationale que les notifications envoy\u00e9es par l\u2019application pourraient surcharger le syst\u00e8me de sant\u00e9 avec des personnes qui voudraient se faire tester.<\/p>\n Le probl\u00e8me est toutefois plut\u00f4t l\u2019inverse, selon ce qu\u2019on observe ailleurs\u00a0: ces applications envoient trop peu de notifications<\/a>. D\u2019ailleurs, si l\u2019application envoyait 5000 notifications en une seule journ\u00e9e, il serait aussi facile pour le gouvernement de changer ses param\u00e8tres pour rendre plus strictes les conditions pour les envois d\u2019alertes (diminuer la distance estim\u00e9e n\u00e9cessaire entre deux utilisateurs pour qu\u2019un contact soit consid\u00e9r\u00e9, par exemple).<\/p>\n Je ne suis pas d’accord non plus\u00a0 avec ceux qui s’inqui\u00eatent du fait que le Bluetooth n’est pas capable par exemple de savoir si quelqu’un avec qui ont a \u00e9t\u00e9 en contact portait un masque ou non. L’efficacit\u00e9 des masques n’est pas parfaite. Si j’ai \u00e9t\u00e9 en contact avec quelqu’un qui avait la COVID-19 pendant plusieurs minutes, je pr\u00e9f\u00e8re en \u00eatre inform\u00e9, m\u00eame s’il avait un masque.<\/p>\n L’objectif de la sant\u00e9 publique n’est pas (ou du moins n’est plus) non plus de ne tester que ceux qui sont presque assur\u00e9ment atteints de la COVID-19, mais plut\u00f4t de tester ceux qui sont \u00e0 risque d’avoir attrap\u00e9 le virus. Une application de tra\u00e7age ne dit pas qu’on l’a attrap\u00e9, mais plut\u00f4t qu’on a \u00e9t\u00e9 en contact avec quelqu’un qui l’a. Si on a la capacit\u00e9 de tester, c’est une bonne raison de le faire.\u00a0 Si on n’a pas la capacit\u00e9 de tester, \u00e7a ne veut pas dire qu’il faut r\u00e9duire le nombre de notifications. \u00c7a veut dire qu’il faut augmenter la quantit\u00e9 de tests.<\/p>\n L\u2019autre point parfois soulev\u00e9 est qu\u2019une telle application pourrait donner un faux sentiment de s\u00e9curit\u00e9, mais j\u2019ai mes r\u00e9serves par rapport \u00e0 cet argument. L\u2019appli nous indique qu\u2019on a \u00e9t\u00e9 en contact avec quelqu\u2019un qui avait la COVID. Elle ne pr\u00e9tend pas \u00eatre un masque N95. Il ne faut pas prendre les gens pour des valises non plus.<\/p>\n Cela dit, il est vrai qu\u2019une telle application doit \u00eatre accompagn\u00e9e d\u2019une bonne documentation.<\/p>\n