L'Europe est en mode de confinement de COVID depuis le mois dernier, contrairement aux trois mois précédents de grave verrouillage. Les enfants sont retournés à l'école, par équipes, et les gens sont partis en vacances dans des pays où les taux d'infection étaient tout aussi bas. Legoland et le zoo se sont réouverts, plafonnés à 1/3 de capacité. Les quincailleries et les bureaux de poste fonctionnent «normalement» une fois que vous avez installé les masques obligatoires et les séparations de 1,5 mètre tout en faisant la queue comme «normal». Pour compenser le fait que la moitié des tables doivent être laissées vides, la plupart des restaurants se sont étendus sur leurs terrasses. Ce n’est pas vraiment normal, mais ce n’est plus horrible non plus.

Mais même un pays qui se porte très bien comme l’Allemagne, où je vis, compte quelques centaines à mille nouveaux cas par jour. Si ceux-ci ne sont pas contrôlés comme auparavant, la possibilité d'une seconde vague est bien réelle, d'où la routine de masque et de distance. Les différentes applications européennes de traçage COVID ont été déployées dans ce contexte de pandémie imminente qui est ténu sous contrôle. Bien que personne ne s'attende à ce que les applications remplacent la distanciation publique, elles sont également utiles si elles peuvent détecter de nouveaux cas asymptomatiques avant qu'ils ne soient transmis.

Lorsque Google et Apple ont présenté leurs cadres pour les applications de traçage, je les ai examinés de manière technique. Ma conclusion était que l'infrastructure était solide, mais que les détails de la mise en œuvre seraient là où tous les dragons attendaient. Sans surprise, j'avais raison!

Voici une mise à jour sur ce qui s’est passé au cours du premier mois d’expérience de l’Europe avec les applications de traçage COVID. La bonne nouvelle est que les applications semblent bien écrites et basées sur les bases solides susmentionnées. Beaucoup, beaucoup de gens ont installé au moins une des applications, et malgré quelques difficultés de croissance assez graves, elles semblent fonctionner pour la plupart comme elles le devraient. La mauvaise nouvelle est que, en raison de sa nature préservant la confidentialité, personne ne sait combien de personnes ont reçu des avertissements ou quel effet, le cas échéant, l'application a sur le taux d'infection. Vous ne pouvez certainement pas voir un "effet d'application" dans le nouveau taux quotidien de cas. Après un mois de travail de codage acharné et de bonne volonté publique extrême, il se peut que les applications pour téléphones portables ne soient tout simplement pas la panacée que certains espéraient.

L'Europe est un patchwork

La première chose que vous devez savoir sur les applications COVID en Europe, c'est qu'il y en a une tonne et qu'elles sont toutes différentes. Tout comme nos voisins du sud fabriquent des pizzas phénoménales, celles de l'ouest des baguettes et du fromage fantastiques et celles de l'est de la délicieuse Pilsner, les applications de traçage approuvées au niveau national diffèrent par plus que la langue.

Il y a trois cadres en jeu, mais deux d'entre eux sont essentiellement les mêmes. Le «système de notification d'exposition» (ENS) de Google / Apple a été inspiré par les versions originales du cadre européen «Decentralized Privacy-Preserving Proximity Tracing» (DP-3T), et tous deux utilisent des hachages date-heure-ID diffusés sur Bluetooth LE pour permettre aux téléphones individuels de déterminer s'ils sont entrés en contact avec des personnes infectées. Nous avons largement couvert l'ENS auparavant. Étant donné que les hachages changent fréquemment et que votre identifiant secret n'est jamais communiqué en dehors de votre téléphone, ces deux éléments offrent des garanties de confidentialité très solides. Et comme les cadres DP-3T et EN sont essentiellement les mêmes, il devrait éventuellement être possible pour les applications utilisant les deux systèmes de converger; ENS incorpore essentiellement les concepts de DP-3T dans les appels d'API au niveau du système d'exploitation sous Android et iOS. Ainsi, alors que l’Europe est divisée à 50/50 entre DP-3T et ENS, c’est fondamentalement la même chose.

«Croissants» de Jo @ net, CC BY 2.0

Le pays étrange est la France, qui utilise une version centralisée de la même approche des balises Bluetooth LE. Le système ROBERT utilisé dans leur application StopCovid collecte à la fois votre ID aléatoire et les hachages date-heure-ID que votre téléphone a entendus, les compare dans une banque de données centrale, puis vous informe s'il y a une correspondance. ROBERT est essentiellement un spin-off du précurseur de DP-3T, le cadre de «traçage de proximité paneuropéen de confidentialité» (PEPP-PT).

La «confidentialité» dans PEPP-PT est due au fait que les numéros d'identification sont générés aléatoirement par téléphone comme avec la solution décentralisée, ils sont donc pseudonymes. D'un autre côté, si le serveur central pouvait d'une manière ou d'une autre corréler les nombres avec les gens, alors ils auraient un journal extrêmement détaillé de qui a été près de qui, quand. La désanonymisation potentielle des données a conduit la plupart des universités participant au développement du PEPP-PT à partir pour DP-3T, et a également abouti au titre de livre blanc le plus passif-agressif de tous les temps: «Applications de traçage de proximité: le débat trompeur sur les approches centralisées versus décentralisées »du camp français.

Vous n’avez pas à craindre que le gouvernement ne veuille pas non plus que vos données soient stockées de manière centralisée. Le cryptage de l'application coréenne vient juste d'être interrompu, et comme il signale non seulement votre statut COVID, mais également votre emplacement et votre historique d'achat au serveur central, il s'agit d'une énorme violation de la confidentialité. (Le mot de passe avec lequel tout a été chiffré? "1234567890123456". Au moins c'est long.) Il ne semble pas y avoir de hurleurs similaires dans le code français, mais la base de données des activités et des contacts de chacun sera une cible juteuse pour mauvais hackers.

Mais même en laissant la France de côté, les applications qui utilisent le même framework ne fonctionnent pas encore ensemble. Même si les applications utilisent des cadres similaires, une agence gouvernementale doit diffuser quotidiennement la liste faisant autorité des hachages contagieux pour votre téléphone. L'application allemande doit-elle extraire des données des Italiens et des Espagnols? Le consensus semble être qu'il devrait le faire, et des travaux sont en cours pour le rendre possible d'ici peu. Mais pour le moment, les applications COVID européennes restent un patchwork délimité par les frontières nationales, même si les restrictions de voyage en Europe ont été partiellement levées.

Et encore quelques pays n'ont pas encore de système opérationnel. L’Espagne est remarquable ici, bien qu’elle soit en cours.

L'Europe est ouverte

L'un des points les plus rassurants du processus de développement de l'application européenne COVID a été la profondeur des débats sur le développement dans la sphère publique. Ici en Allemagne, le passage du PEPP-PT au seul pseudonyme au DP-3T a été largement rapporté dans la presse, et probablement en grande partie grâce aux efforts du Chaos Computer Club et d'autres groupes d'intérêt public ayant une expertise en matière de sécurité. , et bien sûr ceux au parlement qui les ont écoutés.

Et comme la transparence était considérée comme cruciale pour l'adoption des applications, presque toutes les applications sponsorisées au niveau national sont open source. Dans le cas de l'Allemagne, l'application a été développée à huis clos par SAP et Deutsche Telekom, des entreprises peu connues pour leurs références open source. Mais quelques semaines avant la sortie, ils l'ont mis tout sur GitHub: serveur, applications, portail de vérification et documents détaillés. À ce jour, sur 356 questions soulevées, 293 sont fermées et toutes semblent être rapidement triées et prises au sérieux. À quelle fréquence entendez-vous un programmeur de sécurité grincheux dire qu’une base de code est «incroyablement propre et ne contient, à première vue, aucune porte dérobée ni aucune faille de sécurité évidente»? Des éloges! (Traduit par des robots ici.) Aucun code n'est jamais sécurisé à 100%, mais le processus de sécurité ouvert semble fonctionner.

Bien que j’ai suivi de très près les progrès de l’Allemagne, le code est sorti pour de nombreux autres pays. Voici l’Irlande, l’Italie, l’Autriche, la France, la Pologne et les Pays-Bas ». Le Danemark et la Finlande sont notamment absents, avec des applications propriétaires, bien qu'elles soient basées respectivement sur les cadres ENS et DP-3T. N'hésitez pas à nous mettre à jour tous sur les programmes de tout autre pays dans les commentaires!

Si vous ne pensez pas qu'un code ouvert et auditable importe, consultez la débâcle sud-coréenne ci-dessus. Un mot de passe codé en dur dans l'application de tout le monde ne résiste pas pendant un jour, et encore moins quelques mois, dans un environnement ouvert. Cela ne veut pas dire qu'il n'y a pas Profond bogues dans l'une des bases de code ouvertes – ils sont énormes et complexes après tout – mais des fruits faciles à suspendre comme 1234567890123456 auraient été détectés immédiatement.

Maintenant les mauvaises nouvelles

L'un des facteurs les plus importants pour qu'une application COVID soit utile est qu'elle est largement utilisée. Par exemple, si seulement 5% de la population installe l'application, vous avez une chance maximale de 5% qu'une exposition réelle vous soit correctement signalée, étant donné que l'application est installée. Alors que les effets positifs du dépistage précoce augmentent à mesure que la base d'installation augmente, les scientifiques britanniques estiment que vous auriez besoin d'une couverture d'environ 60% pour éliminer la maladie, et l'adoption varie énormément d'un pays à l'autre.

Je n'ai pas pu trouver de statistiques à jour pour tous les pays, mais je parie que l'Allemagne possède la plus grande base d'installation, avec plus de 16 millions de téléchargements. Mais avec une population de 83 millions d’habitants, cela ne représente que 19% de la population. Selon le chef de cabinet d’Angela Merkel (qui est totalement pas biaisé), l'Allemagne a la «meilleure» application, et pourtant, lorsqu'on lui a demandé dans une enquête, seulement 42% disent qu'ils installeraient l'application.

L'Irlande compte 1,3 million d'utilisateurs, soit 27% de ses 4,9 millions d'habitants, remportant probablement le prix du taux d'installation le plus élevé. L’application française n’a été téléchargée que 2,3 millions de fois au cours des premières semaines, sur 65 millions. 3,5%. Aie.

Vous pourriez en avoir besoin. («Chargement-batterie» par Wolfgang Lonien, CC BY-SA 2.0)

Et cela suppose que tout le monde dispose de l'application et qu'elle fonctionne en permanence. L'application allemande, qui est censée fonctionner sur les installations du système d'exploitation Android fournies par l'ENS, se retrouve avec des lacunes de service car elle a été enregistrée sur les téléphones Samsung et Xiaomi (traduite) pendant la majeure partie du premier mois, sans être détectée. Les modes d’économie d’énergie des systèmes d’exploitation étaient trop enthousiastes. Il fonctionne maintenant en mode "arrière-plan prioritaire", mais retirer les deux plus grands fabricants de téléphones de votre ensemble de données pendant quelques semaines ne va pas vous aider. L'application française, qui ne peut pas utiliser l'ENS et doit fonctionner au premier plan, mangerait des piles comme s'il s'agissait de crêpes au Nutella. Combien de personnes garderont les porcs de batterie en marche?

Ce n’est pas tout Android non plus. Un problème est survenu lors de la mise à niveau des utilisateurs vers iOS 13.6 qui a empêché du tout l'application de s'exécuter. Je ne sais pas si cela a encore été résolu. N'importe qui?

D'autres problèmes dans le système allemand ont été plus politiques que logiciels. Si vous testez positif au COVID, votre médecin vous en informe par mail, puis vous devez valider un code secret par téléphone avec une hotline spéciale afin d'entrer dans le système comme contagieux. Cela peut entraîner un délai de deux jours pour accéder au système, période pendant laquelle les gens ne sauront pas qu'ils ont été en contact avec une personne contagieuse. Étant donné que la vitesse de traçage des contacts est le nom du jeu, c'est dommage. Et cela en supposant que vous vous inscrivez du tout – il y a des preuves préliminaires de l'Institut Robert Koch selon lesquelles entre 4 et 6% des personnes qui ont été testées positives finissent par l'enregistrer sur l'application. (Traduit.)

Ça pourrait être pire. Bien qu'elle ne fasse plus techniquement partie de l'UE, l'Angleterre n'a toujours pas réussi à proposer une application COVID. Après des mois de prise en charge d'un modèle de serveur central et de graves problèmes pour que leur application s'exécute sur des appareils iOS, le NHS a décidé de passer à l'ENS décentralisé après tout, ce qui est probablement une bonne chose pour la confidentialité et l'adoption, mais entraîne d'autres retards. . Pendant ce temps, l'Écosse et l'Irlande du Nord, qui font apparemment partie du Royaume-Uni, ont pris les choses en main.

En plus de tout cela, les gens se demandent toujours si la gamme Bluetooth LE est un bon proxy pour une proximité proche de communication de virus en premier lieu. Les différentes applications nécessitent plusieurs expositions pour déclencher un avertissement, donc le scénario du «passage de bus» n'est pas un tel problème, mais les personnes vivant dans un appartement en dessous d'une personne testée positive obtiendront sans aucun doute des faux positifs.

Une grande expérience? Une répétition générale?

Quelles sont les leçons à retenir du dernier mois des applications européennes de traçage COVID? Du côté positif, inviter le public à s'impliquer dans le processus des exigences et fournir un code ouvert et vérifiable peut contribuer grandement à encourager l'adoption des applications. En comparant la France, l'Allemagne et l'Irlande, il semble que les utilisateurs se soucient suffisamment de leur vie privée pour faire également une différence significative en termes d'utilisation, même si elle est aussi subtile que la différence entre l'anonymat et le pseudonymat.

Pourtant, il est encore difficile de voir les effets des applications COVID. Que ce soit en raison de problèmes techniques, d'une base d'installation trop faible ou d'un échec à s'auto-déclarer comme contagieux, les systèmes n'ont pas vraiment entamé le nombre de cas quotidiens. Peut-être qu'il y aura un effet visible plus tard, ou peut-être pas. Seul le temps le dira, malheureusement. Les applications pourraient même aggraver les choses; nous pouvons également imaginer un monde où les gens assouplissent leur comportement sur la base d'une fausse confiance en une faible exposition simplement parce que personne n'utilise l'application autour d'eux.

Il est un peu décourageant qu'il n'y ait pas de solution technologique simple pour empêcher la propagation d'une maladie hautement contagieuse qui reste en sommeil pendant une semaine environ, même lorsqu'elle est confrontée à des cadres cryptographiques intelligents et au développement open source. Les masques, la distance, les tests et notifications précoces semblent vraiment être la voie à suivre: la science et la médecine au lieu des téléphones portables et des logiciels.

Cela dit, la bonne chose à propos de nombreuses applications européennes est qu'elles sont ouvertes, respectent votre vie privée et faire au moins avoir une chance non nulle d'aider à contenir la propagation de la maladie. Vous n’avez rien à perdre à les utiliser, et nous espérons que le processus de développement servira de modèle pour l’avenir. Et compte tenu de la grande quantité d'anti-modèles, c'est un succès en soi.

LAISSER UN COMMENTAIRE

Rédigez votre commentaire !
Entrez votre nom ici