Le Chaos Computer Club est une groupe de hackers et geeks de Hambourg . Après son évocation dans une corona-chronique de David Dufresne , voici une traduction de leur article concernant les critères d’évaluation d’une application respectueuse de la vie privée. C’est autre point de vue que celui de la Quadrature du Net qui est pour un rejet pur et simple de toute application.
Rôle du CCC : #ChaosComputerClub
Depuis plus de 30 ans, le #CCC s’est engagé dans le bénévolat à l’intersection entre la technologie et la société. Nos principes éthiques défendent le respect de la vie privée, la décentralisation et l’économie des données – et s’opposent à toute forme de surveillance et de coercition.
Sans prétendre à l’exhaustivité, nous citons dans cet article les exigences minimales de protection de la vie privée auxquelles une « Corona App » doit répondre pour être socialement et technologiquement tolérable. La CCC ne fournira en aucun cas une mise en œuvre concrète avec une approbation, une recommandation, un certificat ou un sceau de test.
Il incombe aux développeurs de systèmes de recherche de contacts de prouver le respect de ces exigences ou de les faire prouver par des tiers indépendants.
10 exigences pour l’évaluation des applications de « recherche de contacts
Les « #Corona apps » sont sur toutes les lèvres comme un moyen de contenir l’épidémie de #SRAS-CoV-2. Le CCC publie 10 exigences pour leur évaluation d’un point de vue technique et sociétal.
Actuellement, le » traçage des contacts « , qui bénéficie d’un soutien technique, est envisagée comme moyen de contrer la propagation du CoV-2 du SRAS de manière plus ciblée. La justification générale est de permettre une plus grande liberté de mouvement pour le plus grand nombre en permettant un traçage rapide et l’interruption des chaînes d’infection. Les contacts des personnes infectées devraient être avertis plus rapidement et ainsi pouvoir se mettre en quarantaine plus rapidement. Cela devrait permettre d’éviter de nouvelles infections. Une « corona app » pourrait donc ne protéger ni nous-mêmes ni nos contacts : Elle serait conçue pour briser les chaînes d’infection en protégeant les contacts de nos interlocuteurs.
La recherche des contacts en tant que technologie dangereuse.
Il existe un certain nombre de suggestions pour la mise en œuvre technique de ce concept. Ces propositions vont de systèmes dystopiques de surveillance complète à des méthodes ciblées et totalement anonymes d’alerte des personnes potentiellement infectées sans connaissance de la personne concernée.
En principe, le concept de « Corona App » implique un risque énorme en raison des données de contact et de santé qui peuvent être collectées. En même temps, il y a une chance pour les concepts et technologies de « #privacy-by-design » qui ont été développés par la communauté de la cryptographie et de la protection de la vie privée au cours des dernières décennies. Grâce à ces technologies, il est possible de développer le potentiel épidémiologique de la recherche des contacts sans créer de catastrophe en matière de vie privée. Pour cette seule raison, tous les concepts qui violent ou même mettent en danger la vie privée doivent être strictement rejetés.
Dans ce qui suit, nous exposons les exigences sociales et techniques minimales pour ces technologies. Le CCC se voit confier un rôle de conseil et d’observation dans ce débat. Nous ne recommanderons pas d’applications, de concepts ou de procédures spécifiques. Nous déconseillons toutefois l’utilisation d’applications qui ne répondent pas à ces exigences.
I. Exigences sociétales
Sens et objectif épidémiologiques
La condition de base est que la « recherche des contacts » puisse contribuer de manière réaliste à réduire de manière significative et démontrable le nombre d’infections. La validation de cette évaluation relève de la responsabilité de l’épidémiologie. S’il s’avère que la « recherche des contacts » via l’application n’est pas utile ou ne remplit pas son objectif, l’expérience doit être interrompue.
L’application et toutes les données recueillies doivent être utilisées exclusivement pour lutter contre les chaînes d’infection par le SRAS-CoV-2. Toute autre utilisation doit être techniquement empêchée dans la mesure du possible et légalement interdite.
Volonté et absence de discrimination
Pour une efficacité épidémiologiquement significative, une application de « recherche des contacts » nécessite un degré élevé de diffusion dans la société. Cette large diffusion ne doit pas être obtenue par la force, mais uniquement par la mise en place d’un système fiable et respectueux de la vie privée. Dans ce contexte, il ne doit y avoir aucune perception de frais d’utilisation ni aucune incitation financière à l’utilisation.
Les personnes qui refusent de l’utiliser ne doivent pas en subir les conséquences négatives. La politique et la législation doivent veiller à ce qu’il en soit ainsi.
L’application doit informer régulièrement les gens sur son fonctionnement. Elle doit permettre une simple désactivation temporaire et une suppression permanente. Des mesures restrictives, par exemple une fonction de « menottes électroniques » pour contrôler les restrictions de contact, ne doivent pas être mises en œuvre.
Respect fondamental de la vie privée
Seul un concept convaincant basé sur le principe de la vie privée peut être accepté par la société.
En même temps, des mesures techniques vérifiables telles que les technologies de cryptographie et d’anonymisation doivent garantir la protection de la vie privée des utilisateurs. Il ne suffit pas de se fier à des mesures organisationnelles, à la « confiance » et à des promesses. Les obstacles organisationnels ou juridiques à l’accès aux données ne peuvent pas être considérés comme suffisants dans le climat social actuel de réflexion sur l’état d’urgence et d’éventuelles exceptions de grande portée aux droits constitutionnels par le biais de la loi sur la protection contre les infections.
Nous rejetons l’implication des entreprises développant des technologies de surveillance comme un « nettoyage de covid ». En principe, les utilisateurs ne devraient pas avoir à « faire confiance » à une personne ou une institution pour leurs données, mais devraient bénéficier d’une sécurité technique documentée et testée.
Transparence et vérifiabilité
Le code source complet de l’application et de l’infrastructure doit être librement disponible sans restriction d’accès pour permettre des audits par toutes les parties intéressées. Des techniques de construction reproductibles doivent être utilisées pour garantir que les utilisateurs puissent vérifier que l’application qu’ils téléchargent a été construite à partir du code source audité.
II. Exigences techniques
Aucune entité centrale à laquelle faire confiance
Une recherche de contact totalement anonyme sans serveur central omniscient est techniquement possible. Il n’est techniquement pas nécessaire que la protection de la vie privée des utilisateurs dépende de la fiabilité et de la compétence de l’opérateur de l’infrastructure centrale. Les concepts basés sur cette « confiance » doivent donc être rejetés.
En outre, la sécurité et la fiabilité promises des systèmes centralisés – par exemple contre la connexion d’adresses IP avec des identifiants d’utilisateurs anonymes – ne peuvent être effectivement vérifiées par les utilisateurs. Les systèmes doivent donc être conçus pour garantir la sécurité et la confidentialité des données des utilisateurs exclusivement par leur concept de cryptage et d’anonymisation et la vérifiabilité du code source.
Économie des données
Seules les données et métadonnées minimales nécessaires à l’objectif de la demande peuvent être stockées. Cette exigence interdit la collecte centralisée de toute donnée qui n’est pas spécifique à un contact entre personnes et à sa durée.
Si des données supplémentaires telles que des informations de localisation sont enregistrées localement sur les téléphones, les utilisateurs ne doivent pas être forcés ou tentés de transmettre ces données à des tiers ou même de les publier. Les données qui ne sont plus nécessaires doivent être supprimées. Les données sensibles doivent également être cryptées de manière sécurisée localement sur le téléphone.
Pour la collecte volontaire de données à des fins de recherche épidémiologique qui va au-delà de l’objectif réel de la recherche des contacts, un consentement clair et distinct doit être explicitement obtenu dans l’interface de l’application et il doit être possible de le révoquer à tout moment. Ce consentement ne doit pas être une condition préalable à l’utilisation.
Anonymat
Les données que chaque appareil recueille sur les autres appareils ne doivent pas permettre de désanonymiser leurs utilisateurs. Les données que chaque personne peut transmettre à propos d’elle-même ne doivent pas être adaptées à la désanonymisation de la personne. Il doit donc être possible d’utiliser le système sans collecter ou pouvoir en déduire des données personnelles de quelque nature que ce soit. Cette exigence interdit l’identification unique des utilisateurs.
Les identifiants pour la « recherche de contacts » par technologie sans fil (par exemple, Bluetooth ou ultrasons) ne doivent pas être traçables par rapport aux personnes et doivent changer fréquemment. Pour cette raison, il est également interdit de connecter ou de dériver des identifiants avec les données de communication qui les accompagnent, telles que les jetons, les numéros de téléphone, les adresses IP utilisées, les identifiants des appareils, etc.
Pas de création de profils de mouvements ou de contacts centraux
Le système doit être conçu de manière à ce que les profils de mouvement (localisation) ou les profils de contact (modèles de contacts fréquents pouvant être attribués à des personnes spécifiques) ne puissent pas être établis intentionnellement ou non. Des méthodes telles que le GPS central/la localisation ou la mise en relation des données avec des numéros de téléphone, des comptes de médias sociaux et autres doivent donc être rejetées par principe.
Impossibilité d’établir des liens
La conception de la génération des identifiants temporaires doit être telle que les identifiants ne puissent être interprétés et reliés sans la possession d’une clé privée contrôlée par l’utilisateur. Elles ne doivent donc pas être dérivées d’autres informations d’identification de l’utilisateur, directement ou indirectement. Quelle que soit la manière dont les identifiants sont communiqués en cas d’infection, il faut exclure que les données de « recherche des contacts » collectées puissent être reliées sur des périodes plus longues.
Non-observabilité de la communication
Même si la transmission d’un message est observée dans le système (par exemple via les métadonnées de communication), il ne doit pas être possible de conclure qu’une personne est elle-même infectée ou a été en contact avec des personnes infectées. Cela doit être garanti tant pour les autres utilisateurs que pour les opérateurs d’infrastructure et de réseau ou les attaquants qui ont accès à ces systèmes.
