À propos du suivi social et des jetons matériels





Pendant la pandémie, la Commission européenne m'a proposé de développer un jeton de suivi des contacts sociaux protégé par la confidentialité, que vous pouvez lire sur la page du projet Simmel . Et bientôt, Singapour a annoncé le développement du jeton TraceTogether. Dans le cadre de cet événement, j'ai été invité à participer à la revue de leur solution... L'urgence de la situation COVID-19 et la complexité importante de la création de chaînes d'approvisionnement ont conduit au fait que nous nous trouvions dans une situation avec le train d'atterrissage d'un avion qui touchait la piste. Compte tenu des nombreux problèmes de confidentialité et de technologie, la situation était délicate et n'a pas pu être capturée dans une série de tweets. Par conséquent, je décrirai mes impressions sous forme de courts essais. Étant donné que j'ai réussi à travailler avec TraceTogether pendant seulement une heure, pour la plupart, je parlerai du contexte dans lequel j'évaluerai ce jeton.



Suivi des contacts sociaux



L'idée est simple: si vous tombez malade, vous devez identifier les personnes avec lesquelles vous avez été en contact étroit et vérifier si elles sont malades. Si cela est fait assez rapidement, la propagation du COVID-19 peut être contenue et une grande partie de la société continuera à fonctionner normalement.



Mais il y a quelques subtilités dans l'implémentation que j'ai essayé de digérer. Dr Vivian Balakrishnan, par intérim Le ministre de l'Initiative Smart Nation , nous a brièvement informés lors de la réunion que le système de notification d'exposition développé par Apple et Google n'affichait pas le «graphique». Pour avoir une idée de l'importance pour les épidémiologistes de créer un graphique de contact, j'ai dessiné des diagrammes pour illustrer des scénarios de recherche de contacts.



Commençons par le scénario le plus simple.





Le diagramme montre deux personnes. Le premier jour, la personne 1 est déjà infectée, mais les symptômes sont bénins. En milieu de journée, il est en contact avec la personne 2. Après une courte période d'incubation, la personne 2 devient contagieuse à la fin de la deuxième journée. Pendant ce temps, il peut ne pas avoir de symptômes. À l'avenir, il pourrait en infecter deux autres. L'exemple montre que si la personne 2 est isolée suffisamment tôt, deux nouvelles infections peuvent être évitées.



Examinons maintenant un scénario plus complexe sans suivi des contacts. Nous continuerons à considérer l'Humain 1 comme un porteur avec des symptômes légers ou inexistants, mais en même temps contagieux: c'est le soi-disant " supercarrier ".





Ce graphique montre les chronologies de huit personnes. La personne 1 est entièrement responsable d'infecter plusieurs personnes au cours de plusieurs jours. Notez que les périodes d'incubation avant qu'une personne ne devienne contagieuse sont différentes pour tout le monde. De plus, l'infectiosité peut ne pas être accompagnée de symptômes.



Ajoutons maintenant le suivi des contacts.





Le scénario est le même, mais avec «l'idéal platonique» de la recherche des contacts et de l'isolement. La personne 4 développe des symptômes, des tests et des tests positifs le quatrième jour. Tous les contacts avec lui sont isolés et des dizaines de ses collègues et amis évitent toute infection à l'avenir. Surtout, l'analyse du graphe de contact permet également d'identifier les contacts communs entre la personne 4 et la personne 2, identifiant ainsi la personne 1, qui est le porteur asymptomatique d'origine.



Il existe une légère différence entre la «recherche des contacts» et la «notification des contacts». Le système de notification d'exposition d'Apple et de Google notifie uniquement les contacts directs d'une personne infectée. L'importance de cette subtilité est suggérée par le fait qu'elle s'appelait à l'origine "Suivi des contacts avec protocole de confidentialité", maisil a été renommé en avril.



Pour mieux comprendre les limites de la notification des contacts infectés, examinons un autre scénario. Il est similaire au précédent, mais au lieu de suivre le graphique entier, nous informerons uniquement les contacts directs de la première personne qui présente des symptômes - c'est-à-dire la personne 4.





S'ils sont limités aux notifications, les transporteurs présentant des symptômes légers ou inexistants, comme la personne 1, recevront des notifications trompeuses indiquant qu'ils ont été en contact avec une personne positive, alors qu'en fait c'est la personne 1 qui a infecté la personne 4 avec le virus. La personne 1 - se sentant bien mais contagieuse - continuera à vivre comme d'habitude, à part sa surprise que tout son environnement soit infecté par le virus. Par conséquent, certaines infections ne peuvent être évitées. De plus, la personne 2 est un nœud caché par rapport à la personne 4, car la personne 2 n'est pas incluse dans la liste de notification pour les contacts directs de la personne 4.



En bref, le système de notification d'exposition lui-même ne permet pas de déterminer les relations de cause à effet des infections. Un graphique de contact complet permet d'identifier un porteur présentant des symptômes légers ou inexistants. De plus, on sait déjà qu'une proportion importante de porteurs sont asymptomatiques. Ces personnes sont contagieuses, mais elles se sentent bien et visitent les stations de métro bondées, mangent dans les lieux publics. Dans les conditions de Singapour, les porteurs asymptomatiques peuvent créer des dizaines de grappes de nouveaux infectés au fil des jours, voire des heures, contrairement aux pays moins densément peuplés comme les États-Unis, où les personnes infectées ne peuvent contacter que quelques personnes pendant la journée.



L'incapacité d'identifier et d'isoler rapidement les super porteurs présentant des symptômes légers a incité le développement du dispositif TraceTogether, qui permet de suivre les contacts sociaux avec la construction d'un graphique complet.



À propos de la confidentialité et du suivi des contacts



Bien entendu, la recherche complète des contacts a des implications très graves sur la vie privée. Et l'absence de ce suivi présente des risques potentiels importants pour la santé et la vie. Il existe une solution éprouvée qui ne compromet pas la confidentialité: un verrouillage avancé comme un disjoncteur automatique. Bien entendu, cela nécessite des coûts supplémentaires.



Des trois éléments - vie privée, santé et économie - nous ne pouvons en choisir que deux. Il y a des débats actifs sur ce sujet, mais cela dépasse le cadre de l'article. Du point de vue de la discussion, supposons que le suivi des contacts est mis en œuvre. Dans ce cas, il est de la responsabilité des techniciens comme nous d'essayer de trouver un compromis entre la réduction de la vie privée et la promotion des politiques publiques.



Début avril, à Sean Cross et moi à traversNLnet a été approché par des représentants du programme NGI de la Commission européenne et a proposé de développer un jeton matériel pour suivre les contacts sociaux tout en préservant la confidentialité. C'est ainsi que « Simmel » est . La solution n'est pas parfaite, mais Simmel a toujours d'importantes fonctionnalités de confidentialité:



  1. Forte isolation des données utilisateur . En désactivant la collecte et la généralisation à partir des capteurs de smartphone, nous nous débarrassons du risque de fuite de données GPS ou d'autres informations de géolocalisation. Cela rend également très difficiles les attaques basées sur les métadonnées contre la vie privée.
  2. . . , , . , .
  3. . , . ( ).
  4. . , , (, ).


Pourquoi une solution matérielle?



Une solution logicielle n'a-t-elle pas de nombreux avantages?



L'équipe TraceTogether a déclaré que Singapour avait besoin de jetons matériels pour mieux servir les citoyens à faible revenu et les utilisateurs d'iPhone. Le premier ne peut pas se permettre d'acheter un smartphone, tandis que le second ne peut utiliser que des protocoles approuvés par Apple comme la notification d'exposition (qui ne permet pas le suivi complet des contacts).



La solution de Simmel démontre que je suis fan de jetons matériels, mais uniquement du point de vue de la confidentialité. Les applications et les smartphones en général nuisent à la vie privée des gens. Si elle vous dérange vraiment, laissez votre smartphone à la maison. Ci-dessous un tableau explicatif. Les croix rouges représentent des violations potentielles de la confidentialité connues dans certains scénarios d'utilisation.





Un jeton de suivi (comme le suggère Singapour) aidera les autorités à identifier votre emplacement et votre identité. Techniquement, cela se produit lorsque vous remettez un jeton à un établissement de santé. Cependant, il est probable que les autorités déploieront des dizaines de milliers de récepteurs sur l'île pour enregistrer le mouvement des jetons en temps réel. C'est un problème, mais comparez-le à votre smartphone, qui transmet généralement une gamme d'identifiants uniques et non cryptés, de l'adresse IMEI à l'adresse MAC Wi-Fi. Étant donné que tous ces identifiants ne sont pas anonymisés par défaut, ils peuvent être utilisés par n'importe qui, pas seulement les autorités, pour vous identifier et vous localiser. Cependant, la construction de TraceTogether n'affecte pas de manière significative le statu quo en termes d'attaques de «grandes infrastructures» contre la vie privée des individus.



Il est important que le jeton utilise un schéma d'anonymisation pour transférer l'ID, afin qu'il ne puisse pas divulguer votre identité ou vos données de localisation à des tiers, ces informations ne sont disponibles que pour les autorités. Comparez cela au scanner de carte d'identité SafeEntry lorsque vous devez remettre votre pièce d'identité au personnel des kiosques SafeEntry. Il s'agit d'une solution moins sécurisée car les employés peuvent lire vos données (y compris votre adresse personnelle) en scannant une carte, il y a donc des croix rouges dans les colonnes Localisation et Identification.



Pour en revenir au smartphone, les "applications classiques" - comme Facebook, Pokemon Go, Grab, TikTok, Maps - sont souvent installées dans la plupart des résolutions. Un tel smartphone divulgue activement et en permanence votre position, vos photos et vidéos, vos appels téléphoniques, les données du microphone et du carnet d'adresses, ainsi que les données NFC (utilisées pour le paiement sans contact ou le transfert d'informations) à un large éventail d'entreprises. Bien que chaque entreprise jure qu'elle "anonymisera" vos données, il y a tellement de données transférées qu'il suffit d'appuyer sur presque un bouton pour désanonymiser... De plus, vos données sont suivies par des agences de renseignement du monde entier, grâce aux pouvoirs étendus des gouvernements du monde entier pour obtenir légalement des données auprès de fournisseurs de services locaux. Sans parler du risque constant de faire face à des intrus, des exploits ou de fausses interfaces conçues pour vous convaincre, tromper ou vous contraindre à révéler vos données.



Disons que vous êtes assez paranoïaque et que vous activez raisonnablement le mode avion sur votre iPhone la plupart du temps. Pensez-vous qu'il n'y a rien à craindre? Vous avez tort. Par exemple, dans ce mode, l' iPhone utilise toujours un récepteur GPS et NFC . J'ai également découvert que l'iPhone avait des pics d'activité Wi-Fi aléatoires et inexpliqués.



En général, je peux donner les principaux arguments suivants en faveur du fait qu'un jeton matériel protège mieux la vie privée qu'une application:



Il n'y a pas de collecte et de généralisation des données de différents capteurs



Les données collectées par le jeton sont gravement limitées par le fait qu'il ne peut pas résumer les informations de différents capteurs, comme le font les smartphones. Et bien que je n'ai travaillé avec l'appareil que pendant une heure, je peux dire avec une grande confiance que TraceTogether n'a guère d'autres capacités que l'émetteur Bluetooth Low-Energy (BLE) requis. Où l'ai-je obtenu? Tout est question de physique et d'économie:



  • : , . , , ? , , BLE.
  • : , . , , . .




Batterie TraceTogether 1000 mAh. La batterie de votre smartphone a environ trois fois la capacité et nécessite une recharge quotidienne.



Les arguments financiers sont plus faibles que les arguments physiques, car les autorités peuvent toujours préparer un nombre limité de jetons «spéciaux» de n'importe quelle valeur pour suivre les personnes sélectionnées individuellement. Cependant, dans ce cas, la physique joue un rôle: aucune somme d'argent investie par les autorités dans le développement ne peut violer les lois de la physique. Si Singapour peut développer une batterie massive qui, dans ce facteur de forme, alimentera un capteur de smartphone pendant des mois - disons, le monde sera complètement différent.



L'hégémonie civique sur les statistiques de contact social



Si nous supposons que la version finale de TraceTogether ne permet pas d'utiliser BLE pour lire des données (j'espère que nous le confirmerons lors d'un futur hackathon), alors les citoyens ont la propriété absolue de leurs statistiques de contact, du moins jusqu'à ce qu'ils les transfèrent à quelqu'un.



Ainsi, les autorités, probablement involontairement, poussent les gens à résister au système TraceTogether: une personne peut casser son token et se "déconnecter" à tout moment (mais il suffit de retirer la batterie d'abord, sinon vous pouvez brûler l'appartement). Soit agir plus prudemment et «oublier le badge à la maison», soit le porter dans une enveloppe métallisée pour bloquer le signal. L'incarnation physique du jeton signifie également qu'après la prise de contrôle de la pandémie, la destruction des jetons signifiera également la destruction des données qui s'y trouvent, contrairement à l'application. En effet, souvent lorsque vous désinstallez le logiciel, l'icône disparaît tout simplement de l'écran, et certains fichiers de données restent dans les entrailles de l'appareil.



En d'autres termes, la mise en œuvre physique du jeton signifie qu'une discussion sérieuse sur la confidentialité peut se dérouler parallèlement à la collecte de données sur les contacts sociaux. Même si aujourd'hui vous n'êtes pas sûr des mérites de TraceTogether, le port d'un jeton vous permet de reporter la décision finale de faire confiance aux autorités jusqu'à ce que l'on vous demande de remettre le jeton pour l'extraction de données.



S'il s'avère que les autorités utilisent des récepteurs BLE sur l'île ou qu'un étrange signe d'appareil suspect est trouvé, le gouvernement risque de perdre non seulement la confiance des gens, mais aussi l'accès au graphique complet de traçage des contacts, car les gens commencent à se débarrasser des jetons en masse. Cela rétablit un certain équilibre des pouvoirs où le gouvernement peut et sera tenu responsable de son contrat social, même si nous collectons tous des données de recherche de contacts.



Prochaines étapes



Lorsqu'on m'a demandé de faire un examen indépendant du jeton TraceTogether, j'ai répondu que je ne cacherais rien - et à ma grande surprise, ils m'ont quand même invité à une réunion.



Cet article décrit le contexte dans lequel j'évaluerai le jeton. Les capacités de notification d'exposition ne sont pas suffisantes pour isoler les porteurs asymptomatiques du virus, et un graphique complet de suivi des contacts peut aider à résoudre ce problème.



La bonne nouvelle est que le jeton matériel représente une opportunité plus sûre de poursuivre la discussion sur la confidentialité tout en améliorant la collecte de données. En fin de compte, le déploiement du système de jetons matériels dépend des citoyens eux-mêmes, et par conséquent, les autorités doivent maintenir ou gagner notre confiance afin de sauvegarder l'intérêt national pendant la pandémie.



All Articles