En matière de « contact tracing » mobile par Bluetooth, quelle architecture est la moins risquée pour les données personnelles ? Centralisée ou décentralisée ? Cette question anime les discussions d’experts en sécurité depuis des semaines. Jusqu’alors, le camp des « décentralisés » semblait avoir l’avantage, car il réduisait au minimum le rôle de l’État et donc sa possibilité de surveillance, comme cela était notifié dans une analyse des risques publiée par les auteurs du protocole DP3T.
Mais le camp des « centralisés » vient maintenant de riposter. L’Inria, qui a créé le protocole ROBERT pour StopCovid, a publié une analyse des risques qui vient rétablir l’équilibre.
Réalisé de façon méthodique, ce document présente les risques en fonction de leurs sources potentielles d’attaque, à savoir les utilisateurs ou l’État. Le tout est ensuite résumé sous la forme de deux graphiques.
Sur ces graphiques, plus on est en haut (axe de probabilité) et à droite (axe de sévérité), plus c’est mauvais, et cela d’autant plus que les lettres sont grosses (axe d’extensibilité).
On remarque tout de suite que c’est justement le cas du modèle décentralisé sur le graphique de gauche, qui représente l’hypothèse des utilisateurs malveillants.
Dans un tel modèle, en effet, les utilisateurs reçoivent beaucoup plus d’informations que le serveur. Les principaux risques qui en découlent sont l’identification des personnes infectées (LR 1-2, IR 1-1) et la surveillance du niveau d’infection dans une zone donnée (S 14).
Dans l’hypothèse de l’État malveillant (graphique de droite), on pourrait s’attendre à ce que les risques du modèle centralisé se retrouvent en haut à droite, bien au-dessus de ceux du modèle concurrent. Non, pas du tout. Au contraire, ce sont à nouveau les risques du modèle décentralisé qui prévalent. Deux raisons expliquent cette étonnante conclusion.
La première, c’est que l’Inria a introduit des risques qui n’étaient pas sur le radar des auteurs de DP3T. Ils sont liés aux forces de l’ordre qui pourraient collecter en masse des pseudonymes émis dans l’espace public. En recoupant cela avec d’autres informations — des identifiants réseau et/ou des données de localisation — il serait possible de tracer et identifier les utilisateurs infectés à grande échelle (SR 10, SR 11), voire de reconstruire leur graphe social (SR 12).
L’Etat inspire confiance
La seconde raison, c’est que la probabilité de presque tous les risques émanant de l’État a été jugée comme limitée, alors que ceux liés aux utilisateurs auraient beaucoup plus de chances de se produire.
Cela revient à supposer, d’une certaine manière, que l’État et ses partenaires sont plus dignes de confiance que ses administrés. Une idée finalement très française et que l’on ne retrouve pas dans le camp des « décentralisés », où la méfiance vis-à-vis du pouvoir public prévaut.
Au final, l’analyse de l’INRIA alourdit les risques liés au modèle décentralisé, tout en allégeant ceux liés au modèle centralisé. Le lecteur de ces différentes analyses de risques aura bien du mal à trouver une réponse à la question posée, tant les hypothèses semblent biaisées d’avance, dans un camp comme dans l’autre.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.