L’application Covid-19 en Inde est un cauchemar pour la vie privée

L’application nécessite qu’une personne s’inscrive avec son numéro de téléphone mobile. Les autres détails facultatifs que les utilisateurs peuvent fournir sont leur nom, leur âge, leur sexe, leur profession et leur historique de voyage au cours des 30 derniers jours. Chaque numéro de mobile reçoit un identifiant aléatoire qui est échangé avec les autres appareils qui entrent en contact avec lui. Au lieu de générer des identifiants aléatoires changeant fréquemment comme le fait l’API Apple-Google, l’application Aarogya Setu conserve le même identifiant pour la durée de vie d’un appareil. Cela va à l’encontre de l’objectif d’un identifiant aléatoire. «La recherche montre que dans plus de 95% des cas, en utilisant d’autres informations externes, on peut deviner la véritable identité à partir de données pseudonymisées. Si vous pouvez faire correspondre le pseudo-ID à l’ID réel, l’objectif du pseudo-ID est perdu. Vous pourriez tout aussi bien annoncer votre véritable identité », dit Bhaskaran Raman, professeur à l’Institut indien de technologie de Bombay.

Si quelqu’un peut associer un identifiant aléatoire au numéro de téléphone mobile d’une personne, obtenir plus de détails sur cette personne est facile. En outre, si le gouvernement indien gère la base de données qui correspond à l’identifiant aléatoire aux numéros de téléphone mobile, ce gouvernement a la possibilité d’accéder à une mine d’informations personnelles sur toute personne qui s’inscrit à l’application. En effet, les numéros de mobile sont liés au numéro d’identification national d’une personne, également connu sous le nom d’Aadhaar, qui a son propre ensemble de problèmes de confidentialité et de sécurité.

L’application semble également faire plus que simplement rechercher les contacts. Le gouvernement a intégré le Système de paiement UPI (Unified Payments Interface) pour permettre les dons. Il y a aussi prévoit de fournir consultations vidéo de télémédecine et autres services personnalisés via l’application. Toutes ces fonctionnalités nécessitent plus de données que de simples informations d’identification anonymes, et ces données pourraient faciliter la mise en correspondance d’un identifiant aléatoire avec une personne réelle.

En plus du Bluetooth, Aarogya Setu utilise également la localisation GPS pour détecter la proximité. Les utilisateurs ne peuvent s’inscrire sur l’application que s’ils donnent accès à leur emplacement. L’accès à la position GPS est explicitement non autorisé pour les applications utilisant l’API Apple-Google étant donné le potentiel d’utilisation abusive de ces données.

Contrairement à l’API Apple-Google, dans laquelle les informations ne quittent un téléphone que lorsqu’une personne est testée positive et choisit de télécharger ses identifiants aléatoires, nous ne savons pas à quelle fréquence l’application Aarogya Setu envoie des informations aux serveurs du gouvernement. En ce qui concerne les identifiants, les utilisateurs diagnostiqués positivement doivent donner un consentement explicite permettant à l’application de partager les données d’identification avec les serveurs gouvernementaux. Mais les données de localisation semblent être constamment envoyées aux serveurs pour identifier le nombre de personnes utilisant l’application et le nombre de cas dans un certain rayon de l’utilisateur. Il est difficile de savoir si l’identifiant aléatoire de l’appareil ou toute autre donnée est envoyé avec les données de localisation.

À son crédit, la politique de confidentialité de l’application stipule que «les informations utilisateur ne doivent être utilisées par le gouvernement que dans des ensembles de données agrégées anonymisées» aux fins de Covid-19. Mais il n’y a actuellement aucune législation ni comité de surveillance en place pour garantir cela. En fait, l’Inde ne dispose pas d’une loi complète sur la protection des données, rendant toute collecte de données d’autant plus facile et légale. Nous ne savons pas non plus quelles agences gouvernementales ont accès aux informations collectées et quelles restrictions sont en place pour réglementer l’utilisation de ces informations par ces agences gouvernementales.

Bien que l’Inde ait un Loi sur le droit à la vie privée qui couvre certains des pièges de la vie privée présentées par cette application, de nombreuses ordonnances impliquant l’application Aarogya Setu ont été émises en vertu de la loi sur la gestion des catastrophes, lui offrant ainsi une certaine latitude en termes de violations potentielles de la vie privée.

Même si les données ne sont utilisées par le gouvernement qu’à des fins de Covid-19, la question de leur sécurité vis-à-vis des pirates reste toujours en suspens. Étant donné que l’application n’est pas open-source, il n’est pas facile d’identifier les failles de sécurité. Pavan Duggal, un défenseur de la cyberloi, a déclaré à la publication indienne sur les affaires menthe, «La politique de confidentialité de l’application est totalement silencieuse quant aux pratiques de sécurité qui sont suivies. Le simple fait de dire que les données sont sécurisées grâce au chiffrement n’est rien d’autre que du bout des lèvres. Ils doivent donner plus de détails sur les procédures de sécurité et répondre au niveau de cryptage utilisé. » Un pirate éthique qui s’appelle Elliot Alderson a déjà trouvé une sécurité problème avec l’application. Compte tenu des antécédents de cette personne dans la recherche de failles avec le système Aadhaar, ses conclusions sont préoccupantes.

Certains pourraient faire valoir que d’autres pays comme la Grande-Bretagne. et Singapour avoir des applications similaires. Mais la différence cruciale est que dans ces pays, l’utilisation de l’application est entièrement volontaire. De plus, Singapour a rendu son code open-source pour un audit indépendant.

Même si les données ne sont utilisées par le gouvernement qu’à des fins de Covid-19, la question de leur sécurité vis-à-vis des pirates reste toujours en suspens.

Beaucoup remettent également en question la efficacité d’une telle application pour freiner la propagation du virus. Les informations Bluetooth ne sont pas entièrement fiables et les données GPS sont erratiques à l’intérieur. Pensez au cas simple où une personne vivant dans l’appartement au-dessus de vous contracte le virus. Étant donné que les signaux Bluetooth peuvent pénétrer à travers les plafonds, votre téléphone peut échanger des identifiants même si vous n’avez jamais été physiquement en contact avec cette personne. Ou si une personne infectée que vous rencontriez portait un EPI? De nombreuses rencontres à faible risque comme celle-ci peuvent être enregistrées, et dans de tels cas, il n’y a pas beaucoup d’informations indiquant le niveau de risque dans lequel vous vous trouvez. Par conséquent, risque de faux positifs. Quelques fausses alarmes suffisent à faire ignorer les avertissements.

Mais les faux positifs ne sont pas aussi dangereux que faux négatifs, ce qui peut se produire pour de nombreuses raisons, notamment le fait que plus de la moitié de la population indienne ne possède pas de smartphone. Et même ceux qui ne l’ont pas toujours sur eux ou n’ont pas installé l’application. L’application s’appuie également sur les patients qui se sont révélés positifs pour se déclarer. Cela pourrait ne pas se produire pour diverses raisons, notamment la stigmatisation liée au port de la maladie. Le gouvernement va-t-il obliger les gens à faire un rapport sur l’application? Dans toute démocratie, cela pourrait conduire à de nombreux défis juridiques.

Comme un Rapport Brookings conclut: «Au bout du compte, aucune technologie intelligente – seule – ne nous sortira de cette menace sans précédent pour la santé et la stabilité économique. Au mieux, les solutions techniques les plus visibles feront plus qu’aider à la marge. Au minimum, c’est l’obligation de leurs concepteurs de s’assurer qu’ils ne font pas de mal. »

Compte tenu de ces arguments non triviaux contre l’efficacité d’une telle application, la pression du gouvernement indien semble d’autant plus excessive. Néanmoins, l’expérience de recherche de contacts basée sur l’application est poursuivie par les gouvernements du monde entier et, dans la plupart des cas, sous la direction d’experts en santé. La tentative de l’Inde n’est ni infondée ni futile, mais des améliorations peuvent être apportées à l’application pour résoudre les problèmes de confidentialité. MediaNama a animé une discussion sur ce sujet avec des experts en sécurité et des professeurs du prestigieux Indian Institute of Technology sur le panel. La discussion aborde certaines des spécificités de ce qui peut être fait pour améliorer l’application du point de vue de la confidentialité.

Beaucoup d’entre nous pourraient se demander si nous devrions nous préoccuper autant de la vie privée à une époque où une pandémie fait des ravages dans le monde, surtout si le fait de sacrifier un peu de vie privée peut aider à freiner la propagation de la maladie. La question doit être débattue, mais je dirais que la vie privée ne doit pas être négligée.

L’application Aarogya Setu collecte l’identité des utilisateurs, suit leurs mouvements, vérifie en permanence si d’autres personnes avec l’application sont à proximité, télécharge des informations sur un serveur central et donne au gouvernement les moyens de connecter ces informations au numéro d’identification national d’une personne, ou Aadhaar. Il s’agit d’une combinaison mortelle en matière d’exploration de données.

À une époque où les données sont le nouveau pétrole, tout parti au pouvoir ou hacker pourrait potentiellement abuser de toutes ces données à leur avantage de nombreuses manières. Pensez à quelque chose comme Scandale Cambridge Analytica mais sur les stéroïdes – beaucoup plus efficaces et puissants. Ou pensez à un système de surveillance hautement sophistiqué qui couvre la plus grande démocratie du monde. Pour ces raisons, il est important de ne pas baisser la garde malgré le temps inhabituel dans lequel nous vivons.