Les applications de recherche de contacts COVID-19 ont commencé à être déployées dans le monde entier, avec des applications comme Aarogya Setu et NHS Covid-19 adoptant désormais une approche open source.
Le nouveau coronavirus, également connu sous le nom de SRAS-CoV-2, a fait des ravages dans le monde entier. Quelques pays ont réussi à contrôler la propagation du virus, mais de nombreux autres ont eu du mal et font encore de leur mieux pour le contenir. L'une des stratégies testées pour son confinement est la recherche des contacts, c'est-à-dire. retracer toutes les personnes qui ont récemment été en contact avec une personne qui a été testée positive pour le COVID-19, puis entreprendre des mesures pour isoler ces personnes. La recherche des contacts est une tâche cruciale à accomplir car elle a un impact sur la vie privée et la liberté d'un individu dans le plus grand intérêt de la santé publique. La menace à la vie privée était suffisamment grande pour Google et Apple s'associent et collaborer sur une API de traçage des contacts et une spécification Bluetooth, conçue pour avoir un impact minimal sur la confidentialité et la sécurité des utilisateurs. Bien que ces efforts soient louables et que certains pays les aient adoptés, quelques pays ont également entrepris de travailler sur leurs propres solutions similaires. Dans cet article, nous tentons de répertorier certaines de ces solutions de recherche de contacts, en nous concentrant sur celles dont le code source est ouvert et accessible au public pour inspection et commentaires.
Solutions indépendantes
Autriche — Stopp Corona
Le gouvernement autrichien a adopté le Arrêtez Corona application développée en collaboration avec la Croix-Rouge autrichienne. Cette application fait pas comptez sur les API de notification d'exposition de Google et d'Apple. Il n’y a pas de suivi de localisation, car l’application utilise Bluetooth. L'application surveille les téléphones qui se sont approchés de l'utilisateur. Si un utilisateur soupçonne une infection au COVID-19 ou a reçu un diagnostic positif, les informations de proximité sont téléchargées dans ce qui est prétendument une base de données décentralisée. Des alertes sont envoyées à tous les utilisateurs ayant un historique de proximité. Il semblerait qu'aucune information personnelle ne soit collectée et si un utilisateur souhaite se désinscrire du suivi, il peut simplement supprimer l'application et les données. Pour plus de tranquillité d'esprit, l'application est également open source.
Code source Stopp Corona sur GitHub
Australie — COVIDSafe
L'Australie a adopté le COVIDSafe application. Cette application fait pas comptez sur les API de notification d'exposition de Google et d'Apple. Lors de l'installation, les utilisateurs doivent enregistrer leur nom/pseudonyme, tranche d'âge, code postal et numéro de téléphone, tous stockés cryptés sur un serveur gouvernemental serveur. L'application s'appuie sur Bluetooth pour le suivi de proximité, en échangeant des identifiants anonymisés qui sont modifiés toutes les deux heures. Ces identifiants sont stockés cryptés sur les téléphones et supprimés après 21 jours. Lorsqu’une personne est testée positive au COVID-19, elle reçoit un code unique des autorités sanitaires qui téléchargent ensuite la liste des pièces d’identité anonymisées des 21 derniers jours. L'application est également open source, la transparence est donc préservée.
Code source de COVIDSafe sur GitHub
République tchèque — eRouska
La République tchèque a adopté le eRouska application. Cette application fait pas comptez sur les API de notification d'exposition de Google et d'Apple. Semblable à d'autres implémentations qui sont Bluetooth uniquement, eRouska scanne la zone à la recherche d'autres utilisateurs de l'application eRouska à proximité et enregistre les données de rencontre localement sur l'appareil. Lorsqu'un utilisateur est testé positif, il est contacté par les autorités sanitaires pour télécharger les données de rencontre de manière consensuelle. L'ID de l'appareil diffusé change toutes les heures et l'analyse peut également être activée et désactivée manuellement. Les utilisateurs peuvent choisir de supprimer toutes leurs données collectées, y compris le numéro de téléphone. L'application est également open source.
Code source d'eRouska sur GitHub
Prix : Gratuit.
4.3.
Inde — Aarogya Setu
Le gouvernement indien a décidé de pas adopter la solution de Google et d'Apple mais développer sa propre solution sous la forme du Application Aarogya Setu. Une fois qu'un utilisateur a configuré son compte sur l'application, celle-ci demande un accès Bluetooth continu et des données de localisation. Les utilisateurs doivent également fournir des informations telles que leur nom, leur âge, leur sexe, leur état de santé, etc., pour créer un profil d'utilisateur. Un test d’auto-évaluation est proposé: il est demandé à l’utilisateur s’il présente l’un des symptômes du COVID-19, ainsi que d’autres questions. Lorsque deux smartphones dotés de l'application Aarogya Setu se rapprochent, l'application collecte des informations. Si l’un des contacts a été testé positif, l’application alertera l’autre personne et lui fournira des instructions pour l’aider à s’isoler.
L'utilisation de cette application Aarogya Setu a d'abord été fortement encouragée par le gouvernement, puis rendue obligatoire à plusieurs reprises. Cependant, l’Inde n’a pas la meilleure attitude à l’égard de la vie privée des citoyens, car le pays ne dispose pas de lois clés pour réglementer de tels cas d’utilisation. Puisque l'application collecte des données de localisation et le partage avec le gouvernement— une approche que beaucoup ont jugée excessive et inutile — elle a été mise en lumière parce qu'elle était trop intrusif sur la vie privée des utilisateurs et pour avoir manqué de transparence et de responsabilité dans le processus. Ce qui a suivi a été une critique de ces approches.
Bonne nouvelle à cet égard, l'application Aarogya Setu pour Android a été rendue open source. Le code source de l'application Android est désormais disponible sur GitHub. Les autorités concernées promettent que le code source de la version iOS et de la version KaiOS de l'application sera être également open source "en temps voulu". La politique de confidentialité de l'application a également été mis à jour pour permettre la rétro-ingénierie de l'application et signaler les bugs au gouvernement. De plus, il existe également un programme de prime aux bogues en place, invitant les développeurs à identifier les vulnérabilités, les bugs et les améliorations du code.
Code source d'Aarogya Setu sur GitHub
Tout cela est définitivement une bonne nouvelle puisque le manque de transparence était plutôt alarmant. Il y a encore des questions sur l'infrastructure back-end opaque et le code côté serveur, mais les rapports suggèrent que cela aussi sera open source la semaine prochaine.
Prix : Gratuit.
3.3.
Singapour — TraceTogether basé sur le protocole BlueTrace
La mise en œuvre à Singapour prend la forme de TraceTogether, qui est aussi pas dépend des API de notification d'exposition de Google et d'Apple, mais est également uniquement Bluetooth et non basé sur la localisation. L'application n'a besoin que d'un numéro de mobile pour être lancée et aucune autre information personnelle n'est collectée. Le numéro fait partie de l'identifiant utilisateur, qui est ensuite utilisé pour générer des identifiants temporaires. Les informations de proximité sur ces identifiants temporaires sont stockées sur une base continue de 21 jours sur l'appareil. Les données sont relayées vers un serveur lorsqu'un utilisateur est testé positif. De plus, il est promis que les fonctionnalités de TraceTogether seront suspendues lorsque la situation pandémique se calmera.
Bien que TraceTogether ne soit pas open source en soi, une base de code générique a été publiée sous la forme d'OpenTrace. Cette base de code générique comprend l'implémentation de référence d'une application Android, d'une application iOS et d'un serveur central construit autour de Google Firebase. Est également publié le Protocole BlueTrace qui constitue la base de TraceTogether et d'OpenTrace. Le protocole BlueTrace tente de créer une interopérabilité entre les juridictions afin que d'autres pays puissent collaborer à ces efforts.
Code source OpenTrace sur GitHub
Prix : Gratuit.
3.6.
Royaume-Uni — NHS COVID-19
La mise en œuvre par le Royaume-Uni prend la forme du NHS-COVID-19 application, qui est actuellement en « test bêta » et disponible pour les résidents de l'île de Wight (et qui sera étendue à d'autres régions à l'avenir). L'application est pas dépend des API de notification d'exposition de Google et d'Apple, mais s'appuie également sur Bluetooth. Lors de la configuration, les utilisateurs sont invités à saisir la première moitié de leur code PIN, qui est utilisé pour identifier si des points chauds apparaissent. Aucun détail supplémentaire n'est demandé, sauf si vous signalez des symptômes. Les données de proximité Bluetooth sont enregistrées pendant 28 jours via des identifiants anonymes. L’application sera également interrompue une fois la situation pandémique terminée. Le code source de l'application est déjà ouvert et disponible pour inspection.
Code source du NHS COVID-19 sur GitHub
Solutions utilisant l'API Exposure Notification de Google et Apple
Ces implémentations s'appuient sur l'API Exposure Notification de Google et d'Apple. Google a également déployé une mise à jour des services Google Play qui inclut la nouvelle API. Une conception de référence pour une application Android implémentant l'API Exposure Notifications est également disponible.. Il est interdit aux applications basées sur cette API de collecter des données de localisation des appareils. Au lieu de cela, l'API utilise Bluetooth Low Energy pour détecter si vous avez été à proximité d'autres personnes testées positives. L'API partagera le nombre de jours écoulés depuis un « événement de contact » individuel, ainsi qu'une estimation du temps d'exposition. Les métadonnées Bluetooth seront cryptées AES.
Dans le cas de Google, les utilisateurs d'Android n'auront pas besoin d'installer d'application car l'API de notification d'exposition est fournie via des mises à jour des services Google Play. Ainsi, tant que vous disposez d'un appareil Android exécutant Android 6.0 Marshmallow ou une version ultérieure, vous devriez avoir accès au service. Néanmoins, Google invitera les utilisateurs à télécharger une application de santé publique pertinente si un événement de contact positif a été détecté.
Italie — Immunité
La solution italienne se présente sous la forme de l'application Immuni, qui devrait être rendue publique plus largement dans les prochains jours. Il s'appuie sur le système de notification d'exposition de Google et d'Apple, exploitant Bluetooth Low Energy, et aucune donnée de géolocalisation n'est collectée.
Code source immunitaire sur GitHub
Suisse — SwissCovid DP-3T
La Suisse travaille sur une solution appelée Decentralized Privacy-Preserving Proximity Tracing (DP-3T). L'application et le serveur devraient tous deux être open source. L'application n'est pas encore terminée et rendue publique, mais le code source de l'application est déjà en ligne, il devrait donc servir de base.
Code source SwissCovid DP-3T sur GitHub
Il ne s'agit pas d'une liste exhaustive mais destinée à mettre en évidence les solutions disponibles sous la forme de code open source que les développeurs intéressés peuvent inspecter et exploiter.