Google et Apple ont annoncé une API Contact Tracing et une spécification Bluetooth pour lutter contre le COVID-19 en avertissant les utilisateurs qui pourraient avoir été exposés au SRAS-CoV-2.
Mise à jour 6 (20/05/2020 à 13 h 55 HNE): Les API de notification d'exposition de Google et d'Apple sont désormais disponibles pour les agences de santé publique afin qu'elles puissent mettre en œuvre la recherche des contacts pour le COVID-19.
Mise à jour 5 (04/05/2020 à 15 h 25 HNE): Apple et Google ont partagé quelques captures d'écran de l'API Exposure Notification et annoncent que le suivi de localisation sera interdit.
Mise à jour 4 (29/04/2020 à 14h30 HNE): Apple et Google ont publié une version bêta de leur API Exposure Notification pour les agences de santé publique.
Mise à jour 3 (24/04/2020 à 15 h 15 HNE): Apple et Google renomment l'API Contact Tracing en « Notification d'exposition », ajoutant ainsi davantage de protections de la vie privée.
Mise à jour 2 (24/04/2020 à 11 h 30 HNE): L'API de recherche de contacts d'Apple et de Google sera mise en ligne la semaine prochaine et inclura la plupart des appareils Huawei.
Mise à jour 1 (13/04/2020 à 17 h 51 HNE): Lors d'une conférence téléphonique avec des journalistes, Google et Apple ont clarifié quelques détails supplémentaires sur la manière dont le suivi des contacts sera déployé pour les utilisateurs.
En raison de la menace persistante posée par le SRAS-CoV-2, Google et Apple se sont associés pour annoncer une nouvelle spécification API et Bluetooth Low Energy appelée « Contact » Traçage." L'idée derrière le traçage des contacts est d'informer les utilisateurs s'ils ont récemment été en contact avec une personne qui a reçu un diagnostic positif de COVID 19. La Corée du Sud et Taïwan ont réussi à « aplanir la courbe », en limitant le nombre de nouveaux cas. tomber en dessous de la capacité de leurs systèmes de santé, en mettant en œuvre des tests et des contacts généralisés tracé. Selon le Presse associée, plusieurs pays d'Europe, dont la République tchèque, le Royaume-Uni, l'Allemagne et l'Italie, développent leurs propres outils de recherche des contacts. Apple et Google espèrent donner aux nations et aux organisations médicales du monde entier la possibilité de retracer la propagation des maladies infectieuses. le nouveau coronavirus, mais les deux sociétés reconnaissent également les problèmes potentiels de confidentialité liés au confinement de cette pandémie. méthode. C'est pourquoi les deux sociétés ont créé la nouvelle spécification API et Bluetooth "avec la confidentialité et la sécurité des utilisateurs au cœur de la conception".
Google et Apple ont publié des articles de blog et des documents décrivant leurs objectifs de déploiement d'une nouvelle API et d'un nouveau service Bluetooth LE. En raison d'un besoin urgent, les deux sociétés abordent ce problème en deux étapes. Premièrement, en mai, les deux sociétés publieront une API qui « [permet] l'interopérabilité entre les appareils Android et iOS à l'aide d'applications. des autorités de santé publique." Ces applications seront mises à la disposition des utilisateurs et pourront être téléchargées sur le Google Play Store et l'application Apple. Magasin. Sur Android, l'API sera probablement disponible pour les applications via une mise à jour des services Google Play. Deuxièmement, au cours des prochains mois, Google et Apple ajouteront la prise en charge d'un nouveau service Bluetooth Low Energy sur Android et iOS. Pour iOS, ce nouveau service BLE viendra probablement via une mise à jour du système d'exploitation, tandis que pour Android, ce service sera probablement ajouté dans le cadre d'une autre mise à jour des services Google Play. Google affirme que l'ajout d'un service Bluetooth LE Contact Tracing "est une solution plus robuste qu'une API et permettrait à plus d'individus de participer, s'ils choisissent de s'inscrire, ainsi que de permettre l'interaction avec un écosystème plus large d'applications et de santé gouvernementale les autorités."
Une fois qu'une application intègre la nouvelle API ou que la spécification BLE a été intégrée, les utilisateurs Android et iOS peuvent recevoir des notifications s'ils ont récemment été en contact avec une personne ayant reçu un diagnostic de COVID 19. Notamment, la solution BLE n'exigera pas que l'utilisateur ait installé une application (il a probablement juste besoin des services Google Play), mais s'ils choisissent d'installer l'une des applications officielles, celle-ci peut les informer des prochaines étapes à suivre après avoir reçu un notification. Cela permettra aux utilisateurs de décider s’ils doivent se mettre en quarantaine pendant 14 jours ou s’ils doivent subir des tests et une intervention médicale supplémentaire. Voici un exemple de ce que Google et Apple envisagent de réaliser avec ce nouveau service Bluetooth LE :
Un aperçu de la recherche des contacts COVID-19 à l’aide de Bluetooth Low Energy. Source: Google/Apple.
Voici ce que Google dit sur la façon dont ils ont conçu la nouvelle API Android Contact Tracing pour protéger la confidentialité et la sécurité des utilisateurs :
- Les applications appelant l'API via la méthode startContactTracing doivent obtenir le consentement de l'utilisateur pour démarrer la recherche des contacts. Si c'est la première fois que l'API est invoquée, l'utilisateur verra une boîte de dialogue lui demandant l'autorisation de démarrer le traçage.
- Afin d'être sur la liste blanche pour utiliser cette API, les applications "devront horodater et signer cryptographiquement l'ensemble de clés avant leur livraison à le serveur avec la signature d'une autorité médicale autorisée. " En d'autres termes, les applications COVID-19 non autorisées ne seront pas autorisées à utiliser ce serveur. API.
- Si l'utilisateur désinstalle l'application, la méthode stopContactTracing "sera automatiquement invoquée et la base de données et les clés seront effacées de l'appareil".
- L'utilisateur, après avoir confirmé un diagnostic positif de COVID-19, doit donner son consentement explicite pour télécharger 14 jours de clés de traçage quotidiennes. Une boîte de dialogue s'affichera à l'utilisateur si l'application appelle la méthode startSharingDailyTracingKeys.
- Les utilisateurs verront à quelle date et pendant combien de temps ils ont été en contact avec une personne potentiellement contagieuse, par incréments de 5 minutes, mais pas qui ni où le contact a eu lieu.
Voici comment le nouveau service de détection de contacts BLE protégera la confidentialité et la sécurité des utilisateurs :
- La spécification ne nécessite pas l'emplacement de l'utilisateur ni aucune autre information personnelle identifiable. L'utilisation de la localisation est totalement facultative et n'est effectuée qu'après que l'utilisateur a donné son consentement explicite.
- Les identifiants de proximité roulants sont modifiés toutes les 15 minutes en moyenne, ce qui rend « peu probable que la localisation de l'utilisateur puisse être suivie via Bluetooth au fil du temps ».
- Les identifiants de proximité récupérés sur d'autres appareils "sont traités exclusivement sur l'appareil". Cela signifie que « la liste des personnes avec lesquelles vous avez été en contact ne quitte jamais votre téléphone ».
- C'est à l'utilisateur de décider s'il souhaite contribuer au suivi des contacts. Les utilisateurs qui reçoivent un diagnostic de COVID-19 doivent consentir au partage des clés de diagnostic avec le serveur. Il y aura de la transparence sur la participation de l'utilisateur à la recherche des contacts, et "les personnes testées positives ne seront pas identifiées par les autres utilisateurs", Google ou Apple. » En fait, ces informations « ne seront utilisées que pour la recherche des contacts par les autorités de santé publique pour la pandémie de COVID-19. gestion."
- Au cas où vous vous poseriez la question, le service de détection de contenu ne devrait pas épuiser de manière significative la batterie d'un appareil si le matériel et le système d'exploitation prend en charge les « filtres en double du contrôleur Bluetooth et autres filtres [matériels] » pour « tenir compte de grands volumes d'annonceurs dans les espaces publics ». L'analyse est « opportuniste », ce qui signifie qu'elle peut se produire au cours des cycles de fenêtre d'éveil et d'analyse existants, mais elle se produira également au minimum tous les 5. minutes.
Étant donné que les nouvelles spécifications de contact tracing sont conçues en tenant compte de la confidentialité et de la sécurité des utilisateurs, on peut se demander dans quelle mesure elles seront efficaces pour limiter la propagation du COVID-19. Selon Le bord, de telles mesures volontaires et non invasives de recherche des contacts peuvent avoir une efficacité limitée. Les problèmes se résument à un manque d’adoption généralisée par la population et à un nombre potentiellement élevé d’événements de proximité Bluetooth faussement positifs. J’espère néanmoins que cette nouvelle initiative sera couronnée de succès. Il est rare de voir Google et Apple collaborer sur quoi que ce soit, mais les temps désespérés appellent des mesures désespérées.
Sources: Article de blog Google, Aperçu de la recherche des contacts liés au COVID-19, Spécifications BLE de traçage des contacts, Spécifications de cryptographie de suivi des contacts, Spécifications de l'API de suivi des contacts Android
Mise à jour 1: plus de détails
Lors d'une conférence téléphonique avec des journalistes, Google et Apple ont clarifié certains points concernant la prochaine API Contact Tracing. (déployé à la mi-mai dans le cadre de la « phase 1 ») et le service de détection de contacts BLE (déployé plus tard cette année dans le cadre de "phase 2"). Selon TechCrunch et Axios, l'API Contact Tracing et le service de détection de contacts BLE seront disponibles sur les appareils Android. mises à jour suivantes des services Google Play, à condition que le smartphone Android exécute Android 6.0 Guimauve. Les utilisateurs n'auront pas besoin de mettre à jour manuellement leurs appareils ni même de mettre à jour leur système d'exploitation, car les mises à jour des services Google Play s'effectuent silencieusement en arrière-plan via le Google Play Store.
Bien que l'introduction du service de détection de contact BLE signifie que les utilisateurs n'auront pas besoin d'installer une application pour prendre contact traçage, Google indique que les utilisateurs seront toujours invités à télécharger une application de santé publique pertinente si un événement de contact positif a été détecté. Cela aidera les utilisateurs à déterminer les prochaines étapes à suivre. Apple note que même si les données, après avoir été traitées localement sur l'appareil, peuvent être « relayées » vers des serveurs gérés par des organismes de santé publique du monde entier, il n'y aura pas de serveur de données centralisé. Cela rendra difficile la surveillance par tout gouvernement ou autre acteur malveillant. Selon Axios, les pays peuvent gérer leurs propres serveurs ou utiliser ceux d'Apple et de Google. Pour empêcher les gens de soumettre des diagnostics faussement positifs, Apple et Google travaillent avec des organismes de santé publique pour trouver un moyen de confirmer les diagnostics.
Avec la confirmation que Google apportera le suivi des contacts aux appareils Android via des mises à jour des services Google Play, qu'arrivera-t-il aux millions d'appareils sans services mobiles Google? Je fais bien sûr référence aux millions d'appareils en Chine et aux nouvelles versions de smartphones de Huawei et Honor. Selon Le bord, Google "a l'intention de publier un cadre que ces entreprises pourraient utiliser pour reproduire le suivi sécurisé et anonyme système développé par Google et Apple. » Ainsi, c’est aux tiers de décider s’ils souhaitent utiliser ce système. système. Google n'a pas confirmé si son cadre Contact Tracing serait open source, mais ils ont déclaré qu'ils proposeraient des audits de code aux entreprises qui souhaitent adopter le système.
Mise à jour 2: déploiement initial, participation de Huawei
Initialement prévu pour être mis en ligne « à la mi-mai », il semble que le calendrier du suivi des contacts d'Apple et de Google ait avancé. Selon Thierry Breton, commissaire européen chargé du marché intérieur, la phase 1 du plan sera mise en service le 28 avril. Cette information a été donnée à M. Breton par le PDG d'Apple, Tim Cook.
La phase 1 du Contact Tracing concerne les API. Ces API seront utilisées par des développeurs qui travaillent pour le compte d'agences de santé publique, et non par des applications tierces. Les API seront mises à disposition via une mise à jour des services Google Play et la plupart des appareils équipés d'Android 6.0+ et de Bluetooth Low Energy peuvent prendre en charge le suivi des contacts.
Bien entendu, les appareils Huawei et Honor récents ne disposent pas des services Google Play, mais de nombreux appareils plus anciens en disposent toujours. TechRadar confirme que ces appareils plus anciens, qui ne pas inclure les Huawei Mate 30, P40, Honor V30 et autres, seront inclus dans le déploiement. Quant aux autres appareils Huawei/Honor, la mise à jour précédente de l'article indiquait que Google « a l'intention de publier un cadre que ces entreprises pourraient utiliser pour reproduire le système de suivi sécurisé et anonyme développé par Google et Pomme."
Source 1: Les Échos | Via: TechCrunch | Source 2: TechRadar
Mise à jour 3: Plus de protections de la vie privée
Apple et Google font désormais référence au plan Contact Tracing sous le nom de « notification d'exposition », ce qui, selon eux, est une meilleure description pour les besoins de l'outil. Nous disposons également d'informations supplémentaires sur la manière dont les autorités sanitaires peuvent affiner l'API et les protections de la vie privée qui seront mises en place.
L'API utilise Bluetooth pour détecter si vous avez été à proximité d'autres personnes testées positives, mais cela peut être inexact (détection de personnes qui n'étaient pas assez proches ou derrière un mur). L'API partagera la force du signal Bluetooth afin que les autorités sanitaires puissent définir leur propre seuil pour ce qui constitue un « événement de contact ».
L'API indiquera le nombre de jours écoulés depuis un « événement de contact » individuel. Il ne sera pas divulgué la durée précise pendant laquelle les deux personnes ont été en contact. Au contraire, il ne partagera que des estimations du temps d'exposition, d'un minimum de 5 minutes à un maximum de 30 minutes, par incréments de 5 minutes. Les autorités sanitaires peuvent utiliser ces informations pour modifier leurs conseils aux utilisateurs en fonction de l'ancienneté de l'événement.
Les métadonnées Bluetooth seront cryptées pour éviter qu'elles ne soient utilisées pour suivre des individus lors d'attaques d'identification inversée. Ces métadonnées incluent la force du signal et d’autres informations. L'algorithme de cryptage est remplacé par AES par HMAC qu'ils utilisaient auparavant. Le cryptage AES peut être accéléré sur de nombreux appareils mobiles, ce qui rend l'API plus économe en énergie.
Enfin, les clés utilisées pour tracer les contacts potentiels sont désormais générées aléatoirement plutôt que d'être dérivées toutes les 24 heures d'une « clé de traçage » liée en permanence à un appareil particulier. Cela élimine la possibilité qu'un attaquant ayant un accès direct à un appareil puisse comprendre comment les clés sont générées à partir de la clé de traçage, bien que cela soit déjà très, très difficile à faire.
Source 1: Axios | Source 2: Bloomberg | Source 3: TechCrunch
Mise à jour 4: API bêta disponibles
Apple et Google déploient leurs API de notification d'exposition (anciennement appelées « Contact Tracing ») dans une version bêta privée à partir d'aujourd'hui. Google publie la mise à jour bêta via les services Google Play, elle fonctionnera donc sur n'importe quel appareil Android 6.0+ doté de Bluetooth Low Energy. Les agences de santé publique peuvent commencer à utiliser ces API dans Android Studio et commencer les tests.
La sortie de la version stable de l'API est toujours prévue dans les semaines à venir. Comme les deux sociétés l’ont constamment répété, cette API n’est pas destinée à être utilisée par des développeurs tiers. C'est destiné aux agences de santé publique, et lorsque le travail sera terminé par les développeurs de ces agences, vous téléchargerez une application depuis celles-ci.
Source: Bloomberg
Mise à jour 5: captures d'écran, pas de suivi de localisation
Apple et Google continuent de publier plus d'informations sur l'API Exposure Notification. Premièrement, les entreprises ont partagé certaines lignes directrices que les autorités de santé publique devront suivre pour que leurs applications de traçage de contrats soient disponibles dans leurs magasins d'applications respectifs. Il est interdit aux applications de collecter des données de localisation des appareils, l'API est limitée à une application par pays et les données collectées ne peuvent pas être utilisées à des fins de publicité ciblée.
La limite API d'une application par pays vise à réduire la fragmentation, mais Apple et Google feront preuve de flexibilité et travailleront avec les gouvernements des pays qui peuvent avoir besoin de plusieurs applications. Par exemple, les pays où la recherche des contacts est effectuée au niveau régional ou par État.
Apple et Google ont également partagé des maquettes de captures d'écran de ce à quoi devraient ressembler les paramètres et les applications de notification d'exposition. L'image ci-dessus montre la nouvelle section « Notifications d'exposition au COVID-19 » dans les services Google Play. Cette section indique si elle est activée et quelles applications peuvent envoyer des notifications d'exposition. Les utilisateurs peuvent lancer l'application à partir d'ici et voir combien de « contrôles d'exposition » ont été effectués au cours des 14 derniers jours, supprimer des identifiants aléatoires et désactiver les notifications.
Google a également partagé quelques exemples de captures d'écran (ci-dessus) de ce à quoi pourrait ressembler une application utilisant l'API Exposure Notification. Le code source de cette application a été publié sur la page Github de l'entreprise si les agences de santé souhaitent l'utiliser pour créer des applications.
Sources: EntrepriseBeat, 9to5Google, 9to5Google
Mise à jour 6: API en direct
Après plusieurs semaines de préparation, Apple et Google publient désormais leurs API de notification d'exposition à l'usage des agences de santé publique. Google, en particulier, déploie une mise à jour des services Google Play qui inclut la nouvelle API. Les développeurs des agences de santé publique peuvent désormais utiliser ces API pour mettre en œuvre des applications de recherche de contacts pour le COVID-19. Trois États américains ont déjà annoncé des projets en développement utilisant cette API. 22 pays au total ont eu accès à l'API, mais nous ne savons pas quels pays exactement.
Source: Google, Le bord