Des zones d’ombre autour de l’application de traçage d’Ottawa

Encore trop de questions demeurent au sujet de l’application de traçage annoncée jeudi par le premier ministre Justin Trudeau, estiment des experts. Cet outil qui devrait permettre d’endiguer la pandémie pose problème, notamment en matière de protection des données personnelles et quant à son fonctionnement.

Sur le site dédié à cette application baptisée COVID Shield, la profession de foi est claire : COVID Shield a été conçue avec comme priorité absolue la protection de la vie privée des utilisateurs. Nous devons trouver un équilibre entre la protection de la santé publique et la protection de la vie privée, et COVID Shield adopte une approche qui privilégie cette dernière.

Santé Canada abonde en ce sens et rappelle qu’il n’est en aucun temps prévu d’utiliser cette application pour recueillir des renseignements identificatoires.

Mais ce que souligne Anne-Sophie Letellier, experte en cybersécurité à Crypto-Québec, c’est le manque de transparence concernant l’application et son fonctionnement.

On a un GitHub, donc avec des informations très compliquées. Seulement ceux qui savent lire des lignes de code peuvent comprendre. Et de l’autre côté, on a une explication hautement simplifiée sur la page Internet de l’application. Entre, il n’y a rien. On a juste des bribes, dit-elle.

Qu’est-ce que GitHub?

GitHub est une plateforme collaborative sur laquelle sont hébergés des codes sources qui peuvent être accessibles à tous ou au contraire, rester privés. Les visiteurs de GitHub peuvent également avoir connaissance de l’historique des modifications du code ou encore proposer des changements.

L’Observatoire international sur les impacts sociétaux de l’IA et du numérique (OBVIA) souligne de son côté qu’il existe présentement peu d’information sur cette application. Il fait également mention d’une politique de confidentialité publique, mais brève.

C’est à peine une page. C’est peu pour une application qui va collecter pas mal d’informations, ajoute aussi Pierre-Luc Déziel, un professeur de droit à l’Université Laval impliqué dans l’OBVIA.

Il se demande comment fonctionne exactement l’application. Quelles données seront collectées, qui y aura accès et sous quelle forme? Comment s’est-on assuré que l’application allait fonctionner? Pourquoi le gouvernement a-t-il choisi d’endosser cette application plutôt qu’une autre? Sur la base de quels critères?

On parle de choses sensibles, de données médicales, plaide-t-il en ajoutant qu’il est impératif de nourrir la confiance de la population au sujet de cette application.

Pour répondre à cette dernière interrogation notamment, le Secrétariat du Conseil du trésor explique que COVID Shield a été choisie, car elle répondait à des critères précis: une technologie à source ouverte, élaborée sur un système décentralisé qui permet d’anonymiser les données des utilisateurs.

Selon l’experte de Crypto-Québec, le Mila, avec son application Covi, avait fait preuve de bien plus de transparence dans sa démarche. Elle rappelle par exemple la publication de leur livre blanc de 70 pages et leurs nombreuses apparitions médiatiques.

Mme Letellier aurait également souhaité l’ouverture d’un débat public avant l’annonce faite par M. Trudeau.

Anne-Sophie Letellier en entrevue à la radio.

Anne-Sophie Letellier estime que le gouvernement a perdu une occasion en évitant tout débat public sur le sujet.

PHOTO : RADIO-CANADA / STÉPHANIE DUPUIS

Le Commissariat à la protection de la vie privée du Canada attend également plus d’informations. Nous avons demandé les renseignements nécessaires à l’analyse et sommes en attente de ces renseignements. Tant que nous ne les aurons pas reçus, nous ne pourrons faire part de nos recommandations au gouvernement, explique Valérie Lawton, directrice des communications.

Toutefois, le Commissariat indique qu’il ne peut que faire des recommandations et que ce n’est pas lui qui approuve les programmes gouvernementaux.

Ottawa de son côté se veut rassurant. Nous avons l’intention de travailler de façon ouverte, en communiquant de manière ouverte et transparente avec la population canadienne, à propos de la mise au point et de la mise en œuvre de cette application, explique Santé Canada.

Des questions de sécurité demeurent aussi. L’application comporte-t-elle des vulnérabilités? Va-t-on organiser une chasse aux bogues (plus connue sous le nom de bug bounty) qui consiste à rémunérer des pirates informatiques pour traquer des failles, comme cela a été fait en France pour l’application StopCovid?

Données stockées chez Amazon

Par ailleurs, les renseignements personnels collectés sont stockés sous forme cryptée à l’aide d’Amazon Web Services, peut-on lire sur le site de COVID Shield qui précise que ces renseignements peuvent donc être stockés ailleurs qu’au Canada, notamment aux États-Unis.

Un homme porte un masque chirurgical et consulte son téléphone mobile dans le métro de New York.

Une étude publiée dans la revue Science estime le seuil d’efficacité de ce genre d’application à 60 % de la population.

PHOTO : REUTERS / LUCAS JACKSON

Cette situation pose des questions sur la souveraineté du Canada, explique l’experte de Crypto-Québec. Le professeur Déziel s’étonne aussi de ce choix.

Normalement, quand on traite des données relatives à la santé, on les garde sous contrôle exclusif du gouvernement canadien.

Pierre-Luc Déziel, professeur de droit à l’Université Laval

Mais techniquement et sécuritairement, c’est un choix cohérent, pondère Mme Letellier. Toutefois, l’efficacité de ces applications n’a pas encore été démontrée, au contraire, explique-t-elle.

Au Secrétariat du Conseil du trésor, on assure pourtant que les données seront hébergées dans un serveur d’Amazon Web Services (AWS) au Canada. À aucun moment AWS n’aura accès aux données stockées, précise-t-on encore.

Je ne comprends pas ce discours dans lequel d’un côté on prône une solution dont l’efficacité n’a pas été prouvée et de l’autre, on tergiverse sur le fait de rendre obligatoire le port du masque.

Anne-Sophie Letellier, experte en cybersécurité à Crypto-Québec

Dans un communiqué de presse du 18 juin, OpenMedia, un organisme qui milite pour un Internet libre, indique par exemple que les responsables de la santé publique des pays qui ont déjà déployé des applications de recherche des contacts estiment que leurs avantages sont modestes. Même en Islande, avec l’un des taux d’adoption les plus élevés, où plus de 40 % de la population utilise l’application gouvernementale, précise Matthew Hatfield, le directeur de campagne.

En collaboration avec Shopify et BlackBerry

Pour l’application COVID Shield, le gouvernement du Canada a bénéficié des efforts d’employés volontaires de Shopify qui ont élaboré le code, et de BlackBerry qui a fourni des vérifications de sécurité supplémentaires. Le Service numérique canadien fournit une expertise technique interne.

Des dirigeants de Shopify applaudissent ou tiennent un poing dans les airs lors du lancement de la compagnie en bourse à New York.

Des employés de Shopify ont travaillé bénévolement sur le développement de l’application COVID Shield.

PHOTO : THE ASSOCIATED PRESS / RICHARD DREW

Contacté par Radio-Canada, Shopify indique que puisqu’il ne s’agit pas de son initiative, l’entreprise n’accorde pas d’entrevues à ce sujet. BlackBerry et le Service numérique canadien n’avaient pas répondu à nos questions au moment de publier ces lignes.

Cette collaboration avec BlackBerry et les bénévoles de Shopify est entièrement volontaire, sur une base pro bono, et fait suite à une collaboration similaire qu’ils ont entreprise avec le gouvernement de l’Ontario. Il n’y a pas d’échange de fonds avec les partenaires du secteur privé, précise le Secrétariat du Conseil du trésor.

Le fonctionnement de COVID Shield ressemble à beaucoup d’autres applications conçues un peu partout dans le monde. Basée sur la technologie Bluetooth, elle doit permettre aux utilisateurs de recevoir une notification lorsqu’ils ont été en contact avec un autre utilisateur atteint de la COVID-19.

Pour ce faire, l’utilisateur malade devra partager volontairement une clé d’exposition temporaire. Cette clé ne permettra pas d’être associée à l’identité de l’utilisateur – sauf par l’utilisateur lui-même – assure COVID Shield.

L’application sera téléchargeable sur une base volontaire, dès le 2 juillet, en Ontario pour commencer. M. Trudeau a expliqué qu’il faudrait qu’au moins 40 % des Canadiens l’installent pour qu’elle soit efficace. Une étude publiée dans la revue Science estime plutôt le seuil d’efficacité de ce genre d’application à 60 %.

SOURCE: ici.radio-canada.ca

 

VOUS POUVEZ EN APPRENDRE PLUS SUR MICROSOFT 365 ICI

VOUS POUVEZ EN APPRENDRE PLUS SUR MICROSOFT TEAM ICI