JUIN 2, 2020 PAR LHK
Docteur en informatique, la professeure Solange Ghernaouti dirige le Swiss Cybersecurity Advisory & Research Group (UNIL) est pionnière de l’interdisciplinarité de la sécurité numérique, experte internationale en cybersécurité et cyberdéfense. Auteure de nombreux livres et publications, elle est membre de l’Académie suisse des sciences techniques, de la Commission suisse de l’Unesco, Chevalier de la Légion d’honneur.
Le trust de la fondation Bill et Melinda Gates a renforcé ses participations dans les GAFAM depuis l’éclatement de la crise du Covid-19. 501,044 actions de Apple sont venues s’ajouter ce 1 er trimestre 2020 au portefeuille du couple.
Bill & Melinda Gates Foundation Trust Bought Up Amazon, Apple, and Twitter Stock ICI
Toutefois, ces achats ne doivent pas occulter la forte participation que la fondation détient vient dans l’actionnariat de Berkshire Hathaway, de Warren Buffet. La fondation y a investi la moitié de son portefeuille. Or Berkshire détenait à la même date 245,155,566 d’actions Apple.
Cela fait de la fondation Gates un puissant actionnaire de Apple.
La crise du Covid a mis encore plus en avant l’entreprise à la pomme, avec sa collègue Google (Androïd). De fait les dispositifs de traçage des contacts finissent tous dans les appareils Apple-Google (y compris le français StopCovid).
Nous comprenons ainsi que la SwissCovid risque de n’avoir de suisse que le nom. D’où les questions sur la sécurité des données et du traitement qui leur est réservé. Il est bon de rappeler notre alerte de début mai sur la constitution de Cognitive city que le financier de Seattle a développé. Nous relevions alors cette phrase « La lutte contre une pandémie mondiale nécessite une collaboration mondiale. La COVID-19 Cognitive City utilise la science des données pour faciliter la résolution de problèmes basés sur l’adaptation liés aux coronavirus. » »
Les questionnements de Solange Ghernaouti quant à l’application SwissCovid et des dangers liés à la sécurité des données, collectées par Apple-Google, sont de ce fait d’une actualité brûlante que l’on soit suisse ou pas.
Liliane Held-Khawam
SwissCovid, consentement éclairé et responsabilité politique
SOLANGE GHERNAOUTI1 JUIN 2020
En tant que citoyenne confrontée comme tout un chacun à la pandémie, le dispositif de traçage des contacts SwissCovid m’interpelle. En tant que professionnelle de la cybersécurité, j’ai le devoir d’attirer l’attention des parlementaires sur vingt questions essentielles que pose l’élaboration d’une loi concernant l’introduction de Swiss-covid . Ces questions, brièvement motivées, sont les suivantes:
(Pour une meilleure lisibilité de l’article, quelques termes techniques suivis d’* sont proposés à la fin de celui-ci).
Selon le document « Utilisation de l’application SwissCovid durant l’essai pilote : déclaration de confidentialité de l’Office fédéral de la santé publique[1] », le dispositif SwissCovid est composé de l’App* qui appelle la réalisation de services réalisés par l’API* d’Apple/Google et d’un serveur VA backend et d’un serveur pour gérer des codes entre l’App et le serveur VA backend (frontend / backend).
Dans ce document, émis conjointement par le Département fédéral de l’intérieur (DFI) et l’Office fédéral de la santé publique on lit « Si l’OFSP mandate des tiers, suisses ou de l’étranger, ces opérateurs s’engagent à respecter les prescriptions de l’ordonnance COVID-19 sur l’essai pilote du traçage de proximité. » (point 4, page 2).
Question 1
Quelles sont ces tierces parties engagées qui peuvent être suisses ou étrangères ?
Le préfixe « Swiss » laisse penser que le dispositif SwissCovid est développé en Suisse et est basé sur des infrastructures suisses. Toutefois, dans la mesure où « SwissCovid » est basée sur l’API – Exposure notification de Apple-Google et dans la mesure où celle-ci réalise quasiment tous les traitements nécessaires au fonctionnement de l’application de traçage des contacts (stockage, Bluetooth, comparaisons, calcul de risque), cela laisse très peu d’initiative aux développeurs et initiateurs suisses du projet.
Question 2
Qui développe quoi ?
Question 3
Comment bâtir la confiance dans un code informatique développé, mis en œuvre et géré par Apple/Google alors qu’il est impossible de le faire tester ou auditer par des entités indépendantes ?
Ces premières questions en soulèvent d’autres, légitimées par le point 6 du document de l’OFS cité plus haut (page 3) « Afin de protéger les données contre des accès non autorisés, des pertes ou des utilisations abusives, l’OFSP, en étroite collaboration avec nos fournisseurs d’hébergement internes et externes et avec d’autres prestataires informatiques, prend des mesures de sécurité adéquates, de nature technique (p. ex., cryptage, pseudonymisation, historique, contrôles d’accès, limitations d’accès, sécurité des données, solutions concernant la sécurité des technologies informatiques et des réseaux, etc.) et de nature organisationnelle ( p. ex., directives aux collaborateurs, contrats de confidentialité, contrôles, etc.) conformément aux prescriptions de l’administration fédérale et de la législation fédérale en matière de protection des données. ».
Question 4
De quels fournisseurs et prestataires s’agit-il, quels sont les sous-traitants ?
Question 5
Est-ce que les données sont hébergées dans un cloud Amazon ?
Question 6
Quels appels d’offre ont été émis concernant les organisations et entreprises privées qui développent SwissCovid?
Question 7
Est-ce que le dispositif SwissCovid est complètement Open source ?
Le message du 20 mai 2020 du Conseil fédéral concernant la modification urgente de la loi sur les épidémies en lien avec le coronavirus (Système de traçage de proximité)[2] stipule en point 4 « Commentaires des dispositions. Art. 60a Système de traçage de proximité pour le coronavirus : … « Dans un souci de transparence et de confiance, le code source sous-jacent et les spécifications techniques utilisées pour tous les composants sont publics » (art. 60a, al. 4, let. e).
Pour qu’un programme soit qualifié d’« Open source », il faut:
que le code source soit disponible ;
que l’on puisse vérifier que l’exécutable correspond au code source* ;
que l’on puisse modifier le code, le compiler* et l’exécuter.
Question 8
Dans la mesure où le dispositif SwissCovid ne satisfait pas à ces trois impératifs, y-aurait-il une contradiction entre la réalité et les déclarations ?
Le document du 20 mai 2020 de la Confédération « Message concernant la modification urgente de la loi sur les épidémies en lien avec le coronavirus (Système de traçage de proximité) » fait référence à une application d’alerte Corona.
Question 9
Est-il prévu que ce dispositif soit utilisé pour d’autres épidémies que celle liée au SARS-CoV-2 à l’origine de la Covid-19 ?
La technologie Bluetooth comporte des vulnérabilités et des failles de sécurité[3], il est conseillé d’installer des nouvelles versions de sécurité et de toujours désactiver le Bluetooth lorsque l’usager n’en a pas besoin. De plus, il existe des attaques bien connues qui exploitent Bluetooth comme par exemple :
Captation, interception par un tiers non autorisé des messages transmis sur l’interface Bluetooth.
Insertion, suppression de messages par un tiers.
Observation des signaux (écoute, espionnage).
Interruption de la connectivité (déni de service).
Prise de contrôle à distance.
Question 10
Est-ce que le dispositif SwissCovid pourra être détourné de sa finalité ?
Question 11
Est-ce que le dispositif SwissCovid pourra subir des cyberattaques ?
Question 12
Est-ce que l’anonymat des personnes est toujours garanti ?
Le document « Application SwissCovid : conditions d’utilisation »[4], nous informe sous le point 4 « Devoir de diligence de l’utilisateur » que :
« 4.1 L’accès technique à l’application relève de la responsabilité de l’utilisateur.
4.2 Les utilisateurs sont tenus de prendre les mesures de sécurité nécessaires pour leur propre appareil et de le protéger contre l’accès non autorisé de tiers et contre les logiciels malveillants.
L’utilisateur est informé par la présente des risques de sécurité liés à l’utilisation d’Internet et des technologies de l’Internet. ».
Question 13
Puisque l’utilisateur engage sa responsabilité, est-ce que les mesures de sécurité nécessaires pour que l’utilisateur puisse se protéger des malveillances et des vulnérabilités inhérentes au dispositif, sont disponibles et à quel prix?
Question 14
Est-ce que les seules mesures de sécurité efficaces sont de ne pas installer l’App et de ne pas utiliser le dispositif ?
Dans le document « Message concernant la modification urgente de la loi sur les épidémies en lien avec le coronavirus (Système de traçage de proximité), du 20 mai 2020[5], le point 5.1 « Conséquences pour la Confédération, conséquences financières » stipule « Les coûts de développement du logiciel de l’application pour téléphone portable, du back-end GR et du système de gestion des codes ainsi que les coûts pour la gestion des accès pour les services des médecins cantonaux sont estimés à un montant unique de 1,65 million de francs. Les frais d’exploitation par tranche de 12 mois s’élèvent à environ 1,2 million de francs d’ici à la fin juin 2022. Les coûts des mesures d’accompagnement communicationnelles sont estimés à 1,95 million de francs, dont environ 80 % seront utilisés pour la diffusion et la publication d’annonces, de spots télévisés et des bannières électroniques. »
Question 15
Quels sont les coûts directs et indirects réellement supportés par les finances publiques du dispositif SwissCovid et la population ?
Question 16
De quels frais d’exploitation s’agit-il ?
Question 17
N’est-il pas étonnant que les coûts des mesures d’accompagnement communicationnelles (1,95 million) soient supérieurs aux coûts de développement du logiciel de l’application pour téléphone portable, du back-end GR et du système de gestion des codes ainsi que les coûts pour la gestion des accès pour les services des médecins cantonaux (1,65 million) ?
Dans la mesure ou SwissCovid est considéré comme étant un appareil médical puisque destiné à informer une personne d’un risque d’infection), ce dispositif est soumis à la règlementation et au contrôle de Swissmedic. Cela implique selon l’Article 21 de l’ Ordonnance sur les dispositifs médicaux (ODim)[6] entre autre, “1 La publicité pour les dispositifs médicaux destinés à la remise directe au public ou à l’utilisation directe par le public doit se limiter exclusivement à des allégations correspondant à l’information sur le produit en ce qui concerne son utilisation, ses performances et son efficacité. 2 Toute information trompeuse concernant l’efficacité ou les performances d’un dispositif médical est interdite. »
Question 18
Qui est en charge de s’assurer que les mesures d’accompagnement communicationnelles seront conformes à l’Ordonnance sur les dispositifs médicaux ?
Question 19
Quelles sont les entités indépendantes et sans conflit d’intérêt, en mesure de valider la robustesse, la fiabilité, la sûreté, la sécurité et la conformité réglementaire du dispositif SwissCovid dans son intégralité ?
Apporter des réponses convaincantes à ces questions, qui ne sont pas traitées dans le document « Application SwissCovid : Questions & Réponses »[7] est impératif et urgent.
Question 20
Comment, sans réponses aux questions précédentes, une personne pourrait-elle être un citoyen responsable, un acteur éclairé qui ne répondrait pas uniquement à des injonctions de faire, qui pourrait exprimer son libre arbitre, qui pourrait choisir d’utiliser ou non SwissCovid et qui éventuellement ne se sentirait pas coupable de ne pas consentir à un dispositif dont les principales garanties d’innocuité sont exclusivement déclaratives ?
La démocratie repose sur la confiance, non sur la crainte, et la confiance exige la transparence.
Sans réponses aux questions précédentes, comment le Parlement pourrait-il sérieusement élaborer une loi qu’il a lui-même jugée indispensable ?
Seule une information claire et la plus complète possible, peut contribuer à satisfaire les besoins de transparence et de confiance exprimés par les porteurs du projet SwissCovid.
Cela permet une prise de décision en toute connaissance de cause, dont dépend le consentement éclairé de chacun et dont dépendent également in fine la santé, la sécurité et la liberté de tous.
Hic et Nunc, ici et maintenant, des réponses, pour nous, pour la démocratie, avant toute décision, après il sera trop tard.
Quelques informations techniques
Une API (Application Programming Interface) est un programme informatique qui permet d’être appellé par un autre programme.
L’API – Exposure notification utilisée par SwissCovid est un programme développé par Apple et Google qui prend en charge et qui réalise quasiment tous les traitements nécessaires au fonctionnement de l’application de traçage des contacts (stockage, Bluetooth, comparaisons, calcul de risque).
L’App (l’application) est la partie d’interface d’accès, c-à-d. le programme qui appelle le programme d’Apple/Google API – Exposure notification.
L’App est installée dans le téléphone de l’
Compiler un programme est une des étapes (la compilation) de transformation d’un programme informatique écrit avec un langage de programmation (suite d’instructions – code source), vers un code exécutable par un ordinateur.
Un langage de programmation est nécessaire à l’humain qui ne peut pas s’exprimer directement en binaire qui est le seul langage manipulable par les processeurs informatiques.
[1]https://www.bag.admin.ch/bag/fr/home/krankheiten/ausbrueche-epidemien-pandemien/aktuelle-ausbrueche-epidemien/novel-cov/situation-schweiz-und-international/datenschutzerklaerung-nutzungsbedingungen.html (version du 13 mai 2020, publiée le 22 mai 2020)
[2] https://www.newsd.admin.ch/newsd/message/attachments/61421.pdf
[3]Voir par exemples : https://www.zdnet.fr/actualites/android-une-faille-de-securite-sur-le-bluetooth-39898723.htm ou encore « The dangers of Bluetooth implementations: Unveiling zero day vulnerabilities and security flaws in modern Bluetooth stacks »: https://github.com/mailinneberg/BlueBorne « Une nouvelle faille critique touche le Bluetooth sur Android. Si Google a déjà publié un correctif, tous les smartphones n’ont pas encore reçu la mise à jour. Les spécialistes conseillent de désactiver temporairement le Bluetooth ». 10 février 2020 https://www.frandroid.com/android/673314_android-une-faille-de-securite-critique-touche-le-bluetooth
[4] https://www.bag.admin.ch/bag/fr/home/krankheiten/ausbrueche-epidemien-pandemien/aktuelle-ausbrueche-epidemien/novel-cov/situation-schweiz-und-international/datenschutzerklaerung-nutzungsbedingungen.html (document du 13 mai 2020, 22 mai 2020). La validité de ce document pris en vertu de l’Ordonnance COVID-19 essai pilote traçage de proximité est limitée à la date du 30 juin 2020. Il faudra donc rester très vigilant sur les conditions d’utilisation de l’Application de traçage dans sa prochaine phase lorsqu’elle sera proposée au grand public.
[5] https://www.newsd.admin.ch/newsd/message/attachments/61421.pdf
[6] https://www.admin.ch/opc/fr/classified-compilation/19995459/index.html#a21
[7] https://www.bag.admin.ch/bag/fr/home/krankheiten/ausbrueche-epidemien-pandemien/aktuelle-ausbrueche-epidemien/novel-cov/situation-schweiz-und-international/datenschutzerklaerung-nutzungsbedingungen.html (Questions fréquentes, Dernière modification 23.05.2020)