Nouvelles
COVID-19 : les expertes et les experts en cybersécurité de Polytechnique sonnent l’alarme sur les applications de traçage
Les professeures et les professeurs spécialisés en cybersécurité de Polytechnique Montréal tendent la main aux gouvernements canadien et québécois afin de garantir que les applications de traçage des contacts qu’ils pourraient prochainement adopter soient dignes de confiance et respectent la vie privée de leurs citoyens. Les membres du groupe vont même plus loin que leurs consoeurs et confrères canadiens et demandent à ce que le code de ces applications soit libre d’accès.

De gauche à droite : le professeur titulaire Frédéric Cuppens, les professeures titulaires Nora Boulahia Cuppens et Gabriela Nicolescu et le professeur titulaire José Fernandez, du Département de génie informatique et génie logiciel.
Pendant qu’on se prépare à la venue d’une deuxième vague de cas de la COVID-19 partout dans le monde, des pays adoptent tour à tour des applications de traçage des contacts afin de freiner la propagation du SARS-CoV-2 et alerter les individus qui pourraient avoir été exposés à celui-ci.
Pareils outils pourraient s’avérer efficaces pour prévenir la résurgence du virus, mais ils viennent aussi avec leur lot d’incertitudes, notamment en ce qui a trait à la protection de la vie privée des citoyennes et des citoyens, avance notamment Nora Boulahia Cuppens, professeure titulaire au Département de génie informatique et génie logiciel.
« Même si tout part de bonnes intentions, il n’y a aucune garantie que ces outils ne soient pas utilisés pour d’autres raisons que la COVID-19 », indique-t-elle.
La chercheuse prend pour exemple le cas de l’application Care19 qui a été déployée ces dernières semaines au Dakota du Nord. Un rapport dévoilé la semaine dernière indique que les données recueillies par l’application se sont retrouvées entre les mains de Foursquare et de Google, entre autres.
« Même si ces outils n’autorisent pas la sortie de données personnelles, il est toujours possible que d’autres applications se coalisent pour obtenir ces données de façon illégale », précise la spécialiste.
Selon elle, une série de questions entourant ces applications restent aussi sans réponses. Mme Boulahia Cuppens s’interroge notamment aux enjeux de droit à l’oubli. « On ne sait pas du tout ce qu'il adviendra des données une fois la pandémie terminée », dit-elle.
Front commun
Voyant l’urgence de la situation, l’équipe en cybersécurité de Polytechnique s’est mobilisée. En compagnie de consœurs et de confrères canadiens, Pre Boulahia Cuppens et ses collègues José Fernandez, Gabriela Nicolescu et Frédéric Cuppens ont cosigné une déclaration demandant à ce que des expertes et des experts en cybersécurité indépendants aient accès au code de ces applications avant leur déploiement pour garantir qu’elles sont sans faille et respectent les principes de base de protection de la vie privée.
« Le potentiel d’abus est énorme », souligne pour sa part le professeur titulaire José Fernandez. « Il faut absolument qu’un examen technique soit réalisé par des spécialistes en cybersécurité. »
Le chercheur propose d’aller jusqu’à rendre le code de ces applications libre d’accès pour que quiconque puisse effectuer le travail. « On donne accès au code source des machines à sous dans les casinos du Nevada », affirme-t-il. « Pourquoi ça devrait être différent pour des applications qui soulèvent des questions de protection de la vie privée? Il faut trouver un compromis transparent pour garantir la protection du public. »
Selon lui, pareil travail est susceptible de faire en sorte que les citoyennes et les citoyens aient plus confiance aux outils de traçage, puis les adoptent plus rapidement. Il en va de l’utilité même de la démarche. Selon une étude parue dernièrement dans la revue Science, une application de traçage des contacts doit être utilisée par au moins 60 % d’une population pour être efficace. Or, cette cible est difficile à atteindre, comme le démontrent les exemples de Singapour (15 %) et de l’Australie (44 %).
En savoir plus
Déclaration sur les applications de traçage de la COVID-19 respectueuses de la vie privée et dignes de confiance (en anglais et en français)
Fiche d’expertise de la professeure Nora Boulahia Cuppens
Fiche d’expertise du professeur José Fernandez
Fiche d’expertise de la professeure Gabriela Nicolescu
Fiche d’expertise du professeur Frédéric Cuppens
Site du Département de génie informatique et génie logiciel
Portail sur la cybersécurité et la cyberrésilience