IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #21
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    9 003
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 9 003
    Points : 208 186
    Points
    208 186
    Par défaut Covid-19 : Google contraint les utilisateurs Android à activer les paramètres de localisation de l'appareil
    Covid-19 : Google contraint les utilisateurs Android à activer les paramètres de localisation de leur appareil,
    pour pouvoir utiliser la solution de contact tracing développée avec Apple

    Google a promis la confidentialité avec les applications de contact tracing développées en s'appuyant sur l'API qu'il a proposé conjointement avec Apple, mais l'entreprise peut toujours collecter des données de localisation. Certaines agences gouvernementales qui utilisent le logiciel ont déclaré être surprises que Google puisse localiser certains utilisateurs de l'application. D'autres ont déclaré avoir tenté en vain de contraindre Google à apporter un changement.

    Lorsque Google et Apple ont annoncé en avril des projets de développement logiciel d'un outil commun de traçage du COVID-19 pour iOS et Android (traduit dans un premier temps par une API, puis par un outil intégré nativement aux deux systèmes), les entreprises l'ont promu comme « préservant la confidentialité » et ont déclaré qu'il ne suivrait pas l'emplacement des utilisateurs. Selon les deux entités, le système ne géolocalise pas les utilisateurs, mais envoie un identifiant Bluetooth aux appareils à proximité. En outre, l’identifiant change toutes les 15 minutes et n’est aucunement lié à l’identité de l’utilisateur. Ces identifiants passeront par un simple serveur relais qui peut être géré par des organismes de santé du monde entier. Ces serveurs n’ont pas la capacité de suivre les utilisateurs, ont assuré Google et Apple.

    Plusieurs pays ont demandé à Google de changer de façon de procéder

    Encouragés par ces garanties, l'Allemagne, la Suisse et d'autres pays se sont appuyées sur ce code pour développer des applications nationales de contact tracing qui ont été téléchargées plus de 20 millions de fois. Mais pour que les applications fonctionnent sur les smartphones dotés du système d'exploitation Android de Google, les utilisateurs doivent d'abord activer le paramètre de localisation de l'appareil, qui active le GPS et peut permettre à Google de déterminer leur emplacement. Certains responsables gouvernementaux ont semblé surpris que l'entreprise puisse détecter les emplacements des utilisateurs d'Android. Après en avoir pris connaissance, Cecilie Lumbye Thorup, porte-parole du ministère de la Santé du Danemark, a déclaré que son agence avait l'intention de « lancer un dialogue avec Google sur la manière dont ils utilisent généralement les données de localisation ».

    La Suisse a déclaré qu'elle avait essayé de pousser Google pendant des semaines à modifier l'exigence de réglage de l'emplacement. « Les utilisateurs devraient pouvoir utiliser ces applications de traçage de proximité sans aucune liaison avec d’autres services », a déclaré le Dr Sang-Il Kim, chef du département de la transformation numérique à l’Office fédéral de la santé publique de Suisse, qui supervise l’application de contact tracing du pays.

    La Lettonie a déclaré qu'elle avait mis la pression à Google sur la question alors qu'elle développait son application de contact tracing. « Nous n’apprécions pas que le GPS soit activé », a déclaré Elina Dimina, chef de l’unité de surveillance des maladies infectieuses au Centre de prévention et de contrôle des maladies de Lettonie.

    Nom : google_app.jpg
Affichages : 3208
Taille : 15,9 Ko

    La réaction de Google

    Les exigences de localisation de Google s'ajoutent aux nombreux problèmes de confidentialité et de sécurité liés aux applications de contact tracing, dont beaucoup ont été développées par les gouvernements avant que le nouveau logiciel Apple-Google ne soit disponible. Les responsables gouvernementaux et les épidémiologistes affirment que les applications peuvent être un complément utile aux efforts de santé publique pour endiguer la pandémie. Mais les groupes de défense des droits de l'homme et les technologues ont averti que la collecte de données agressive et les failles de sécurité dans de nombreuses applications exposent des centaines de millions de personnes au harcèlement, aux escroqueries, au vol d'identité ou au suivi oppressif du gouvernement.

    Désormais, le problème de la localisation d'Android pourrait saper les promesses de confidentialité que les gouvernements ont faites au public.

    Pete Voss, un porte-parole de Google, a déclaré que les applications de contact tracing qui utilisent le logiciel de l'entreprise n'utilisent pas la localisation de l'appareil. Cela concerne également les personnes dont le test de dépistage du virus est positif et qui utilisent une application pour avertir les autres utilisateurs. Les applications se servent des signaux de balayage Bluetooth pour détecter les smartphones qui entrent en contact étroit les uns avec les autres, sans avoir besoin de connaître l'emplacement des appareils. Depuis 2015, le système Android de Google oblige les utilisateurs à activer la localisation sur leurs téléphones pour rechercher d'autres appareils Bluetooth, a déclaré Voss, car certaines applications peuvent utiliser le Bluetooth pour déduire l'emplacement de l'utilisateur. Par exemple, certaines applications utilisent des balises Bluetooth dans les magasins pour aider les spécialistes du marketing à comprendre dans quelle allée un utilisateur de smartphone peut se trouver.

    Cependant, une fois que les utilisateurs d'Android ont activé la localisation, Google peut déterminer leurs emplacements précis, à l'aide du Wi-Fi, des réseaux mobiles et des balises Bluetooth, via un paramètre appelé Google Location Accuracy, et utiliser les données pour améliorer les services de localisation. Voss a déclaré que les applications qui n'avaient pas l'autorisation de l'utilisateur ne pouvaient pas accéder à l'emplacement de l'appareil Android d'une personne.

    Pour sa part, Apple n'oblige pas les utilisateurs iPhone des applications de contact tracing à activer la localisation.

    Nom : Apple & Google API.png
Affichages : 3237
Taille : 149,0 Ko

    Un déséquilibre de pouvoir

    L'exigence de localisation Android souligne un déséquilibre de pouvoir inquiétant entre les gouvernements et les deux grandes enseignes de technologie qui dominent le marché mobile, ont déclaré certains experts en sécurité et en confidentialité. Les pays utilisant le logiciel, ont-ils dit, ont peu de recours contre les nouvelles normes mondiales que les entreprises établissent pour la technologie de la santé publique.

    Google et Apple, par exemple, empêchent les applications de contact tracing des gouvernement utilisant leur technologie de suivre les emplacements des utilisateurs. Mais Google peut déterminer et utiliser les emplacements des appareils des utilisateurs Android des applications, en fonction de leurs paramètres.

    « Nous donnons trop de contrôle à deux grandes entreprises », a déclaré Alexandra Dmitrienko, professeur de systèmes logiciels sécurisés à l'Université de Würzburg en Allemagne. « Ils le monopolisent. »

    La technologie de détection de proximité Bluetooth des entreprises est issue d’idées développées par Singapour et des universitaires. Elle offre aux agences de santé publique une alternative aux modèles plus invasifs qui impliquent le suivi des emplacements précis des utilisateurs et l'envoi de données privées telles que leurs noms à des serveurs gouvernementaux centralisés. Le logiciel Apple-Google utilise des codes d'identification rotatifs pour enregistrer les contacts étroits entre les utilisateurs de l'application « pour aider à empêcher le suivi », assurent les entreprises. Il traite également les données des personnes sur leurs téléphones - là où les gouvernements ne peuvent pas y accéder.

    Nom : apple.jpg
Affichages : 2924
Taille : 27,0 Ko

    « C’est ce que nous appelons "la protection de la vie privée dès la conception" », a déclaré le Dr Kim, responsable suisse de la santé. « Cela signifie qu'aucunes données personnelles, c'est-à-dire qu'aucun nom, aucun numéro de téléphone, même aucune identification technique du matériel à partir d'e-mails ou de smartphones ne sont collectées par les applications ».

    La conception axée sur la confidentialité a rendu la technologie des entreprises attrayante pour les dirigeants gouvernementaux. « Cette application mérite votre confiance. Elle protège votre vie privée », a déclaré Angela Merkel, la chancelière allemande, dans un récent discours vidéo sur l'application Corona-Warn de son gouvernement, basée sur le modèle Apple-Google. « Aucune géodonnée n'est collectée», a déclaré Merkel.

    Mais les experts en confidentialité et en sécurité ont déclaré qu'ils étaient préoccupés par le fait que les pratiques de localisation de Google pourraient dissuader certaines personnes d'utiliser les applications des agences de santé publique pendant la pandémie. « Le but de la conception de la notification d'exposition Apple-Google est de protéger la confidentialité et d'atténuer les obstacles à l'adoption », a rappelé Jonathan Mayer, professeur adjoint d'informatique et d'affaires publiques à Princeton. Certains utilisateurs d'Android en Europe disent se sentir induits en erreur par leurs gouvernements. Les instructions sur de nombreuses applications poussent les utilisateurs d'Android à activer la localisation, par exemple, mais ne font aucune mention du fait que les utilisateurs peuvent empêcher Google de déterminer leurs emplacements précis en désactivant la fonction de précision dans le paramètre de localisation.

    « Avec cette application, vous êtes invité par le gouvernement, faisant fortement appel à votre sens des responsabilités et de votre moralité, à céder votre emplacement en direct à des entités qui en tirent un profit, afin de protéger la santé publique », a déclaré Massimo Zannoni, ingénieur électronique à Zurich. Les responsables de la santé au Danemark, en Allemagne, en Lettonie et en Suisse ont déclaré que leurs gouvernements avaient délibérément conçu leurs applications nationales d'alerte aux virus pour une confidentialité maximale.

    « Aucun gouvernement, aucune agence de sécurité n'a la moindre chance d'utiliser la technologie à mauvais escient », a déclaré Gottfried Ludewig, directeur général de la numérisation et de l'innovation au ministère allemand de la Santé, à propos de l'application Corona-Warn, qui a été téléchargée plus de 15,5 millions de fois. Il a déclaré que plus de 500 personnes testées positives pour le virus avaient utilisé l'application pour informer les autres utilisateurs d'une éventuelle exposition au virus. Il a ajouté que si Google utilisait les données de localisation à d'autres fins que l'activation des services Bluetooth dans l'application, il lui faudrait des motifs juridiques pour le faire en vertu de la loi européenne sur la protection des données.

    D'autres personnes impliquées dans l'application allemande ont déclaré que c'était le problème de Google, pas le leur. « Vous devez interroger Google sur les spécifications de son système d'exploitation », a déclaré Marcus Winkler, un porte-parole de SAP, qui a contribué au développement de l'application allemande. « Si vous activez le suivi de localisation, vous recevez un message du système d'exploitation - cela n'a rien à voir avec l'application ».

    Le professeur Dmitrienko, experte en sécurité logicielle, a déclaré que la solution était que les gouvernements poussent Google à cesser d'exiger des utilisateurs Android des applications de contact tracing d'activer la localisation. « Ils ont une puissance suffisante et ils pourraient même faire pression sur des géants tels que Google et Apple pour qu'ils agissent à ce sujet », a-t-elle déclaré.

    Sources : Princeton, FAQ CornaWarn, FAQ logiciel Apple-Google, Alexandra Dmitrienko, Sénateur Richard Bluemental, Apple, Angela Merkel

    Et vous ?

    Que pensez-vous de cette situation ?
    Partagez-vous la crainte selon laquelle les pratiques de localisation de Google pourraient dissuader certaines personnes d'utiliser les applications de contact tracing qui s'appuient sur sa solution ? Dans quelle mesure ?

  2. #22
    Membre extrêmement actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Octobre 2017
    Messages
    2 011
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Octobre 2017
    Messages : 2 011
    Points : 6 304
    Points
    6 304
    Par défaut
    Croire Google et les autres Gafam, c'est un peu comme "le grand méchant loup qui dit être végétarien pour entrer dans la bergerie remplie de moutons bien gras"!

  3. #23
    Chroniqueur Actualités

    Homme Profil pro
    Dirigeant
    Inscrit en
    Juin 2016
    Messages
    3 160
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Dirigeant
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juin 2016
    Messages : 3 160
    Points : 66 307
    Points
    66 307
    Par défaut Covid-19 : une énorme faille découverte dans l’API de contact tracing conçue par Apple et Google
    Covid-19 : une énorme faille découverte dans l’API de contact tracing conçue par Apple et Google
    qui permettrait de suivre une personne à la trace

    Deux universitaires, Serge Vaudenay et Martin Vuagnoux, de l’école polytechnique fédérale de Lausanne (EPFL), en Suisse, viennent de tirer la sonnette d’alarme sur l’existence d’une importante faille de sécurité dans l’API de contact tracing proposée conjointement par les géants Google et Apple. En raison d’un manque de synchronisation dans le renouvellement des codes envoyés par Bluetooth, la faille de sécurité permet de suivre une personne à la trace. Ce comportement de l’API va à l’encontre de l’objectif initial des deux entreprises.

    La pandémie du Covid-19 a (malheureusement) forcé l’utilisation de systèmes de traçage de proximité. Google et Apple ont proposé une API de contact tracing en avril en vue de faciliter le déploiement d’applications de suivi des contacts sur leur plateforme respective. Plusieurs applications de différents pays se sont basées sur cette API, notamment celle de la Suisse, de l’Australie, du Canada, de la Belgique... D’autres pays, comme la France, avec StopCovid, ont toutefois préféré se baser sur leur propre système de suivi, avec une gestion centralisée des données des utilisateurs.

    La faille de sécurité dont il s’agit concerne le système de notification de l’API appelé “Exposure Notifications” (notification des expositions - ENS) qui facilite la recherche numérique des contacts. Il complète en effet les techniques traditionnelles de recherche des contacts en enregistrant automatiquement les rencontres avec d'autres utilisateurs de l'ENS à l'aide de leur smartphone Android ou iOS. C’est un protocole décentralisé basé sur le signalement et qui utilise le Bluetooth à faible consommation d'énergie et la cryptographie pour préserver la vie privée.


    Il est utilisé comme fonction opt-in dans les applications Covid-19 développées et publiées par les autorités sanitaires autorisées. D’après les chercheurs, la vulnérabilité dont il est actuellement victime ne devrait pas exister, car les trames diffusées par les smartphones au travers du système se basent sur des pseudonymes et des adresses MAC Bluetooth générés de façon aléatoire et changés toutes les 15 minutes. Cependant, Vaudenay et Vuagnoux ont remarqué que ce renouvellement ne se fait pas toujours de façon synchrone, ce qui cause un problème sérieux.

    Plus précisément, il y a des moments où l’adresse MAC est modifiée avant le pseudonyme, ou inversement. Cet événement donne lieu à ce que les universitaires appellent des trames intermédiaires, qui contiennent à la fois une ancienne valeur et une nouvelle. Ensuite, en les collectant, cela permet de ne jamais perdre le fil dans le renouvellement des identifiants. Selon leur rapport, qui a étudié le fonctionnement de l’application suisse de contact tracing, SwissCovid, ce décalage a l’air banal, mais il permet de suivre les utilisateurs de l’application à la trace.

    Les chercheurs ont ajouté à leur rapport une vidéo de démonstration dans laquelle ils expliquent avoir testé 8 smartphones avec SwissCovid installée. Ils ont remarqué que 5 des 8 smartphones étaient vulnérables. En outre, ils ont également déclaré avoir pu exploiter la faille sur d’autres applications utilisant cette même technologie, telle que Corona-Warn de l’Allemagne, StoppCorona déployée en Autriche ou Immuni en Italie. Leur conclusion a été qu’il est fort probable que toutes les applications basées sur Exposure Notification soient sujettes à cette vulnérabilité.

    Notons que la France, avec StopCovid, et les autres pays ayant choisi de concevoir leur propre système de notification d’expositions sont à l’abri de cette vulnérabilité. Apple et Google vont devoir rapidement fournir un patch pour corriger la faille avant qu’elle ne soit exploitée par des acteurs malveillants. L’API n’étant pas entièrement open source, une tierce partie n’est pas en mesure de proposer une solution.

    Source : Rapport de l’étude

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi

    Apple et Google lancent un outil commun de traçage du COVID-19 pour iOS et Android, il se traduira d'abord par une API, puis un outil intégré nativement aux deux systèmes

    Apple et Google rendront leur API disponible dès le 28 avril prochain, le jour du vote à propos de StopCovid à l'Assemblée nationale

    L'Irlande et le Canada donnent le code source de leur application de traçage à la Linux Foundation Public Health, une initiative qui a pour but de lutter contre le Covid-19 et les futures pandémies

    Covid-19 : la technologie de traçage de contacts Apple-Google suscite l'intérêt dans 23 pays, mais les autorités ne devraient pas exiger des numéros de téléphone des utilisateurs

  4. #24
    Membre expert

    Profil pro
    activité : oui
    Inscrit en
    Janvier 2014
    Messages
    1 262
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : activité : oui

    Informations forums :
    Inscription : Janvier 2014
    Messages : 1 262
    Points : 3 416
    Points
    3 416
    Par défaut
    L’API n’étant pas entièrement open source, une tierce partie n’est pas en mesure de proposer une solution.
    ...d'où l'importance, autre que politique, d'adopter des solutions sous licences "libres" à copyleft fort.

  5. #25
    Membre expérimenté
    Profil pro
    Inscrit en
    Juin 2006
    Messages
    1 354
    Détails du profil
    Informations personnelles :
    Âge : 49
    Localisation : France

    Informations forums :
    Inscription : Juin 2006
    Messages : 1 354
    Points : 1 419
    Points
    1 419
    Par défaut
    et voila comme d'hab, a se demander si ce n'etait pas fait expres tout de meme non ?

  6. #26
    Membre éclairé
    Profil pro
    Inscrit en
    Avril 2008
    Messages
    468
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Avril 2008
    Messages : 468
    Points : 693
    Points
    693
    Par défaut
    Citation Envoyé par epsilon68 Voir le message
    et voila comme d'hab, a se demander si ce n'etait pas fait expres tout de meme non ?
    Les omniscients et omnipotents Dieux Google et Apple ne font PAS - JAMAIS - d'erreurs. Tout est prémédité, ils ont un plan - Amen

    Si tu connais un peu l'histoire de l'informatique, aucun humain a crée de système (réseau) infaillibles. Pour croire que Google et Apple y échappent c'est leur prêter des pouvoirs inhumains.

  7. #27
    Membre extrêmement actif
    Homme Profil pro
    Graphic Programmer
    Inscrit en
    Mars 2006
    Messages
    1 604
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Graphic Programmer
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2006
    Messages : 1 604
    Points : 4 136
    Points
    4 136
    Par défaut
    c'est pas une faille mais une feature. arretons de nous prendre pour des débiles svp..

Discussions similaires

  1. Réponses: 814
    Dernier message: 03/02/2023, 02h29
  2. [OPENGL] Première application avec Newton Engine
    Par Bakura dans le forum Contribuez
    Réponses: 24
    Dernier message: 11/11/2006, 14h46
  3. [hibernate][spring] première application
    Par iftolotfi dans le forum Hibernate
    Réponses: 2
    Dernier message: 01/06/2006, 08h03
  4. [Debutant(e)] Lancement de ma première application J2EE
    Par thomas_le_debutant dans le forum Java EE
    Réponses: 14
    Dernier message: 15/03/2006, 10h12
  5. [DEBUTANT]Première application avec XML
    Par mlallem dans le forum XML/XSL et SOAP
    Réponses: 6
    Dernier message: 17/11/2005, 16h07

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo