"L'objectif est d'étudier une troisième voie, en s'appuyant sur les solutions dites 'centralisées' et 'décentralisées' pour la notification d'exposition/le suivi des contacts en Europe, afin d'assurer une interopérabilité totale à moyen terme", a-t-il expliqué sur Twitter, relayant un document rédigé par l'Inria et décrivant le protocole.

Alors que plusieurs Etats européens planchent actuellement sur leur application de traçage destinée à limiter la diffusion du virus Sars-CoV-2 en identifiant des chaînes de transmission, la France devrait sortir la sienne, StopCovid dans les tout prochains jours.

L'application est développée par une "équipe-projet" placée sous l'égide de l'Inria, qui participe également à l’initiative PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing) aux côtés d’équipes allemandes, italiennes et suisses, rappelle-t-on.

Lancé en Suisse le 1er avril, PEPP-PT rassemble 130 chercheurs issus d'institutions de recherche, d'universités et d'entreprises de huit pays européens qui ambitionnent de mettre à disposition des gouvernements une solution de contact tracing de base, respectueuse des données personnelles et du droit européen.

En France, l'Inria et ses experts ont choisi de s'appuyer sur une approche dite "centralisée", via le protocole ROBERT (ROBust and privacy-presERving proximity Tracing), qui utilise le signal Bluetooth.

A ce jour, deux familles de protocoles existent en Europe:

Ils reposent sur la transmission des données pseudonymisées d’une personne testée positive vers un serveur central qui est géré par les autorités de santé.

Ces systèmes vont s'appuyer sur la transmission par un serveur central des pseudonymes des personnes testées positives au Covid-19 vers tous les smartphones.

Dans les systèmes décentralisés, du type de ceux sur lesquels travaillent Apple et Google, les autorités ont un accès limité aux données et la régulation est alors techniquement soumise au bon vouloir du fournisseur du système d'exploitation du smartphone: Android (Google) et iOS (Apple).

Néanmoins, les deux approches ont leurs avantages et leurs inconvénients. Si le système centralisé offre un serveur central robuste et une main gardée des autorités sanitaires dans la gestion de la crise, l'approche dite "décentralisée" protège davantage la vie privée des utilisateurs.

Ce nouveau protocole a été baptisé DESIRE mais le détail de cet acronyme n'a, lui, pas encore été dévoilé. Il doit permettre de s'affranchir des inconvénients des deux approches en vigueur aujourd'hui.

Dans son fonctionnement, il permet à l'application -dès son installation- de s'enregistrer auprès de l'autorité centrale qui l'inscrit dans sa base de données. Ce processus d'inscription utilise des jetons d’autorisation anonymes (Private Encounter Tokens ou PET) de manière à préserver la vie privée de l'utilisateur.

Il garantit également qu'une seule application est utilisée sur chaque appareil mobile, ce qui permet de prévenir certains types d'attaques.

Une fois enregistrée, l'application génère périodiquement de nouveaux pseudonymes temporaires, appelés "Ephemeral Bluetooth IDentifiers" (EBID). "On peut les voir comme des 'surnoms' associés à l'application de l'utilisateur", a expliqué l'Inria dans sa note.

Le protocole comporte "trois phases principales": la découverte de proximité, la déclaration suite à un diagnostic positif et la demande de statut d'exposition.

"Le principal avantage d'un jeton PET est de constituer un secret partagé uniquement par deux applications qui ont été à proximité. L'utilisation de deux listes de jetons PET différentes ('déclarer' pour la déclaration de diagnostic positif et 'statut' pour la demande de statut d'exposition), permet d’assurer plusieurs propriétés en matière de sécurité et de confidentialité pour les utilisateurs du protocole DESIRE", a détaillé l'institut national de recherche.

En outre, avec le chiffrement systématique de chaque inscription dans la base de données du serveur central (les clés de déchiffrement étant conservées par les clients), la solution apporte une garantie renforcée contre d'éventuelles fuites de données.

"La génération locale des jetons PET de rencontre permet de bénéficier des garanties des approches décentralisées vis-à-vis d’une autorité centrale malveillante. De manière similaire à ROBERT, DESIRE donne la main aux autorités de santé (pour la régulation et l’apprentissage) en matière de gestion dans le cadre d’une stratégie sanitaire globale", a résumé l'Inria.

"Ce n'est pas un document pour promouvoir une solution donnée. Ce n'est pas un document pour pousser une autre approche contre une autre. Il s'agit de l'ouverture d'une troisième voie crédible pour trouver une solution acceptable à moyen terme pour l'Europe", a insisté le PDG de l'Inria sur Twitter.