iOS 13.7: plus besoin d’apps tierces pour activer le suivi des contacts

Apple fournit iOS 13.7 dont la grosse nouveauté concerne le suivi des contacts dans le contexte du coronavirus.

NDLR: J’ignore les relations que tu entretiens avec les apps de traçage à l’occasion de l’actuelle pandémie. Pour ma part, je ne procéderai pas à cette mise à jour attendant iOS 14 qui ne va pas tarder. À ce propos, je te conseille d’attendre peut-être iOS 14.1 pour faire cette mise à jour majeure de l’OS d’Apple.

Cette mise à jour inaugure une nouvelle fonction baptisée Exposure Notification Express qui enchâsse au sein du système d’exploitation l’API développée avec Google, comme cela avait été annoncé en avril lors de la présentation de ce projet commun.

Pour une raison ou pour une autre, Apple a laissé les notes de version d’iOS 13.0… En clair, cela signifie que l’utilisateur n’a plus à télécharger d’application spécifique pour utiliser les fonctions de suivi des contacts de l’API Exposure Notification. Il suffit de l’activer simplement depuis les réglages iOS, pour peu évidemment que les autorités sanitaires du pays utilisent la nouvelle fonction Express. Dans tous les cas, cela reste une démarche volontaire.

Les applications existantes qui s’appuient sur l’API n’ont rien à faire, pour elles rien ne change. En revanche, pour les autorités de santé qui n’ont pas encore développé d’apps de suivi des contacts, Exposure Notification Express les soulage d’une grosse partie du boulot: elles peuvent se contenter de créer le framework adapté à leurs besoins.

Sur iOS, il s’agit en fait d’un simple fichier de configuration que l’utilisateur retrouvera dans les réglages iOS. Sur Android, ce fichier générera une application. Dans les deux cas, c’est Exposure Notification Express qui prend ensuite la main : les États américains de la Virginie, de Washington DC, du Nevada et du Maryland font partie des premiers utilisateurs.

Apple et Google espèrent que cette nouveauté permettra d’augmenter le taux d’adoption du traçage des contacts, que ce soit parmi les utilisateurs de smartphones iOS et Android, ou pour les autorités de santé.

En France, la procédure d’activation des notifications d’exposition s’arrête rapidement, puisqu’elles n’ont pas été activées dans la région.

Et qu’est-ce que ça change pour la France? Le gouvernement a fait le choix d’une architecture centralisée pour l’app StopCovid. Il est toujours possible d’activer Exposure Notification Express depuis iOS 13.7, mais cela ne servira pas à grand chose tant que les pouvoirs publics ne fourniront pas de fichier de configuration pour en tirer parti. Du moins, pas avant un très hypothétique changement dans la politique sanitaire de traçage des contacts…

Exposure Notification Express, comment ça marche?

Les autorités sanitaires désireuses d’exploiter le système Exposure Notification Express ont la possibilité de personnaliser un en-tête graphique, les messages, l’algorithme de détection et autres. Lorsqu’un utilisateur déclare un diagnostic positif, le parcours est le suivant:

  • Le centre de test signale le cas à l’autorité de santé qui va générer un code de vérification;
  • L’autorité de santé transmet par mail, SMS ou via un lien le code de vérification à l’utilisateur;
  • L’utilisateur enregistre le code de vérification ou utilise le lien fourni pour signaler via son iPhone qu’il a été testé positif;
  • L’iPhone valide le code auprès d’un serveur de vérification des tests.

Ensuite, il y a toute une grosse mécanique d’authentification entre le serveur de vérification des tests, l’iPhone et le serveur qui partage les clés ; l’iPhone demande à l’utilisateur s’il souhaite partager les clés utilisées pour générer les pseudonymes ; de là, les données sont envoyées sur le serveur de clés.

Apple fournit un exemple de clés et un exemple de serveur de vérification des tests à cette adresse. Au niveau des intermédiaires, cela se limite à Apple et Google, au serveur de vérifications des tests (qui s’assure que l’utilisateur a bien été testé par un vrai centre de test), et au serveur de clés qui récupère et partage les clés qui permettent de déchiffrer les pseudonymes reçus en Bluetooth.

Les serveurs de vérification des tests et celui des clés sont sous la responsabilité des autorités sanitaires. Et bien sûr, tout ce petit monde ne partage que des clés anonymisées sur des canaux différents : les données sensibles ne se croisent à aucun moment.

Source: iGeneration