L’application COVI de Mila, l’Institut québécois d’intelligence artificielle, devrait être lancée d’ici la mi-juin. Il faudra qu’elle soit adoptée par un large pan de la population pour être efficace, mais les experts soulèvent des questions concernant la légitimité de la démarche et expriment leurs inquiétudes. Ailleurs dans le monde, les modèles ne génèrent pas encore de résultats probants.
Comment ça marche?
Poignée de main virtuelle entre deux téléphones munis de l’application
Les utilisateurs téléchargent l’application sur une base volontaire. Ils y inscrivent leurs informations comme l’âge, le poids, et le sexe. S’ils ont récemment croisé un autre usager ayant téléchargé l’application, et que cet individu croisé affirme dans l’appli avoir attrapé la COVID-19, ils recevront des recommandations de mesure d’hygiène en fonction du risque perçu par l’application.
Nourrir l’intelligence artificielle pour prédire le cours du virus
Les utilisateurs peuvent consentir à ce que ces informations soient récoltées de façon anonyme pour nourrir le modèle épidémiologique de Mila. Ce modèle, outillé d’intelligence artificielle, pourrait faire des prédictions quant à des éclosions à prévoir sur différents territoires.
Mila fournira des modèles épidémiologiques générés par ces données à la Santé publique. Il faut savoir que les données :
- sont toutes facultatives
- sont supprimées du téléphone tous les 30 jours
- sont supprimés des serveurs de MILA tous les 90 jours
- ne sortent pas du Canada
- ne sont pas vendues aux gouvernement du Québec et du Canada
De plus, l’adresse IP et le nom ne sont jamais communiqués au serveur.
Des interrogations sur la gestion des données
Si on applaudit la publication d’un White Paper qui explique la démarche technique et explore les failles potentielles, le milieu de la cybersécurité au Québec voit d’un mauvais oeil ce qu’il caractérise comme une gestion autrement opaque de l’application.
“Le problème de COVI Canada, l’OBNL conçue pour gérer ces données,” explique Jean-Philippe Décarie Mathieu, chef de la cybersécurité à Commissionnaires du Québec, “c’est que ça se veut comme organisme indépendant mais c’est géré par les mêmes personnes qui ont développé l’application. C’est pas assez de nous dire “faites-nous confiance”…”
“Le C.A. est en formation,” explique Vincent Martineau le porte-parole de Mila. “On a annoncé Louise Arbour et Louise Otis, deux ex-juges, je remettrais jamais en doute leur jugement. C’est pas pour rien que ces femmes ont accepté, c’est qu’elles donnent l’aval à COVI. Elles pensent que ce que le professeur Bengio a développé avec son équipe, c’est le meilleur outil” assure-t-il.
Sans la nommer, Vincent Martineau, affirme qu’une grande entreprise canadienne participe à un audit de l’application depuis déjà deux semaines maintenant.
Des réserves sur l’efficacité
“Ces applications, ça marche pas vraiment, c’est ça le problème”, explique Jean-Philippe Décarie-Mathieu. “On l’a vu en Islande, à Singapour. En Islande avec un niveau d’adoption de 40%, ça fait pas la différence. Ils sont 400 000. Juste dans la grande région de Montréal, on est dix fois plus.” Du côté de Singapour, Trace Together est utilisé par 25% de la population, mais son impact est limité. “C’est pas ça qui fait une différence, c’est la distanciation physique et le port du masque.”
“L’utilité demeure tant qu’on n’a pas de vaccin,” rétorque Vincent Martineau. Celui-ci avance que l’application contribue au large éventail de ressources mobilisées pour freiner la progression de la COVID-19. “C’est un outil, surtout avec ce que nous on propose avec l’IA, qui permet de prédire une deuxième vague ou une troisième vague. Sans vaccin, ça va demeurer utile.”
Jour Zéro
L’empressement dans la sortie de l’application la rendrait d’autant plus vulnérable à une attaque de type Jour Zéro. Une entité malveillante passe un temps considérable à tester le code d’un système, avant d’en découvrir une faille majeure, inconnue des développeurs, que cet acteur pourrait revendre à d’autres entités, comme le gouvernement chinois, le FBI ou tout simplement au plus offrant sur le dark web. Selon Jean-Philippe Décarie-Mathieu, les vulnérabilités d’une appli comme celle de Mila pourraient valoir jusqu’à 400 000$ sur le marché noir.
“Mettons que je suis la Chine, je sais que le Canada veut développer une telle application,”, donne-t-il en exemple, “Avec mes coffres bien remplis, je paie un développeur pour le Zero Day de COVI Canada. C’est comme ça que fonctionne l’espionnage industriel.”
Mila compte dévoiler le code de COVI quelques jours avant sa sortie. Selon Jean-Philippe Décarie-Mathieu, ils sont nombreux à attendre la disponibilité de l’app pour la “casser”, mais cet exercice aurait dû être effectué par des professionnels bien avant le dévoilement officiel de COVI.
Et la suite?
“On s’en parle dans le milieu, nous on a des très gros doutes,” avance Jean-Philippe Décarie-Mathieu, qui félicite la méfiance populaire à l’égard des technologies, aussi tardive soit-elle. “Si on est capable de prouver que c’est utile, que c’est fait de manière ouverte et que y aura pas d’exploitation des données nominatives récoltées, j’aurai pas de problème.”
“Y’a des critiques qui sont justifiées, c’est tout à fait normal,” avoue Vincent Martineau. “On aimerait mieux faire le projet plus rapidement, de rendre le code disponible en même temps que le white paper, mais on est en train de faire en deux mois ce qui prend normalement dix-huit mois. Ça créé des frustrations pour nous. Dans un monde idéal, on aurait déjà présenté le code.”
“C’est vraiment garroché,” conclut Jean-Philippe Décarie-Mathieu. “C’est ça le problème.”
NDLR: Une version précédente de cet article présentait une erreur factuelle en matière de certification de l’application COVI de Mila. L’institution est en processus d’obtention de la certification “SOC2”. Le chef de la cybersécurité à Commissionnaires du Québec rappelle qu’il ne s’agit toutefois pas d’un “pentesting” (penetration testing / test d’intrusion) en bonne et due forme.