StopCovid : une application ouverte, mais pas si open source que ça

StopCovid : quelles sont les entreprises engagées ?

L’application de notification de contact avec un porteur du COVID-19, est le fruit d’une collaboration entre organisations publiques et privées. La startup Lunabee Studio, basée à Chambéry, est chargé du développement des applications sur Android et iOS, épaulée par Capgemini pour le développement back-end et la conception de l’architecture.
Dassault Systèmes, via sa filiale 3DS Outscale hébergera les données nécessaires à l’identification des chaînes de contamination sur son cloud de type souverain certifié SecNumCloud. Orange s’occupera de la diffusion de l’application. Withings l’adaptera sans doute à ses objets connectés. Le champion du suivi de santé, un temps propriété de Nokia, n’a pas précisé son rôle dans le projet.

L’Inria coordonne le projet, se charge du choix de protocole de connexion entre les smartphones et des aspects de privacy-by-design. L’ANSSI tient son rôle de consultance en cybersécurité (avec les prestataires PASSI), l’Inserm définit les aspects liés à la santé, tandis que Santé Publique France tient un rôle d’intégration de StopCovid dans le dispositif numérique mis en place par l’État.

La liste de consultants-contributeurs est composée d’une dizaine d’individus et 18 organisations dont Thales, Bertin Technologies, Accenture (via sa filiale Octo), Sia Partners, Atos ou encore Sopra Steria.

Enfin la CNIL, qui a validé le projet sous certaines conditions, doit maintenant juger de la pertinence de l’application au moment de sa disponibilité.

Un modèle de transparence déjà mis à rude épreuve 

La publication le 12 mai d’une série de documents dans un Gitlab administrée par l’Inria apparaît comme un premier geste pour répondre aux demandes d’ouverture du code. Seulement, les observateurs aguerris, dont Baptiste Robert, chercheur en cybersécurité, estiment que l’effort n’est pas suffisant.

Le GitLab en question contient avant tout les grands principes de mise en œuvre de l’application ; les recommandations de l’ANSSI, de la CNIL, l’approche DevOps nécessaire à sa conception et surtout le SDK du protocole de traçage ROBERT (ROBust and privacy-presERving proximity Tracing).

Ce composant à la racine de StopCovid active la fonction Bluetooth du smartphone pour observer l’historique de contacts entre utilisateurs de l’application. La portée serait hypothétiquement de 100 mètres, mais le protocole Bluetooth a cette fâcheuse habitude de perdre en efficacité dès 50 mètres de distance suivant les terminaux qui en sont dotés. Il s’agit également de constater si le protocole respecte bien sa promesse de confidentialité. Pour rappel, il doit seulement notifier un individu en cas de contact avec un porteur du coronavirus, non pas le géolocaliser.

En soi, la promesse de transparence semble difficile à tenir. Le projet StopCovid combine au moins deux licences, une MPL 2.0 (Mozilla Public licence), destiné au dépôt de code public et l’autre ad hoc pour tous les composants propriétaires utilisés dans le cadre du projet.

L’Inria l’affirme, il est possible de contribuer à l’évolution du protocole ROBERT, dans un premier temps, et du middleware d’intégration associé (API), dans un second temps. Le reste des composants utilisés, dont le back-end et le front-end, reste à la discrétion des acteurs engagés. La période de contribution pourra s’étendre jusqu’au 15 juin pour les contributeurs internes et ceux invités par les porteurs du projet. Les contributions publiques n’auront lieu en principe qu'après cette date.

Le déploiement de StopCovid – malgré l’importance des acteurs engagés – est soumis à de nombreuses conditions. Dès lors sa disponibilité le 2 juin prochain semble incertaine. Si l’objectif est atteint, sa durée de vie sera courte, tout au mieux jusqu’à la fin du maintien de la loi d’urgence sanitaire, pour l’instant prévue pour le 10 juillet prochain.