Le gouvernement s'était engagé à la transparence autour du projet d'application StopCovid, en publiant notamment son code source. Une première partie a été rendue publique mardi mais "on est très, très loin de ce qu'on nous avait promis" estime le hacker et expert français en cybersécurité Baptiste Robert.

L'application StopCovid sortira-t-elle à temps, et dans quelles conditions ?
L'application StopCovid sortira-t-elle à temps, et dans quelles conditions ? © AFP / Idriss Bigou-Gilles / Hans Lucas

Cela fait presque un mois et demi que son développement est lancé, mais StopCovid continue de piétiner. Pourtant, selon Cédric O, secrétaire d’État au Numérique, cette application qui doit permettre de retracer les éventuels contacts avec des malades sera accessible le 2 juin. D’ici là et conformément à la volonté de transparence du gouvernement, l’Institut national de recherche en informatique et en automatique (Inria) qui pilote le projet, a publié une première partie du code source de l’application sur une plateforme de développement. Dans un second temps, sans échéance précise, le code plus complet pourra être mis à l'épreuve par la communauté des développeurs.

Mais pour le moment, il n'a rien d'une application utilisable : ce n'est qu'un socle, traduction d’une simple partie du fameux protocole Robert présenté mi-avril, bref juste une infime partie de tout ce dont StopCovid a besoin pour fonctionner. Décryptage avec le hacker et expert en cybersécurité, Baptiste Robert.

FRANCE INTER : Vous avez analysé pour France Inter la partie de code source de StopCovid mise en ligne hier, qu'avez-vous appris ? 

BAPTISTE ROBERT : "Ça a été assez rapide, puisque, pour le moment, on n'a en réalité pas grand chose. L'Inria a publié ce qu'on appelle le SDK Robert. Le SDK s'avère être un ensemble de méthodes qu'on va mettre à disposition des développeurs pour construire par dessus leur application. C'est grosso modo une brique logicielle qui va être utilisée par l'application, et cette brique logicielle est là pour éviter que les développeurs en charge de StopCovid aient à implémenter le protocole qu'on appelle Robert, choisi par la France pour faire du contact tracing. Il faut quand même reconnaître que le peu que l'on a est plutôt bien codé, bien fait."

Il ne s'agit donc que d'une traduction codée de ce fameux protocole Robert ?

"Les fichiers qu'on a ne sont pas une application. C'est une version codée, mais pas tout à fait, puisque c'est la version codée mais uniquement du côté application. Or, le protocole Robert, principalement, s'avère être de la discussion entre une application et un serveur. Et là, il n'y a aucune communication, ça n'a pas du tout été implémenté. Et on n'a pas non plus l'implémentation côté serveur. On est très, très loin de ce qu'on nous avait promis. Là, on n'a même pas du code de StopCovid : ce n'est que le début du commencement d'une brique logicielle utilisée potentiellement par l'application. Même si je me sers de cette base pour créer ma propre application, elle ne servira à rien puisque je n'ai pas le côté serveur. Le problème, c'est que le protocole Robert est un protocole décentralisé, dans lequel la plupart des décisions se font côté serveur."

N'est-ce pas tout de même un premier pas pour la transparence promise par le secrétaire d'État au Numérique, Cédric O ?

"Ce n'est absolument pas ça : on nous a donné les miettes et on espère qu'on va s'en contenter. Sauf que sans la publication du code de communication entre l'application et le côté serveur et le code serveur, il n'y a absolument pas de transparence. Ce n'est pas comme ça que l'on fait de l'open source. Si l'on veut vraiment être transparent, on met le code et on permet à tout le monde de voir les activités en cours, ce qui se passe, de permettre aux utilisateurs de créer ou signaler des problèmes. S'ils étaient très contents du projet, ils n'auraient aucune raison de faire de la rétention. Puisqu'ils ont affirmé politiquement qu'ils feraient preuve de transparence et qu'ils ne le font pas, c'est que techniquement, il y a sûrement des difficultés derrière."

Pouvez-vous quand même contribuer à améliorer le code actuellement en ligne ? 

"Ça n'a pas d'intérêt d'apporter quoi que ce soit...  Comment on ne sait pas vraiment ce qu'il se passe et qu'on n'a qu'une brique qui est aujourd'hui assez minimale, contribuer là-dessus n'a pas vraiment de sens."

Vous semblez pessimiste sur l'avenir de l'application... 

"On va arriver sur une question de timing... La France a commencé à se confiner, on nous annonce une sortie officielle de l'application pour le 2 juin. Conditionnez tout ça à un débat à l'Assemblée nationale, à la fin de l'état d'urgence sanitaire le 10 juillet et à la limitation d'utilisation de l'application restreinte à la seule gestion de l'épidémie : en réalité, le temps est compté. S'ils veulent faire de l'open source, publier le code, dans trois ou quatre semaines, ce sera trop tard. C'est un projet qui accumule les problèmes de part une volonté politique de se différencier du reste de la planète. On veut tout faire différemment, on veut tout faire avec notre propre rythme, avec nos propres outils, notre propre équipe. Tout ça pour conserver une espèce de souveraineté. Et en réalité, on risque de finir sans application, sans aucune solution."

Ce contenu n'est pas ouvert aux commentaires.