StopCoviD : La première publication du code source de l’application de traçage serait vide et sans intérêt
Le 12 mai c’est-à-dire hier, le gouvernement procédait officiellement à la publication d’une partie du code source de StopCoviD, l’application de traçage mobile qui est censée aider durant la seconde phase du processus de déconfinement.
Les experts n’ont pas manqué immédiatement de signifier que ces bouts de code mis à la disposition étaient tout simplement inutiles. Et cela a propulsé une controverse concernant la possibilité d’accéder à l’intégralité du code source.
Cet article va aussi vous intéresser : StopCoviD, le déploiement de plus en plus polémique
Le 8 avril dernier, soit il y a un mois de cela, M. Cédric O, le secrétaire d’État chargé au numérique promettait que le code source de l’application serait « public, auditable par n’importe qui ». Après la déclaration, plus rien n’avait encore été publié jusqu’au 12 Mai. La personne choisi pour la publication du coude est GitLab, une alternative de Github de Microsoft. « Comme s’y est engagé le gouvernement, l’équipe projet démarre la publication du code source et de la documentation de l’application StopCovid. La suite très vite ! », écrit le secrétaire Cédric O sur Twitter, pour saluer à sa manière le fait que le gouvernement est tenu sa promesse. Il a alors profité pour partager le lien du GitLab.
Pour le moment des réactions tourne entre déception, dérision et colère. En attendant que le reste du code source soit publié, car les critiques sont plus que négatif. Le code mis en ligne est totalement inutile et vide. Les spécialistes affirment ne va pouvoir travailler sur la question, car il est impossible de pouvoir analyser les instructions de l’application. Et les réponses aux messages de secrétaire numérique mettaient ce problème en avant : « Il n’y a pas le code source de l’application, mais uniquement du protocole Robert », notait le premier intervenant. « Belle transparence, aucun code source applicatif juste la documentation… et ses révisions », ajoute le second. « Pas de sources disponibles du backend serveur », révélait un troisième. « Il n’y a rien du tout, c’est du helloWorld rien de plus… ce n’est même pas une app, c’est des bouts de code d’un début de projet », concluait le dernier intervenant. Concernant le protocole Robert qui avait été publié auparavant, les experts qui avaient fait des remarques et apporté des propositions d’amendement n’ont pas pu vérifier si leurs interventions ont été prises en compte. Cet aspect est mis en avant par Olivier Blazy, maître de conférences, expert en cryptographie : « Il va falloir jouer au jeu des 7 différences pour voir si les problèmes reportés depuis plusieurs semaines ont été patchés ».
En dépit des remous et les critiques, il se pourrait que la situation change d’ici quelques semaines, voire les jours à venir. Peut-être pour défendre l’équipe en charge du développement de l’application, l’on pourrait dire qu’elle préfère procéder étape par étape. Mais cela est mal perçue par les spécialistes et autres personne qui suivant cette actualité. Car ces stratégies ressemblent trop à de la communication politique qui n’apporte rien de concret. Surtout que le déploiement est prévu pour le mois de juin, en d’autres termes dans quelques semaines. Ce qui ne laisse pas suffisamment de temps pour une analyse profonde du code source même s’il était publié ces jours-ci et faire des retours dans la mesure où il y aurait des imperfections à revoir avant son déploiement.
Cette première publication a soulevé un autre problème. En effet si l’application était censée être Open Source c’est-à-dire, vérifiable et auditable par n’importe qui, il a été mentionné dans la publication dire que certaines parties du code de StopCoviD ne pourrons être visionnées par le public, donc demeureront confidentiel. C’est ce qui a été annoncé par l’Institut en charge du projet c’est-à-dire l’INRIA (Institut national de recherche en informatique et en automatique). L’argument avancé par l’Institut explique que la partie qui restera confidentielle porte sur un ensemble de monture pour la sécurité de l’infrastructure. Bien sûr cela s’oppose totalement à ce qui a été prévu depuis le début en adéquation avec les recommandations et exigences faites par les agences gouvernementales et européennes. En effet, l’Agence nationale de la sécurité des systèmes d’information notait à cet effet que « tous les travaux menés dans le cadre du projet StopCovid seront publiés sous licence open source afin de garantir l’amélioration continue du dispositif et la correction d’éventuelles vulnérabilités » et qu’il fallait éviter de mettre en place des méthodes « d’obfuscation du code », en d’autres termes, utiliser des moyens pour cacher du code. Dans cet ordre, Guillaume Poupard le directeur de L’ANSSI déclare suite à la première publication du code source : « Dans le strict champ de la sécurité numérique, si on veut être capable de faire ça proprement, ça veut dire que l’application qui va être mise sur les téléphones doit être bien conçue, propre et de confiance. Ça veut dire qu’elle doit être bien développée, auditée et transparente, avec la publication du contenu de ce code ».
Accédez maintenant à un nombre illimité de mot de passe :