Le gouvernement s’est félicité le 12 mai du coup d’envoi de la publication du code source de StopCovid. Mais selon l’avis des spécialistes, ce qui a été partagé est pour l’instant une coquille vide. Mais surtout, une controverse est en train d’apparaître sur l’accès à l’intégralité du programme.

C’était un engagement du gouvernement. Dès l’annonce du projet StopCovid, le 8 avril dernier, le secrétaire d’État au numérique, Cédric O, promettait que « le code informatique sera public, auditable par n’importe qui ». Depuis, plus de nouvelles de l’application. Mais le 12 mai, les choses ont enfin commencé à bouger, avec la mise en place d’un dépôt GitLab (et non pas GitHub, qui appartient à Microsoft) pour accueillir les entrailles du programme.

Cet évènement a été salué par Cédric O le jour même, pour démontrer que l’exécutif a tenu parole : « Comme s’y est engagé le gouvernement, l’équipe projet démarre la publication du code source et de la documentation de l’application StopCovid. La suite très vite ! », a-t-il écrit sur Twitter, en partageant le lien du GitLab et un autre de l’institut qui encadre ce programme.

La suite, justement, ferait bien d’arriver rapidement, car les critiques et les moqueries ont fusé immédiatement sur ce qui a été publié le 12 mai. En effet, de l’avis de diverses personnes habituées à travailler avec du code informatique, ce qui est proposé ressemble surtout à une coquille vide. Impossible donc pour les spécialistes de passer aux travaux pratiques en analysant les instructions du logiciel.

Il suffit de lire les réponses en réaction au message satisfait de Cédric O pour s’en rendre compte :

« Il n’y a pas le code source de l’application, mais uniquement du protocole Robert », dit l’un. « Belle transparence, aucun code source applicatif juste la documentation… et ses révisions », ajoute un autre. « Pas de sources disponibles du backend serveur », poursuit un troisième. « Il n’y a rien du tout, c’est du helloWorld rien de plus… ce n’est même pas une app, c’est des bouts de code d’un début de projet », tranche un dernier intervenant.

D’autres moquent aussi les contributions (les commits, dans le jargon des développeurs), qui s’avèrent assez anecdotiques. « J’adore les commits ». La raison ? Ce n’est que du texte, alors que l’on devrait avoir des lignes de code : on a ainsi droit à un commit annonçant par exemple la suppression d’un doublon des recommandations et un autre consacré à l’ajout de la description générale dans Readme.md.

schéma stopcovid

schéma stopcovid

Source : Inria

En somme, il ne s’agit que du protocole Robert, ce qui n’est pas l’enjeu ici. Le protocole a déjà été publié, des experts ont d’ailleurs fait des remontées, mais ils ne savent pas si les corrections ont été prises en compte. C’est ce que souligne Olivier Blazy, maître de conférences spécialisé en cryptographie : « Il va falloir jouer au jeu des 7 différences pour voir si les problèmes reportés depuis plusieurs semaines ont été patchés ».

Bien sûr, cette situation devrait évoluer positivement dans les jours et les semaines à venir. Sans doute l’équipe de StopCovid souhaite-t-elle avancer à petits pas, quitte à envoyer uniquement une première vague de fichiers, même s’ils n’ont pas un grand intérêt. Mais cela passe mal sur les réseaux sociaux, car tout ceci s’apparente à de la communication du gouvernement, sans rien de concret.

Surtout, cette lenteur apparente pose un problème de calendrier : Cédric O a exprimé le souhait de rendre disponible StopCovid début juin, en parallèle de la prochaine phase du déconfinement. Dans ces conditions, cela laisse une fenêtre d’action très réduite pour publier tout le code informatique, laisser le temps aux individus de l’analyser, faire des retours et, le cas échéant, tenir compte des contributions.

Le code source ne sera pas totalement ouvert

Mais plus encore que ce faux départ pour la publication open source de StopCovid — plus de texte qu’autre chose, des graphiques assimilables à de la présentation technique ou marketing et un document PDF –, ce qui inquiète c’est la naissance d’une polémique sur l’accès au code source. Alors que celui-ci devait être public, on commence à lire que certaines parties seront finalement privées.

C’est ce que déclare l’Institut national de recherche en informatique et en automatique (Inria), qui pilote le projet, dans son communiqué du 12 mai. Il est annoncé qu’une partie restreinte ne sera pas publiée, car elle correspond à des tests ou à des parties critiques pour la sécurité de l’infrastructure. En revanche, ajoute-t-il, une documentation présentera les grands principes de sécurité mis en œuvre sur StopCovid.

De fait, cela jette une ombre au tableau, alors que toutes les recommandations émises depuis l’annonce de StopCovid ne cessent d’insister sur le caractère public de ce genre de logiciel, afin de démontrer par les actes qu’il n’y a pas de problème. C’est vrai en ce qui concerne le Conseil national du numérique, la Commission européenne ou encore de l’Agence nationale de la sécurité des systèmes d’information (Anssi).

Ainsi, parmi ses 56 conseils, l’agence assurant la cyberdéfense du pays explique que « tous les travaux menés dans le cadre du projet StopCovid seront publiés sous licence open source afin de garantir l’amélioration continue du dispositif et la correction d’éventuelles vulnérabilités » et qu’il faut se garder d’utiliser des mécanismes « d’obfuscation du code », c’est-à-dire de servir de mécanismes pour cacher du code.

C’est ce que rappelait aussi son directeur, Guillaume Poupard, dans une audition survenue le 12 mai. « Dans le strict champ de la sécurité numérique, si on veut être capable de faire ça proprement, ça veut dire que l’application qui va être mise sur les téléphones doit être bien conçue, propre et de confiance. Ça veut dire qu’elle doit être bien développée, auditée et transparente, avec la publication du contenu de ce code ».

« N’importe qui peut aller vérifier que tout cela est réellement sain et bien fait », ajoute-t-il. « Tout un chacun pourra aller vérifier, y compris les experts indépendants, qui sont parfois très critiques sur ce genre d’application, pourront aller vérifier que ce qui est fait est bien fait et si ce n’est pas le cas ils pourront suggérer des améliorations. C’est toute la logique de ce qu’on appelle l’open source, qui permet d’associer la communauté pour faire progresser les fonctionnalités et la sécurité du système ».

Une logique qui est aujourd’hui fragilisée.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !