StopCovid l’application de tracking mal partie - Décryptualité du 27 avril 2020

Titre :
Décryptualité du 27 avril 2020 - StopCovid l’application de tracking mal partie
Intervenant·e·s :
Nolwenn - Nico - Manu - Luc
Lieu :
April - Studio d’enregistrement
Date :
27 avril 2020
Durée :
13 min
Écouter ou enregistrer le podcast

Revue de presse pour la semaine 17 de l’année 2020

Licence de la transcription :
Verbatim
Illustration :
The Bluetooth logo, Wikimedia Commons - Domaine public

Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l’April, qui ne sera en aucun cas tenue responsable de leurs propos.

Description

StopCovid, l’application censée aider à prévenir le développement de l’épidémie donne lieu à beaucoup de discussions, d’avis contradictoires et semble bien mal partie.

Transcription

Voix off de Luc : Décryptualité.
Voix off de Nico : Le podcast qui décrypte l’actualité des libertés numériques.
Luc : Semaine 17. Salut Manu.
Manu : Salut Nolwenn.
Nolwenn : Salut Nico.
Nico : Salut Luc
Luc : Qu’a-t-on au sommaire cette semaine ?
Manu : Un gros sommaire qui parle beaucoup de covid, forcément.
Luc : Incroyable !
Nolwenn : atlantico, « Jitsi, l’appli open source pour échapper aux failles et dangers de Zoom ».
Manu : On reparle d’une application, de cette application de conférence vidéo qu’on est en train d’utiliser en ce moment-même pour enregistrer, qui marche plutôt bien, on en est assez contents. Rappelons qu’il y a plein de problèmes de sécurité qui ont été remontés pour Zoom, donc Jitsi fait sa pub, quelque part, sur le sujet, notamment parce que c’est du Libre. Tout le monde en parle et l’utilise en ce moment.
Nolwenn : Le Figaro.fr, « Mobilisation générale pour développer l’application StopCovid », un article de Elsa Bembaron.
Manu : Développer cette application c’est pour essayer de tracer les contacts des gens. On va en parler juste après.
Nico : francetv info, « “On est en pleine guerre informatique” : après le coronavirus, faut-il s’attendre à une autre crise ? », un article d’Antoine Marquet.
Manu : Il semblerait qu’en ce moment-même il y a beaucoup d’attaques informatiques qui ont lieu, notamment dans les hôpitaux, c’est bizarre, c’est rageant. Il faut se préoccuper du futur parce qu‘aujourd’hui on se rend compte qu’Internet est indispensable, c’est une brique nécessaire au fonctionnement de la société mondiale, donc il faudrait s’assurer que ça continue à être le cas, notamment en s’assurant que ça soit un outil hyper-solide et qu’il le reste. Éviter la centralisation.
Nolwenn : Il n’y a pas que les hôpitaux, il y a aussi tous les instituts de recherche qui sont attaqués.
Manu : Oui. Ça a l’air d’être un gros truc en ce moment, on ne sait pas trop d’où ça vient. On en reparlera peut-être si on découvre des informations là-dessus.
Nolwenn : FZN, « Open Covid Pledge : l’Open Source au service de la lutte contre le Covid-19 ? », un article de Micka.
Manu : C’est une sorte de mobilisation où on est d’accord pour mettre en commun ce qui est inventé, découvert, créé pour combattre le Covid-19 et sa propagation. C’est plutôt sympa parce tout ça c’est un peu l’esprit du Libre, on met en commun, on partage et on ne s’attaquera pas sur ce qui a été créé, donc c’est plutôt bien.
Nolwenn : Siècle Digital, « L’UE lance une plateforme de données dédiée au partage d’informations sur le Covid-19 ? », un article de Valentin Cimino.
Manu : Il va falloir qu’on aille jeter un œil, parce que c’est vrai que c’est plutôt une bonne idée. Il y a beaucoup d’initiatives qui sont lancées dans le monde entier, donc une institution un peu majeure qui essaye de regrouper, de proposer un pôle où on peut se retrouver. Ce n’est pas mal, c’est une bonne idée, mais il faut aller voir comment c’est implémenté.
Nolwenn : cio-online.com, « L’Université de Nantes déploie sa bureautique collaborative en ligne en interne ? », un article de Bertrand Lemaire.
Manu : C’est un gros truc, il y a des dizaines de milliers d’utilisateurs potentiels. Ça fait plaisir, c’est plutôt bien. L’article est payant, malheureusement, donc je n’ai pas pu tout regarder mais c’est plutôt intéressant. Je pense qu’on risque d’en reparler dans un prochain podcast.
Nolwenn : UP’ Magazine, « Les communs, pour un autre futur du travail ? », un article de Grégoire Epitalon.
Manu : Oui, tout le monde parle futur parce qu’on essaye de réfléchir à l’après covid, notamment dans le contexte du travail où les communs, donc une autre organisation économique, peut être intéressante à creuser, à mettre en place. On peut toujours avoir cet espoir, l’article met ça en avant.

Le sujet du jour, je vous propose, on va parler du covid !
Luc : Encore ! De StopCovid, l’application ou, en tout cas, le projet d’application pour surveiller tout le monde pour essayer d’enrayer l’épidémie.
Nico : Ça fait un peu gros bordel en ce moment. Il y a plusieurs projets pour faire cette application-là qui sont arrivés à peu après en même temps et aujourd’hui la France est en train de prendre des directions assez bizarres. Il y a une guerre avec Google, Apple, etc. Donc c’est un vrai bordel autour du sujet.
Manu : On peut déjà reprendre ce qu’est l’idée de base de cette application, parce qu’il y a peut-être plein de gens qui nous écoutent qui n’ont pas trop de vision là-dessus ?
Luc : À quoi ça sert. Ce n’est pas très clair pour moi non plus.
Nolwenn : Si jamais vous êtes quelqu’un qui est tombé malade, en fait, le problème qu’on a, c’est de savoir qui vous avez pu rencontrer avant de tomber malade qui pourrait potentiellement tomber malade à son tour, pour essayer, justement, de limiter le plus possible le cas d’une contamination exponentielle. Pour ça, une des solutions qui peut être envisagée et mise en place, c’est justement une application sur votre téléphone qui pourrait savoir qui vous avez rencontré dans votre entourage au fur et à mesure que vous vous êtes déplacé, donc de pouvoir prévenir ces personnes-là qu’elles ont rencontré quelqu’un qui est tombé malade.
Luc : Et éventuellement les tester, etc. On comprend que ça surveille tout le réseau de relations, exactement le genre de choses qu’on n’aime pas du tout. C’est un système de surveillance, mais effectivement, en période d’épidémie, c’est un outil fort utile.
Nico : Sauf que derrière il y a plein de problèmes aujourd’hui. Déjà la vie privée, parce que quand on cherche à créer le graphe de relations entre les personnes, ça veut dire que ça peut être un vrai mouchard de poche en fonction de comment c’est utilisé. Il y a le problème, aujourd’hui, que ça passe par les smartphones, du coup il y a du Google et du Apple dans la boucle avec toutes les situations de monopole et qu’ils ne sont pas enclins à faire ce que les États demandent et là, pour le coup, ils ont plutôt tendance à protéger leurs utilisateurs. Du coup, ça donne des choses assez compliquées. Aujourd’hui les politiques français ont décidé de faire leur truc dans leur coin en essayant d’imposer à Google et Apple d’ouvrir les portes en grand à la surveillance de masse et en passant par des grosses boîtes, les grosses SSII [Société de services et d’ingénierie en informatique] qui ont été responsables d’énormément de fiascos logiciels, on en a déjà parlé ici, Louvois [Logiciel unique à vocation interarmées de la solde], plein de logiciels comme ça qui ont fini dans des situations complètement catastrophiques. Il y a tout qui se concentre ici et il faut trouver une solution d’ici 15 jours.
Nolwenn : Oui, mais ça c’était avant. Maintenant elles ont retenu les leçons du passé, elles ne vont pas recommencer !
Manu : On peut remarquer que plus ou moins tous les pays essayent de partir sur cette piste de faire une application pour les téléphones portables parce que tout le monde, plus ou moins, a un téléphone portable, donc avec cette idée d’outiller tout le monde et de pouvoir suivre sa population. C’est déjà un petit peu ce qui se passe avec les opérateurs téléphoniques qui ont des informations de masse, plutôt anonymisées et ça leur permet d’avoir une idée des mouvements des foules. Mais là, c’est pour être plus précis et essayer de savoir…
Luc : Qui a rencontré qui.
Manu : Aujourd’hui tous les pays le font plus ou moins ; l’Autriche, l’Australie, l’Allemagne, la Grande-Bretagne sont en train de travailler sur différents outils. Il y a des protocoles qui ont été imaginés, qui ont été réfléchis et il faut remarquer que la France, l’Allemagne et la Grande-Bretagne ont une idée, c’est de pouvoir centraliser sur des serveurs sous leur contrôle, pour savoir qui a rencontré qui. Et tout ça, cette idée de centralisation, c’est bloqué par les téléphones parce que, sur les téléphones, Apple, Google ne permettent pas facilement d’ouvrir les connexions, ce qui s’appelle Bluetooth, c’est le protocole qui va être utilisé pour que les téléphones qui se rencontrent se fassent : « Bonjour je suis untel – Bonjour, je suis untel », c’est grâce à Bluetooth. Effectivement Apple, Google, bloquent et ne veulent pas que ce soit centralisé. C’est un peu gênant et d’ailleurs l’Allemagne vient de bouger sur le sujet.
Nolwenn : Il y a quand même un paradoxe intéressant dans ce que tu viens de dire, Manu, c’est que Google et Apple font quand même partie de ce qu’on appelle les GAFA ou les GAFAM, qui ont tendance, justement, à centraliser tout ce qui est données. Et là, comme ce n’est pas eux qui ont eu l’idée, ils ne veulent pas que ce soit centralisé ? C’est ça le truc ?
Nico : Ils veulent surtout que ce soit centralisé chez eux et pas chez un tiers. Le problème derrière c’est le tracking publicitaire ou, en tout cas, détournement de la finalité, parce que le Bluetooth donc le BLE [Bluetooth Low Energy] a été utilisé au tout départ des Android et iPhone, c’était autorisé, sauf que tous les marketing et autres s’en sont servis pour faire du tracking à courte portée. Même si vous n’aviez pas la géolocalisation active, ils arrivaient à savoir pour où vous étiez passé, il y a avait même des gens, des commerces qui mettaient des balises pour détecter que vous étiez dans le coin. Du coup ils ont dit stop, on arrête ça, on referme le système pour protéger la vie privée des utilisateurs.

Donc aujourd’hui, ce qu’ils veulent absolument éviter c’est que le BLE soit rouvert à tout le monde, donc que ce soit utilisé pour covid mais aussi pour d’autres usages qui seraient beaucoup moins respectueux de la vie privée des gens. Donc ils veulent bien centraliser, mais à condition que ça soit sur leurs machines et ne pas autoriser ces données-là à l’extérieur de chez eux.
Manu : Donc là il y a un conflit. L’Allemagne, la France, la Grande-Bretagne et d’autres essayent de pousser ces opérateurs pour qu’ils acceptent d’ouvrir le protocole Bluetooth en permanence et qu’ils puissent obtenir ces données. Mais oui, ça bloque !
Luc : Je crois que l’Allemagne vient de faire le choix des GAFAM pour le coup. Eux ont changé leur fusil d’épaule en disant « on a besoin d’eux et on fera avec eux ».
Manu : Il y a eu un coup de tonnerre aujourd’hui, mais on ne connaît pas encore les conséquences de ça, il semblerait que la France aussi se soit retirée de son StopCovid.
Nico : La France fait assez pire. Au départ elle faisait partie d’un énorme consortium [PEPP-PT - Pan-European Privacy Preserving Proximity Tracing] qui s’est monté au niveau européen, qui a explosé un peu en vol parce que, justement, il y avait des intérêts privés, un peu bizarres, etc. Le truc était orienté très recherche avec l’Inria en particulier qui était moteur sur le sujet. Le truc a été complètement refermé, mais la France avait dit « nous on continue quand même à publier », donc ils avaient déjà mis des dépôts de code source à disposition, etc.
Manu : Sur GitHub.
Nico : Dans GitHub. Et là ils ont tout fermé, les dépôts ont été fermés, les codes sources ont été retirés, tout le système, justement, a été filé à des grosses boîtes, on parle de Sopra Steria, de Capgemini, etc., qui vont récupérer le bébé et forcément elles l’open source, le Libre, on n’en parle même pas. Donc elles ont tout fermé, tout cloisonné et la France s’est retirée du groupe européen qui travaille sur les algos, les protocoles et toute la réflexion autour de la vie privée.
Manu : Ce qui est un scandale en soi parce qu’il y avait beaucoup de débats, y compris politiques, dans les commissions les députés avaient discuté du sujet, et il était bien important que ce soit en Libre, qu’on ait accès à tout, qu’on puisse tout voir pour la transparence et s’assurer de ce qui se passe. Là, s’ils font quelque chose de propriétaire en passant par des grosses boîtes qui ont un historique de faire des mauvaises choses, ça risque de créer des gros problèmes.
Luc : Je ne serais pas étonné qu’une des motivations du gouvernement là-dedans c’est de financer ces grosses boîtes. Ils aiment bien donner de l’argent aux grosses entreprises.
Manu : C’est déjà arrivé avec d’autres présidents dans le passé. On se rappellera des emprunts Sarkozy qui ont beaucoup aidé des entreprises françaises.
Luc : C’est ça, et puis ce sont des grosses boîtes où les haut-fonctionnaires peuvent aller pantoufler, donc c’est une bonne aubaine de verser de l’argent dedans.

Après, effectivement, il y a toujours cette inquiétude de l’effet cliquet. On a besoin, parce qu’on est en période exceptionnelle d’épidémie, d’avoir un outil de traçage des gens qui fait le réseau de relations, mais, comme très souvent, dès lors qu’on va s’autoriser à franchir une limite on ne revient pas en arrière, on ne revient pas au niveau où on était, et on se dit « c’est bon on l’a fait, on n’est pas mort, eh bien on va continuer sur cette voie-là ». C’est d’autant plus facile quand, effectivement, on a un système fermé, verrouillé.
Manu : Pour le coup, Google et Apple, en bloquant ces efforts de centralisation, eh bien oui, effectivement, ils vont dans notre sens, c’est énervant !
Nico : Là, pour le coup, oui, ils défendent bien les utilisateurs, surtout sachant que les groupes de travail justement au niveau européen avaient trouvé un protocole qui était à peu près respectueux de la vie privée et qui ne pose pas tant de questions.
Manu : Le protocole ROBERT [ROBust and privacy presERving proximity Tracing] ? C’est de ça dont tu parles ?
Nico : Non DP-3T [Decentralized Privacy-Preserving Proximity Tracing], le premier. Il y avait deux concurrents. Il y a DP-3T qui est justement assez respectueux de la vie privée, voire très respectueux de la vie privée, qui évite de conserver le graphe social des gens, etc. Et il y avait l’équivalent qui est ROBERT en France et qui, en sachant un peu plus sur la notion de vie privée pour aller plus vite ou pour des problématiques techniques, etc. en tout cas était beaucoup moins respectueux. Sur le papier DP-3T est assez joli comme solution et, en gros, personne n’a accès au réseau social d’une personne, donc c’est plutôt assez joli et assez élégant.
Luc : Je tiens à préciser : ROBERT c’est comme le prénom Robert, ils ont quand même trouvé un protocole qui se nomme ROBERT. À vue de nez, comme ça, ça me le rend sympathique !
Manu : Oui, mais pour un protocole que tu veux proposer au monde entier, que tu veux vraiment propager, faire en sorte que tout le monde utilise, ça fait un peu bizarre.
Nolwenn : Ça fait un peu dictionnaire !
Manu : Oui, effectivement. Sachant que le protocole respectueux, le protocole décentralisé, je crois que c’est une université suisse qui le propose, mais pas que. Et effectivement Apple, Google, c’est ce qu’ils ont l’air de favoriser.
Nico : En fait dans DP-3T ce n’est plus vraiment un problème de centralisation-décentralisation, puisque dans les deux modes ça sera envisageable, il y a tellement peu de données que dans la version centralisée ça ne pose pas de soucis, mais la problématique avec Google et Apple c’est effectivement l’accès au BLE et que, sans l’accès au BLE, de toutes façons toutes les applications vont échouer. Ça a été prouvé avec ce qui s’est passé en Asie et le covid. Ils avaient une application de ce type-là mais ils se sont rendu compte qu’au bout de dix minutes les applications étaient tuées par les smartphones, du coup ça ne collectait plus rien et ça a été un échec monumental. Le risque de la solution française c’est que sans les Google, Apple, etc., on va avoir une application qui va être faite par des mauvaises boîtes, dans des mauvaises conditions, sans être libre et, en plus, qui ne fonctionnera pas à terme.
Luc : Donc au final, d’un point de vue des libertés ce n’est plutôt pas mal parce que tu es en train de nous prédire le fait que ça va se planter. Par contre, d’un point de vue financier et d’un point de vue de la gestion de l’épidémie, ce n’est pas une bonne nouvelle.
Nico : Il a aussi une question d’habituer la population. On commence à mettre ça dans la poche de tout le monde : « eh bien oui, si on l’a fait pour covid on peut le faire pour autre chose derrière ! »
Manu : Pour le terrorisme.
Nolwenn : Ce qui est navrant c’est qu’au départ c’était un projet où il y avait de bonnes idées, de bonnes pratiques, justement mettre le code en open source, que tout le monde puisse l’auditer. C’était quand même aussi, à la base, financé avec de l’argent public. Je crois que c’est toujours financé avec de l’argent public sauf que, maintenant, on ne va plus pouvoir auditer le code, donc on ne va pas vraiment savoir ce que fait l’application. On va devoir croire sur parole des industriels qui vont nous dire que oui, ça respecte la vie privée et tout ça, sauf qu’on n’en aura aucune idée, on ne saura pas dans quelle mesure l’application ne va pas, par exemple, aller fouiller dans nos agendas ou dans nos listes de contacts personnels et ce n’est pas forcément très sain non plus pour la protection de la vie privée. Il y a ça et il y a aussi est-ce que l’application va nous permettre, si on sort, d’activer le Bluetooth et quand on est chez nous de le désactiver ou est-ce que le Bluetooth devra être tout le temps actif ? Ça on n’en sait rien.
Nico : Ça commence déjà à parler de restreindre l’accès à certains magasins ou à certains lieux publics ; on pourra uniquement si on a une application mobile active. Ça se détecte parce que du coup votre téléphone émet en permanence du Bluetooth, donc si vous n’avez pas le Bluetooth actif, eh bien vous n’avez pas le droit de rentrer.
Manu : Tout ça c’est en cours de fabrication. On ne sait pas exactement ce que ça va donner. Ça bouge, c’est en train de changer en ce moment même, au moment où on en parle. Je suppose qu’il y aura des articles qui vont présenter un petit peu tout ce qui se passe dans les semaines qui viennent.
Nico : On verra bien dans quelques jours.
Luc : Très bien. Merci à tout le monde. On se retrouve la semaine prochaine.
Manu : À la semaine prochaine.
Nolwenn : Bonne semaine.

Avertissement : Transcription réalisée par nos soins, fidèle aux propos des intervenant⋅e⋅s mais rendant le discours fluide. Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.