StopCovid : l’infrastructure manquante
Jacques Favier*
Dans les Armées, il est une tradition française : préparer, avec l’intervention en théâtre sinistré, ce que l’on appelle le « Jour d’après ». L’objectif est d’accompagner le retour à la vie normale des citoyens et du tissu économique afin d’en assurer au plus vite le bon fonctionnement. Si les armes n’ont pas parlé lors de la crise du Covid-19, les instances officielles ont néanmoins dû s’interroger sur le « Jour d’après » en forgeant le néologisme « déconfinement » et en imaginant une panoplie dont StopCovid se veut non pas le fleuron numérique mais une « brique — par ailleurs incertaine — d’une stratégie globale » pour reprendre les mots d’Olivier Véran.
Cet article, qui développe celui publié le 21 mai sur LA TRIBUNE, se propose de prendre un pas de recul sur les choix des instances officielles à la lumière des débats qui ont nourri l’actualité avant la publication, le même jour, du dossier de presse de StopCovid, qui fait état des choix destinés à être présentés à la CNIL et au Parlement. Il se propose aussi de fixer un horizon au-delà de ce que le site lintern@ute a décrit comme « le chemin chaotique de StopCovid et les questionnements qu’elle a exacerbés ».
Le respect de la vie privé constitue, y compris au sein de la majorité, le principal point d’achoppement des plus véhémentes critiques autour de StopCovid, qu’elles portent sur des facteurs techniques ou des distinguos sémantiques : recours aux géants du numérique ou développement in-house, tracking ou traçage, centralisation ou décentralisation.
La nécessité, pourtant largement acceptée, de disposer d’un instrument permettant la reprise de l’économie tout en cantonnant rapidement les foyers de contagion a malheureusement suscité une série d’annonces de reports puis de débats sur les solutions possibles.
La première conclusion que pourrait en tirer le néophyte concernera les faibles chances de la France de disposer d’une solution satisfaisant ses priorités, voire la probabilité de la voir se rallier finalement, quoique la dernière en Europe aux offres des géants du numérique.
Comment en est-on si vite arrivé à ce point ?
Le gouvernement avait officialisé le 8 avril la mise en place d’une application dite de « traçage numérique » pour smart phones. Le 18 avril, Bruno Sportisse, PDG d’Inria (Institut en charge du pilotage du projet) publiait un article expliquant que « la France participe, au travers d’Inria, à l’initiative PEPP-PT aux côtés d’équipes allemandes, italiennes et suisses». Les équipes d’Inria publiaient donc, conjointement avec leurs partenaires du Fraunhofer, le protocole ROBERT — pour ROBust and privacy-presERving proximity Tracing « qui représente l’état de l’art de nos réflexions sur l’architecture technique d’une application de ‘’contact tracing’’ respectueuse des valeurs européennes ».
Le néophyte peut ici comprendre que ROBERT est un protocole, non une application. Mais peut-il arbitrer entre Bruno Sportisse, polytechnicien, ingénieur en chef du corps des Ponts et Chaussées et docteur en mathématiques appliquées, mais patron (et pur produit) de l’Inria, et ceux qui publient des réfutations ou des critiques, que ce soit Matthew Green, cryptographe spécialisé dans la privacy et professeur à la Johns Hopkins University, Marcel Salathé, professeur à l’EPFL et qui a fait défection après avoir soutenu l’initiative PEPP-PT ? Peut-il arbitrer entre les 9 savants de l’Inria et les 3 du CNRS qui ont signé le texte Le traçage anonyme, dangereux oxymore publié le 21 avril ou les signataires du texte Mise en garde contre les applications de traçage publié le 27 avril (par 155 universitaires dont 77 membres de l’Inria, soutenus par 317 informaticiens), et le camp d’en face avec les 60 soutiens au projet (majoritairement spécialistes en épidémiologie ou en santé) qui signèrent la tribune Pour éviter une seconde crise sanitaire, il faut s’en donner les moyens publiée le 25 avril par Le Monde ? La liste est encore longue, et les experts se multiplient.
Doit-on alors compter le nombre de signataires, voire pondérer leurs nombres par des nombres d’années d’enseignements ou de publications savantes ? Le journal Le Monde a tenté le 27 avril de faire le compte, qui est pour qui est contre, mais certains ont déjà changé de camp… Derrière les signatures des savants, il y a des enjeux d’écoles ou d’équipes et des stratégies de carrière. On l’a vu sur des sujets davantage médiatisés.
Il est clair que ni le néophyte ni le gouvernement ne peuvent trancher de façon neutre, sur une base purement technique. Cédric O, Secrétaire d’État au Numérique, a lui-même abordé la chose par un long billet intitulé StopCovid ou encore ? Son texte publié le 3 mai a d’abord suscité des réactions de ceux qu’inquiètent toute forme de traçage, parce que le respect de la vie privée n’y tenait, comme d’habitude, qu’à une promesse officielle d’agir « dans des conditions très encadrées et proportionnées ». Mais aussi parce que le débat politique promis était reporté à plus tard, d’une façon qui pouvait laisser penser qu’on expérimenterait « sans filet », et que l’on peut difficilement s’en tenir à la promesse selon laquelle StopCovid ne serait pas une application de temps de « paix », le risque existant que l’on trouve toutes les guerres nécessaires pour pérenniser la chose. L’exigence d’un démantèlement ultérieur de l’application n’est d’ailleurs pas portée uniquement par des idéalistes, on l’a entendue reprise par le patron de l’ANSSI devant le Sénat.
La création de l’application StopCovid répondant à l’urgence sanitaire, elle s’inscrit toutefois pleinement dans une mission régalienne. Il faut également reconnaître que le texte de Cédric O ne dissimule ni l’existence des études critiques, ni que « la plupart des failles évoquées sont tout à fait valides », ni que la plupart des réponses à ces critiques techniques sont morales et non techniques (« des garde-fous », « des sanctions pénales » ou encore un « comité de suivi et de transparence »).
Quand il aborde les facteurs techniques, divisant non sans réserve les solutions envisageables entre centralisées et décentralisées, il rappelle que le gendarme européen EDPB a, le 21 avril, avalisé les deux approches, et que si le choix de la France ou du Royaume-Uni irait vers les premières, celui de l’Allemagne et de l’Estonie (pour faire simple) vont vers les secondes. Le ministre, considérant qu’aucune solution n’est infaillible mais que leurs failles sont différentes conclut que la position tant de l’ANSSI que d’Inria est de considérer la solution cryptographique et décentralisée de type DP3T comme plus risquée pour la privacy, au motif que chaque téléphone adhérent aurait la liste de tous les crypto-identifiants des porteurs positifs, et que la liste de ceux-ci serait mieux protégée dans un serveur central bien protégé.
Cependant cette position officielle française devrait inévitablement se heurter à des contraintes intérieures (second passage devant la CNIL et discussion au Parlement le 28 mai, déjà repoussée en avril et qui pourrait être âpre) mais surtout extérieures : discussion avec les Allemands, favorables au protocole DP3T et qui n’ont probablement pas le sentiment d’avoir des leçons à prendre en France, contrainte d’harmonie européenne, enfin et surtout indispensable accord d’Apple et Google pour installer une application rivale sur leurs stores, voire pour accéder pour sa mise en œuvre via Bluetooth (travaillant en « tâche de fond ») aux sous-couches logicielles. Les deux géants s’opposant également à la géolocalisation, la solution « allemande » n’est d’ailleurs pas forcément assurée, non plus, d’un accueil aisé de leur part. On évoque des « discussions » voire des solutions de « contournement ».
Le 7 mai, le Royaume-Uni annonçait qu’il se penchait sur une application mobile décentralisée, soit justement le modèle poussé par Apple et Google. Comme l’Allemagne et l’Italie ont assuré ne fermer aucune porte, tout cela manifeste que la France se retrouve très seule à défendre un choix technique original.
Le poids d’un biais identitaire ?
Le débat technique s’est trouvé finalement tranché de façon toute politique, par le rappel de la souveraineté de l’État, laquelle « ne l’empêche pas de s’appuyer sur des acteurs privés qui maitrisent bien mieux qu’elle certains savoir-faire ». On peut y voir un colbertisme classique dans la place faite à l’écosystème des grandes sociétés françaises et les restrictions opposées aux propositions intéressées des GAFAM. On peut aussi y percevoir un non moins classique « biais identitaire » de la part de nos dirigeants et le poids du « deep state à la française ». On peut aussi, hélas, attendre avec amertume, après le fiasco du moteur de recherche à la française, celui du cavalier seul français dans sa croisade de santé.
Quoi qu’il en soit, il ne s’agit pas ici d’incriminer les seuls « politiques ». Dès le 18 avril, le texte de Bruno Sportisse mêlait les considérations techniques à des jugements de valeur, imputant la posture idéologique à autrui : « les débats sur les avantages supposés d’un système parce qu’il serait décentralisé vis-à-vis d’un autre système parce qu’il serait centralisé ne me semblent pas relever du champ de la rigueur scientifique. Le terme ‘’centralisé’ est souvent utilisé à dessein, en stigmatisant implicitement un État supposé vouloir être traqueur. Des approches supposées être très décentralisées, qui pourraient avoir les faveurs de communautés réticentes à accorder leur confiance à une autorité centrale, peuvent présenter des faiblesses majeures en matière de protection de la vie privée. Ce sont des analyses scientifiques, par définition vérifiables et se prêtant à une discussion, qui permettent de le démontrer, pas des considérations idéologiques ou des a priori sémantiques ».
Le problème est qu’il ne semble pas y avoir de consensus des scientifiques, nombreux étant ceux qui s’expriment, pour des raisons techniques, en faveur d’une solution décentralisée. Et que la position des défenseurs du projet StopCovid est elle-même loin d’être exempte d’idéologie.
On voit ainsi le patron d’Inria, ajouter deux fois le mot « démocratique » derrière le mot « État », décrire les alternatives de type DP3T comme « une centralisation décentralisée » et lui adresser l’étrange compliment « d’être facilement permis par l’API à venir (mi-mai), dévoilée par Apple et Google il y a une semaine, une grande première dans l’histoire de l’informatique » ce qui permet immédiatement de l’éliminer puisque « en tout état de cause, c’est le choix d’un État de décider d’utiliser ou non le protocole qu’il désire en fonction de sa politique. Et c’est notre responsabilité de scientifique de lui procurer les moyens de ce choix ».
Ma conviction d’auteur spécialisé sur Bitcoin, et de membre actif du « Cercle du Coin », Association comptant plus de 100 membres répartis sur plus de 10 pays ou territoires est que l’on se retrouve aussi au cœur d’un problème de représentations spontanées et de biais identitaire. Une liste d’identifiants cryptographiques de porteurs contaminés n’en dirait pas davantage au détenteur d’une application décentralisée qu’une liste d’adresses Bitcoin, que les autorités considèrent en général comme d’une insupportable opacité. J’attends tranquillement que quelqu’un réfute cette comparaison.
A quand une politique publique proactive et non seulement réactive ?
En même temps, ma conviction de Président de Catenae, conseil spécialisé en intelligence stratégique des protocoles à blockchain, est que sans doute la problématique pourrait utilement être posée en d’autres termes.
Les critiques exposées apparaissent légitimes mais postulent imprudemment des capacités existantes de l’État, et se refusent à envisager la dimension souveraine, pourtant essentielle, en dehors du cadre binaire centralisation-décentralisation, dans lequel s’opposent Robert et DP3T.
Dès le début, Bruno Sportisse a éliminé l’hypothèse d’un recours à la blockchain : « aucun projet n’a pour ambition de mettre en place un réseau de pair-à-pair, où tout reposerait sur une communauté supposée ‘’indépendante’’ (je reviendrai sur ce point) de terminaux/de smartphones qui échangent des informations entre eux. La raison principale est l’impact des failles de sécurité qui pourraient exister avec une telle approche ». Seulement son texte n’explicite nullement ces assertions.
Il apparait pourtant inconcevable aujourd’hui, au regard des besoins récurrents de l’État pour une telle typologie d’application impliquant une dimension de traçabilité et de réponse aux crises (du Système d’Alerte et d’informations aux populations « SAIP » à « StopCovid »), et donc une dimension de respect de la vie privée et de normes RGPD, que cet État ne soit pas en mesure de la développer sans entrer à nouveau dans le sempiternel débat des libertés fondamentales.
Énoncer le débat sous la forme réductrice du choix entre une base de données étatique et une inféodation aux GAFAM semble bien mal inspiré. La vraie question réside aujourd’hui dans les moyens de satisfaire l’impérieux besoin que nous avons d’une infrastructure à la fois souveraine et décentralisée. Il ne s’agit pas d’un oxymore politique : la technologie le permet, en fait.
Clef de voute de nos libertés fondamentales, la création d’une telle infrastructure protocolaire participerait également du maintien et du prolongement de la souveraineté politique. Il s’agirait ainsi de développer une solution propriétaire étatique décentralisée, dont le paramétrage serait supervisé par l’État. La technologie blockchain offre cette promesse.
Conçue comme une blockchain décentralisée, avec des charges de validateurs publics en nombre assez important et pensées sur le modèle des offices ministériels, une infrastructure de type public permettrait de disposer d’un socle technologique adéquat, souverain et répondant aux considérations de vie privée.
Les crises majeures, inaugurales de mutations, doivent favoriser chez les plus visionnaires des prises de conscience conduisant à des révolutions paradigmatiques. Adopter des architectures ouvertes et décentralisées en lieu et place des citadelles serait l’une de ces révolutions.
StopCovid, conçu dans l’urgence politique et sanitaire, ne pourra certainement pas en être le précurseur. Mais la difficile conception de cette application peut et doit a minima nous interroger sur le coup d’après.
_______________________________________________________________
- Jacques Favier est normalien, Secrétaire du « Cercle du Coin », Association francophone sur Bitcoin, les cryptomonnaies et les protocoles à Blockchain. Il est également président du Cabinet Catenae.
________________________________________________________________
Articles cités en lien dans ce texte, chronologiquement :
. Les réserves de Stéphane Séjourné, député LREM et conseiller du Président, le 7 avril : http://www.leparisien.fr/politique/tracage-numerique-il-est-faux-de-penser-que-big-brother-peut-nous-sauver-juge-stephane-sejourne-07-04-2020-8295912.php
. Présentation du projet par Bruno Sportisse, Président d’Inria, le 18 avril : https://www.inria.fr/fr/contact-tracing-bruno-sportisse-pdg-dinria-donne-quelques-elements-pour-mieux-comprendre-les-enjeux
· Un bracelet électronique pour tous, article sur la privation de la liberté et la foi en la technologie (Libération le 19 avril) : https://www.liberation.fr/debats/2020/04/19/stopcovid-un-bracelet-electronique-pour-tous_1785727
· Lettre ouverte de chercheurs en faveur de la décentralisation (le 19 avril) : https://drive.google.com/file/d/1OQg2dxPu-x-RZzETlpV3lFa259Nrpk1J/view
.Sur l’attitude des suisses et la défection de Marcel Salathé, professeur à l’EPFL (article du 20 avril) : https://www.usine-digitale.fr/article/covid-19-pas-de-pistage-sans-protection-de-la-vie-privee-previennent-des-chercheurs.N955436
. La position critique de Metthew Green, professeur à la Johns Hopkins University (article du 22 avril): https://slate.com/technology/2020/04/europe-contact-tracing-privacy-apple-google-coronavirus.html
. Le traçage anonyme, dangereux oxymore (21 avril): https://risques-tracage.fr/
. Mise en garde contre les applications de traçage (26 avril) : https://attention-stopcovid.fr/
. « StopCovid est un projet désastreux piloté par des apprentis sorciers » (sur le risque de création d’applications parasites, article publié le 25 avril dans Le Monde par un sociologue, un mathématicien et un avocat) : https://www.lemonde.fr/idees/article/2020/04/25/stopcovid-est-un-projet-desastreux-pilote-par-des-apprentis-sorciers_6037721_3232.html
· Le texte d’Inria présentant StopCovid (le 26 avril) : https://www.inria.fr/fr/stopcovid
. L’avis (réservé) de la CNIL le 26 avril : https://www.cnil.fr/fr/publication-de-lavis-de-la-cnil-sur-le-projet-dapplication-mobile-stopcovid
. Recommandations de l’ANSSI (le 27 avril): https://www.ssi.gouv.fr/uploads/2020/04/anssi-communique_presse-20200427-application_stopcovid.pdf
· La position de M. Cédric O le 3 mai : https://medium.com/@cedric.o/stopcovid-ou-encore-b5794d99bb12
. Sur les solutions de contournement imaginées et les problèmes que cela pose : https://www.lesechos.fr/tech-medias/hightech/appli-stopcovid-la-france-contournera-apple-1200698
· Publication du code source : https://gitlab.inria.fr/stopcovid19/accueil
· Résumé de la position des différents parties prenantes : https://www.lemonde.fr/pixels/article/2020/04/27/stopcovid-qui-est-pour-l-application-de-tracage-qui-est-contre-et-pourquoi_6037928_4408996.html
. Historique du “chemin chaotique” par lintern@ute le 20 mai : https://www.linternaute.com/actualite/guide-vie-quotidienne/2492203-stopcovid-l-application-de-contact-tracing-menacee-un-vote-a-l-assemblee-prevu/
. Sur un échec antérieur , celui de l’application SAIP : le rapport sénatorial de juin 2017 (http://www.senat.fr/rap/r16-595/r16-5951.pdf) et sa présentation par Libération https://www.liberation.fr/france/2017/08/08/alerte-attentat-une-appli-qui-n-a-pas-fait-ses-preuves_1588667
