STOPCOVID : APPLE ET GOOGLE AU CENTRE DU JEU, LA FUTURE APPLI DE L'ETAT DANS L'IMPASSE ?
Pour développer son application de "contact tracing" StopCovid, l'Etat a mis au point avec l'Inria son propre protocole centralisé, baptisé ROBERT. Mais il refuse d'utiliser l'infrastructure technique décentralisée mise au point par Google et d'Apple, qui de leur côté bloquent pour l'instant toute autre option. Le vrai problème : l'absence de neutralité des terminaux. Explications.
Décriée pour des raisons éthiques -une intrusion inédite dans la vie privée- et d'efficacité -des solutions similaires ont échoué à remplir leur objectif dans d'autres pays comme Singapour en raison d'un trop faible taux de téléchargement-, la future application de "tracing social"
StopCovid pourra-t-elle même voir le jour ? De plus en plus d'experts pensent que le projet actuel de l'Etat se heurte à un mur technique et politique.
Lire aussi : Tracking : pourquoi le projet d'application StopCovid est si controversé
GOOGLE ET APPLE AU CENTRE DU JEU
Pour d'évidentes raisons de souveraineté, l'Etat a souhaité développer lui-même son application de "contact tracing", dont le but est d'enregistrer, grâce au Bluetooth, les coordonnées du téléphone de toutes les personnes avec lesquelles un malade du Covid-19 a interagi avant de développer des symptômes, afin de les prévenir pour les tester et les confiner si besoin. Le gouvernement s'est donc associé à un projet européen intégrant le célèbre Institut national de recherche en informatique et en automatique (Inria). L'alliance européenne a développé un protocole décentralisé -c'est-à-dire qui ne stocke pas les données récupérées par l'appli dans un serveur central- baptisé DP3T. Pourquoi un protocole décentralisé, sur le modèle du téléchargement en pair-à-pair (peer to peer) ? Parce qu'une immense majorité de la communauté technique et scientifique estime qu'il est globalement plus sûr de ne pas stocker les données dans un même datacenter, même si celui-ci est doté des solutions les plus à la pointe de la cybersécurité. Mais l'inconvénient de la décentralisation est la multiplication des points d'attaque : des parties du réseau pourraient être plus vulnérables et se faire hacker. En revanche, même en cas d'attaque, personne n'aurait accès à l'ensemble des données sensibles récupérées par l'application.
Mais l'Etat a préféré recourir à une solution centralisée dont il peut contrôler la sécurisation, à l'image d'autres serveurs qui hébergent des données sensibles. L'Inria a donc développé un autre protocole, centralisé cette fois, baptisé ROBERT, sur lequel l'Etat a choisi de développer son application.
Problème : la quasi-totalité des smartphones en circulation dans le monde fonctionnent avec le système d'exploitation Android de Google, ou iOS d'Apple. Donc toute application de traçage des contacts a forcément besoin d'avoir accès à un certain nombre de fonctionnalités des terminaux, dont la clef est détenue par les deux géants américains... qui se retrouvent donc au centre du jeu. Autre problème majeur : l'une des caractéristiques du projet français est la nécessité d'activer en permanence le Bluetooth. Mais pour des raisons d'efficience énergétique, l'usage du Bluetooth reste limité sur Android et carrément interdit en permanence sur iOS, le Bluetooth consommant rapidement la batterie s'il reste allumé.
Lire aussi : StopCovid : le "oui, mais" du Conseil national du numérique au projet d'appli de contact tracing
GOOGLE ET APPLE IMPOSENT LEURS CONDITIONS, L'ETAT REFUSE DE S'Y SOUMETTRE
Confrontés à d'autres demandes d'Etats et réticents à ouvrir leur système d'exploitation, Apple et Google ont donc décidé de s'allier. Le 10 avril, les deux géants américains ont annoncé leur propre protocole de tracing social, conçu comme une "base commune" mise à la disposition des Etats, et qui leur accorde une exception d'accès aux fonctions Bluetooth, notamment pour le paramétrage de certains critères comme la durée d'exposition et l'intensité du signal capté pour évaluer la distance. Mais cette "aide" s'accompagne de quelques exigences, c'est-à-dire que toute solution de contact tracing devra passer par leur protocole, qui est... décentralisé. Autrement dit, une appli basée sur le protocole ROBERT serait totalement incompatible techniquement avec les smartphones qui fonctionnent sous Android et iOS. Autre exigence d'Apple et de Google
: leur "base technique" prend elle-même en charge la gestion des identifiants anonymes liés aux smartphones des utilisateurs de l'application...
Cette situation est jugée inacceptable par la France, qui tient, souveraineté oblige, à développer cette application sensible comme elle l'entend, et en à maîtriser totalement le fonctionnement. Pendant quelques semaines, l'Etat et les deux géants de la Silicon Valley ont maintenu un dialogue de sourd. Mais dimanche 26 avril, Cédric O a définitivement "fermé le débat". Dans une interview au JDD, il affirme :
"StopCovid sera la seule application totalement intégrée dans la réponse sanitaire de l'État français. C'est une question de souveraineté sanitaire et technologique. [...] C'est à l'État seul de définir la politique sanitaire, de décider de l'algorithme qui définit un cas contact ou encore de l'architecture technologique qui protégera le mieux les données et les libertés publiques".
Lire aussi : StopCovid: le gouvernement veut garder la maîtrise du développement face à Google et Apple
LES INDUSTRIELS FRANÇAIS ENTRENT EN SCÈNE, MAIS IL FAUT TOUJOURS NÉGOCIER AVEC APPLE ET GOOGLE
Le secrétaire d'Etat au Numérique n'a pas précisé comment StopCovid deviendra interopérable avec Android et iOS si l'Etat en l'absence de collaboration entre l'Etat et les deux propriétaires des systèmes d'exploitation mobile qu'utilisent les Français. En revanche, Cédric O a enfin détaillé les acteurs qui contribuent à créer la solution française : en plus de l'Inria figurent l'Inserm (Institut national de la santé et de la recherche médicale), l'Institut Pasteur et l'Agence nationale de la sécurité des systèmes d'information (ANSSI). A ces acteurs publics s'ajoutent trois des six membres (Capgemini, Dassaut Systèmes, Orange) du consortium de grands groupes français qui s'étaient réunis pour développer une solution souveraine, ainsi que les startups Lunabee Studio (spécialisée dans le développement d'applications mobiles) et le champion des objets connectés Withings.
Si les détails sur l'application, qui doit être opérationnelle le 11 mai, ne filtrent pas encore, Laurent Giovachini, directeur général adjoint de Sopra Steria (membre du consortium) et président de la fédération Syntec, affirme dans une interview à La Tribune qu'ils ont déjà mis au point un protocole d'application et que cette solution souveraine est compatible avec ROBERT.
Mais quid de l'interopérabilité avec Android et iOS ? "Un bon niveau d'interopérabilité a pu être atteint. Il continuera à s'améliorer à mesure que les systèmes d'exploitation des fabricants s'ouvriront", affirme Laurent Giovachini. Sauf que Google et Apple ont déjà refusé toute application de contact tracing qui ne fonctionnerait pas sur la base de leur propre protocole décentralisé...
Ainsi, tout en montrant les muscles, Cédric O admet que la nécessité de travailler avec Apple er Google pour que l'appli soit efficace :
"Les modalités de fonctionnement des iPhone ne nous permettent pas de faire tourner correctement l'application sur ces téléphones. C'est pourquoi nous sommes en discussion avec Apple, tout comme les autres pays européens et la Commission européenne. Nous avons besoin que l'entreprise puisse répondre à la demande des États", indique-t-il.
Lire aussi : "Les meilleures compétences publiques et privées pour le Contact tracing français" (Laurent Giovachini)
LA CRUELLE NÉCESSITÉ DE LA NEUTRALITÉ DES TERMINAUX
Cette impasse entre l'Etat d'un côté et Apple et Google de l'autre, se révèle donc comme un cas d'école de souveraineté numérique : des entreprises privées, grâce à la puissance de leurs positions dominantes sur les usages des citoyens, ont le pouvoir d'imposer leurs conditions à des Etats. Car le problème de fond soulevé par StopCovid est qu'il n'existe pas encore dans la loi un principe de neutralité des terminaux. L'idée derrière cette notion est de confier à un régulateur le contrôle des terminaux, pour qu'il vérifie que ceux qui conçoivent et gèrent leur système d'exploitation n'imposent pas aux développeurs d'applications des conditions injustifiées ou qui portent atteinte au libre choix des consommateurs. En cas de manquement, le régulateur serait autorisé à émettre des sanctions.
Cette idée, poussée par de nombreux cercles de réflexions et personnalités publiques comme Sébastien Soriano, le patron de l'Arcep, atteint enfin les hautes sphères de l'agenda politique. Dans une interview exclusive La Tribune mi-février, Cédric O révélait que figure à l'agenda européen de la France d'ici à 2022 l'idée d'imposer une "régulation spécifique" aux géants du Net afin de réduire les "effets néfastes de leurs positions dominantes sur un certain nombre de marchés". Nul doute qu'une telle régulation aurait été fort utile à l'Etat pour développer StopCovid.
Lire aussi : Cédric O : "Nous devons réguler les géants du Net comme nous avons régulé les banques" (2/2)