L'Inria, qui supervise le développement de StopCovid, a mis en ligne le code source de l'application française de traçage des contacts, en l'occurrence les composants liés au protocole ROBERT pour les versions iOS et Android de l'app. La promesse est donc respectée, bien qu'il ne s'agisse que d'une première phase : seules les « premières briques logicielles » sont publiées afin que leur code puisse être revu par tout un chacun. L'équipe accepte les contributions de personnes extérieures, et selon la pertinence technique des retours, ces dernières seront invitées à « rejoindre le pool de contributeurs du projet pour gagner en efficacité ».
Cette phase 1, que l'Inria veut « la plus courte possible », sera suivie par une seconde phase où la partie logicielle implémentant le protocole ROBERT sera mise en open source. La communauté pourra contribuer à son développement. Ensuite, un « temps d'intégration » sera nécessaire, avec des « process transparents », sous la responsabilité d'un comité de validation.
Cédric O, le secrétaire d'État au numérique, a annoncé qu'une bêta de StopCovid sera proposée dans le courant de la semaine, alors que la version finale est prévue pour le 2 juin (elle reste soumise au vote des parlementaires). Les documents fournis par l'Inria font entendre un autre son de cloche : la période de contribution pourrait en effet durer « jusqu'au 15 juin ».
Un premier coup d'œil sur le code et la documentation fournis par l'Inria semble montrer que les équipes ont fait au plus vite pour respecter leur engagement (d'où le choix du « phasage »). Malgré tout, le code est plutôt de bonne qualité, même si sa documentation laisse parfois à désirer ou est carrément manquante. Difficile d'en vouloir aux développeurs, au vu du contexte.
Le protocole Bluetooth paraît relativement sécurisé, mais le code source pour envoyer les données sur un serveur n'est pas encore présent et les mécanismes de protection de la vie privée sont absents. Impossible dans ces conditions de se faire une idée sur la sécurité de l'app : ce partage de code source sert manifestement à démontrer un avancement dans le projet.
Le gouvernement français a fait le choix d'une solution « maison » pour son application, qu'il s'agisse de la philosophie — un modèle centralisé où le gros des données est traité par un serveur central — ou de la technique. On reste sur de l'envoi et de la réception de signaux Bluetooth, mais sans l'API Exposure Notification d'Apple et de Google (lire : StopCovid aura un angle mort sur iPhone). NHS-COVID 19, l'application anglaise de suivi des contacts, a été développée dans le même moule.
Merci Florent pour le coup de main !
