StopCovid dévoile timidement ses sources

StopCovid dévoile timidement ses sources

Le feuilleton StopCovid se poursuit : dans un tweet de Cédric O hier, on apprenait ainsi que le projet d’application de contact tracing du gouvernement présentait ses premières pierres sur un dépôt Gitlab. On y retrouve la documentation du projet, un descriptif des façons de contribuer et des parties qui seront ouvertes aux contributions extérieures ainsi que l’ébauche du code pour les versions Android et iOS de l’application cliente.

Le code présenté sur le Gitlab est placé sous licence Mozilla Public Licence 2.0, tandis que d’autres parties du code non ouvertes aux contributions seront placé sous une autre licence ad-hoc. Le document décrit les modalités d’ouverture du code : on y apprend ainsi qu’une partie du code ne sera pas publiée « car correspondant à des tests ou à des parties critiques pour la sécurité de l’infrastructure ». Une autre partie sera entièrement publiée sans appel à contribution extérieure, et cela correspondra donc à « des parties qui implémentent directement des spécifications très précises ». Enfin, une troisième partie du code source sera entièrement open source, publiée et ouverte aux contributions : celle-ci contiendra selon les développeurs « le cœur de l’application, notamment l’implémentation du protocole ROBERT ».

De la même manière, la documentation décrit les rôles des différentes parties prenantes au projet : on y apprend ainsi qu’un comité de mainteneurs sera constitué afin d’évaluer et de gérer les contributions externes, que les différentes contributions seront soumises à audit sur les aspects techniques, juridiques et liés à la sécurité et que l’ensemble du projet restera placé sous la gouvernance d’un “core group” qui se chargera notamment de nommer les mainteneurs du projet. Le développement de l’application a été confié à la société Lunabee, tandis que l’Anssi et les PASSI (prestataires d’audit qualifiés) se chargeront de vérifier le volet sécurité. L’Inria, qui a développé le protocole ROBERT que l’application implémente, sera représentée au sein de la gouvernance du projet et se chargera de la coordination. Parmi les autres acteurs à l’œuvre évoqués par la communication du projet, on peut citer Capgemini, Dassault Systèmes, l’Inserm, Orange, Santé Publique France et Withings.

publicité

A pas mesurés

La publication du code se fera en plusieurs phases. A partir du 12 mai, une première phase dite “Transparence” pose sur le Gitlab les principes fondateurs de l’application et « une première partie des briques logicielles ». Une deuxième phase débutera avec la mise en ligne du cœur de l’application, soit l’implémentation du protocole ROBERT et l’appel à contribution du public sur le sujet.

Pour l’instant, le projet est principalement constitué de documentation décrivant plus en détail le fonctionnement de l’application et les différentes parties de l’application, divisées en autant de sous projet. La publication initiale a été critiquée, accusée de n’être qu’une coquille vide trop maigre pour faire l’objet d’une analyse de son fonctionnement. Les auteurs du projet ajoutent progressivement de nouveaux fichiers contenant le code source des applications clients mais des éléments manquent à l’appel, notamment celles relatives au serveur back-end qui sera utilisé pour coordonner et transmettre les informations nécessaires aux applications installées sur les téléphones des utilisateurs.

Le choix de ne pas publier certaines parties du code a également valu à StopCovid de nouvelles critiques : dès les débuts du projet, le gouvernement avait promis que le code du projet serait publié afin d’être étudié par des utilisateurs tiers. Sur le Gitlab, on apprend que seule la documentation décrivant le fonctionnement des parties non open source sera disponible, il faudra donc faire confiance aux développeurs du projet pour tenir leurs promesses sur ces parties et voir quelles parties du code exactement ne seront pas accessibles au public.

Reste enfin l’épineuse question des délais : le ministre Cédric O a promis une première version fonctionnelle de l’application pour le 2 juin, ce qui laisse peu de temps pour les contributions et échanges si l’application StopCovid entend tenir le calendrier qui lui a été fixé par l’exécutif.

Leave a Reply

Your email address will not be published. Required fields are marked *