StopCovid: Un faux symbole de souveraineté technologique

StopCovid: Un faux symbole de souveraineté technologique


Tech   •   15 mai 2020

J’ai déjà parlé de la nature atypique du projet StopCovid, en l’envisageant sous un angle transhumaniste. Je souhaite élargir la perspective en parlant de l’enjeu qu’en fait Cédric O, un enjeu de souveraineté nationale.

Les raisons d’un échec annoncé

L’application StopCovid est devenue un enjeu politique pour plusieurs raisons :

  • Elle est conçue comme un symbole d’affirmation de la souveraineté française face à des sociétés fournisseurs de technologie, principalement américaines ;
  • Elle constitue une vitrine technologique pour la France : L’INRIA et quelques autres sociétés françaises y ont vu le moyen de se mettre en avant ;
  • Elle est présentée comme une nécessité pour résoudre la crise sanitaire, reléguant ses détracteurs au rang d’idéologues rétrogrades.

C’est ainsi que les développeurs de StopCovid et le Secrétariat d’État au Numérique en ont fait un enjeu politique majeur et un combat symbolique.

Pourtant, sur ces trois points, l’impact de StopCovid est discutable.

Je ne suis pas opposé par principe à une telle application, dès lors qu’elle s’accompagne d’un travail de fond à la hauteur de l’enjeu : le déploiement massif d’un projet relatif à la santé. La transformer en symbole de souveraineté, avec la crise sanitaire pour horizon et justification, semble en revanche une erreur à plusieurs égards.

1 — La bataille des protocoles : protocole centralisé de l’INRIA contre protocole décentralisé de l’EPFL

D’abord, avec l’emballement politique autour de l’application, la fierté a pris le pas sur la lucidité. Il s’agit d’une tendance tellement courante en informatique qu’elle porte même un nom : le syndrome NIH : Not Invented Here (pas inventé ici). L’attitude consiste à écarter une solution existante par orgueil ou par envie de construire une solution nouvelle, en pensant pouvoir faire mieux. Nous sommes ici dans un cas typique : Apple et Google proposent une solution acceptable et opérationnelle à court terme, alors que la supériorité technique ou fonctionnelle d’une solution purement française était loin d’être évidente.

Chose exceptionnelle, Apple et Google se sont accordés pour travailler ensemble sur un protocole commun et compatible entre iOS et Android, à intégrer dans leur système d’exploitation. Grâce à leur code, tout développeur, tout État, peut créer sa propre application de contact tracking de type StopCovid, sur une base existante mutualisée. Fait remarquable, Google et Apple se sont inspirés d’un protocole européen DP-3T, conçu par un prestigieux laboratoire suisse, l’EPFL, qui met l’accent sur la décentralisation des données et le respect de la vie privée. Chaque appareil stocke localement les identifiants des téléphones qu’il a croisé. Il n’y a pas de référentiel central contenant l’ensemble des interactions. Seuls les identifiants des malades sont connus centralement et conservés de manière anonyme, pour une durée limitée.

À l’inverse, le protocole ROBERT de l’INRIA est centralisé et repose sur le partage régulier de la liste des identifiants de contacts rencontrés vers un serveur central contrôlé par l’État français. Là encore, l’identification est anonymisée, mais la confidentialité des données repose au final sur la sécurité et l’honnêté de ce service central.

Nous avons donc deux logiques qui s’opposent, centralisation des données contre décentralisation, autour de ce qui ressemble à une volonté de contrôle de l’État, instrumentant une rivalité entre instituts de recherche.

Pour aller plus loin sur les protocoles centralisés et décentralisés, je recommande la lecture de l'article de Numerama: Centralisé ou décentralisé : quelles différences entre les architectures des apps de contact tracing ?

2 — La bataille de l’État pour le contrôle des systèmes d’exploitation mobile

Autre problème, l’application StopCovid conçue par l’INRIA, ne serait acceptable pour les utilisateurs qu’avec une modification des systèmes d’exploitation mobile, c’est-à-dire le fondement du logiciel embarqué dans les smartphones.

StopCovid utilise le Bluetooth pour partager et scanner les identifiants de chaque usager et mesurer leur distance. Or, un tel usage du Bluetooth nécessite que l’application soit ouverte en permanence. Cette contrainte est imposée par les développeurs d’iOS, le système d’exploitation mobile Apple, pour éviter un tracking marketing à l’insu des utilisateurs et limiter la consommation de batterie. L’application StopCovid vous imposera donc de choisir entre votre sécurité sanitaire et la lecture de vos mails et flux de réseaux sociaux dans le métro. Autant dire, que c’est un frein majeur à son adoption, car elle nécessite un effort trop important pour les utilisateurs.

Apple et Google résolvent le problème en gérant entièrement la géneration des identifiants et le scan des appareils alentours. Ils mettent a disposition un code clé en main, configurable pour le calcul de l’exposition au virus, la durée de rétention des identifiants, etc. Plus besoin d’utiliser directement le Bluetooth, le système d’exploitation s’en charge pour les développeurs. Les identifiants de l’utilisateur et les contacts rencontrés ne quittent pas l’appareil. Tous les calculs sont fait localement. Seuls les identifiants des malades sont partagés et redistribués par Apple et Google. Cette solution est non seulement compatible entre les téléphones des deux marques, mais l’approche permet aussi la collaboration entre applications créées par des États différents.

D’un côté nous avons donc Apple et Google qui fournissent une solution clé en main pour éviter les abus et garantir la confidentialité des données. De l’autre côté, nous avons le gouvernement français qui refuse d’utiliser ces outils et demande à Apple de modifier iOS, son système d’exploitation mobile pour autoriser l’usage du Bluetooth en permanence et pouvoir créer sa propre solution de tracking.

Or, demander à Apple et Google de changer leur politique d’usage de Bluetooth revient à leur demander de faire un retour en arrière en termes de protection de leurs utilisateurs. Cela conduirait à rendre le système moins sûr, moins respectueux de la vie privée et ouvrirait la voie à de nouveaux abus. Le scandale Cambridge Analytica montre combien les fournisseurs d’applications sont prompts à exploiter les largesses d’un système d’exploitation mobile pour capter des données utilisateurs.

Faire de StopCovid à la française un enjeu de souveraineté, c’est se tromper de cheval de bataille. Pour réussir à développer une application pour le déconfinement, le pragmatisme et la lucidité commandent l’usage du protocole Apple - Google. L’application n’est destinée qu’à être temporaire. Utiliser les solutions technologiques proposées par Apple - Google permet de répondre au problème de contact tracking sans abandon majeur de souveraineté. Simple acceptation lucide de la réalité : L’État ne contrôle pas les systèmes dans les téléphones.

Certes, le prérequis est de faire confiance à Apple et Google pour garantir la confidentialité de leurs données, mais c’est déjà ce que font au quotidien la majorité des utilisateurs de smartphone. Libéraliser l’usage du tracking Bluetooth pour les développeurs d’applications, comme le demandait la France, ne change rien à l’affaire. Rien ne permet de soupçonner un abus spécifique lié au protocole de tracking. La France a fait de l’utilisation du protocole ROBERT une position de principe sans qu’il soit possible de caractériser un abus, d’autant qu’un protocole décentralisé offre plus de garanties pour la confidentialité des données.

3 — Une bataille politique face à des enjeux économiques

L’application StopCovid a été utilisée à des fins politiques. Le bras de fer de l’État français avec Apple ne semble avoir que pour but que de créer le précédent d’une soumission des fournisseurs de technologie à l’État français. Or, Apple et Google cherchent autant que possible à éviter que leurs systèmes d’exploitation deviennent l’instrument des politiques de contrôle des États.

La bataille menée autour de StopCovid n’est donc pas seulement une erreur technologique, c’est aussi une erreur politique, qui démontre une mauvaise compréhension des enjeux et des forces en présence.

L’enjeu est avant tout économique. Dans le secteur des technologies, on assiste à des batailles d’écosystèmes, c’est-à-dire un réseau de multiples sociétés qui travaillent indirectement ensemble, pour défendre des intérêts communs, consolidant ainsi la force de l’ensemble du bloc. La Silicon Valley dans les années 2000 est un exemple typique d’écosystème efficace, dans laquelle la réussite de chaque société contribue au succès des autres.

Alors, oui, certes, nous avons des entreprises pour concurrencer certains mastodontes américains. D’une certaine façon, dans l’industrie de l’hébergement cloud, la société française OVH concurrence Amazon, Google et Microsoft. D’une certaine manière, la société française Qwant concurrence le moteur de recherche de Google. Et on peut certainement trouver d’autres exemples.

Pourtant, en France, en Europe, les grandes sociétés ont souvent tendance à fonctionner en vase clos, ne font que rarement appel à des partenaires et au final assèchent le vivier sur lequel elles devraient prospérer. L’Europe n’a pas réellement d’écosystème à opposer au secteur technologique américain et chinois. L’Europe n’a ainsi ni le poids économique, ni l’indépendance technologique suffisante pour se permettre d’imposer ses choix.

Dès lors, les initiatives ne sont que des poches de résistance. Elles ralentissent la progression des concurrents, mais ne suffisent pas à faire gagner la guerre économique et à gagner en indépendance.

Plaidoyer pour un écosystème technologique européen

Pour raisonner en termes d’écosystème, il faut adopter une vision à long terme et susciter une évolution des rapports entre les acteurs.

La création d’accélérateurs de startups, comme Station F par exemple, est intéressante. Elle offre un espace de rencontre et d’échange entre chefs d’entreprise, mais elle reste insuffisante pour créer une dynamique économique.

Il reste à construire cette synergie économique, des grappes de sociétés travaillant ensemble et défendant des intérêts technologiques communs et une vision du monde partagée. Il faut également sortir d’une logique nationale pour raisonner en systèmes et en marché de taille significative.

Les grands groupes européens ont toute leur part dans la création de cette dynamique, par exemple avec une politique d’achats simplifiée et responsable. L’État et l’Europe pourraient y contribuer par une politique de commandes publiques qui défendrait une position technologique indépendante.

Mais, il faut voir plus large. Concevoir la coopération comme une révolution de la culture d’entreprise européenne. Comprendre la nécessité de créer un esprit d’entraide entrepreneurial en Europe fondée sur la coopétition plus que sur la compétition.

Nos atouts sont nombreux.

Nous avons en Europe des géants de l’Open Source qui végètent, alors qu’ils pourraient servir de terreau à un écosystème ouvert. Par exemple, il existe des alternatives européennes aux téléphones avec système d’exploitation packagé par Apple et Google (/e/ et Fairphone par exemple), mais ces solutions ne sont pas suffisamment diffusées dans la population pour permettre d’être un réel levier.

De potentielles pépites du SaaS (Software as a Service, logiciels métiers en ligne) peinent à se développer, car elles grandissent hors-sol, c’est-à-dire, seules, sans pouvoir se greffer à un véritable écosystème européen. Par conséquent, leur croissance dépend de l’alignement à des acteurs technologiques américains.

Ce n’est pas seulement à l’État de structurer cet ensemble. C’est surtout aux entreprises qu’il appartient de prendre leurs responsabilités et de devenir des team players, des joueurs en équipe.

Je me souviens d’Octave Klaba, le patron d’OVH, s’exprimant à TechRocks, devant une audience de directeurs techniques, en décembre 2019. Il s’interrogeait sur le nombre d’entreprises travaillant entre elles, parmi toutes celles représentées dans la salle. Le silence en disait long.

Construire un écosystème, c’est créer un maillage économique fort entre les sociétés technologiques, créer sans cesse de nouvelles synergies, et pas après pas, être autonome sur des aspects de plus en plus larges.

Conclusion

Croire que la souveraineté technologique se décrète ou se gagne sur un coup de force politique est une chimère. En Europe, ce sera le fruit d’un écosystème qui reste à construire, en commençant par un changement d’état d’esprit, en jouant la coopération entre États d’abord, entre sociétés ensuite, en restant pragmatique. Et finalement en choisissant nos batailles, bien conscients de nos forces et nos faiblesses.


Une de mes nouvelles explore l’impact des applications comme StopCovid sur la perception du monde par ses utilisateurs. À lire aussi: Derniers Contacts.