Il faudra attendre ce vendredi 1er mai pour voir débarquer l'interface de programmation Exposure Notification d'Apple et de Google. L'API avait été annoncée d'abord mi-mai, puis le 28 avril, mais finalement il faudra attendre un petit peu. L'information vient de CNBC, qui revient sur le développement de cette initiative conjointe entre deux géants de la Silicon Valley qui ne s'apprécient guère en général.

Du côté de Cupertino, le projet Bubble est né quelque part autour du 21 mars, lorsque Edouard Bugnion, professeur d'ingénierie, fondateur et directeur financier de VMWare, vient frapper à la porte de l'équipe d'Apple en charge des relations avec les développeurs. Les applications de traçage des contacts pour casser la chaîne de contamination du coronavirus étaient alors en gestation chez les gouvernements et les agences de santé du monde entier. Et tous se heurtaient aux limites techniques imposées par Apple au Bluetooth (Google aussi a mis en place des systèmes visant à limiter l'exploitation du Bluetooth dans les apps Android).

Sur un iPhone, les apps qui ont besoin du Bluetooth en continu doivent être au premier plan sur des appareils toujours allumés. Ce qui pose des questions d'usage (impossible d'utiliser un iPhone dans ces conditions), d'autonomie (la batterie en prend un coup) et de sécurité (rien de plus facile que de siphonner des données depuis un iPhone volé et déverrouillé). Un ou deux jours plus tard, Myoung Cha, responsable de l'aspect commercial de l'activité santé d'Apple — son supérieur n'est autre que Jeff Williams, le directeur des opérations et patron de cette activité — et une petite équipe commencent à explorer des méthodes pour faciliter le traçage des contacts.

Cette équipe compte dans ses rangs Ron Huang, qui travaille au sein du groupe des services de localisation, et Guy "Bud" Tribble, vétéran et vice-président d'Apple, qui a gagné en interne le pseudonyme de « tsar de la confidentialité » (lire : Les « tsars » de la confidentialité font la pluie et le beau temps chez Apple). Un groupe d'ingénieurs se joint au projet Bubble, notamment les spécialistes de la cryptographie Yannick Sierra et Frederic Jacobs, ce dernier étant connu pour avoir aidé à la création de la messagerie instantanée Signal.

Rapidement, l'équipe inspirée par des travaux du MIT et de l'École polytechnique fédérale de Lausanne choisit une approche décentralisée, empêchant ainsi les gouvernements de collecter des informations et de construire des bases de données de localisation. Elle décide aussi de faire en sorte que le système soit basé sur le volontariat.

Nouvelle mission Apollo chez Google

Chez Google, on n'est pas resté les bras croisés non plus. Yul Kwon, directeur au sein du moteur de recherche et ancien grand responsable de la confidentialité chez Facebook, ainsi que Ronald Ho (qui planche sur le Bluetooth et les problèmes de connectivité) qui lancent un effort pour le traçage des contacts. Nom de code : projet Apollo. Ils présentent leurs idées au vice-président d'Android, Dave Burke, qui en touche alors deux mots à Myoung Cha de chez Apple.

Rapidement, l'idée s'impose que les deux constructeurs vont devoir travailler ensemble : il faut que des smartphones Android puissent récupérer les signaux Bluetooth envoyés par des iPhone, et vice versa. Mais il est impossible d'annoncer quoi que ce soit sans le feu vert des deux grands patrons : Tim Cook et Sundar Pichai en ont donc discuté durant une réunion virtuelle quelques jours avant l'annonce du 10 avril (lire : Coronavirus : Apple et Google travaillent ensemble sur le traçage des utilisateurs d'iOS et d'Android).

Les deux projets, Bubble et Apollo, fusionnent alors pour devenir l'initiative Contact Tracing, puis Exposure Notification (moins connotée « surveillance »). Ces dernières semaines, les employés des deux entreprises ont travaillé « jour et nuit » pour finaliser le logiciel à partir des retours extérieurs. Bubble fait bûcher des dizaines d'employés d'Apple sous la férule de Jeff Williams et de Craig Federighi, le grand manitou de l'ingénierie logicielle.

Au cœur de cette API, dont les spécifications pourront être utilisées par les agences de santé qui le souhaitent : le respect de la vie privée, comme l'ont encore clarifié les deux partenaires la semaine dernière. « Pour moi, c'était très clair dès le premier jour qu'Apple voulait s'assurer du plus haut niveau de confidentialité », explique Edouard Bugnion.

Plusieurs pays ont décidé de s'arrimer à cette solution, dont la Suisse, Singapour, l'Estonie, et tout récemment l'Allemagne. Le Royaume-Uni et la France ont décidé de prendre des routes différentes avec une approche centralisée. On verra quelle sera la solution qui connaitra le plus de succès dans les prochaines semaines.