Le « crash industriel » de StopCovid qui ne se déclinera pas en objet connecté

Mickaël Bazoge |

StopCovid s'est pris une volée de bois vert assénée par Marie-Pierre de la Gontrie, sénatrice socialiste, qui estime qu'avec le recul, « nous avons manqué de clairvoyance. L’outil n’était évidemment pas prêt. Et, désormais, les chiffres le prouvent », selon les propos rapportés par Public Sénat. Le dernier décompte de la Direction général de la santé (DGS) donne 2,3 millions de téléchargements, 1 514 personnes ayant signalé un diagnostic positif et 93 notifications de contact à risque.

Un aveu d'échec et un crash industriel prévisible et annoncé selon elle, qui explique que lors du moment du vote de l'Assemblée et du Sénat fin mai, « nous sentions bien que l’outil n’était pas prêt, que le cahier des charges n’était pas atteint. Et il y avait aussi une vraie inquiétude sur le traçage et le respect des données personnelles ».

La DGS assure de son côté que StopCovid ne collecte aucune donnée personnelle sur les personnes qui téléchargent l'application. « Cet outil vise à sauver des vies. Il ne faut pas se tromper de combat ». La sénatrice souhaite auditionner Cédric O en septembre, afin qu'il explique « pourquoi ça n'a pas marché » : « Quand est-ce qu’on arrête et, surtout, combien ça coûte à l’État ? Lui évoque plusieurs centaines de milliers d’euros en coût de fonctionnement. Ce n’est pas rien comme montant, et en même temps très flou. Nous avons besoin de transparence sur cet outil qui m’apparaît aujourd’hui comme un caprice technologique ».

Marie-Pierre de la Gontrie s'étonne même de voir que Cédric O a pu rempiler à son poste après le dernier remaniement. Est-ce à dire que StopCovid a la tête sur le billot ? La DGS dément formellement et annonce des « travaux d'adaptation », notamment des outils de suivi de l'évolution de l'épidémie, « que ce ne soit pas seulement un outil d’identification des cas ».

Et en cette période où les cas de contamination repartent à la hausse, une campagne de communication est prévue. La Direction de la santé souhaite que des familles, des classes d'école et des entreprises aient le « réflexe » StopCovid : « cet outil est fonctionnel. Plus il est téléchargé et plus il est utile ». Et pas question de parler d'échec : « C’est un nouvel outil, il est normal qu’il faille du temps et des ajustements avant que la population ne s’en empare ». StopCovid est disponible depuis le 2 juin.

Où est l'objet connecté StopCovid ?

En matière de traçage des contacts en temps de pandémie, on a compris qu'il valait mieux miser sur les « brigades sanitaires » — autrement dit le traçage réalisé par des humains — que sur les solutions numériques, du moins en France. L'application StopCovid ne remplit pas ses objectifs, du moins pas à l'heure actuelle. Quant à cet objet connecté évoqué durant les débats printaniers, qui devait équiper les populations ne possédant pas de smartphone, il est dans les limbes et pourrait tout simplement ne jamais voir le jour.

Les bracelet et badges connectés de suivi des contacts imaginés par la société Estimote.

Sigfox, qui exploite un réseau bas débit longue portée, avait fait part en avril de la possibilité d'un bracelet connecté ou d'un badge en tant qu'alternative aux applications de traçage. L'entreprise a expliqué à BFM Tech qu'elle pourrait fournir un service de connectivité, mais pas le produit en lui-même. Et pour le moment, personne ne s'est signalé : « Le déploiement des badges connectés à grande échelle évoqué il y a quelques temps en effet n’est pour le moment pas d’actualité », indique Sigfox.

Fin mai, Cédric O le secrétaire d'État au Numérique qui a piloté le dossier StopCovid, avait parlé de l'implication de Withings, mais uniquement pour l'intégration du protocole ROBERT (sur lequel s'appuie le fonctionnement de l'application) dans une montre. Le constructeur ne donne pas l'impression de vouloir aller plus loin, par exemple en mettant ses lignes de production à disposition d'un badge ou d'un bracelet de traçage des contacts.

Du côté de la DGS, le discours est sensiblement le même : « aucune décision n'est prise quant à l'adoption de solutions techniques de ce type ». Une source proche du dossier abonde : « On va dire que ce n’est a priori plus une priorité ». Pour le dire franchement, tout cela n'est pas de très bon augure pour cet objet dont les tests auraient dû débuter en juillet ou en août.

Tags
avatar Mickaël Bazoge | 

@alastorne

Ah, si vous voulez tout savoir au départ l’article ne parlait que de l’objet connecté. Puis est venu se greffer par là-dessus le coup de gueule de cette sénatrice… Je me suis demandé s’il était pas possible de fusionner les deux vu que ça parle de la même chose et que l’un est connecté à l’autre. C’était aussi pour éviter de balancer deux actus StopCovid à suivre. #MakingOf

avatar gwen | 

@MickaëlBazoge

Et bien je suis d’accord, il aurait fallu deux articles. Car la non mise en production des objets connectés passe inaperçu dans cet article.

avatar scanmb | 

@MickaëlBazoge

Ne m’écrivez pas que vous êtes sur le déclin ?

avatar eplus | 

@MickaëlBazoge

Et en sous-titre « iGen fera tout pour démolir cette appli ».
Vraiment étonné que mon site de tech préféré soit aussi peu objectif sur StopCovid.

Il faudrait peut-être rappeler que cette appli a été développée par la French Tech en un temps record et qu’elle fonctionne, sans Apple ni Google : qui a fait ça en Europe ?

Et elle fonctionne d’autant mieux lorsque qu’un maximum de personnes l’utilise : en dissuadant vos lecteurs de l’utiliser vous faites une prophétie auto-réalisatrice de l’inefficacité de l’appli !

Des gens meurent chaque jour à cause de ce virus, et vous balayez d’un revers de main cette appli qui pourrait en sauver.
Je ne comprends pas votre logique.

Ferez-vous partit des médias qui dissuaderont les gens de se faire vacciner parce que le vaccin sera imparfait ?

avatar Cactaceae | 

@eplus

"qui a fait ça en Europe ?"

PERSONNE! Et à juste titre 🤣🤣🤣

avatar Florent Morin | 

@eplus

> Il faudrait peut-être rappeler que cette appli a été développée par la French Tech en un temps record et qu’elle fonctionne, sans Apple ni Google : qui a fait ça en Europe ?

L’API Apple / Google s’appuie du le même projet européen que ROBERT, qui a proposé une approche centralisée et une autre décentralisée.

Les constructeurs ont choisi la version décentralisée.

Les pays européens sont « donneurs d’ordre » : les différentes évolutions en sont la preuve.

Les constructeurs apportent une expertise matérielle : l’exemple de la compatibilité Bluetooth améliorée sur la majorité des appareils des différents constructeurs dans la dernière version Android illustre ce propos.

Dans le sens de l’unité et de la collaboration internationale, un vote au parlement européen a eu lieu en avril afin de favoriser une solution décentralisée. Et jusqu’à preuve du contraire la France fait partie de l’Europe.

Donc oui, la France a sorti sa propre app. Oui, ce fut un challenge technologique. Oui on se croit encore meilleur que les autres.

Non, on a bien eu besoin d’Apple et Google : ils fournissent les kits de développement. On s’appuie sur leurs technologies pour concevoir les apps. C’est une petite touche de code français qui fait appel à un ensemble international.

Mais c’est l’illustration d’une fermeture au monde qui n’a pas prouvé son efficacité.

avatar eplus | 

@FloMo

Merci pour toutes ces précisions !

Mais pourquoi vouloir dissuader vos lecteurs d’utiliser une appli qui peut sauver des vies ?

C’est vraiment ça que je ne comprends pas...

avatar Florent Morin | 

@eplus

Je suis pigiste. Donc je ne peux répondre au nom de la rédaction : ce serait malhonnête.

J’ai déjà évoqué les griefs en bref :
- l’approche centralisée est inutilement néfaste à la vie privée (on peut faire sans)
- l’approche franco-française coupe du reste du monde, jusqu’à preuve du contraire (pourtant, la COVID se transporte bien via les aéroports, sans parler des frontaliers)
- le fait de ne pas bénéficier de l’expertise technologique des constructeurs concernant le Bluetooth, alors que la fiabilité de l’outil est définie en grande partie par un bon calibrage
- les déconnexions Bluetooth remontées ici et là. (Le système fonctionne en tâche de fond moyennant quelques astuces mais n’est pas prévu pour ça)

En mon sens, on arrive au même problème que celui des masques.

Un masque mal porté ne sert à rien et apporte une fausse garantie de sécurité.
Une app de traçage dont le fonctionnement n’est pas optimal n’apporte rien et peu même être problématique.

Certes, les autres apps n’ont pas encore démontré leur efficacité. Et en un sens, tant mieux.
Mais au moins, elles profiteront de la collaboration internationale avec un plus gros échantillon de remontées des problèmes, et des correctifs qui bénéficieront à tous.

Imaginons que l’on ait une deuxième vague dans un pays donné qui utilise l’API Apple/Google. Il s’avère que le procédé n’est pas efficace car peu de notifications remontent.
Le problème est traité en s’appuyant sur un large échantillonnage. Et corrigé dans une mise à jour.
Les correctifs effectués grâce à l’expérimentation sur 1 seul pays bénéficient ensuite au monde entier.
Et, par cette collaboration internationale, le problème est plus vite réglé et le système amélioré pour tous.

A contrario, la solution franco-française reste à un stade initial.
Peut-être que les équipes françaises ont une meilleure connaissance du Bluetooth que les constructeurs eux-mêmes. Auquel cas l’app est parfaite. Ce qui semble être le discours actuel.

Mais si ce n’est pas le cas, l’app expose inutilement la vie privée de ses utilisateurs tout en leur donnant un faux sentiment de sécurité. Sans mettre toutes les chances de son côté pour en améliorer l’efficacité.

La France ne représente que 1 % de la population mondiale. Et n’est plus le centre du monde depuis longtemps.
Hors, il semblerait que tout le développement de StopCovid se soit appuyé sur cet esprit souverain qui n’a plus lieu d’être.
Et ainsi en découlent tous les biais évoqués.

C’est une situation de déni de la mondialisation.
Hors, cette pandémie est mondiale.
Et le seul moyen de lutter contre une pandémie mondiale est une action mondiale coordonnée. Pas de la petite souveraineté nationale.

avatar byte_order | 

@FloMo
> Je suis pigiste. Donc je ne peux répondre au nom de la rédaction : ce serait malhonnête.

Dans ce cas, soit utilisé un compte perso n'affichant pas votre affiliation à MacG, soit abstenez-vous de commenter.

Votre participation dans les commentaires sur les articles au sujet de StopCovid est clairement nettement supérieure à celles sur les autres sujets, et globalement de n'importe quel compte arborant le logo "macg" dans n'importe quel sujet.

Puis-je vous inciter vivement à vous créer un compte dédié "Florent Morin perso" ?
La carte de "je suis pigiste" est trop usée.

avatar Florent Morin | 

@byte_order

> Puis-je vous inciter vivement à vous créer un compte dédié "Florent Morin perso" ?

😂😂😂

Non.

avatar byte_order | 

@FloMo

Alors cessez cette excuse ridicule "je suis pigiste".
Vous savez pertinemment qu'en commentant ici, votre nom est accolé à un logo indiquant que vous faites partie de l'équipe de MacG.

Assumez-le.

avatar Florent Morin | 

@byte_order

Je ne m’exprime pas au nom de MacG mais en mon nom propre.
Je n’exprime pas l’opinion de la rédaction mais le mien.

Il y a des sujets pour lesquels nos avis divergent. Et c’est normal.

Mais je me dois de le préciser car mes opinions sont plus tranchés que ceux de MacG.

Le seul article que j’ai rédigé sur le sujet est à propos de la compatibilité. Pour donner des explications techniques.

Mon opinion, je le garde pour les commentaires. Qui servent à ça : échanger pour mieux comprendre.

avatar byte_order | 

@FloMo
> Je ne m’exprime pas au nom de MacG mais en mon nom propre.
> Je n’exprime pas l’opinion de la rédaction mais le mien.

Alors faites le avec un compte qui n'indique pas que vous êtes lié à cette rédaction. Cela serait très simple. Pourquoi tenez vous à le faire avec celui qui affiche ce lien ? En quoi c'est important pour exprimer votre opinion propre ?! C'est un argument d'autorité ou quoi ?

Le problème actuel, c'est que vous jouez sur les 2 tableaux en même temps, et osez parler de vouloir rester honnête pourtant !
Venez pas ensuite vous plaindre si certain pense, à la vue de vos nombreuses opinions personnelles faite sur le sujet avec un compte affichant de manière très visible votre appartenance à l'équipe de macG (dont le reste s'est pas mal abstenu de venir exposer une opinion réellement différente, au passage), que vos opinions sont grosso modo celles d'une bonne partie de la rédaction.

Pour l'instant, il apparait difficile de ne pas vous considérez comme porte parole auto-désigné de cette opinion plus générale.

avatar Florent Morin | 

@byte_order

D’accord. C’est très intéressant. Passionnant même.

Sinon, sur le reste du sujet, est-ce que les sources sont suffisantes ?

Je peux comprendre qu’on s’emballe quand on n’a pas l’information complète. On part dans des hypothèses qui peuvent altérer le jugement.

D’où l’importance de soigner ses sources.

Est-ce que les sources d’information que je vous ai donné vous permettent de mieux comprendre mon point de vue ou avez-vous besoin de plus d’éclaircissement ?

avatar Sindanárië | 

@byte_order

"Alors cessez cette excuse ridicule "je suis pigiste"."

Le ridicule c’est d’insister perpétuellement sur ce fait. Vos litanies sur ce sujet sont puériles et pourrissent le sujet.

Prenez du popcorn 🍿 ça ira mieux

avatar byte_order | 

@Sindanárië
On en parle de votre trolling perpétuel ? Ces dernières mois, vous devez être le plus gros contributeurs en emoticons. Parce que côté pourrissement de sujet, c'est pas mal non plus.

Et, par ailleurs, insister sur un fait n'a rien de ridicule.
Ce qui l'est c'est de faire comme si yavait pas besoin d'en prendre compte.

avatar Sindanárië | 

@byte_order

"Et, par ailleurs, insister sur un fait n'a rien de ridicule."

Aller tais toi un peu tu es ridicule

avatar Sindanárië | 

@byte_order

"On en parle de votre trolling perpétuel ? Ces dernières mois, vous devez être le plus gros contributeurs en emoticons. Parce que côté pourrissement de sujet, c'est pas mal non plus."

Gna gna gna... essuie, t’as encore de la morve

avatar byte_order | 

@FloMo

> Hors, cette pandémie est mondiale.

Pléonasme.

> Et le seul moyen de lutter contre une pandémie mondiale est une action mondiale
> coordonnée.

Et l'on voit à quel point cela n'a pas lieu !
Derrière cette API, y'a 2 multinationales américaines.
Dont le pays reni toute idée de coordination de l'effort, en commençant par se retirer des instances internationales dont c'était justement la mission de coordonner des efforts de politique de santé à l'échelle mondiale.

> Pas de la petite souveraineté nationale.

Et l'on voit que c'est pourtant bien le reflexe de chaque état.
USA compris.

avatar Florent Morin | 

@byte_order

> Derrière cette API, y'a 2 multinationales américaines.

Il ne faut pas tout mélanger : ces entreprises ne sont pas nationalisées.

On ne peut pas dire que ce soit le grand amour entre Tim Cook et Donald Trump. 😂

Il s’avère que les leaders du domaine sont américains. C’est ainsi.

Mais il ne faut pas oublier que pour Android, les constructeurs du matériel sont majoritairement asiatiques, et pas forcément amis avec les américains.

Hors, ils ont été nombreux à participer à l’effort pour améliorer la compatibilité Bluetooth de leur matériel avec la solution développée par les 2 concurrents qui se partagent le marché.

C’est ce qui a été annoncé récemment par Google. Et il est à supposer qu’Apple est aussi aligné avec les autres constructeurs.

On est sur une véritable collaboration internationale, y compris entre concurrents de différents pays.

Les faits sont là.

avatar byte_order | 

> Il ne faut pas tout mélanger : ces entreprises ne sont pas nationalisées.

Le mot clé c'était "américaine". C.a.d. "un autre pays".

> Il s’avère que les leaders du domaine sont américains.

Les leaders en matière de système de santé publique sont américains !?
Vous êtes sûr ?
C'est quoi la mortalité enfantine aux USA déjà ? Et en matière de lutte contre le Covid, ils s'en sortent comment les américains ?

Vous auriez parlé d'un pays asiatique, vu les précédents du SRAS en particulier, cela aurait été plus pertinent.

Tiens, d'ailleurs, puisqu'on parle de pays asiatique, vous mêmes reconnaissez que les constructeurs du matériel (celui qui est vendu, donc qui appartient aux citoyens français qui pourraient vouloir une solution pour les aider à remonter des alertes d'exposition à un virus pandémique) ont bel et bien participé, sans imposer de choix à quiconque.

C'est côte logiciel, et américain, que le choix n'est pas laissé. Pour des raisons qu'il faut être bien naïf de croire qu'elles ne sont que dans l'intérêt unique de l'utilisateur final.
Car si c'était le cas, l'intérêt unique d'un utilisateur c'est d'avoir son libre arbitre.

> C’est ce qui a été annoncé récemment par Google. Et il est à supposer qu’Apple
> est aussi aligné avec les autres constructeurs.

Jolie transparence que celle qui repose sur des suppositions invérifiables.

> On est sur une véritable collaboration internationale,
> y compris entre concurrents de différents pays.

Ouais, comme c'est joli. Un peu comme le rachat de stocks directement sur le tarmac payé cash, le retrait de l'OMS, les accusations d'un virus covid qui serait de synthèse, la tentative d'acheter l'exclusivité d'un hypothétique vaccin. Et le refus catégorique de permettre une solution (usage du BT en tâche de fond sans imposer l'architecture de la solution) plutôt que *leur* solution tout entière, à prendre ou à laisser.

C'est pas ça collaborer.

avatar Florent Morin | 

@byte_order

> Jolie transparence que celle qui repose sur des suppositions invérifiables.

Oui. Pardon : il faut bien que l’un de nous donne ses sources.

« Bluetooth calibration values for hundreds of devices have been updated to improve the detection of nearby devices. »

« In the United States, 20 states and territories—representing approximately 45 percent of the U.S. population—are exploring apps based on ENS. »

« The Association of Public Health Laboratories also announced recently that it will host a national key server to support all U.S. states, which will allow people with Exposure Notification apps to receive alerts even if they travel across state borders. »

https://blog.google/inside-google/company-announcements/update-exposure-...

avatar byte_order | 

@FloMo

Les suppositions que vous faisiez concernait la participation d'Apple à la calibration BT.

avatar Florent Morin | 

@byte_order

Oui.

Apple n’a pas cette contrainte de dépendre d’un constructeur matériel car le constructeur matériel du logiciel Apple est Apple.

Le constructeur logiciel Google dépend des constructeurs matériels Huawei, Samsung, etc.

Ce sont les fournisseurs matériels qui ont un accès poussé au matériel via les pilotes qu’ils fournissent au constructeur logiciel.

avatar byte_order | 

@FloMo

> Apple n’a pas cette contrainte de dépendre d’un constructeur matériel
> car le constructeur matériel du logiciel Apple est Apple.

Dans le cas de la puce BT / Wifi, il me semble qu'elle reste en grande partie, y compris sur les derniers modèles d'iPhone, conçue et produite par une boite asiatique.
Et sinon, "car le constructeur matériel du logiciel", cela veut pas dire grand chose.

avatar Florent Morin | 

@byte_order

Peu importe. Vous avez compris l’idée.
Apple a juste a demander à son fournisseur.

avatar byte_order | 

Ouais. Comme pour les autres fabricants de smartphones, quoi. Mais c'est tellement mieux d'affirmer qu'Apple n'a pas de dépendance à d'autres coté matériel...

avatar Florent Morin | 

@byte_order

Non. C’est pas ça.

Google demande à :
- Samsung qui contacte éventuellement son fournisseur
- Huawei qui contacte éventuellement son fournisseur
-...

Apple contacte éventuellement son fournisseur.

Bref.

Tout ça pour dire : l’API Exposure Notifications profite d’optimisations matérielles garantissant une meilleure communication Bluetooth lors de l’utilisation de son protocole.
Au moins chez les constructeurs matériels s’appuyant sur le logiciel Google.

Côté Apple, on ne sait pas si Apple a souhaité optimiser l’accès aux puces installées dans les appareils Apple. On peut légitimement se dire que c’est fort probable. Mais personne n’est à l’abris de la schizophrénie.

Et tout cela montre une collaboration internationale. Dans l’intérêt général. Et éventuellement financier ou autre méchanceté.

Et donc, si les puces Bluetooth parlent mieux entre elles, ça améliore forcément le fonctionnement de l’API Exposure Notifications.

avatar Florent Morin | 

@byte_order

> > Pas de la petite souveraineté nationale.

> Et l'on voit que c'est pourtant bien le reflexe de chaque état.
> USA compris.

UE :
- 27 états
- 20 apps
- 18 sur l’API G/A

USA :
- 50 états, 1 district
- 20 apps réalisées / à l’étude sur l’API G/A (45 % de la population)
- 1 serveur national compatible G/A pour tous les états. (Annonce récente de Google)

Donc pour les USA, autant dire que tout le pays sera couvert sous peu car une app peut être compatible avec plusieurs pays / états.

Pour l’Europe, sur les 2/3 des pays ayant une app, seules la France et la République Tchèque (ou Hongrie, je sais plus) ne seront pas compatibles.

Et qu’est-ce qui va se passer en Europe ?

Les français vont finir par télécharger l’app italienne ou allemande une fois le serveur européen en place.
À l’instar des USA.

avatar byte_order | 

> UE :
> - 27 états
> - 20 apps
> - 18 sur l’API G/A

Euh, vraiment, y'a 18 app utilisant l'API qui sont *déjà* déployées en UE ?
Combien débutent seulement maintenant, 7 mois après l'arrivée de la pandémie UE ?

> USA :
> - 50 états, 1 district
> - 20 apps réalisées / à l’étude

Et bien sur, déployé et à l'étude, c'est du pareil au même...

> 45 % de la population)

Ce qui ne dit rien du taux d'adoption de l'app derrière.

> - 1 serveur national compatible G/A pour tous les états. (Annonce récente de Google)

Ce qui a plus à voir avec le fait que l'UE n'est pas une fédération, les USA si, qu'autre chose.
Si ce n'était pas le cas, on observerait tout aussi probablement des solutions non interropérables entre états qu'ailleurs.

> Et qu’est-ce qui va se passer en Europe ?

Comme d'hab, le fédéralisme absent de la constitution va se faire en pratique, avec du retard, avec certains qui trainent les pieds, d'autres qui poussent (seul les noms des états membres qui trainent des pieds ou poussent changent) pour au final aboutir à une situation plus ou moins bancale, faute de fédéralisme officiel.

Y'aura probablement pas de serveur "européen", mais une interopérabilité entre ceux des états membres.

> Les français vont finir par télécharger l’app italienne ou allemande une fois le serveur
> européen en place.

Ou l'interopérabilité entre les serveurs de chaque état membre sera mis en place.

> À l’instar des USA.

Les américains téléchargent l'app italienne ou allemande ?
;-)

Plus sérieusement, les USA sont une fédération, l'UE, non.
C'est une sérieuse différence.
Et pourtant, la solution fédérée américaine n'est pas encore déployé, 6-7 mois après l'arrivé de la pandémie sur le sol américain.

avatar Florent Morin | 

@byte_order

> Euh, vraiment, y'a 18 app utilisant l'API qui sont déjà déployées en UE ?

Peu importe le nombre à l’heure actuelle :
1. Sur l’ensemble, la majorité a adopté G/A
2. Si l’app n’est pas disponible, une app d’un autre pays/état pourra être utilisée.

Il faut juste que le pays donne son autorisation.
Mais vu le nombre de frontières avec les autres pays de l’Europe, il serait mal venu que la France bloque les autres apps.

> Combien débutent seulement maintenant, 7 mois après l'arrivée de la pandémie UE ?

C’est vrai que StopCovid a pu sauver des vies... ha non, pas encore.

> Et bien sur, déployé et à l'étude, c'est du pareil au même...

Absolument car un habitant d’un état pourra télécharger l’app de l’état voisin.

> Ce qui a plus à voir avec le fait que l'UE n'est pas une fédération, les USA si, qu'autre chose. Si ce n'était pas le cas, on observerait tout aussi probablement des solutions non interropérables entre états qu'ailleurs.

L’Europe a prévu cette mise en place d’un serveur commun ou - a minima - d’une compatibilité entre les serveurs. Le sujet est en cours de travail. Cela a été annoncé début août de mémoire.

C’est pour cela qu’a été voté en avril au Parlement européen un texte pour une action coordonnée au niveau des solutions de traçage. Et cette solution doit être décentralisée selon le texte. Tout en étant compatible avec les autres pays.

> Y'aura probablement pas de serveur "européen", mais une interopérabilité entre ceux des états membres.

C’est pareil au final. Vu que les serveurs ne servent qu’à faire transiter les clés qui déverrouillent les pseudonymes.

> Ou l'interopérabilité entre les serveurs de chaque état membre sera mis en place.

J’ai fait un papier à ce sujet.

En gros, les apps qui utilisent l’API G/A ne font transiter que des clés sur les serveurs. Les pseudonymes ne sont pas du tout accessibles à l’app.

A contrario, StopCovid récupère les pseudonymes sur un serveur. Et le diagnostic est fait sur ce serveur avant de notifier les intéressés.

On pourrait imaginer une communication « Exposure Notifications » au sein de StopCovid.
Mais Apple bloque le protocole hors du cadre du framework « Exposure Notifications » depuis iOS 13.4/13.5 (ça s’est fait en 2 temps).

D’une manière ou d’une autre, pour discuter avec une app Exposure Notifications depuis in smartphone, il faut une autre app exposure notifications.
Je précise sur smartphone, car des implémentations open-source s’appuyant sur les specs fournies existent sur Raspberry Pi.

Par contre, mis à part la France et l’autre pays, les 18 autres serveurs pourront s’échanger leurs clés.

Et, puisqu’une app pourra fonctionner dans plusieurs pays, les données seront traitées sur le serveur du pays éditeur de l’app.

Tout ceci arrive avec iOS 14. Donc pas avant mi-septembre. (Sachant que la compatibilité est identique à iOS 13)

> Et pourtant, la solution fédérée américaine n'est pas encore déployé, 6-7 mois après l'arrivé de la pandémie sur le sol américain.

Ça arrive. Patience. Plus que quelques semaines.

avatar byte_order | 

@FloMo
> Peu importe

Beaucoup de "peu importe" dans votre argumentation...

> 1. Sur l’ensemble, la majorité a adopté G/A

Oui.

> 2. Si l’app n’est pas disponible, une app d’un autre pays/état pourra être utilisée.

Par quel miracle les systèmes de santé allemand/américain/italien/irlandais/autrichien/whatever vont accepter de délivrer le code nécessaire pour se déclarer comme testé positif à n'importe qui, quelque soit sa nationalité, sans aucune vérification !?

> C’est vrai que StopCovid a pu sauver des vies... ha non, pas encore.

Euh, vous êtes de pouvoir affirmer, comme ça que parmi les notifications remontées aucun n'a permis d'éviter que quelqu'un n'aille contaminé à son tour quelqu'un ?

Et les autres apps, elles ont sauvé combien de vies ?

>> Et bien sur, déployé et à l'étude, c'est du pareil au même...
> Absolument car un habitant d’un état pourra télécharger l’app de l’état voisin.

Mais pas déclarer qu'il est positif, sauf à pouvoir obtenir le code de déclaration auprès d'un organisme de santé d'un pays dont il n'est pas résident. Trop bien.

> C’est pareil au final. Vu que les serveurs ne servent qu’à faire transiter les clés qui
> déverrouillent les pseudonymes.

Ouais, enfin au passage on grapille d'autres infos, comme combien de déclaration de pseudonymes considérés comme potentiellement positif covid proviennent du serveur de tel pays, leur croissance, etc.

> A contrario, StopCovid récupère les pseudonymes sur un serveur.

Les pseudonymes ont une durée de validité de 15 minutes il me semble. Vous parlez comme si c'est pseudonymes permettaient à quiconque d'identifier la personne derrière...

> Et le diagnostic est fait sur ce serveur avant de notifier les intéressés.

Non, la notification n'est pas faite par le serveur mais par l'app, via la liste qu'elle récupère des pseudonymes "diagnostiqués" comme potentiellement porteur covid. C'est du pull, pas du push.

avatar Florent Morin | 

@byte_order

> Beaucoup de "peu importe" dans votre argumentation...

Au moins, il y a des sources.

> Oui.

👍

> Par quel miracle les systèmes de santé allemand/américain/italien/irlandais/autrichien/whatever vont accepter de délivrer le code nécessaire pour se déclarer comme testé positif à n'importe qui, quelque soit sa nationalité, sans aucune vérification !?

Je pense que c’est possible du moment qu’on est citoyen européen.

> Euh, vous êtes de pouvoir affirmer, comme ça que parmi les notifications remontées aucun n'a permis d'éviter que quelqu'un n'aille contaminé à son tour quelqu'un ?
> Et les autres apps, elles ont sauvé combien de vies ?

L’objectif était de savoir si l’urgence était là ou non. Car tout avait été développé en un temps record. (En meme temps que d’autres, mais dans les premiers)

Il n’y avait pas urgence sur la fin.

> Mais pas déclarer qu'il est positif, sauf à pouvoir obtenir le code de déclaration auprès d'un organisme de santé d'un pays dont il n'est pas résident. Trop bien.

Je pense que ça peut changer.

> Ouais, enfin au passage on grapille d'autres infos, comme combien de déclaration de pseudonymes considérés comme potentiellement positif covid proviennent du serveur de tel pays, leur croissance, etc.

On en peut pas le savoir. Les clés sont mélangées. Et seules celles qui correspondent à des contacts sensibles sont remontées.

On aura une estimation grossière, qui est déjà publique.

>> A contrario, StopCovid récupère les pseudonymes sur un serveur.
> Les pseudonymes ont une durée de validité de 15 minutes il me semble. Vous parlez comme si c'est pseudonymes permettaient à quiconque d'identifier la personne derrière...

Je dis juste qu’un pseudonyme est différent d’une clé.

La clé sert à chiffrer / déchiffrer le pseudonyme.
Le pseudonyme contient les informations utiles au diagnostic.

L’un ne peut pas être « compatible » avec l’autre dans une communication entre serveurs.

StopCovid télécharge par Internet sécurisé les pseudonymes.

Le framework Exposure Notifications les génère en local. Donc ils ne sortent jamais (hors Bluetooth, évidemment), même pas pour y accéder depuis l’app.

L’app n’a accès qu’aux clés ayant servi à générer des pseudonymes. Et uniquement pour les pseudonymes à risque.

> Non, la notification n'est pas faite par le serveur mais par l'app, via la liste qu'elle récupère des pseudonymes "diagnostiqués" comme potentiellement porteur covid. C'est du pull, pas du push.

C’est ce que je dis.

Le diagnostic est établi sur le serveur.
Ce diagnostic est rapatrié depuis l’app via Internet.
Et sur l’appareil est déclenché le push en local.

Là où StopCovid rapatrie le diagnostic depuis un serveur via un Internet sécurisé, Exposure Notifications le fait en local.

avatar byte_order | 

@FloMo
> On pourrait imaginer une communication « Exposure Notifications » au sein de StopCovid.

Cela a été dit que c'était déjà compatible.

> Mais Apple bloque le protocole hors du cadre du framework « Exposure Notifications »
> depuis iOS 13.4/13.5 (ça s’est fait en 2 temps).

Et pourquoi ?! Pourquoi lié l'usage d'un protocole à l'usage imposée d'une API !?
C'est justement ce lien entre protocole BT, dont je comprends qu'il fasse l'objet d'une validation particulière pour éviter que d'autres apps que celles institutionnelles des pays fassent un usage détourné du protocole, et l'usage forcée d'une API particulière pour l'implémenter sur certaines plateformes qui me pose singulièrement problème.

C'est comme si pour faire du TCP/IP un mac, il fallait obligatoirement passer par l'API OpenTransport (argh, nonnnn).

> D’une manière ou d’une autre, pour discuter avec une app Exposure Notifications
> depuis in smartphone, il faut une autre app exposure notifications

C'est faux. La discussion étant de facto un protocole, l'API la pilotant n'a aucune importance, et d'ailleurs comme vous le dites vous même y'a déjà des implémentations sur Raspberry Pi compatible, faites sans utiliser l'API imposée par Apple sur iOS. On notera que côté Google, l'API n'est pas imposée, seule l'affichage d'une notification permanente d'usage en tache de fond du bluetooth l'est. Ce qui est finalement bien pratique.

> Et, puisqu’une app pourra fonctionner dans plusieurs pays,
> les données seront traitées sur le serveur du pays éditeur de l’app.

Y'a pas de "traitement", juste la mise à disposition pour que chaque app déclenche localement et le cas échéant l'affichage d'une notification d'exposition.
Au passage, faut pouvoir se déclarer positif, aussi. Et ça, c'est spécifique à chaque pays, donc son app.

> Ça arrive. Patience. Plus que quelques semaines.

Ouais, après tout, c'est pas comme si y'avait urgence. Oh wait!

avatar Florent Morin | 

@byte_order

>> On pourrait imaginer une communication « Exposure Notifications » au sein de StopCovid.

> Cela a été dit que c'était déjà compatible.

Je n’ai rien vu dans le code source.

>> Mais Apple bloque le protocole hors du cadre du framework « Exposure Notifications »
>> depuis iOS 13.4/13.5 (ça s’est fait en 2 temps).

> Et pourquoi ?! Pourquoi lié l'usage d'un protocole à l'usage imposée d'une API !?

Par mesure de sécurité.

Par exemple, si un framework injecte du sniffing BT dans des apps populaires, il aura accès aux pseudonymes utilisés. Et, puisque l’app n’est pas Exposure Notifications, elle a accès au GPS. Donc l’association pseudonyme + GPS est possible.

En gros, les smartphones sont des « zombies ».

On a vu que ce risque existe avec le fameux malware qui sévit dans Xcode.

>> D’une manière ou d’une autre, pour discuter avec une app Exposure Notifications
>> depuis in smartphone, il faut une autre app exposure notifications

> C'est faux. La discussion étant de facto un protocole, l'API la pilotant n'a aucune importance, et d'ailleurs comme vous le dites vous même y'a déjà des implémentations sur Raspberry Pi compatible, faites sans utiliser l'API imposée par Apple sur iOS.

La source de l’info qui démontre que la communication depuis un appareil iOS n’est plus possible :
http://www.davidgyoungtech.com/2020/04/24/hacking-with-contact-tracing-b...

« What’s more, the latest version of iOS, 13.4.1 disallows transmitting the Exposure Notification Service beacon bluetooth advertising packet in the common specification. Apple will have to release a 13.5 version of iOS before this will work. When Apple’s SDK is released and delivered with in a future version of XCode, Apple is expected to block direct transmission and detection of this beacon format by third party apps, forcing them to use higher-level APIs. (UPDATE 4/30/2020: This expected blocking is in place as of iOS 13.5 beta 2.) »

(D’où mon doute sur une compatibilité Bluetooth entre StopCovid et Exposure Notifications)

Pour RPi, il n’y a aucun soucis : le blocage est sur la partie API Bluetooth côté iOS. Hors, le RPi utilisé sa propre API.

>> Ça arrive. Patience. Plus que quelques semaines.

> Ouais, après tout, c'est pas comme si y'avait urgence. Oh wait!

C’est sûr que StopCovid est déjà compatible avec les autres.

Blague à part, la version bêta 13.7 de iOS doit répondre à la question.

avatar byte_order | 

@FloMo
> Par exemple, si un framework injecte du sniffing BT dans des apps populaires,

La faille de sécurité se trouve alors dans la possibilité d'injecter via un framework sans que cela soit détecté.

> il aura accès aux pseudonymes utilisés

Des clés chiffrées.

> Et, puisque l’app n’est pas Exposure Notifications, elle a accès au GPS.
> Donc l’association pseudonyme + GPS est possible.

Et la validation de l'AppStore est incapable de vérifier si l'app fait usage des données GPS pas seulement BT comme elle le prétend ?
Mais à quoi sert cette validation, au final ?

iOS n'est pas capable d'afficher une notification pour rappeler que telle app fait usage du BT et/ou GPS en tâche de fond, histoire que l'utilisateur soit à la fois informé tout en gardant son libre arbitre plutôt que de devoir systématiquement le céder à Apple ?

> On a vu que ce risque existe avec le fameux malware qui sévit dans Xcode.

Et donc, il faut interdire Xcode et imposer aux développeurs, y compris institutionnels, de développer directement sur les serveurs d'Apple, qui eux sont sécurisé ?
Jusqu'au va la tolérance à la perte de contrôle ?

> Pour RPi, il n’y a aucun soucis : le blocage est sur la partie API Bluetooth côté iOS.
> Hors, le RPi utilisé sa propre API.

Précisément ce que j'ai dit. Donc lier l'API "haut niveau" et le protocole n'est absolument pas une nécessité technique, et ce verrou est motivé par d'autres raisons.
Rien n'interdisait de proposer une API de plus bas niveau, qui n'impose pas en particulier une architecture, tout en gardant la sécurité : seules les apps institutionnelles des pays seraient autorisées à l'utiliser, aucune autre app.

Mais à la place c'est une API tout ou rien, qui impose un type particulier de l'architecture logicielle, en particulier qu'un diagnostique de santé publique soit fait sur des milliers ou millions d'appareils hors de contrôle des organismes de santé publique.

avatar fransik | 

@FloMo

Merci(!)

avatar J'en_crois Pas_mes yeux | 

Paranoïa et transparence !
"annonce des « travaux d'adaptation », notamment des outils de suivi de l'évolution de l'épidémie, « que ce ne soit pas seulement un outil d’identification des cas »"
Ces "travaux d'adaptation" sont la raison du choix français d'une solution nationale indépendante. jusqu'où iront ces "travaux d'adaptation" dans la surveillance et le contrôle de l'épidémie (qui passe par la surveillance et contrôle de la population ?)
Je suis contre la solution française car je n'ai pas confiance en une application qui masque son véritable cahier de charge ! (qui comprenait les travaux d'adaptation (présents et futurs))

avatar byte_order | 

@J'en_crois Pas_mes yeux
> masque son véritable cahier de charge

Cela n'a jamais été masqué, et c'est même la raison principale avancée pour justifier le choix d'une solution centralisée : des études statistiques pour mieux détecter les critères d'apparition de cluster de contamination.

C'est pas pour autant que l'objectif soit de "contrôler" la population.

Assez ironique de confier sa confiance à une entreprise étrangère qui a nettement plus, dans les faits, de contrôle sur vos usages numériques et sur laquelle vous n'avez aucun contrôle que dans son propre pays.

Vous avez accès en toute transparence sur le cahier des charges des travaux d'adaptation futurs des technologies d'Apple et de Google, vous ?

Si vous voulez parler de transparence, alors parlons de *toutes* les transparences (ou pas).

avatar J'en_crois Pas_mes yeux | 

@byte_order
"Si vous voulez parler de transparence, alors parlons de *toutes* les transparences (ou pas)"
J'ai en horreurs les données de mass collectées par les entreprises américaines (et chinoises). Je suis aussi inquiet pour les datas collectées par les gouvernements. Le futur est incertain : disparition des états et le citoyen deviendra un consommateur affilié à une des méga-multinationales ou un ou plusieurs gouvernements totalitaires seront à la tête du monde. J'ai ces deux hypothèses en horreur. Et c'est donc une tierce hypothèse que je privilégierai dans mes choix politiques.
Jusqu'où iront les futurs "adaptations" ? Je l'ignore aussi bien que toi. Mais je suis persuadé qu'elles iront aussi loin que possible en fonction des "nécessités et angoisses" que produiront l'épidémie dans sa future évolution (imprévisible)
Je préfère donc une solution dont les dérives totalitaires sont verrouillées dès l'origine, qu'une solution qui prévoit toutes les dérives totalitaires nécessaires à la maitrise de l'épidémie dans les modifications de l'application.
Contrôler l'épidémie risque de s'avérer impossible sans maîtriser la population.
Aujourd'hui ce qui me semble urgent serait de parfaire le suivi *rapide* des contacts des personnes infectées.

avatar spezzic | 

@R-APPLE-R

+1... ca ne veut rien dire.

avatar iMotep | 

Drôle et triste à la fois. J’étais sur du flop de cet appli fait à la va-vite et qui n’était en plus pas très populaire avant même son lancement.
La sûreté de la vie privée étant à mon sens la première source de méfiance des français.

avatar geooooooooffrey | 

Tu rigoles ? D'où la majorité des gens se préoccuperait de la "sûreté de la vie privée" ? La majorité n'y comprend rien, et je m'inclus au moins partiellement dedans.
Non la principale source de méfiance, c'est le gouvernement français. Tu ajoutes à ça une communication presque inexistante pour qui ne s'y intéresserait pas déjà, et tu as le taux d'adoption qu'on connait.

avatar iMotep | 

@geooooooooffrey

Nos avis ne sont pas contradictoires. Je me méfie personnellement de la sûreté de ma vie privé à cause de l’état,qui, lui-même lance son appli

avatar John McClane | 

@geooooooooffrey

"D'où la majorité des gens se préoccuperait de la "sûreté de la vie privée" ?"

Rappelons-nous de Mélenchon qui a tout de suite proclamé que cette appli allait siphonner le carnet d’adresses du téléphone... Ça a dû en effrayer plus d’un !

avatar Furious Angel | 

@John McClane

Et c’est extrêmement grave de dire des trucs si faux en pleine Assemblée...

avatar John McClane | 

@Furious Angel

Absolument, ça m’a choqué car ça porte vraiment à conséquences. Pour le coup Mélenchon m’a semblé totalement inconscient de dire un truc pareil sans preuves.

avatar Furious Angel | 

@John McClane

C’est l’immense problème entre le monde politique et l’informatique au sens large. Ils n’y connaissent rien et se permettent de dire n’importe quoi, sans se rendre compte de leur irresponsabilité. Cedric O a dit des choses totalement fausses sur l’API Google/Apple.

avatar John McClane | 

@Furious Angel

"Cedric O a dit des choses totalement fausses sur l’API Google/Apple."

En effet ! Je n’ai jamais compris comme ce type peut sortir des énormités à la presse alors qu’il est censé maîtriser son sujet sur le bout des doigts ! Qu’il choisisse une API française plutôt qu’américaine, c’est son choix politique, mais qu’il raconte n’importe quoi c’est autre chose.

avatar Link1993 | 

@Furious Angel

Tu devrais inclure tout le domaine scientifique, encore plus quand il est polémique...

Pages

CONNEXION UTILISATEUR