Tout d’abord merci pour cet article car pour l’instant le projet n’avait hélas pas brillé par une communication transparente. A ce sujet il est dommage de n’envisager la mise en Open Source que comme une finalité et non un processus de co-construction qui aurait permis le montage d’une équipe projet selon un processus clair, le suivi de l’avancement des travaux et des points durs, le débat sur des points techniques particuliers, ou encore du support de la part de la communauté (par exemple pour tester). Sur ce point, et indépendamment d’éventuels reproches qui pourraient être justifiés, le projet DP-3T a beaucoup mieux fonctionné en proposant non seulement un protocole ouvert aux critiques mais également des implémentations de références (cf. https://github.com/DP-3T).

Il est heureux que vous parliez de souveraineté numérique, mais hélas, j’ai peur que le moment soit mal choisi. Ce sujet mérite une stratégie au long cours et non pas un sursaut au beau milieu d’une crise, qui plus est internationale. N’est-ce pas prendre un gros risque pour la santé des Français que de rendre l’application potentiellement moins performante, voire dysfonctionnelle sur certains systèmes, et beaucoup plus difficilement interopérable avec les solutions qui seront éventuellement mises en place par d’autres pays ? Fort heureusement internet n’a pas de frontières et nombre de solutions non souveraines nous ont permis de vivre cette crise de façon “plus douces” (pensons à tous les outils de productivité/télétravail, les réseaux sociaux et autres plateformes de communication, celles de divertissement, etc.). Force est de constater que se reposer sur des solutions souveraines dans tous ces domaines eu mis la France dans une situation compliquée devant la rareté de l’offre à un niveau de performance comparable. Aussi, pour solutionner un problème global, il me semble plus opportun de travailler à une solution globale également, à minima au niveau Européen, et tout d’abord avec les Google/Apple plutôt que contre. La France n’aurait-elle pas à y gagner en leadership en proposant une solution pouvant être facilement adoptée par d’autres nations moins bien pourvues que nous en chercheurs et industriels ? Peut être la solution ne sera-t-elle pas idéale dans un premier temps, et nous pouvons viser à “augmenter” notre couverture numérique souveraine et faire entendre notre voix, mais compte tenu du fait que le virus ne connait pas de frontières elle sera certainement plus efficace. Je rajouterai que les Google/Apple possèdent aujourd’hui des données beaucoup plus détaillées sur la plupart des Français que des crypto-identifiants (pensons tout simplement à leur géolocalisation et “préférences” au sens large). Et cela importe peu de façon logique à de nombreuses personnes car, jusqu’à preuve du contraire, Google et Apple n’ont aucun pouvoir de coercition à mon encontre contrairement à des émanations étatiques.

Ensuite, si chaque approche technique possèdent ses défauts et ses avantages, il convient de les analyser non pas dans l’absolu mais relativement à l’environnement. Aussi lorsque vous indiquez que l’ensemble des crypto-identifiants des personnes testées positives circule sur l’ensemble des téléphones possédant l’application c’est exact. Néanmoins, préciser que cela rend le risque d’identification personnelle d’une personne contaminée beaucoup plus prégnant n’est qu’une interprétation. En effet, il faut pour cela croiser les crypto-identifiants avec d’autres informations permettant l’identification, et sur mon téléphone cela n’est éventuellement possible que pour mes contacts, donc pas pour la France entière à moins d’engager une action nécessitant des moyens importants de piratage à large échelle. Enfin, il me semble que d’un point de vue moral et sanitaire ma famille, mes proches, mon employeur, mes collègues, etc. seront déjà informés de ma contamination, ce qui en fait une information assez banale et je ne vois pas vraiment ce qu’un hacker pourrait en faire de très nuisible. Par contre, en utilisant une approche centralisée un hacker pourra avoir accès à des informations permettant l’identification à une toute autre échelle (nationale ou internationale), et ce sans engager de moyens importants puisqu’il suffit de cibler une seule entité. De la même façon, un état malveillant pourra beaucoup plus facilement compromettre le système à son avantage pour cibler d’autres objectifs de surveillance, alors que notre entourage proche contient en général relativement peu de hackers capables de pirater mon téléphone.

Ce ne sont évidemment que des points de vue personnel et j’espère qu’en ayant choisi une plateforme permettant la discussion critique autour d’un article comme Medium vous prendrez le temps de répondre à certaines de ces interrogations ou remarques.