StopCovid : L’équipe démarre la publication du code source et de la documentation de l’application

L’application StopCovid est voulue comme l’une des pierres angulaires du déconfinement. Disponible début juin, elle permettra de suivre les cas contacts et devrait ainsi permettre, en théorie, de juguler la pandémie.

L’Inria, Institut national de recherche en sciences et technologies du numérique, pilote le développement de l’application StopCovid en lien avec plusieurs acteurs du public et du privé parmi lesquels l’Anssi, Dassault Systèmes, l’Inserm, Withings ou encore Orange.

Pour le développement, les équipes en charge du projet doivent suivre cinq fondements :

• StopCovid s’inscrit dans la stratégie globale de gestion de la crise sanitaire et de suivi épidémiologique
• L’application doit respecter le cadre de protection des données et de la vie privée, au niveau national et européen, tel que défini dans la loi et par le RGPD
• La transparence des travaux avec notamment l’utilisation d’une licence open source. L’objectif est d’apporter toutes les garanties : transparence des algorithmes, code ouvert à terme, interopérabilité, auditabilité, sécurité et réversibilité des solutions
• Le respect des principes de souveraineté numérique du système de santé publique : Exit donc les API des géants du net
• Le projet doit être temporaire et ne durer que le temps de l’épidémie de COVID-19

De plus, l’Inria et les développeurs ont dans l’optique de créer une application qui suivrait ces fondements :

• L’utilisateur installe de manière volontaire l’application sur son téléphone. Au moment de l’installation, l’application s’enregistre auprès du serveur central (opéré par une autorité sanitaire) qui génère et partage un ensemble d’identifiants temporaires et pseudonymisés avec l’application de l’utilisateur (« crypto-identifiants éphémères»). Ce protocole vise à  protéger l’utilisateur en prenant toutes les dispositions utiles pour qu’un observateur externe ou l’utilisateur de l’application ne puisse relier ces identifiants ensemble et les utiliser pour suivre l’utilisateur dans le temps.
• Lorsqu’un utilisateur de l’application est testé ou diagnostiqué positif, il peut donner son consentement pour partager alors son historique de proximité avec l’autorité centrale à travers l’utilisation d’un QR code (hypothèse retenue à ce stade) remis par un professionnel de santé, étant entendu que le QR code n’est relié ni à la personne ni au test. L’autorité centrale reçoit ainsi l’historique de proximité, sans aucune information sur l’utilisateur qui les transmet (ni ses pseudonymes ni a fortiori ses informations personnelles). Cet historique de proximité se rajoute ainsi à une liste de crypto-identifiants potentiellement « à risque »

Après le lancement du protocole ROBERT le mois dernier, plusieurs étapes seront nécessaires pour que l’application prenne vie. Sur la base de ce protocole, les développeurs ont travaillé à l’implémentation des premières briques fonctionnelles de l’application.

La publication du code source et de la publication ont démarré depuis ce 12 mai et cela sera mis à jour régulièrement. De plus, des tests seront réalisés tout au long du mois et une première mouture de StopCovid devrait être officiellement présentée à l’Assemblée Nationale dans la semaine du 25 mai.

Transparence et contribution

La publication ne sera pas totale puisqu’une petite partie du code ne sera pas publiée selon l’Institut. Il s’agit des parties correspondants à des tests ou « des parties critiques pour l’infrastructure » mais une publication déposée sur le GitLab en même temps permettra de présenter les grands principes de sécurité qui seront mis en oeuvre.

Deux autres parties seront rendues publiques. Une première qui n’attend pas de contribution mais les propositions seront quand même étudiées, il s’agit ici des parties avec des spécifications très précises. La seconde sera de l’open source avec des appels à contribution, cela correspond au cœur de l’application et notamment celui de l’implémentation de ROBERT.

> Voir le code et la documentation sur le GitLab de l’Inria