Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
StopCovid : Inria démarre la publication du code source et de la documentationCrédits : nito100/iStock

Comme promis, une première partie a été mise en ligne sur un dépôt GitLab de l'institut. L’équipe avait en effet décidé de procéder en deux phases, « afin de permettre une meilleure gestion de la montée en charge pour une mise à disposition éventuelle d’une application opérationnelle début juin ».

La phase 1 (« transparence ») « limite l’ampleur des interactions du fait des contraintes sur les ressources de l’équipe-projet StopCovid, pleinement mobilisée dans le développement, dans le cadre d’un agenda restreint. Selon la pertinence technique de ces premiers retours, elles seront invitées à rejoindre le pool de contributeurs du projet pour gagner en efficacité. Souhaitée la plus courte possible, la durée de cette phase 1 sera dépendante des contraintes liées aux phases de tests et au calendrier de mise en disponibilité de l’application ».

La phase 2 (« contribution ») « permettra à la communauté de contribuer au logiciel tout en respectant les mécanismes de régulation qui seront mis en place (essentiellement via de la revue de code et une acceptation ou un rejet par un comité de validation) ».

La politique de publication du code source développé dans le cadre du projet repose par ailleurs sur trois catégories :

  • Une partie (restreinte) qui n’est pas publiée car correspondant à des tests ou à des parties critiques pour la sécurité de l’infrastructure ; en revanche une documentation, publiée sur le GitLab présentera les grands principes de sécurité mis en œuvre sur StopCovid (afin de respecter les demandes ou avis de la CNIL et les 56 recommandations de l’ANSSI) ;  
  • Une partie qui est rendue publique sans qu’un appel à contribution ne soit attendu (les propositions seront bien entendu étudiées) : cela correspond par exemple à des parties qui implémentent directement des spécifications très précises ;
  • Une partie qui relève à strictement parler de l’open source, avec des appels à contribution qui sont attendus : cela concerne le cœur de l’application, notamment l’implémentation du protocole ROBERT.

Sur Twitter, Rayna Stamboliyska s'étonne cela dit que le fichier de licence précise que « les codes sources du projet StopCovid sont publiés sont 2 formes : Dans un dépôt de code public. Dans ce cas, ils sont publiés sous licence MPL 2.0, sauf indication contraire dans les en-têtes de fichier. Des snapshots du code de certains composants dont le développement n'est pas ouvert à contributions. Dans ce cas, ils sont publiés sous une licence ad-hoc, qui ne permet ni leur rediffusion (sous forme original ou modifiée), ni leur exploitation ».

Ce qui, pour elle, pourrait expliquer le choix de la licence MPL (Mozilla Public License), qui permet l'intégration de fichiers couverts par une autre licence, et sans obligation d'en publier le code source.

6 des 13 collaborateurs de Lunabee, le studio chargé de développer les applications Android et IOS, travailleraient sur StopCovid, précisait France 3 début mai. 4 figurent comme « auteurs » du code mis en ligne, sous pseudo : Darth Vader, Kick-Ass, Batman et Watchman, sans que l'on sache si ces pseudos visent à les protéger (l'ANSSI recommande que leurs postes soient « dédiés et durcis de préférence (pas de BYOD) », alors qu'ils étaient en télétravail)... ou d'une blague de geeks.

À peine ouvert, le GitLab de StopCovid enregistrait sa première issue (section apparemment retirée depuis), émanant de quelqu'un laissant entendre qu'il travaillerait pour l'ANSSI, et expliquant ce pourquoi il convenait de s'assurer de l'effacement d'une clef secrète contenue dans l'application.

38 commentaires
Avatar de tiret Abonné
Avatar de tirettiret- 13/05/20 à 08:43:46

La sécurité par l'obscurité ce n'est jamais bon. Planquer une partie du code pour cette raison ça craint. Après planquer des clefs c'est autre chose par contre on est d'accord.

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 13/05/20 à 08:50:17

Une clef publique commune, je peux comprendre.
Une clef privée individuelle, je peux comprendre.

Mais une clef privée commune ? WTF ??

Avatar de dalf Abonné
Avatar de dalfdalf- 13/05/20 à 09:13:26

Scénario film d'horreur hypothétique:

  • L'application mobile va être "protégée" avec proguard.
  • Elle va être décompilée, analysée, une faille va être trouvée et communiquée avec disclosure 90 jours.
  • La faille peut être corrigée, modulo délais random car les équipes sont été réalloués sont occupées, en parallèle le service juridique cherche à bloquer toute disclosure, voir à passer à l'offensive avec un avertissement clair sur le site web.
  • Un autre faille est trouvée, cette fois les implications sont plus graves: c'est le branle-bas de combat en interne, avec recherche des couples. Le nombre d'heure de réunions explosent. Le dév y compris correction de bug est bloqué par des processus de validation et contrôle.
  • Pendant ce temps, la communication des politiques est rassurante. Un ministre montre qu'il s'est mis de lui même en quarantaine grâce à l'application.
  • Le développeur, celui licencié parce qu'il n'a pas su configurer proguard pour protéger le code, averti la presse.
  • Retro-pédalage politique: nouvelle équipe de dév, le code est vraiment open source, changement de protocole. Plus personne n'écoute. (le code est juste un fork maquiller d'une application existante).
  • Les équipes de dév / maintenance sont réalloués ailleurs.
  • Un serveur n'est pas mis à jour, une faille permet de récupérer l'ensemble des données.
Édité par dalf le 13/05/2020 à 09:15
Avatar de anonyme_f3cfc6423586ba6bed42154d795b2b3f INpactien

StopCovid ne passera pas par moi !

Avatar de bilbonsacquet Abonné
Avatar de bilbonsacquetbilbonsacquet- 13/05/20 à 09:22:20

La partie "Issue" a été bloquée visiblement… Du code privé et pas le code serveur, c'est très rassurant tout ça, je vais m'empresser de… ne jamais au grand jamais… installer ces saletés sur mes périphériques.

Avatar de spidermoon Abonné
Avatar de spidermoonspidermoon- 13/05/20 à 09:26:47

Après l'application Stop-terroriste, qui devait permettre de repérer et traiter les clusters terroriste, l'application Stop-Covid, faite par les mêmes équipes :transpi:

Avatar de Arcy Abonné
Avatar de ArcyArcy- 13/05/20 à 10:17:57

Du coup, savoir que Batman veille au développement du programme, ça a du bon ou pas ?

Vous avez 4 heures.

:transpi:

Avatar de Jetto INpactien
Avatar de JettoJetto- 13/05/20 à 11:24:31

Tout cela est tellement brouillon.

Avatar de loicblutz Abonné
Avatar de loicblutzloicblutz- 13/05/20 à 12:04:54

Traçage numérique, non merci. Voir la dérive à Singapour.

Avatar de gg40 INpactien
Avatar de gg40gg40- 13/05/20 à 12:19:37

dalf a écrit :

Scénario film d'horreur hypothétique:
L'application mobile va être "protégée" avec proguard.Elle va être décompilée, analysée, une faille va être trouvée et communiquée avec disclosure 90 jours.La faille peut être corrigée, modulo délais random car les équipes sont été réalloués sont occupées, en parallèle le service juridique cherche à bloquer toute disclosure, voir à passer à l'offensive avec un avertissement clair sur le site web.Un autre faille est trouvée, cette fois les implications sont plus graves: c'est le branle-bas de combat en interne, avec recherche des couples. Le nombre d'heure de réunions explosent. Le dév y compris correction de bug est bloqué par des processus de validation et contrôle.Pendant ce temps, la communication des politiques est rassurante. Un ministre montre qu'il s'est mis de lui même en quarantaine grâce à l'application.Le développeur, celui licencié parce qu'il n'a pas su configurer proguard pour protéger le code, averti la presse.Retro-pédalage politique: nouvelle équipe de dév, le code est vraiment open source, changement de protocole. Plus personne n'écoute. (le code est juste un fork maquiller d'une application existante).Les équipes de dév / maintenance sont réalloués ailleurs.Un serveur n'est pas mis à jour, une faille permet de récupérer l'ensemble des données.

Très bon :)
Rendez vous dans qq mois

Édité par gg40 le 13/05/2020 à 12:19
Il n'est plus possible de commenter cette actualité.
Page 1 / 4