Alors que le code source de l'application StopCovid doit être rendu public pour dissiper les inquiétudes, un député propose de publier aussi l'identité des développeurs, par souci de transparence. Mais cela ne va pas sans poser problème.

Quel est le point commun entre Batman, Dark Vador, Kick-Ass et Watchman ? Ce sont des personnages ou des œuvres de fiction. Mais ce sont aussi les pseudonymes de certains développeurs impliqués dans la conception de StopCovid, l’application mobile qui doit servir à aider à tracer les contacts une fois installée sur les smartphones — en émettant une alerte si l’on a croisé une personne contaminée.

Ces quatre personnes appartiennent à Lunabee Studio, l’une des entreprises qui appuient l’Institut national de recherche en informatique et en automatique (Inria) sur ce projet. Sa tâche est de développer les applications mobiles pour Android et iOS. Mais il s’avère que Lunabee n’est pas la seule à utiliser des pseudonymes sur ce projet. Les autres aussi cachent l’identité des informaticiens.

C’est le cas de la SSII Capgemini avec des pseudonymes faisant référence à des stars de cinéma (comme Redford, De Niro, Benigni, etc., tant que c’est proche de ROBERT, le nom du protocole). Ici, Capgemini s’occupe de l’architecture et de la partie backend (en gros, les coulisses : inscription, désinscription, récupération d’identifiants pseudonymisés, remontée de contacts, analyse des risques d’exposition, vérification).

Adam West Batman
Un développeur participant au projet StopCovid, parait-il. // Source : 20th Century-Fox Television/ABC

Et c’est aussi le cas du personnel détaché par l’Agence nationale de la sécurité des systèmes d’information (Anssi), qui gère la cybersécurité de l’État et des administrations. Les experts qui ont été détachés à ce projet sont reconnaissables à des pseudos comme anssi-user-58 et anssi-user-39. Ils sont six dans ce cas. D’autres individus, comme user44, sont aussi de la partie, mais leur implication n’est pas claire.

Un élu plaide pour une totale transparence

Cette confidentialité entourant l’identité des développeurs n’a pas échappé au député et membre de La République en marche, Philippe Latombe.

Dans une question écrite adressée à Cédric O, le secrétaire d’État au numérique, et dont s’est fait l’écho le journaliste Émile Marzolf, il explique « qu’il est essentiel que le projet StopCovid soit élaboré dans la plus stricte transparence afin que, sujet sensible par excellence, il ne soit l’objet à plus ou moins longue échéance d’aucune controverse, d’où qu’elle vienne ».

Dès lors, il demande au gouvernement « de bien vouloir, dans un souci d’éthique et de transparence, communiquer les noms des différents participants à ce projet ». En clair, de savoir qui se cache derrière tel ou tel pseudonyme. Cela aurait un autre intérêt, estime-t-il : en sachant qui sont ces développeurs, la Nation pourrait ainsi leur accorder toute la « reconnaissance officielle » qu’ils méritent, en tant que « citoyens méritants ».

Posée le 21 avril dernier, la question a reçu une réponse du gouvernement le 19 mai, mais en tapant complètement à côté. Elle ne fait que reprendre le communiqué de l’Inria, qui liste les membres de l’écosystème des contributeurs de StopCovid, qu’il s’agisse de sociétés comme Thales, Accenture, Atos, ou Sopra Steria) ou de particuliers dont l’identité avait déjà été livrée publiquement.

Une fausse bonne idée

Bien qu’il soit nécessaire d’apporter le plus de transparence sur StopCovid, il n’est pas du tout certain que la mise en ligne de l’identité des développeurs soit pertinente. Ce qui doit surtout importer, c’est la publication complète du code source, afin de pouvoir en vérifier le contenu et ainsi lui faire confiance. En somme, l’application fait-elle bien ce qu’elle est censée faire ?

Sur GitHub ou GitLab, il est très banal de croiser des contributions signées par des internautes utilisant des pseudonymes — cette habitude n’est d’ailleurs pas spécifique à ces services ; sur le web, le pseudonymat est courant, car il offre une certaine protection et quiétude. Cependant, il est aussi tout à fait possible de participer sous son vrai nom. C’est à la liberté de chacun.

Dans le cas d’un projet tel que StopCovid, néanmoins, le rempart que dresse l’usage des pseudonymes face au public peut se justifier au regard de sa sensibilité et de son caractère très polémique — puisqu’il est question de manipuler des données à caractère personnel et de mettre en place un système de suivi à vocation médicale. Dès lors, est-ce aux « simples » développeurs d’endosser une telle responsabilité ?

code-source-programmation-informatique-developpement
L’enjeu est l’accès au code source. Pas la publication de l’identité des développeurs. // Source : WOCinTech Chat

Car c’est le piège d’une telle levée du pseudonymat : on met un coup de projecteur sur les petites mains du projet, en oubliant peut-être le reste de la chaîne hiérarchique, avec des manageurs et des décideurs qui ne se trouvent pas nécessairement en première ligne, mais qui sont les donneurs d’ordre. Or, c’est davantage à ces niveaux que se jouent la conduite des projets et, donc, les responsabilités. Ces développeurs, employés d’entreprises, ne partagent peut-être pas l’avis des chefs de projet sur la conduite de l’application.

Une fois sur la place publique, ces identités pourraient donner lieu à toutes sortes de pression de la part des opposants les plus vindicatifs, alors qu’ils ne sont que de simples rouages d’une vaste machinerie. Ces risques, sérieux, valent-ils le coup alors que la rupture de la confidentialité que leur confère le pseudonymat ne constitue pas un gage certain d’une meilleure conduite du projet ?

Enfin, il ne faut pas oublier que la liste des sociétés contributrices est publique. Ces firmes connaissent leurs collaborateurs et savent qui est mobilisé sur StopCovid. Dès lors, elles ont la possibilité de prendre des mesures dans le cas où ils commettraient des fautes ou se livreraient à des malversations, ce qu’elles feraient sans doute sans mal puisque leur image de marque serait engagée.

En effet, avec un code source public, donc vérifiable par tout le monde, ces malversations et ces erreurs seraient dans une impasse. Elles finiraient par être détectées, signalées et corrigées par les collègues du développeur fautif ou par des tiers. L’hypothèse d’une dérive est limitée, pour ne pas dire contrée, par le principe même de l’open source, qui révèle le code source. Pas le nom des développeurs.

Partager sur les réseaux sociaux