Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

StopCovid : Inria démarre la publication du code source et de la documentation

StopCovid : Inria démarre la publication du code source et de la documentation

Le 13 mai 2020 à 09h39

Comme promis, une première partie a été mise en ligne sur un dépôt GitLab de l'institut. L’équipe avait en effet décidé de procéder en deux phases, « afin de permettre une meilleure gestion de la montée en charge pour une mise à disposition éventuelle d’une application opérationnelle début juin ».

La phase 1 (« transparence ») « limite l’ampleur des interactions du fait des contraintes sur les ressources de l’équipe-projet StopCovid, pleinement mobilisée dans le développement, dans le cadre d’un agenda restreint. Selon la pertinence technique de ces premiers retours, elles seront invitées à rejoindre le pool de contributeurs du projet pour gagner en efficacité. Souhaitée la plus courte possible, la durée de cette phase 1 sera dépendante des contraintes liées aux phases de tests et au calendrier de mise en disponibilité de l’application ».

La phase 2 (« contribution ») « permettra à la communauté de contribuer au logiciel tout en respectant les mécanismes de régulation qui seront mis en place (essentiellement via de la revue de code et une acceptation ou un rejet par un comité de validation) ».

La politique de publication du code source développé dans le cadre du projet repose par ailleurs sur trois catégories :

  • Une partie (restreinte) qui n’est pas publiée car correspondant à des tests ou à des parties critiques pour la sécurité de l’infrastructure ; en revanche une documentation, publiée sur le GitLab présentera les grands principes de sécurité mis en œuvre sur StopCovid (afin de respecter les demandes ou avis de la CNIL et les 56 recommandations de l’ANSSI) ;  
  • Une partie qui est rendue publique sans qu’un appel à contribution ne soit attendu (les propositions seront bien entendu étudiées) : cela correspond par exemple à des parties qui implémentent directement des spécifications très précises ;
  • Une partie qui relève à strictement parler de l’open source, avec des appels à contribution qui sont attendus : cela concerne le cœur de l’application, notamment l’implémentation du protocole ROBERT.

Sur Twitter, Rayna Stamboliyska s'étonne cela dit que le fichier de licence précise que « les codes sources du projet StopCovid sont publiés sont 2 formes : Dans un dépôt de code public. Dans ce cas, ils sont publiés sous licence MPL 2.0, sauf indication contraire dans les en-têtes de fichier. Des snapshots du code de certains composants dont le développement n'est pas ouvert à contributions. Dans ce cas, ils sont publiés sous une licence ad-hoc, qui ne permet ni leur rediffusion (sous forme original ou modifiée), ni leur exploitation ».

Ce qui, pour elle, pourrait expliquer le choix de la licence MPL (Mozilla Public License), qui permet l'intégration de fichiers couverts par une autre licence, et sans obligation d'en publier le code source.

6 des 13 collaborateurs de Lunabee, le studio chargé de développer les applications Android et IOS, travailleraient sur StopCovid, précisait France 3 début mai. 4 figurent comme « auteurs » du code mis en ligne, sous pseudo : Darth Vader, Kick-Ass, Batman et Watchman, sans que l'on sache si ces pseudos visent à les protéger (l'ANSSI recommande que leurs postes soient « dédiés et durcis de préférence (pas de BYOD) », alors qu'ils étaient en télétravail)... ou d'une blague de geeks.

À peine ouvert, le GitLab de StopCovid enregistrait sa première issue (section apparemment retirée depuis), émanant de quelqu'un laissant entendre qu'il travaillerait pour l'ANSSI, et expliquant ce pourquoi il convenait de s'assurer de l'effacement d'une clef secrète contenue dans l'application.

Le 13 mai 2020 à 09h39

Commentaires (38)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Justement non, car le COVID19 ne venait-il pas des chauves-souris ???

votre avatar

Bon et pour les smartphones un peu ancien, on aura quoi ???

votre avatar

La sécurité par l’obscurité ce n’est jamais bon. Planquer une partie du code pour cette raison ça craint. Après planquer des clefs c’est autre chose par contre on est d’accord.

votre avatar



Ce processus de développement collaboratif, qui a été contraint par l’agenda du projet, va s’ouvrir progressivement pour permettre de proposer des évolutions à l’application, de signaler des bugs, et de suggérer des changements pour la documentation, tout en suivant la prise en compte ou non de ces propositions. Pour ce faire, le choix de la plate-forme Gitlab d’Inria a été retenu.





L’INRIA a été chargée de mener le projet, elle dispose de sa propre plateforme Gitlab depuis au moins un an (age des plus vieux projets), pas besoin de fantasmer sur les gesticulations d’un secrétaire d’Etat.



Accessoirement, Gitlab c’est pas souverain. Ca a été créé par des Ukrainiens et le siège social de la société est aux USA.

votre avatar

Un masque et une solution hydro-alcoolique!!

votre avatar

Autant je suis complètement pro-open source en général, autant là, c’est se tirer une balle dans le pied. Les pauvres devs vont en chier à gérer les shitstorms sur Twitter, les moqueries pas forcément justifiées etc. Bref pas le genre d’ambiance sereine qui sied à un travail de qualité

votre avatar

A quel niveau Gitlab a plus de sens que Github pour stocker du code fermé ?



Github gère aussi les repositories privés, pas mal d’entreprises s’en servent ainsi.



Dans le cas présent, l’INRIA a sa propre instance Gitlab, donc c’est logique qu’ils publient leurs travaux dessus. Le code source de l’attestation de sortie était sur Github parce que le service rattaché au ministère de l’intérieur qui l’a développée s’en sert en mode SaaS.

votre avatar







ndjpoye a écrit :



Si tu veux pleurer. 



 Là où j'habite, la communauté étudie la possibilité d'ouvrir les vannes financières pour une appli qui permettrait de maintenir la distanciation "sanitaire" de manière ludique. Gros avantage, ce sont deux sociétés du territoire qui collaborent pour faire cela.  Ils ont bien sûr empaqueté cela avec quelque mots "techno à la mode" (mais je ne sais pas si j'ai la liste exhaustive).      


  




<img data-src=" />



Comme quoi, l’Economie marche très bien. Ceux qui peuvent se gaver continuent à le faire. Merci les fonds publics.


votre avatar

=&gt; Cédric O appris que Github était possédé par MS, il a du exiger que le code soit déposer sur un serveur souverain.





Vu sa loghorré sur le refus d’utiliser les API de Google et Apple, je ne serrais guère surpris par une décision comme celle-là.

votre avatar

Après l’application Stop-terroriste, qui devait permettre de repérer et traiter les clusters terroriste, l’application Stop-Covid, faite par les mêmes équipes <img data-src=" />

votre avatar

Du coup, savoir que Batman veille au développement du programme, ça a du bon ou pas ?



Vous avez 4 heures.



<img data-src=" />

votre avatar

Tout cela est tellement brouillon.

votre avatar

Traçage numérique, non merci. Voir la dérive à Singapour.

votre avatar







dalf a écrit :



Scénario film d’horreur hypothétique: 



    L'application mobile va être "protégée" avec proguard.Elle va être décompilée, analysée, une faille va être trouvée et communiquée avec disclosure 90 jours.La faille peut être corrigée, modulo délais random car les équipes sont été réalloués sont occupées, en parallèle le service juridique cherche à bloquer toute disclosure, voir à passer à l'offensive avec un avertissement clair sur le site web.Un autre faille est trouvée, cette fois les implications sont plus graves: c'est le branle-bas de combat en interne, avec recherche des couples. Le nombre d'heure de réunions explosent. Le dév y compris correction de bug est bloqué par des processus de validation et contrôle.Pendant ce temps, la communication des politiques est rassurante. Un ministre montre qu'il s'est mis de lui même en quarantaine grâce à l'application.Le développeur, celui licencié parce qu'il n'a pas su configurer proguard pour protéger le code, averti la presse.Retro-pédalage politique: nouvelle équipe de dév, le code est vraiment open source, changement de protocole. Plus personne n'écoute. (le code est juste un fork maquiller d'une application existante).Les équipes de dév / maintenance sont réalloués ailleurs.Un serveur n'est pas mis à jour, une faille permet de récupérer l'ensemble des données.






Très bon :)

Rendez vous dans qq mois


votre avatar

Par pitié, stop ^^. On ne va pas faire comme le dépôt GitHub sur l’app, où il y avait déjà des retours et complaintes (et même des PR) alors même que le seul fichier présent n’était qu’un unique fichier README ne contenant qu’une seule phrase.

Attendons de voir du code pour juger.

votre avatar







127.0.0.1 a écrit :



Mais une clef privée commune ? WTF ??





Comme celle des DRM peut-être. (J’ai pas lu l’article)


votre avatar

Une appli bizarre, avec un process de développement douteux, pleins d’acteurs de moyenne compétence, basé sur un concept fumeux (centralisé).



Ça va être beau, et l’INRIA va tellement perdre en crédibilité.

votre avatar

Tu peux m’en dire plus ?

votre avatar







jb a écrit :



Une appli bizarre, avec un process de développement douteux, pleins d’acteurs de moyenne compétence, basé sur un concept fumeux (centralisé).



Ça va être beau, et l’INRIA va tellement perdre en crédibilité.





Du coup, VLC va se lancer dans l’aventure ? <img data-src=" />

Avec des codecs pour déchiffrer les différents coronavirus /o/



&nbsp;Ce qui m’inquiète le plus dans tout ça, c’est que c’est encore une application faite avec un fond public…, nos sous en gros.

En EHPAD je dois justifier du moindre centime dépensé, et payer uniquement le service fait. Mais le Gouvernement lui peut sortir une appli comme ça du chapeau…



Si un jour la Cour des Comptes a un réel pouvoir, il faudra faire en sorte qu’elle le conserve ^^°


votre avatar







Vekin a écrit :



Tu peux m’en dire plus ?





Il suffit de demander à la Fédération Nationale



&nbsp;Et sinon, ce lien te donnera peut être une idée.


votre avatar







Arcy a écrit :



Du coup, savoir que Batman veille au développement du programme, ça a du bon ou pas ?



Vous avez 4 heures.



<img data-src=" />







Calculette autorisée ? <img data-src=" />


votre avatar

Pourquoi ils sont passé de github a gitlab pour cette app uniquement?

votre avatar

<img data-src=" />



Uniquement en mode examen <img data-src=" />









UtopY-Xte a écrit :



Pourquoi ils sont passé de github a gitlab pour cette app uniquement?



Bah … déjà parce qu’il faut bien commencer par une application (<img data-src=" />) et si le dépôt stocke du code fermé, ça a plutôt du sens qu’ils passent sur Gitlab.


votre avatar

Très content d’être très loin du sujet, je dois avouer. Ça ne peut que merder.



Mais ouais, peut être que la communauté VLC est plus compétente que ces gens là: plus d’utilisateurs, et plus de complexité à gérer…

votre avatar







Arcy a écrit :



<img data-src=" />



Uniquement en mode examen <img data-src=" />





Aïe aïe aïe, ça va être compliqué<img data-src=" /><img data-src=" />


votre avatar

maintenant c’est à nous TOUS de réussir le déconfinement, AV. que le ‘Gouv.’

ne nous REconfine à nouveau, en :




  • mettant le masque DES qu’on sort (il faut CE réflexe –&gt;“je sors…hop, je mets mon masque”)

    j’imagine :

  • “je prends le Métro—&gt;masque

  • je suis arrivé—&gt;je l’enlève

  • j’entre dans un Commerce–&gt;je le remets

  • je suis dans la rue, pour rentrer chez moi–&gt;je l’enlève”

    et….j’ai bien dispersé le Virus, partout !!!<img data-src=" />

votre avatar

Une clef publique commune, je peux comprendre.

Une clef privée individuelle, je peux comprendre.



Mais une clef privée commune ? WTF ??

votre avatar

Scénario film d’horreur hypothétique:





  • L’application mobile va être “protégée” avec proguard.

  • Elle va être décompilée, analysée, une faille va être trouvée et communiquée avec disclosure 90 jours.

  • La faille peut être corrigée, modulo délais random car les équipes sont été réalloués sont occupées, en parallèle le service juridique cherche à bloquer toute disclosure, voir à passer à l’offensive avec un avertissement clair sur le site web.

  • Un autre faille est trouvée, cette fois les implications sont plus graves: c’est le branle-bas de combat en interne, avec recherche des couples. Le nombre d’heure de réunions explosent. Le dév y compris correction de bug est bloqué par des processus de validation et contrôle.

  • Pendant ce temps, la communication des politiques est rassurante. Un ministre montre qu’il s’est mis de lui même en quarantaine grâce à l’application.

  • Le développeur, celui licencié parce qu’il n’a pas su configurer proguard pour protéger le code, averti la presse.

  • Retro-pédalage politique: nouvelle équipe de dév, le code est vraiment open source, changement de protocole. Plus personne n’écoute. (le code est juste un fork maquiller d’une application existante).

  • Les équipes de dév / maintenance sont réalloués ailleurs.

  • Un serveur n’est pas mis à jour, une faille permet de récupérer l’ensemble des données.



votre avatar

StopCovid ne passera pas par moi !

votre avatar

La partie “Issue” a été bloquée visiblement… Du code privé et pas le code serveur, c’est très rassurant tout ça, je vais m’empresser de… ne jamais au grand jamais… installer ces saletés sur mes périphériques.

votre avatar







jb a écrit :



Très content d’être très loin du sujet, je dois avouer. Ça ne peut que merder.



Mais ouais, peut être que la communauté VLC est plus compétente que ces gens là: plus d’utilisateurs, et plus de complexité à gérer…



De suite! Je ne vois pas du tout pquoi tu dis ca <img data-src=" />


votre avatar







grsbdl a écrit :



Par pitié, stop ^^. On ne va pas faire comme le dépôt GitHub sur l’app, où il y avait déjà des retours et complaintes (et même des PR) alors même que le seul fichier présent n’était qu’un unique fichier README ne contenant qu’une seule phrase.

Attendons de voir du code pour juger.





Bon courage: essayer de raisonner les commentateurs ici, est du même accabit que de raisonner les antivax quand le vaccin arrivera sur le marché.



Bientôt ils vont être à demander la suppression du GPS et des satellites: imagine un peu les dérives du GPS sur les téléphones portables <img data-src=" />


votre avatar







carbier a écrit :



Bon courage: essayer de raisonner les commentateurs ici, est du même accabit que de raisonner les antivax quand le vaccin arrivera sur le marché.



Bientôt ils vont être à demander la suppression du GPS et des satellites: imagine un peu les dérives du GPS sur les téléphones portables <img data-src=" />





Un peu comme Strava ?


votre avatar
votre avatar







MeGusta a écrit :



Un peu comme Strava ?





Tout à fait: d’ailleurs je suis pour la suppression de




  • tout ce qui peut être connecté: téléphone, satellite, bornes wifi, GPS, etc.

  • tout ce qui pourrait te fliquer: carte bleue, virement bancaire, distributeur de billets, etc.



    Non en fait je suis con, on devrait virer ce qui est à l’origine de tous ces maux: Internet.


votre avatar







loicblutz a écrit :





Sauf que quand tu lis, tu t’aperçois que cela n’a rien à voir avec l’application en elle même.

Au contraire, c’est parceque l’application n’a pas été utilisée qu’ils ont déployé d’autres moyens à côté de celle-ci.

Donc si tu veux vraiment faire une analogie: on est mal barré qu’on l’utilise ou pas <img data-src=" />


votre avatar







MeGusta a écrit :



&nbsp;Ce qui m’inquiète le plus dans tout ça, c’est que c’est encore une application faite avec un fond public…, nos sous en gros. 



 En EHPAD je dois justifier du moindre centime dépensé, et payer uniquement le service fait. Mais le Gouvernement lui peut sortir une appli comme ça du chapeau...        







 Si un jour la Cour des Comptes a un réel pouvoir, il faudra faire en sorte qu'elle le conserve ^^°









Si tu veux pleurer.      


Là où j'habite, la communauté étudie la possibilité d'ouvrir les vannes financières pour une appli qui permettrait de maintenir la distanciation "sanitaire" de manière ludique. Gros avantage, ce sont deux sociétés du territoire qui collaborent pour faire cela.&nbsp; Ils ont bien sûr empaqueté cela avec quelque mots "techno à la mode" (mais je ne sais pas si j'ai la liste exhaustive).     


&nbsp;




<img data-src=" />


votre avatar

Ce truc n’étant utile que si beaucoup de monde l’installe… On devine le succès qu’elle aura

StopCovid : Inria démarre la publication du code source et de la documentation

Fermer