Dans une tentative de calmer les critiques sur le manque de transparence et les éventuels problèmes de sécurité de TousAntiCovid-Verif, IN Groupe a annoncé la publication du code source de l'application mobile de vérification des passes sanitaires. Mais il y a un problème : le code source est incomplet et pire encore, il est sous licence propriétaire, un cocktail parfait pour rendre furieuses bon nombre de personnes.
IN Groupe ne fera pas mieux que ce qu'il en était il y a un an pour StopCovid, le prédécesseur de TousAntiCovid. Après plusieurs mois d'attente injustifiée, il a enfin répondu à la demande de la CNIL de publier le code source de TousAntiCovid Verif. Mais « encore une fois, ils jouent la carte de la comédie sécuritaire burlesque », s'insurge un internaute dans une série de tweets. « Une déception pour ceux qui s'attendaient à une vraie démarche open source et transparente », estime ce dernier.
Adoptant l'attitude des partisans de la sécurité par l'obscurité (paradigme de sécurité propre aux éditeurs de logiciels propriétaires), IN Groupe explique en effet dès le début qu'ils ont publié uniquement certaines parties du code source pour des raisons de sécurité : « Le code publié contient l'ensemble des règles de gestion des modes lite et détaillé. Les éléments de code relatifs à l'activation du mode étendu sont volontairement omis de cette publication pour des raisons de sécurité », lit-on dans le dépôt GitLab de l'application TousAntiCovid-Verif.
Les raisons de sécurité en question ne sont pas explicitées, « mais elles sont de toute façon ridicules », poursuit l'internaute dans sa série de tweets, estimant que n'importe qui peut lire toutes les données du QR Code du passe sanitaire ou activer le mode étendu sur TousAntiCovid Verif avec très peu de moyens et de connaissances. Il profite pour exposer les failles et les signes d'amateurisme de l'application : « N'importe qui peut créer un clone de TousAntiCovid Verif qui aspire les données des passes en tâche de fond. D'ailleurs, l'activation même du mode étendu n'a rien d'exceptionnellement dissimulé : il suffit de scanner un QR Code qui encode un JWT signé [par IN Groupe] », dit-il. « De plus, d'autres parties du code source sont caviardées sans raison, comme la clé publique qui permet de vérifier la signature des JWT d'activation du mode étendu, l'URL et le jeton d'accès à leur API. On peut retrouver ces valeurs en 5 minutes dans l'APK ».
Ce serait donc absurde qu'IN Groupe refuse de publier le code complet sous prétexte de ne pas vouloir mettre en péril la sécurité du système. N'y a-t-il pas de solutions plus efficaces que la sécurité par l'obscurité ? Il est aussi regrettable que le repo soit hébergé sur le GitLab de l'INRIA, qu'on ne puisse donc ouvrir des tickets que sur invitation et que les pull requests soient complètement fermées.
Comme si cela n'était pas suffisant, IN Groupe a publié le code source sous une licence propriétaire qui interdit notamment les forks et la redistribution des sources. « Une usine à gaz juridique plutôt qu'une licence simple, libre et transparente », estime l'internaute. Ce dernier « trouve par ailleurs assez cocasse (pour ne pas dire culotté) qu'ils demandent le respect d'une licence aussi complexe qu'absurde alors qu'eux-mêmes ne respectent pas les licences open source bien moins contraignantes des bibliothèques incluses dans TousAntiCovid Verif ».
Bref, la publication du code source de TousAntiCovid Verif est juste une fausse bonne nouvelle. Peut-on justifier le fait de publier un tel code partiellement et en plus sous licence propriétaire quand on sait qu'ailleurs, en Suisse par exemple, l'application similaire est entièrement libre et open source et que toutes les contributions extérieures sont acceptées ?
Sources : Twitter, Dépôt GitLab de l’INRIA
Et vous ?
Publier partiellement le code source de TousAntiCovid Verif et sous licence propriétaire, qu’en pensez-vous ?
Voir aussi :
L'UE s'apprête à dévoiler un portefeuille numérique adapté à la vie post-Covid pour permettre aux citoyens d'accéder aux services publics et privés en ligne
Covid-19 : accord trouvé sur le passe sanitaire européen, il sera disponible sur smartphone, mais aussi en version papier
L'adoption de l'IA par les entreprises en Europe accélérée par la COVID, mais seules 27 % l'ont effectivement déployé dans le cadre de leurs activités, selon IBM
Fausse bonne nouvelle : le code source de TousAntiCovid Verif publié, mais... il est incomplet et pire encore, sous licence propriétaire
Fausse bonne nouvelle : le code source de TousAntiCovid Verif publié, mais... il est incomplet et pire encore, sous licence propriétaire
Le , par Michael Guilloux
Une erreur dans cette actualité ? Signalez-nous-la !