Intervention de Guillaume Poupard

. – La solution centralisée nécessite que le serveur centralisateur soit absolument digne de confiance. Pour cela, il ne doit pas être attaqué et il doit être bien protégé. Le grand avantage de cette approche est de réduire le périmètre à sécuriser. Cependant, nous ne prétendons pas qu'il n'y a aucun risque. C'est pourquoi l'ANSSI sera extrêmement vigilante et veillera à ce que le serveur soit très bien protégé, à l'instar d'autres systèmes sensibles. Dans une version dite décentralisée, il y a une couche d'opacité non maîtrisée, c'est‑à‑dire en substance les fonctionnalités directement implémentées par Apple et Google. De surcroît, tous les risques apparaîtront lorsque les téléphones seront attaqués. En d'autres termes, l'ANSSI prétend être capable de sécuriser un serveur, mais elle n'est nullement en mesure de faire de même avec les téléphones de nos concitoyens – ce n'est pas non plus dans nos missions.

Nous savons que le serveur centralisé sera une cible pour les attaquants de haut niveau qui voudront accéder aux informations stockées, ainsi que pour tous ceux qui entendront créer la confusion. Pour autant, nous sommes en mesure de nous y préparer, car c'est partie intégrante de notre métier.

L'INRIA étudie actuellement une troisième voie qui combinerait les avantages du centralisé et du décentralisé. Il s'agirait d'éviter d'accorder une trop grande confiance au serveur central, tout en bénéficiant des capacités de régulation et d'usage épidémiologique permises par la solution centralisée. Ces travaux ne sont pas encore achevés, mais ils ouvrent une piste intéressante autour d'un protocole dénommé « Désiré », qui pourrait s'avérer fédérateur. Si le protocole « Robert » était implémenté par un pays totalitaire, on pourrait comprendre qu'Apple et Google refusent de coopérer. En France, bien évidemment nous ne sommes pas dans cette situation. Il est cependant concevable qu'Apple et Google ne souhaitent pas jouer les arbitres entre les pays totalitaires et ceux qui ne le sont pas. L'avantage du protocole « Désiré » est qu'il évite le risque de détournement par des pays totalitaires, de sorte qu'il n'aurait pas de raison d'être refusé par Apple et Google, sauf s'ils avaient des arrière-pensées.

Tel est l'état actuel de la réflexion. Cette piste est intéressante mais ne sera pas implémentée dans StopCovid, qui sortira le 2 juin prochain. Elle pourrait fonder une évolution intéressante de ce type d'application si elle permettait d'obtenir davantage de coopération de la part d'Apple et Google.