Pandémie et techno-politique : « La nature résiste, faisons en sorte d’en faire partie ! »
Publié le 28 avril 2020 par Denis "Jaromil" Roio
Nouvelle correspondance sur le traçage de proximité par Denis Roio, hacker, entrepreneur social et expert en vie privée numérique pour Dyne.org, également connu sous le nom de Jaromil.
Denis Roio (alias Jaromil) est un chercheur en philosophie de la technologie, artiste et artisan du logiciel dont les créations sont soutenues par la Free Software Foundation. Il est impliqué dans Bitcoin depuis ses débuts et depuis 2000, il se consacre à la construction de Dyne.org, une maison du logiciel qui rassemble les contributions d’un nombre croissant de développeurs qui privilégient la responsabilité sociale plutôt que le profit. Récemment, Denis Roio a participé à deux projets de recherche européens, D-CENT et DECODE, tous deux axés sur les « Technologies décentralisées d’engagement citoyen » et un « Écosystème de données décentralisées appartenant aux citoyens ».
Correspondance,
Bonjour à tous ! Je continue mon journal de confinement, encouragé par vos commentaires et votre appréciation des précédents articles (lire le premier et le second publiés et traduits en français par Makery).
Mon but est de partager des réflexions, des modes d’emploi et des analyses dans le style de la tradition techno-politique autrichienne, d’observer et éventuellement de prévoir ce qui va bientôt se passer et dont nous nous souviendrons probablement pendant des décennies comme d’un événement marquant, celui de la pandémie Covid-19.
Le lectorat idéal auquel je pense en écrivant ce journal de confinement est un mélange d’experts politiques, de techniciens, de militants et d’entrepreneurs ; mon souhait est de provoquer, d’inspirer et de s’inspirer des solutions possibles que nous pourrions vouloir affiner et réaliser au-delà des frontières culturelles, géographiques et politiques.
C’est le moment d’imaginer de nouvelles façons d’organiser la société et de développer les technologies qui peuvent faciliter cette transition sidérante.
Dans cet article, je vais aborder quelques sujets :
1. les réponses et la résistance aux mesures de confinement
2. les faiblesses de la technologie de traçage de proximité
3. la méthode et l’objectif du développement du traçage de proximité
Je le fais depuis mon lieu de confinement dans le sud de l’Italie, qui dure depuis maintenant 6 semaines, à compter les jours, loin de mon lieu de résidence aux Pays-Bas, dans un pays qui a souffert plus tôt que d’autres en Europe de la pandémie et qui va maintenant lever certaines mesures d’isolement en mai.
Je suis bien conscient que d’autres pays comme l’Espagne, la France, le Royaume-Uni, l’Allemagne et les États-Unis sont en train de subir le choc des décès quotidiens et de l’isolement forcé, et mes pensées de solidarité vont à vous tous.
Soyez forts et gardez la foi : il y aura un nouveau départ.
Histoires de résistance
Dans de nombreux pays européens, il est désormais évident qu’en raison de la croissance exponentielle de l’infection virale, des mesures de confinement sont nécessaires pour protéger de larges portions de la population qui sont exposées à des risques graves.
Ce qui est maintenant évident pour beaucoup, c’est qu’avec ces mesures, nous assisterons à la naissance d’une résistance. Au risque de la banalité, permettez-moi de citer La politique d’Aristote :
« L’homme est par nature un animal social ; un individu qui n’est pas social ni naturellement ni accidentellement, est soit insignifiant, soit plus qu’humain. La société est quelque chose qui précède l’individu. Toute personne qui ne peut pas mener la vie commune, ou qui est suffisamment autonome pour ne pas en avoir besoin, et donc ne participe pas à la société, est soit une bête, soit un dieu. »
Scène de confinement :
Je pense que la résistance aux mesures de confinement – qui se manifeste sous de nombreuses formes, qu’il s’agisse d’une fête privée ou d’un couple marchant main dans la main ou d’une manifestation contre l’establishment – doit être comprise comme une résistance naturelle à l’isolement. Il est très difficile de discerner ces violations et d’en évaluer les risques, car elles sont « naturelles », surtout dans le cas d’un confinement prolongé.
Regardez maintenant cette vidéo fascinante. Il s’agit d’un troupeau de sangliers dans le vignoble d’une ville voisine de celle où je suis confiné et pas très loin de la côte ; à ce propos, regardez cette autre vidéo tournée à Punta Aderci, une plage où l’on n’a jamais vraiment vu de sangliers auparavant – comme sur la plupart des autres plages, puisqu’ils vivent dans les montagnes.
Si vous ne comprenez pas ce que je veux dire, regardez ces cerfs qui se montrent dans la rue commerçante de Villetta Barrea.
Certes, mon point de vue n’est pas immédiatement facile à cerner. Ce que je « sens » dans cette situation est une leçon métaphorique pour les politiques à venir, car nous devrons faire face à cette pandémie pendant plus d’une saison.
La nature comblera les lacunes – qu’il s’agisse des animaux ou de la vie sociale – et ces lacunes s’élargiront si une solution unique est adoptée.
La nature résiste, faisons en sorte d’en faire partie !
Il est inutile que les politiques soient strictes à l’égard de la nature : tout comme l’eau, la nature nous traversera tôt ou tard et nous devrons concevoir sa présence au sein du système.
De même, les mesures d’isolement physique sont inutiles si elles ne sont pas soigneusement adaptées à tout contexte culturel, naturel et social particulier.
De même, les mesures nationales sont vouées à l’échec, comme le montre la situation actuelle en Italie, où non seulement la nature prend le dessus, mais où la contrainte générale de la population aux mêmes mesures d’isolement explose en violations douces et dures des nouvelles normes. Parce qu’un état d’exception géré de manière centralisée perturbera tous les territoires de manière différente et imprévisible, en répondant à différentes nécessités et en négligeant différentes lacunes.
La gouvernance fédérale sera une nouvelle norme : le pouvoir aux régions.
Si j’écris ces lignes, ce n’est pas pour lancer des prédictions, mais pour pousser la pensée critique au-delà de la facile polarisation des contre-pratiques en état d’urgence : c’est important pour les mouvements humanistes et sociaux-démocrates qui se trouvent exclus du pouvoir au moment même où nous en avons le plus besoin. Le capitalisme sera en faillite pendant longtemps et là où il n’y aura pas de possibilité de changement, il ne restera que la barbarie.
En se faisant face à face, résistance contre coercition, nous ne ferons que créer des programmes de guerre.
À la lumière des mesures de dépenses fiscales nécessaires à venir, nous avons besoin de nouvelles méthodologies et d’indicateurs de performance clés pour L’État entrepreneur de la professeure Mazzucato : le secteur public doit clairement maximiser un plan de dépenses fiscales sans frictions, mais cela devrait aller à des communautés de pratique qui peuvent s’occuper de médiation culturelle et technique.
Gaspiller de l’argent sur les suspects habituels n’aidera pas, nous avons besoin de recherches ethnographiques pour identifier les processus de guérison et les aider à s’épanouir.
Au fait : non, cela ne se fait pas en développant une application mobile. À ce propos…
L’état des lieux du traçage de proximité
Dans l’un de mes récits précédents, intitulé « Nouvelles formes de rationalité et de libération« , j’ai fait part d’un argument en faveur de l’adoption d’un système de traçage de proximité décentralisé et préservant la vie privée comme solution viable au défi de la pandémie de Covid : cela pourrait alléger le poids de l’incertitude lorsqu’on essaie de contrôler la propagation de cette infection.
Une telle expérimentation n’est bien sûr pas sans risque. La semaine dernière, nous avons fait part de nos préoccupations dans une lettre ouverte au gouvernement italien, qui a réussi à faire modifier le plan de développement et de déploiement de l’application de traçage de proximité devant être adoptée en Italie.
Récemment, cet article en anglais a également fait un bon travail en parlant de dystopie au sujet des risques des applications dites de contact.
J’aimerais maintenant passer aux détails techniques, en partageant principalement quelques conseils pour des recherches plus approfondies, puis mon opinion.
Si vous êtes un technicien, prenez maintenant le temps de vous intéresser au buzz de « l’application corona ». Dans la seule bulle anglophone, de nombreux protocoles et applications sont déjà sortis, tandis que les services de relations publiques de Google et d’Apple ont obtenu une grande visibilité pour leurs efforts relativement modestes dans cette course : ils corrigent essentiellement des bugs et permettent aux gens d’utiliser les émissions BT ADV avec une petite modification de leurs politiques restrictives.
Il devrait être évident pour la plupart des gens qui protestent contre « l’appli corona » que les fabricants de systèmes d’exploitation comme Google étaient déjà capables de traquer tout le monde sans consentement bien même avant que le Covid-19 ne devienne la goutte au nez d’un pangolin de Wuhan.
Dans le nouveau scénario des applications de contact-tracing, ces fabricants d’OS seront toujours au sommet de la pyramide puisqu’ils tiennent des politiques centralisées strictes sur l’accès au marché. Mais il est à noter qu’ils fourniront un SDK de traçage de proximité inspiré du meilleur protocole décentralisé et préservant la vie privée qui existe (DP3T aka dpppt.org) pour éviter l’interception sauvage des données des opérateurs de télécommunication par des acteurs d’État demeurant en embuscade.
Devrions-nous nous réjouir de ces développements ? Je n’en suis pas sûr. Sincèrement, je ne serai vraiment heureux à nouveau que lorsque je pourrai me joindre à une fête et boire dans le verre d’un étranger, danser sur les tables et embrasser quelqu’un sur le canapé sans craindre l’infection pendant les deux semaines suivantes, comme une gueule de bois durable.
Le point important est que nous puissions recevoir les notifications de tests positifs de personnes que nous avons rencontrées ces dernières semaines de la manière la plus respectueuse possible de la vie privée.
Il est important de garder cela à l’esprit lors de la conception de tels systèmes : nous n’avons besoin de rien d’autre que de la notification, qui pourra faire partie du genre de routine d’auto-mesure que la plupart des personnes ayant une vie sociale active seront amenés à faire, afin d’évaluer quand un test est nécessaire. Bien entendu, cette application peut également être utile pour la surveillance sur site et donc contribuer à la réouverture prudente des restaurants, des bars et, qui sait, peut-être un jour des pistes de danse.
La raison pour laquelle ces systèmes devraient être soigneusement conçus pour préserver la vie privée et être décentralisés est que les pirates informatiques les pirateront, à partir de la couche ISO/OSI 3-4-5 de Bluetooth, ce tordu protocole sans fil d’une complexité inutile – un système sujet aux défaillances, quasiment depuis sa création.
L’adoption à l’échelle nationale d’une application de traçage de proximité basée sur le bluetooth et imposée par des politiques (qu’elles soient du secteur public ou du secteur privé, imposées par exemple aux travailleurs d’une usine) va certainement ouvrir une immense surface d’attaque à toutes sortes de pratiques de crack par des pirates.
My development setup to demonstrate the weak spots of #BLE for contact tracing.
Based on Nordic Semi's #nRF52 chips as sniffer, #wireshark for analysis, #hackrf for spoofing & id-faking.
Anticipating a solution a secure element gets used, too. pic.twitter.com/4lAvKiAAYQ
— tomfuerstner (@tomfuerstner) April 18, 2020
Ce sera un chaos hilarant pour certains, terrible pour d’autres et pas amusant pour ceux qui devront faire face aux conséquences de l’usurpation d’identité, de la falsification d’identité et des alarmes covid, toutes pratiques relativement faciles à mettre en œuvre, même par le technicien habituel qui répare votre ordinateur, alors soyez reconnaissant au Tom cité ci-dessus de l’avoir rendu évident.
Même dans le cas du protocole DP3T, il y a des vulnérabilités bien connues qui sont débattues et qui, dans certains cas, peuvent conduire à de la centralisation et à une dépendance aux règles de la sécurité par convention, des trucs du niveau des ministères de la santé qui prétendent que leurs serveurs ne seront jamais piratés… mais oui bien sûr… Lire à ce sujet l’étude « Risk of de-anonymisation of infected users is much higher than estimated ».
Il y a une explication claire donnée par l’institut Ada Lovelace (on ne s’attendait à rien de moins de la part d’une organisation aussi merveilleusement nommée) dans leur récent document politique intitulé « COVID-19 Rapid Evidence Review: Exit through the App Store? » qui dit en bref que pour que des politiques nationales puissent s’appuyer sur ces applications, il faudrait pouvoir :
1. Représenter des informations précises sur l’infection ou l’immunité
2. Démontrer des capacités techniques pour soutenir les fonctions requises
3. Répondre à diverses questions pratiques d’utilisation, dont l’accès aux tests
4. Atténuer les risques sociaux et protéger contre l’aggravation des inégalités et des vulnérabilités
À l’heure actuelle, il n’y a pas de preuves que les outils de traçage de proximité sont en mesure de traiter ces quatre éléments de manière adéquate.
Permettez-moi d’ajouter que pour développer efficacement cette technologie, il n’est pas nécessaire de lancer des appels d’offres à destination des fabricants d’applications ou pire, des sociétés de conseil qui meurent d’envie de les obtenir, mais que les communautés de recherche participent à la définition de l’innovation et à l’évaluation des risques et opportunités.
Ce qui m’amène au point suivant…
Le spectacle lamentable du traçage de proximité
Je ne suis pas sûr que vous ayez entendu parler de l’appel d’offres « Corona APP » aux Pays-Bas, qui vaut le coup d’être mentionné car il a deux grands mérites :
1. Il a rendu très public un processus qui ne l’est pas habituellement au moyen d’un nouveau format télévisuel : un « appathon » de style e-Sports en streaming live. Les Néerlandais avaient inventé l’émission de télé-réalité « Big Brother », maintenant ils inventent ça…
2. Il a mis en évidence à quel point les opportunistes habituels qui participent aux appels d’offres du secteur public en matière de TIC étaient ridicules : ils sont généralement bien connus aux Pays-Bas pour leur retard de livraison et leur tendance à dépenser excessivement le budget national.
Cela vaut la peine de développer ses compétences en langue néerlandaise pour lire le rapport technique de cet appel d’offres qui est publié en ligne à la manière d’une évaluation du code de l' »appathon ».
Il existe même un site web dédié au suivi du développement de ces apps (Voilà de la récursivité ! un site de contact-tracing qui trace les applications de contact-tracing !) qui indique dans un premier temps si elles sont open source et documente ensuite leur progression.
Franchement, d’un point de vue d’expert, je pense que toute cette attention est tout à fait ridicule – la bonne nouvelle est que l’engouement pour les applications a été stoppé.
Mais permettez-moi de vous faire part de quelques faits marquants après cette remarquable séance pop-corn, en commençant par le même riff que celui que je chante dans mes posts : Nous devons changer la façon dont les dépenses publiques sont effectuées. Le secteur public doit devenir réellement public, adopter des indicateurs basés sur le développement de la communauté publique et cesser de faire du lobbying en sous-main avec les habituels larbins des entreprises.
Il est également clair que le développement informatique a atteint une popularité telle auprès d’une partie toujours plus importante de la population technophile qu’il peut devenir aujourd’hui le sujet d’une émission TV et que plus de quelques milliers de personnes trouveront qu’elle vaut la peine d’être suivie.
Bienvenue dans l’émission sur les appels d’offres publics ! Un tout nouveau niveau de budgétisation participative, en direct sur vos écrans !
Pas mal. Pas mal du tout. Je ne vois pas pourquoi les hackatons et les e-Sports ne devraient pas remplacer des heures de commentaires sur le football aux heures de grande écoute. C’est bien plus fun !
De plus, le gouvernement néerlandais a adopté une attitude remarquablement honnête pour toute cette histoire, reconnaissant qu’aucune des 7 applications candidates n’a réellement tenu ses promesses et osant le dire en public, après toute une émission à ce sujet.
Je peux très bien imaginer qu’en Italie, le gouvernement avance de multiples accords à clause de confidentialité pour se couvrir quand ils se retrouveront à fournir quelque chose de bien trop compliqué et de totalement inutilisable comme le PEC (RFC6109) ou la prochaine « Immuni app« .
Peut-être assistons-nous au début d’une nouvelle ère de développement du secteur public où l’open source et le logiciel libre deviennent la norme et où il sera même possible d’oser assumer des échecs en leur nom ?
De nombreux éléments suggèrent que ce changement peut être envisagé, sans parler du fait que de nombreux fournisseurs de logiciels, dont Microsoft, adoptent l’ « open source » – ou devrais-je dire « doodknuffelen » ?
Si nous parvenons à surmonter la présence d’acteurs « too big to fail », comme les sociétés de conseil multinationales et les spécialistes du marketing qui vendent des TIC au prix fort, il y a de bonnes chances que les communautés de développeurs revendiquent leur expertise et remportent de précieux appels d’offres, ce qui facilitera peut-être la naissance d’une nouvelle espèce dans l’industrie du logiciel.
C’est à mon avis le meilleur résultat de toute cette histoire d’application qui, en dehors de cela, a pris bien trop de place sur nos écrans, tout comme d’autres hypes des TIC ont capté l’argent des contribuables ces dernières années. Je le dis sans hésitation aujourd’hui, car les protocoles sont là et nous avons démontré à quel point ils sont faciles à mettre en œuvre.
Et maintenant ?
OK, oublions un instant le battage autour de l’application Corona.
Arrêtons-nous et réfléchissons à ce dont nous avons vraiment besoin.
A place to stay, enough to eat
Somewhere, old heroes shuffle safely down the street
Where you can speak out loud about your doubts and fears
And what’s more, no one ever disappears
You never hear their standard issue kicking in your door
You can relax on both sides of the tracks
And maniacs don’t blow holes in bandsmen by remote control
And everyone has recourse to the law
And no one kills the children anymore
No one kills the children anymore
Pink Floyd – The Gunner’s Dream :
Les gens doivent être conscients des risques qu’ils encourent
La situation implique cette évidence : c’est ce que tout le monde veut.
Il peut être utile de disposer de moyens nous permettant, à nous et à toute autre personne, d’enregistrer les rencontres comme des « liens » anonymes, qu’il s’agisse de réunions, de fêtes ou de journées de travail, les liens étant des situations où nous nous sommes exposés mutuellement à nos fluides corporels. Lorsque l’un des participants à ces « liens » est à risque ou même diagnostiqué avec un virus, alors cette application enverra une notification à tous les participants du même « lien ». Rien d’autre. L’application ne connaîtra pas l’identité des personnes liées, ni ne se souviendra du lien, n’offrira pas de fonctionnalité de chat et n’essaiera pas de vous vendre des préservatifs sur Amazon. Point final.
« Faites une chose et faites-la bien ! » – philosophie UNIX
Retrouvez la première et la seconde correspondance de Denis Roio publiées dans Makery.