ROBERT-proximity-tracing / documents

Protocol specification, white paper, high level documents, etc.
Other
247 stars 21 forks source link

ROBERT status after first few days of reviewing ? #40

Open Matioupi opened 4 years ago

Matioupi commented 4 years ago

Just curious, what is the status of ROBERT protocol development after a few days of reviewing (with pretty strong negative remarks about its actual properties) ?

Is it the choosen/prefered/short listed protocol for the French governement app that may be in development phase for May 11th ? (not so many official informations about this) ?

bortzmeyer commented 4 years ago

Or, in a more general way, how does the ROBERT team plan to address the issues? ROBERT choosed an open development, with public discussion, which is great.

But, after that, what will become of these issues?

Matioupi commented 4 years ago

It seems that ROBERT is the only protocol that have been reviewed by French CNIL.

rapport CNIL du 24 avril 2020

Matioupi commented 4 years ago

Ah et bien il y aura du beau monde du côté de l'autorité centrale honest but curious

https://www.lunabee.studio/press/PR_STOPCOVID_26042020_FR.pdf

Adrien-Luxey commented 4 years ago

In the end, no Assembly debate/vote to approve the deployment of StopCovid (article in French) : https://www.lesechos.fr/tech-medias/hightech/stopcovid-le-gouvernement-passe-en-force-et-supprime-le-debat-a-lassemblee-1198202

It answers this issue's question: the project is not questionable, it will be implemented by private actors in a black-box setting, and forced onto the population.

Matioupi commented 4 years ago

Indeed the status of StopCovid app repo is such a joke... https://github.com/betagouv/StopCovid

bortzmeyer commented 4 years ago

@Matioupi There is no proof that the repository under @betagouv is anything but a test at a time. The real development, if it happens, may be elsewhere.

Matioupi commented 4 years ago

d'ailleurs il viens d'être supprimé... pour un développement open source ça commence vraiment bien...

PRIVATICS-Inria commented 4 years ago

Thanks @Matioupi for your comment.

Is it the choosen/prefered/short listed protocol for the French governement app that may be in development phase for May 11th ? (not so many official informations about this) ?

We are a group of researchers who propose ROBERT protocol as one possible option for governments to implement. Whether the French government chooses ROBERT (or a version of it) is not in our control and we do not have more information than what is publicly available.

Or, in a more general way, how does the ROBERT team plan to address the issues? ROBERT choosed an open development, with public discussion, which is great.

We are thankful for all the inputs we received here. We have a lot on our plate right now, but we will try to answer them as soon as possible. In parallel, we are using those comments to prepare an updated version of our proposal.

Matioupi commented 4 years ago

Au stade actuel, je me permet de continuer cette discussion en français.

Le protocole ROBERT est le seul mentionné dans le document de la CNIL, mais à part savoir qu'une version (non précisée) était annexée à la saisine on en sais pas davantage. Il serait intéressant de savoir si la version qu'ils ont revue et adoubée est la 1.0 telle que disponible dans ce dépôt au moment de la rédaction de ce message. Sinon, une mise à jour et un tag "version revue par la CNIL" serait utile il me semble.

La plupart des réponses aux issues actuelles n'ont sans-doute plus lieu d'être si ROBERT II est très différent de ROBERT 1er.

D'autre part, l'INRIA a largement communiqué sur le fait qu'ils vont piloter le développement de StopCovid je cite le communiqué de presse en date d'hier : https://www.inria.fr/fr/stopcovid

Le Gouvernement français a confié à Inria le pilotage opérationnel du projet de recherche et développement baptisé « StopCovid »

donc sauf coup de théâtre, retour devant la CNIL ou contournement de leur avis, il est très probable que ROBERT sera le protocole de l'application franco-française.

D'ailleurs, vous aviez initié par la mise en place de ce dépôt une dynamique open-source indispensable d'après le compte rendu de la CNIL. Il semble qu'au delà de la documentation du protocole, cette dynamique sur la globalité de l'appli est très largement mise à l'arrêt et je trouve cela tout à fait regrettable; En particulier, un dépôt avait été mis en place : https://github.com/betagouv/StopCovid qui a été fermé en début d'après midi.

Si le pilotage opérationnel pouvait indiquer où se trouve le nouveau dépôt, les choses auraient l'air plus transparentes. De la même façon, et même si c'est indépendant du propos du dépôt ROBERT, je trouve dommage que le volontariat ait été omis des 5 fondements du projet, et la formulation au sujet de l'aspect Open-Source

La transparence, qui passe notamment par la diffusion, sous une licence open source, des travaux spécifiques menés dans le cadre du projet.

me semble particulièrement ambiguë, en particulier compte tenu de la déclaration de la CNIL

Elle souligne à cet égard l’importance d’assurer le libre accès aux protocoles utilisés ainsi qu’au code source de l’application, du serveur central et leur paramétrage.

qui semble pour sa part bien indiquer que la totalité du code source de l'application doit être accessible, côté client et côté serveur.

Cordialement,

Mathieu Peyréga

edit : des fautes d'orthographe (sans doute pas toutes)

claustres commented 4 years ago

Il est clair que la communication autour de ce projet est plus qu'ambigüe, elle va des promesses de réalisation sous "2 semaines en totale transparence" à des communiqués de ce type (où orange semble faire cavalier seul) ou encore de ce type où il est indiqué "sous une licence open source, des travaux spécifiques menés dans le cadre du projet" (sous-entendu que tout ne sera donc pas open source ni auditable). Et encore à propos de l'écosystème des contributeurs de StopCovid: "ouvert, il rassemble des organisations ou personnes physiques, qui ont manifesté leur volonté de participer au projet, par des contributions spontanées ou en réponse à des sollicitations" (en résumé des personnes qui ont leurs entrées au ministère et dans des grands groupes ou que le gouvernement a envie de choisir).

Je crois que le gouvernement a oublié que l'open source est une démarche de co-construction et non un résult final, mes deux sous sur le sujet: https://medium.com/@luc.claustres/what-can-covid-19-tell-us-about-our-digital-achievements-and-failures-68f76bda1c17.

pelinquin commented 4 years ago

Le dernier argument fallacieux pour soutenir le projet ROBERT au lieu de suivre une approche décentralisée type DP3T est qu'il faudrait dans tous les cas faire confiance à un serveur, controlé par l'Etat dans le cas de ROBERT et c'est là qu'ils abuse (!) par Apple-Google dans le cas de DP3T ! Donc nos politiciens en concluent qu'il vaut mieux choisir ROBERT que les vilains GAFAM. Sauf que les backend de DP3T sont des serveurs publics avec le minimum d'information, pas plus controlé par Apple que par le hacker du coin. On peut aussi faire des devices à 10$ sans Apple ni Google pour DP3T ! En revanche Il est facile de faire une attaque DDOS sur le serveur Robert pour demander des millions de pseudos et bloquer le système dès sa sortie alors qu'il n'y a aucun contact à l'initialisation entre le smartphone et le backend dans DP3T, qui revient à tous la même chose (mise à jour depuis la veille)

Si on creuse un peu, il y aurait un argument de "souveraineté numérique" qui permettrait à un pays de vouloir cacher aux autres pays la moulinette qui transforme les données de contact, en vecteur de risque conduisant à donner des instructions de protection/confinement. Visez la confidentialité du truc ! Comme si le virus connaissait nos nationalités et comme si on ne pouvait pas collaborer pour sauver des vies et définir le meilleur modèle épidémiologique paramétrable.

Donc effectivement pour cacher une moulinette aux GAFAM et surtout aux peuples et aux développeurs indépendants, il ne faut pas faire de code open-source et bosser cacher comme ils font.

Je pense que les hackers à capuche sont en train de chauffer dans leur cave, pour qu'ils se déchainent dès que l'app va sortir. On ne pourra pas dire que les ROBERTs ne l'auront pas cherché.

Je retrourne sur DP3T, que j'ai adapté pour faire du paiement (https://github.com/pelinquin/kissact) Keep Cool !

vincent-grenoble commented 4 years ago

Hello. There is a good article from Liberation, discussing some of the topics above in a more neutral way. Nice to read (if FR is not an obstacle).

Matioupi commented 4 years ago

image

French app may not show up at all...

source:

https://www.lemonde.fr/planete/live/2020/05/02/coronavirus-en-direct-le-texte-prorogeant-l-etat-d-urgence-sanitaire-presente-en-conseil-des-ministres_6038440_3244.html

claustres commented 4 years ago

An independent national technology to tackle a global worlwide issue and running on foreign systems and hardware, strange isn't it ? A pity we are not at least able to provide a unified technological strategy in EU, I hope we will be better to tackle global warming ;-)

pelinquin commented 4 years ago

Luc, We could have use the nRF52 proc and build a 10$ device...but it's so hard to get 10k€ from EU or national funding for this when you are a small start-up Shame on Orange, INRIA and their friends

Laurent

Matioupi commented 4 years ago

Le moins qu'on puisse dire, c'est que la CNCDH ne saute pas de joie à l'idée de StopCovid.

https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000041842594&categorieLien=id