Par Margot Arold.

Plus de masques, ni chirugicaux, ni FFP2. Et aujourd’hui, plus de gel hydroalcoolique non plus .

Ces pénuries ont bien vite été attribuées aux clients saisis de panique, de psychose. Si cela a certes eu un impact, là n’est pas la cause principale de la pénurie. L’État a constitué des stocks, vidant le marché de son offre.

Certains distributeurs expliquent d’ailleurs que l’État a bloqué leurs stocks, les empêchant de répondre à la demande des pharmacies.

Pas besoin de masques… et puis si

Le 26 janvier, Agnès Buzyn alors ministre de la Santé, se voulait très rassurante et estimait les masques de protection inutiles :

« Aujourd’hui, il n’y a aucune indication à acheter des masques pour la population française, nous avons des dizaines de millions de masques en stock. En cas d’épidémie, ce sont des choses qui sont d’ores et déjà programmées. »

« Dizaines de millions » de masques qui ont fondu comme neige au soleil.

La semaine dernière, exactement un mois après, le nouveau ministre de la Santé expliquait : « avoir décidé de déstocker 15 millions de masques anti-projections dans les stocks constitués par l’État pour qu’ils soient distribués dans les pharmacies et les hôpitaux aux professionnels de santé et aux personnes à risque ».

On connait depuis plusieurs semaines l’importance de la protection respiratoire, et le ministère attend la semaine du 1er mars pour « déstocker » 15 millions de masques. L’État français toujours si prompt à intervenir sur les prix, n’a pas cassé les prix en larguant sur le marché ses millions de masques pour le bien-être collectif si cher à sa politique. Notre État-nounou serait-il donc plus Tatie Danielle que Mary Poppins ?

Pénurie de chloroquine

De la même façon, la pénurie s’est portée rapidement sur la chloroquine, ce médicament anti-paludisme qui semble avoir une certaine efficacité contre le virus, du moins selon les chercheurs chinois qui en testent l’efficacité.

Curieusement, impossible de se procurer de la chloroquine dans les pharmacies françaises depuis que cette information a filtré. La raison ? Ce ne sont pas les clients, peu informés à ce moment-là, qui se sont rués sur les boîtes disponibles. Mais l’État a, là encore, constitué des stocks.

Comme simple patient, comme simple individu, vous n’aurez plus accès à ces protections ni à ces traitements : l’État les a capturés pour mieux les redistribuer quand il le jugera nécessaire.

Distribués, oui mais pas pour tout le monde…

Dans Libération , le président de l’Union des Professionnels de santé, Christophe Wilcke, explique que lorsque les masques seront disponibles ils ne seront pas vendus à la population :

« Mercredi à midi, tous les pharmaciens ont reçu un message de l’Ordre des pharmaciens indiquant que nous allions recevoir, via les grossistes répartiteurs, un stock d’État de masques de protection.

Et puis à 20 h 56, un deuxième message indiquait que ce stock devait être réservé aux professionnels de santé contre un bon de l’assurance maladie, et qu’il n’était pas envisagé à ce stade de distribuer le stock à la population. »

Ainsi, il n’est plus possible pour un patient dans un circuit médical libéral (c’est-à-dire passant par son médecin traitant au lieu de l’hôpital) ou à un médecin libéral en personne d’avoir librement accès à une protection ou à un traitement. Tout dépend désormais de l’État et de sa gestion de la crise sanitaire.

Il ne laisse pas les mains libres à ceux qui, sur le terrain, sont en première ligne et  compétents pour prendre des décisions. Il faut attendre les consignes, et maintenant, attendre aussi le matériel de protection.

Les médecins libéraux mal servis

Si les hôpitaux seront les premiers servis, les médecins libéraux, eux, auront le plaisir de réclamer et de remplir moult formulaires administratifs pour obtenir un masque :

« De plus, en parallèle, les médecins généralistes seront dotés, la semaine prochaine, de masques chirurgicaux issus de ce stock pour la prise en charge de patients suspects de Covid-19, poursuivent les services du ministère. Cette mise à disposition sera réalisée via les pharmacies d’officine à l’aide d’un bon de retrait fourni par la Caisse nationale d’assurance maladie.»

N’aurait-il pas été plus simple et plus rapide de mettre ce matériel à disposition des médecins, gratuitement et sur présentation de la carte professionnelle, plutôt que d’élaborer une énième strate bureaucratique à un moment où personne n’a besoin de plus complexité ?

L’État va choisir où, quand et comment distribuer ses stocks. Cette manière centralisée de gérer les problèmes du terrain risque d’être une fois de plus délétère pour les Français : mais cette fois, Il ne s´agit plus de mal gérer l’école, l’entretien des routes et des ponts, ou la SNCF. On parle de la santé des individus, de leur vie.

Après avoir siphonné le marché du matériel de protection, l’État se sert le premier, distribue à sa façon, et au rythme qu’il estime justifié.

Les masques livrés dans certains hôpitaux ces dernières années laissent dubitatifs : leur date de péremption affiche… décembre 2007. Ca promet.

Ces articles pourraient vous intéresser:

Coronavirus : la thèse d’un trou d’air invalidée ? Coronavirus : la crise chinoise qui risque de ralentir l’économie mondiale Masques chirurgicaux : les prix flambent, vive le marché ! Coronavirus : comment s’en sort la Chine ?

Il y a quelques jours je suis tombé sur un article annonçant la sortie de la nouvelle mouture du client de messagerie sécurisé Cryptocat. Je ne m'étais jamais réellement penché sur ce client car il faisait, selon moi, partie des dizaines d'autres clients surfant sur la vague des messageries instantanées chiffrées sorties suite aux révélations d'E.Snowden. J'ai donc voulu creuser un peu et voir de quoi il était composé.

Comme vous le savez peut-être, je travaille moi-même sur un client de messagerie "sociale" appelée Movim exploitant le protocole XMPP. J'essaye, au travers de ce projet, de montrer aux gens qu'il est parfaitement possible de créer une solution à la fois sécurisée, standard et décentralisée tout en offrant une interface agréable et simple à comprendre. Petite précision toutefois: Movim ne possède pas (encore, mais j'y travaille) de fonctionnalité de chiffrement de bout en bout. Néanmoins il est possible de faire ce genre de chiffrement sur XMPP de façon standard et compatible avec des technologies standardisées comme OTR et le récent OMEMO (c'est d'ailleurs cette norme que j'ai décidé d'implémenter dans Movim).

La chose que je trouve dommage avec tous ces services et clients c'est qu'ils ne sont pas compatibles entre eux. Pourtant il existe aujourd'hui plusieurs clients XMPP proposant la norme OTR et OMEMO mais qui ne sont malheureusement pas si connus et médiatisés que les autres. Je mentionnerais en particulier l'excellent Conversations (sur Android) dont l'équipe est à l'origine de la norme OMEMO (qui est elle-même une implémentation de la norme Axolotl dans XMPP, notamment utilisée sur le client Signal).

Étant un peu curieux par nature je me suis plongé dans le code source de la nouvelle version de ce cher Cryptocat pour regarder un peu ce qu'il a dans le ventre.

Ni une, ni deux, je clone le dépôt sur ma machine et je commence à explorer le code.

Première surprise !

Avant même d'ouvrir le moindre fichier j'avais déjà un petit sourire en coin en voyant le nom de certains d'entre eux dans le répertoire src/js/.

axolotl.js
omemo.js
xmpp.js

Tiens, tiens, tiens. Un petit tour sur la page Security du site me confirme bien ça. Cryptocat utilise XMPP comme transport et OMEMO comme méthode de chiffrement. Le reste du blabla n'est rien d'autre qu'une réexplication de la norme Axolotl sans pour autant la mentionner.

Donc Cryptocat est un client XMPP, en Javascript, avec la norme OMEMO par dessus.

XMPP…

Je ne me suis pas particulièrement penché sur la partie chiffrement du projet, j'avoue ne pas avoir assez de compétences en cryptographie pour offrir une critique constructive et je pense que l'auteur du projet est bien plus expérimenté que moi là dessus. Je salue par ailleurs sa volonté de transparence à ce propos. Néanmoins je commence à bien connaitre le protocole XMPP et je sais que son point fort est la possibilité d'interconnecter les serveurs entre eux et de laisser le choix du serveur à utiliser aux utilisateurs.

L'interconnexion est une fonctionnalité que j'estime nécessaire car d'une part, elle permet aux utilisateurs d'avoir le choix du serveur sur lequel ils iront déposer leurs données et d'autre part, elle décentralise les points d'échange du réseau (et rend ainsi plus difficile la censure et l'écoute du réseau).

Après avoir regardé plus en détails le fichier xmpp.js j'ai enfin la confirmation de ce dont je me doutais jusque là.

jid: username + '@crypto.cat',
server: 'crypto.cat',

Oui, il y a bien un serveur XMPP écrit en dur dans le code source du projet.

Explorons un petit peu le serveur crypto.cat

Le site XMPP IM Observatory nous retourne une note de A pour la sécurité du serveur, ici rien à dire. Par contre je découvre que l'interconnexion avec les autres serveurs du réseau n'est pas autorisée. La connexion entre le client Javascript et le serveur se fait au moyen d'un Websocket et le serveur XMPP est un serveur Prosody tout bête.

Cryptocat n'est donc pas qu'une application de chat offerte par Nadim Kobeissi, mais aussi un service centralisé auquel les utilisateurs sont contraints de se connecter (sauf s'ils changent le code source du client, ce qui est possible, mais combien le feront ?).

Précisions sur le chiffrement de bout en bout dans XMPP

Le chiffrement de bout en bout est une très grande avancée dans l'anonymisation des données échangées. Néanmoins il ne permet pas tout. Sur XMPP par exemple il faut savoir que OTR et OMEMO ne chiffrent que le contenu des messages et pas la signalisation qui les accompagne (certains diront les métadonnées). Mais que pouvons nous trouver dans ces métadonnées ? Et bien l'identifiant de l'émetteur et du destinataire du message mais aussi beaucoup d'autres choses pouvant êtres sensibles. Une page sur le Wiki de Reporters Sans Frontieres résume plutôt bien tout ça. Ces informations peuvent être conservées dans des historiques et journaux sur les serveurs XMPP.

En choisissant de centraliser son service sur un seul et unique serveur (qui semble être hébergé dans le datacenter d'OVH à Roubaix) l'auteur de Cryptocat a aussi fait le choix de concentrer l'intégralité du trafic de sa plateforme sur un seul et unique point du réseau Internet.

Cela me serait égal si toutes ces informations étaient précisées sur le site du projet, au moins de façon temporaire si l'objectif à terme était de permettre la connexion à d'autres serveurs XMPP. Mais je trouve vraiment dommage qu'il ait tu ces informations.

Petit bonus, qu'en est-il de la v1 de Cryptocat ?

Même si je salue le fait d'utiliser des normes comme XMPP et OMEMO dans Cryptocat, j'ai quand même jeté un œil à la première version du projet pour voir sur quelle architecture il s'était basé.

Sans grande surprise la première version se base également sur XMPP et OTR. Néanmoins elle permettait de changer le serveur XMPP sur lequel le client se connectait. J'espère donc qu'il sera également possible de faire la même chose sur la seconde version.

Pas de quoi s'inquiéter donc ?

Oui, pour le moment pas de quoi crier au scandale mais je souhaiterais que Nadim soit aussi transparent sur l'architecture de son projet que sur les méthodes de chiffrement qu'il utilise au sein de son application.

Je pense qu'il est aussi important d'informer les utilisateurs de comment sont protégées leurs messages mais aussi par où et comment ceux-ci sont acheminés.

Dernière petite question, pourquoi vouloir à tout prix fermer la plateforme alors que XMPP permet nativement l'interconnexion avec les autres réseaux ?

En bref, si vous voulez avoir les mêmes fonctionnalités que Cryptocat, plus tous les avantages de XMPP (interconnexion, gestion de l'historique, profiles, notifications, accusés de réception…) tournez vous vers des clients comme Conversations ou Gajim (et bientôt Movim concernant le chiffrement je vous promet !).

That's all folks !