My own space on GitHub. You'll find #Infosec, #CivilDefense, #EmergencyManagement topics related issues. Feel free to get in touch on Twitter: @patrikryann
En matière de sécurité civile, l’un des enjeux fondamentaux est l’alerte aux populations. En effet, en cas de survenue d’une catastrophe (naturelle, industrielle ou criminelle), les populations ne seront à même de se protéger que si elles sont informées de ce risque et des mesures à suivre. Pour cela, depuis plusieurs générations, la France dispose d’un ensemble de sirènes réparties sur le territoire et destinées à prévenir la population (initialement d’attaques de bombardiers, d’où la pré-éminence de l’armée de l’air). Il s’agit du réseau national d’alerte (RNA), bien connue par la «sirène du premier mercredi du mois» et décrite dans un manuel de secourisme de mon grand-père (un monument historique ce manuel). Dans l’idée, en cas d’alerte (une tempête, un nuage de gaz ou des bombardiers soviétiques), des fonctionnaires et des militaires déclenchaient ces sirènes depuis la préfecture. Le ministère de l’intérieur dispose d’une page musée (ou descriptive si l’on réfléchit u rythme de mise en place du SAIP).
Depuis, un certain nombre de problèmes sont survenus. Par exemple, les sirènes de l’ancienne génération du système d’alerte reposaient sur des lignes cuivre, du temps où France Télécom était une administration. Problème, lors de la privatisation, un certain nombre de problématiques ont été tranchées à la rache. Et personne n’a pensé à imposer à Orange la maintenance des sirènes. Ballot, du coup, en 2011, un certain nombre de sirènes ne fonctionnaient plus et le ministère de l’intérieur est entré dans un litige qui s’est résolu en 2013 avec le conseil d’état donnant raison à Orange Heureusement, toutes les sirènes ne tombent pas en panne. Il faut dire que certaines sont sous la responsabilité de l’état, d’autres des communes, certaines des armées, et enfin quelques-unes d’entreprises. Mais quand ces sirènes fonctionnent, elles ne sont pas forcément audibles. Les brestois se rappelleront de ces essais de sirènes, rendues inaudibles par le vent (il faut dire qu’à Brest, il n’y a ni risques potentiels ni vent). Conscient de cet état de fait, l’état a défini dès 2008 une nouvelle stratégie d’alerte, dans le fameux Livre Blanc pour la Défense et la Sécurité Nationale, en groupant ça avec la détection précoce de missiles balistiques. La page 188 dispose notamment :
Moderniser le dispositif d’alerte des populations
La France doit, tout d’abord, disposer d’un moyen d’information rapide de sa population. À ce titre, un réseau d’alerte performant et résistant sera mis en place, en remplacement du système actuel. Celui-ci doit être entièrement modernisé, pour utiliser au mieux la diversité des supports aujourd’hui possibles : sirènes, SMS, courriels, panneaux d’affichage public dans les villes, gares, aéroports, réseaux routier et autoroutier. Les potentialités du réseau Internet doivent également être exploitées.
Dans le schéma de la politique française en matière de sécurité nationale, ce livre blanc donnera lieu à une stratégie d’application. Et le système révé en 2008 donnera lieu au SAIP. Le Système d’Alerte et d’Information des Populations.
Le ministère de la magie de l’intérieur nous informe sur son site web que ce SAIP possède plusieurs composantes :
On note que le SAIP repose encore sur des sirènes (et ce n’est pas absurde considérant la fiabilité toute relative de la téléphonie mobile), et sur des opérateurs tiers (radios, panneaux à message variables). Le ministère suppose également que des alertes par SMS sont disponibles. Ce qui est l’objet de vives controverses.
Il suffit de jeter un œil aux concours de startups pour réaliser que les téléphones mobiles sont partout et sont en tout cas considérés comme un vecteur principal de diffusion de l’information. Il n’est donc en effet pas absurde de baser une partie du SAIP sur la téléphonie mobile. Pour ça, la voie la plus élémentaire serait d’utiliser les SMS (Short Message Service), un truc vieux comme le GSM et initialement utilisé pour des besoins de service du réseau. Le gros avantage du SMS, c’est qu’il ne sature pas la bande passante en ne mobilisant que peu de canaux car il n’est pas prioritaire face à la voix. Le principal inconvénient, c’est qu’il n’est pas prioritaire; si ça passe très bien, si ça passe pas, tant pis. Deux systèmes sont possibles pour émettre des SMS à destination des mobiles situées dans une zone géographique connue.
Le premier est le SMS-CB pour SMS Cell Broadcasting, une norme de GSM qui permet de diffuser instantanément un SMS à tous les mobiles raccordés à une BTS. Cette solution est notamment utilisée en Israël pour son système d’alerte contre les tirs de roquettes ou à New-York. L’esprit chaffouin notera que Orange est membre fondateur du Forum Cell-Broadcast et que SFR disposait il y a 14 ans d’un service de Cell-Broadcasting, pour faire de la pub. Si il y a blocage, il n’est pas technologique. Il n’y a pas vraiment d’inconvénients à cette technologie. L’un des deux problèmes est la visualisation sur l’interface, un peu similaire à des SMS-Flash, sans forcément de notification sonore ou vibrante et à potentiellement supprimé de l’écran sans les lire par l’utilisateur. Le second tient dans le paramètrage des terminaux. En effet, certains opérateurs désactivent cette fonctionnalité-qui-ne-sert-a-rien-en-France pour protéger leurs clients d’eventuels SPAM/Malware. Cependant, entre le renouvellement naturel de la flotte de terminaux et les mises à jours pushables par l’opérateur (ou le fabriquant, ce serait un des rares avantages à avoir un tel contrôle de la part de Google ou d’Apple sur leurs terminaux), on peut estimer qu’avec une politique volontaire, la plupart des terminaux seront configurés en quelques années pour accepter ces messages. Déjà en 2015, un comité sénatorial remettait un rapport sur Xynthia proposant l’utilisation de SMS-CB (rebaptisé selfbroadcasting par nos parlementaires éclairés et visiblement anglophones) malgré quelques points farfelus (non, SMS-CB ne rallume pas les terminaux éteints). Depuis, un débat discret s’est initié sur la-faute-a-qui. Du point de vue des opérateurs, tout est en place, il manque juste une décision claire de l’état, et on peut effectivement constater que depuis au moins 5 ans une belle commission planche sur des sujets on ne peut plus pertinents et d’actualité comme le SMS-CB ou la localisation des appels d’urgence (on retrouvera cette liste page 64).
Le second système envisageable serait l’utilisation du HLR de l’opérateur pour savoir quels sont les mobiles localisés dans une zone et leur envoyer un message SMS. C’est cette solution qui est utilisée pour détecter les voyageurs et leur envoyer ces petits SMS de bienvenue dans un pays étranger. Y a t’il un intérêt particulier à préferer ce bricolage au SMS-CB ? Il s’agit alors de vrais SMS dans le sens où ils seront reçus comme des messages SMS et pas des notifications. Par ailleurs, cela ne nécessiterait pas une configuration préalable des terminaux. L’inconvénient, c’est qu’il s’agirait alors de sortir d’une technologie bien connue pour autre chose de plus improvisé.
Evidemment, le gouvernement a préféré faire développer une application immonde, compatible uniquement avec certains smartphones (on repassera pour l’universalité de la diffusion) et qui est au mieux incompréhensible dans sa stratégie de communication ou dans ses exercices au pire non fonctionnelle pendant des vrais attentats.
Mais à force de se faire les héraults du SMS-CB on en oublie également les autres médias de communication traditionnels qui semblent tout aussi négligés :
En 2008, l’état n’avait pas pris la mesure du développement des médias sociaux, mais on peut également y ajouter Twitter et Facebook (grosse majorité de la population impactée). On attend avec impatience le dispositif Twitter Alert en France. On peut aussi penser, plutôt que de développer une application que peu de gens installeront (qui voudrait vraiment installer une application géolocalisée du ministère de l’intérieur un peu curieuse ?), on aurait pu passer des accords avec les éditeurs d’application qui disposent des droits de géolocalisation et de notifications PUSH (coucou LeMonde par exemple) pour bénéficier de leur pouvoir de pénétration (et toucher autre chose que les mobiles, comme les tablettes de plus en plus présentes dans les foyers).
Bref, l’état se modernise en étant aussi visionnaire que dans sa vision d’Internet tout en restant sur sa stratégie affichée du “Citoyen acteur”. Or, compter sur le citoyen pour qu’il soit acteur et aille chercher de lui-même de l’information qu’il estimera sans intérêt (non, soyons lucides, le citoyen lambda n’a cure de la sécurité civile) est à mon avis personnel d’une portée limitée. Utiliser les moyens de communication déjà existant, par contre serait pertinent en ne mobilisant pas excessivement le citoyen et devrait avoir somme toute, des coûts moindres. Enfin avoir une volonté claire de l’exécutif (visiblement le legislatif est enthousiaste) permettrait semble-t-il d’enfin faire démarrer le SMS-CB et ce serait une énorme avancée pour le SAIP. Mais ça ne fera pas tout. La formation générale des citoyens aux situations d’urgence est un pré-requis (un peu abordé au PSC1, mais trop vite oublié).
Or il semble qu’il faille que le citoyen au mieux n’ait pas d’effort à faire (SMS-CB, sirènes, broadcast audio-visuel) ou au pire qu’il y trouve un intérêt quelconque (couplez donc un avertisseur de radars par le ministère de l’intérieur avec l’application SAIP et ce sera le succès de l’année loin devant Candy Crush) pour qu’il s’intéresse vraiment. Nous sommes face à une majorité de consommateurs en temps normal. Si en temps de crise, ils deviennent des citoyens intéressés, ce sera trop tard pour se préparer.
PS: Si un lecteur généreux peut envoyer à la mairie d’Aignan le mode d’emploi de leur sirène, peut être pourront-ils enfin arrêter la faire sonner tous les midis.