La procédure de soutenance de thèse française, comme celle de nombreux pays, impose la lecture du mémoire du doctorant par des experts extérieurs à l'établissement de soutenance (et à l'école doctorale dans certains cas). Ceux-ci remettent un rapport à l'école doctorale dans lequel ils donnent leur avis sur la thèse et indiquent surtout s'ils pensent que la thèse peut être soutenue en l'état. C'est un travail assez coûteux en temps puisqu'il faut lire attentivement la thèse dans son intégralité, soit 90 à 200 pages dans mon domaine, puis rédiger un rapport de quelques pages. À titre personnel, j'aime bien rencontrer en plus le doctorant une demi-journée pour discuter du mémoire avant de rédiger mon rapport. Ces rapports sont cruciaux pour garantir la qualité des thèses et la valeur du diplôme de docteur.
Comme tous mes collègues habilités à diriger des recherches, je suis sollicité régulièrement pour faire de tels rapports. En général, cela se passe plutôt bien : il y a une forme d'autocensure qui fait qu'on ne voit pas les travaux qui ne sont pas au niveau attendu pour une thèse. Le dernier mémoire que j'ai eu à lire vérifiait parfaitement ce principe : un très bon travail, validé par des publications de qualité, rien à dire de négatif. Mais la suite de l'histoire est édifiante…
Le rapport sur une thèse étant un document très sérieux et très officiel, il est naturel que les écoles doctorales prêtent attention à la façon dont celui-ci est transmis par le rapporteur. Mais on va voir que la notion de « sérieux » n'est clairement pas uniforme.
Comme tout mathématicien/informaticien qui se respecte, j'ai rédigé mon rapport en LaTeX, puis j'ai produit avec les sources LaTeX un fichier pdf. Je dispose d'un fichier png contenant ma signature numérique, c'est-à-dire une signature produite directement informatiquement (avec une souris, pour être précis). Notez bien qu'il ne s'agit pas d'un scan de ma signature manuscrite. J'ai inclus cette signature dans le fichier pdf. Enfin, j'ai envoyé le fichier pdf à l'école doctorale (l'Edite de Paris, une école doctorale en informatique, si, si) en tant que pièce jointe d'un email signé avec ma clé clé OpenPGP. L'email étant au format OpenPGP/MIME, l'intégrité de l'intégralité de son contenu, pièce jointe incluse, est assurée par la signature électronique (avec la clé). J'ai même inclus dans le texte de l'email la synthèse de mon avis (« avis très favorable pour la présentation du travail ») et une courte note sur la signature. Rien de bien extraordinaire dans cet email, la signature électronique étant reconnue en France depuis 2000 (avec la même valeur légale qu'une signature manuscrite).
Mais voilà, le lendemain, j'ai reçu un email intitulé Reception d'un rapport non original et formulé comme suit :
Bonjour Fabrice ROSSI English version below... Nous venons de recevoir une copie de votre rapport sur la thèse de XXX et vous en remercions. Nous allons pouvoir progresser dans la procédure de soutenance mais nous ne pourrons cependant la finaliser qu'à réception de l'original de votre rapport. Pouvez-vous donc transmettre votre rapport original signé à Université Pierre et Marie Curie École doctorale EDITE ED130 - Case courrier 168 4, place Jussieu 75252 Paris Cedex 05 France Cordialement, %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% English version We just received your report on the thesis of XXX and we thank you for this report. We can now resume the procedure but we will not be able to complete it until we get your genuine report. Can you then send your signed report to: Université Pierre et Marie Curie École doctorale EDITE ED130 - Case courrier 168 4, place Jussieu 75252 Paris Cedex 05 France Best regards, mailto:secretariat@edite-de-paris.fr Site de l'EDITE: http://edite-de-paris.fr/ Votre fiche personnelle: https://edite-de-paris.fr/public/person/myself
J'ai d'abord beaucoup apprécié de recevoir un mail semi-automatique bilingue après avoir transmis un rapport en français. L'Edite, dont la réputation de monstre bureaucratique n'est plus à faire, montre ainsi toute la considération de ses serviteurs pour les rapporteurs…
Mais le plus « amusant » est le délire concernant la copie et l'original. On sent bien que ce texte a été rédigé pour les rapporteurs qui impriment leur rapport, le signent puis transmettent un scan par email. Je trouve une telle procédure longue et fastidieuse, mais après tout, si l'email est signé avec une clé OpenPGP ou un certificat vérifiable, pourquoi pas. Mais voilà, je n'ai pas fait ça… J'ai envoyé un fichier pdf aussi original qu'une entité numérique peut l'être, attaché en outre de façon vérifiable à ma personne, comme la loi française m'y autorise depuis plus de dix ans. Me demander une version originale n'a donc aucun sens.
Ce que tente de cacher (bien maladroitement) cet email est que l'Edite ne reconnaît pas la signature électronique, ce qui n'est pas très légal et qui ne peut avoir, à mon avis, qu'une seule explication : l'Edite n'est pas capable de vérifier la validité d'une signature électronique. Amusant car l'Edite est une école doctorale d'informatique, télécommunications et électronique, dont certains membres sont spécialisés en cryptographie ou en sécurité informatique !
Passons sur une telle incompétence en 2013. Pourquoi ne pas le dire franchement ? Après tout, je veux bien croire que vérifier une signature OpenPGP n'est pas complètement trivial, notamment en raison de la difficulté d'obtenir la clé publique elle même de façon sûre. Dans mon cas, ce n'est pas trop difficile. Ma clé est ici. Pour vérifier que ce site est bien le mien, on peut vérifier qu'il est bien référencé depuis la page de mon laboratoire et depuis ma page officielle sur le site de mon université. Tout ceci est peut être un peu fastidieux et si j'avais reçu un email clair m'indiquant que l'Edite n'était pas en mesure de vérifier ma signature et avait donc besoin pour cette raison d'une version papier de mon rapport avec une signature manuscrite, je me serai exécuté (de mauvaise grâce). Mais non, on me prend pour un imbécile en me demandant, oxymore magique, la version originale d'un fichier informatique.
Pour ne pas pénaliser le doctorant, j'ai cédé. Au lieu d'avoir dans son dossier une version électronique vérifiée de mon rapport, l'Edite a donc maintenant une version imprimée de mon rapport dont elle ne peut en aucun cas vérifier l'authenticité. En effet, le document a été placé directement par le doctorant dans la boite de l'Edite, ce qui interdit toute vérification de l'expéditeur (la Poste aurait été dans cette situation tout aussi inutile, même avec un envoi en recommandé qui ne fait que rendre la date d'expédition certaine). En outre, l'Edite ne dispose d'aucun moyen de vérifier l'authenticité de ma signature manuscrite, ne serait-ce que parce qu'elle n'en possède pas de copie.
Or, je n'ai reçu aucune demande officielle de l'Edite pour la rédaction de ce rapport. Nous voila donc devant une magnifique faille de sécurité béante. Pour autoriser la soutenance d'une thèse toute pourrie, il suffit de prétendre faire appel à des rapporteurs connus, mais de ne surtout jamais les contacter. On envoie ensuite à l'Edite de faux rapports avec des fausses signatures. Les rapporteurs seront probablement convoqués officiellement à la soutenance, mais voilà, j'ai reçu ma convocation après la soutenance. En outre, avec un peu de chance, les rapporteurs ne protesteront pas tout de suite. Encore un petit faux pour le rapport de soutenance et les papiers associés, et hop, c'est dans la poche. Bravo, l'Edite !