Vous ne connaissez peut-être pas encore Olvid, mais les ministres, eux, vont apprendre à connaître cette application. Et pour cause : instruction leur a été donnée de l’installer et de s’en servir au plus tard à partir du 8 décembre 2023. C’est ce que rapporte le magazine Le Point dans son édition du 29 novembre, en citant une circulaire de la Première ministre.
Objectif ? Que l’équipe gouvernementale utilise une solution franco-française pour discuter par messagerie instantanée, plutôt que de s’en remettre à des solutions certes très bien établies dans le paysage numérique, mais étrangères. Sont visées, sans le dire, les applications WhatsApp, Signal et Telegram, très utilisées par le grand public.
Dans les faits, les nouvelles consignes d’Elisabeth Borne s’appliquent au-delà des ministres. Les secrétaires d’État, les directeurs de cabinet ainsi que leurs membres vont aussi devoir passer sur Olvid. Et il est impossible de prétexter une incompatibilité : Olvid gère Windows, macOS, iOS, iPadOS et Android. Un portage sur Linux est même prévu.
« Olvid a développé une messagerie instantanée qui garantit la protection des données de ses utilisateurs grâce à un annuaire décentralisé et un chiffrement des messages de bout en bout, tout en conservant les mêmes fonctionnalités que les applications actuelles », développe la circulaire de la Première ministre, publiée le 22 novembre dernier.
Olvid n’est pas la seule application à proposer du chiffrement de bout en bout. Signal et WhatsApp proposent aussi cette sécurité par défaut. Dans le cas de Telegram, cette fonction est désactivée de base. Cependant, Olvid déclare l’étendre aux métadonnées — des informations périphériques qui donnent du contexte à la discussion (heure, date, appelant, appelé, etc.).
Avec U-Cyber 360°, la société française Mailinblack vous permet de protéger votre organisation et d’éduquer vos collaborateurs à la cybersécurité.
Du gestionnaire de mots de passe à la sécurisation des e-mails en passant par la formation continue ou les simulations d’attaques, cette solution regroupe tous les outils pour prévenir les risques cyber.
En comparaison, Telegram ne chiffre pas les métadonnées et WhatsApp peut y accéder. Quant à Signal, l’effort est porté sur la minimisation de la collecte afin d’en traiter et d’en garder le minimum, et de s’en défaire dès qu’elle n’en a plus besoin pour l’acheminement technique du message. Signal a toutefois exploré une piste pour cacher encore plus ces métadonnées.
Des caractéristiques de sécurité particulières
Les caractéristiques techniques d’Olvid ne sont pas les seuls arguments que le logiciel a pu faire valoir pour emporter la préférence du gouvernement. La nationalité de l’entreprise a joué, tout comme la localisation de ses activités sur le territoire national. Olvid peut aussi se targuer d’avoir passé une certification de cybersécurité sous l’égide de l’Anssi.
Précisément, Olvid a obtenu en 2020 la certification de sécurité de premier niveau de l’Agence nationale de la sécurité des systèmes d’information (Anssi), qui s’occupe de la cyber-protection de l’État. D’autres services de communication l’ont reçu, notamment Rainbow, une solution de collaboration et de téléphonie d’Alcatel-Lucent Enterprise qui inclut des fonctions de tchat.
Autre atout qui a pu peser dans la balance : l’absence de serveur central pour garder un annuaire d’utilisateurs, ce qui enlève une problématique. Olvid déclare ne pas faire reposer la sécurité des échanges sur des serveurs. Les identités des personnes et leurs conversations ne sont donc pas mises en péril en cas de piratage de serveur, affirme la société.
Par ailleurs, le mode de fonctionnement d’Olvid « ne requiert aucune donnée personnelle : aucun numéro de téléphone, aucun mail, aucun nom, aucun prénom, aucune adresse, aucune date de naissance ». Pour ajouter des contacts, il est soit possible de le faire face à face, avec un double scan de code QR, soit à distance, selon un procédé d’échange de nombres.
L’intérêt du gouvernement pour Olvid constitue de fait une belle récompense pour les fondateurs de la société, née en 2019. Deux d’entre eux sont d’ailleurs des docteurs en cryptographie. Le premier, Thomas Baignères, est diplômé de l’École polytechnique fédérale de Lausanne, tandis que le second, Matthieu Finiasz, est passé par l’École normale supérieure, Polytechnique et l’Inria.
Des points de contrariété
Une progression toutefois quelque peu nuancée par d’autres experts du milieu cyber, qui préviennent que la critique adressée à WhatsApp, Signal et Telegram dans la circulaire, selon laquelle « ces outils numériques ne sont pas dénués de failles de sécurité », peut aussi être formulée contre Olvid. Aucune application n’est dénuée de vulnérabilité.
D’autres regrettent qu’une solution comme Signal ait été écartée, alors qu’elle a fait ses preuves depuis longtemps. C’est le cas du chercheur en cryptographie Olivier Blazy, qui connaît bien les problématiques liées au chiffrement de bout en bout. Sur X (ex-Twitter), il a pointé quelques points qui constituent des contrariétés à avoir en tête.
Ainsi, Olvid, rappelle-t-il, est une « solution privée, partiellement payante, où il a fallu batailler pour avoir le code source et qui a eu la certification de base sur une vieille version ». Olvid inclut effectivement une offre payante, qui offre des fonctions additionnelles (appels téléphoniques sécurisés, notamment, ou la synchronisation entre plusieurs appareils).
L’autre solution à laquelle ont accès les ministres, les secrétaires d’État et les équipes des cabinets ministériels est Tchap. Il s’agit d’une solution un peu plus ancienne, qui s’adresse aux agents de l’État. Cette solution, établie sur un logiciel libre, pour éviter d’avoir à tout réinventer, a été conçue à la fin des années 2010 par la direction interministérielle du numérique.
(mise à jour de l’article sur l’obtention de Rainbow de la certification de l’Anssi)
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !