La nouvelle est tombée via une circulaire de la Première ministre datée du 22 novembre. D’ici au 8 décembre, les membres du gouvernement et des cabinets devront désinstaller de leurs téléphones mobiles leurs messageries instantanées telles que WhatsApp, Telegram et Signal. Elisabeth Borne estime en effet que ces applications «ne sont pas dénuées de failles de sécurité et ne permettent donc pas d'assurer la sécurité des informations» échangées. A la place, elle leur demande de télécharger l’application française Olvid, disponible sur iOS et sur Android.
Un énorme coup de pouce pour cette start-up française, créée par deux experts en cybersécurité, Thomas Baignères et Matthieu Finiasz. «C’est un coup de projecteur formidable. Nous avons aujourd’hui 100 000 utilisateurs actifs et dans la nuit qui a suivi l’annonce, les téléchargements ont augmenté de 653%» se réjouit Thomas Baignères, également directeur général d’Olvid, qui voit là le signe que son application répond «à un vrai besoin de sécuriser l’intégralité des communications».
Une application qui fonctionne sans téléphone
A première vue, rien ne distingue Olvid des autres messageries instantanées. Comme Whatsapp, Signal ou Telegram, elle permet de créer des groupes, d’envoyer des photos ou des messages. Les données correspondantes sont protégées de bout en bout grâce à des algorithmes de chiffrement. En d’autres termes, lorsque vous envoyez un message, il ne sera déchiffré qu’une fois arrivé sur le téléphone de votre destinataire. Jusque-là rien de nouveau par rapport aux autres applications.
Ce qui change avec Olvid, c’est que les données des utilisateurs ne sont pas stockées sur un serveur, l’ajout d’un contact se faisant sans téléphone ni email, mais en scannant un QR code lorsque les deux personnes se situent à proximité. Lorsqu’elles sont à distance, Olvid s’appuie sur un protocole cryptographique créé par Serge Vaudenay au laboratoire de cryptographie de l’École Polytechnique Fédérale de Lausanne (EPFL). Concrètement, les deux personnes reçoivent sur leur téléphone un code leur permettant de valider l’ajout, sans qu’il y ait partage de données personnelles avec l’application.
De même, les échanges entre les personnes sont chiffrés avec une clé qui est ensuite détruite, donc indéchiffrable. D'où le nom Olvid, qui vient de l'espagnol «olvidar» pour «oublier». Même chose lors de la création de groupes de discussion. «C’est une vraie différence avec les autres messageries, qui s’appuient sur un annuaire centralisé qui regroupe la totalité des personnes présentes sur l’application» explique Thomas Baignères, qui prend l’exemple de WhatsApp. «Lorsque vous vous inscrivez, on vous demande un téléphone ou un email avec lequel WhatsApp va créer un compte sur un serveur. Ce compte viendra s’ajouter à celui des 2,5 milliards d’utilisateurs de l’application.»
Chaque compte WhatsApp est ainsi composé d’un téléphone ou d’un email et d’une clé cryptographique publique également appelée identité numérique. «En d’autres termes, lorsque vous souhaitez parler avec quelqu’un, vous indiquez à WhatsApp le numéro avec lequel vous voulez discuter. L’annuaire de la messagerie regarde alors dans sa base de données et répond à votre téléphone en poussant une identité numérique». Problème selon le docteur en cryptographie de l’EPFL : «Il n’y a aucune garantie que l’identité numérique qui est poussée soit la bonne. On a également pu constater qu’au moment de la réattribution de cartes sim, certains utilisateurs avaient accès aux discussions du précédent propriétaire du numéro de téléphone. S’il est possible que ce problème soit aujourd’hui corrigé, il illustre bien que le numéro de téléphone est un mauvais identifiant sur le long terme». Par opposition, un autre avantage d'Olvid est qu'en cas de cyberattaque, aucune fuite de données personnelles n’est possible puisque Olvid n’a pas accès aux données de ses utilisateurs.
Un niveau de sécurité validé par l'Anssi
Un haut niveau de sécurité validé par l'Agence nationale de la sécurité des systèmes d'information (Anssi) et plébiscité par Erwan Keraudy, cofondateur de Cybel Angel et membre du conseil d'administration d’Olvid : «Lorsqu’ils vont faire des affaires à l’étranger, tous les dirigeants peuvent être espionnés. C’est pourquoi je conseille aux comités exécutifs de passer sur Olvid, y compris à l’étranger, car cela leur permet de conserver toutes leurs données sur un serveur privé, sans risque de fuite».
Si la messagerie instantanée était jusqu'alors inconnue du grand public, elle ne l’était pas du milieu de la cybersécurité française. En 2020, la pépite française avait obtenu le prix du jury du Forum International de la Cybersécurité (FIC) à Lille, et le prix des Assises de la cybersécurité à Monaco. Si les annonces du gouvernement ne vont pas manquer de continuer à faire exploser le nombre de téléchargements, la messagerie, moins simple d’utilisation que Whatsapp, aura du mal à concurrencer l’application aux deux milliards d’utilisateurs. Mais, elle pourrait séduire un nombre grandissant d'entreprises, également préoccupées par la confidentialité de leurs échanges. Après le Medef, une des premières organisations convaincues par l’application Olvid, Sopra Steria, Cap Gemini, Veolia et l’Imprimerie nationale utiliseraient également la messagerie.
