L’entrée en vigueur de nouvelles conditions d’utilisation sur WhatsApp, impliquant un partage de données plus important avec Facebook, a poussé de nombreux utilisateurs à migrer vers l’application Signal, une messagerie chiffrée par défaut qui a la particularité de ne quasiment pas collecter de données personnelles et d’avoir laissé son code source en libre accès.
Mais la France a aussi son mot à dire en matière de messageries sécurisées avec l’application Olvid, créée par des chercheurs en cryptographie et présentée par les experts comme un service de discussion encore plus sécurisé que ceux de ses concurrents américains.
Disponible sur iPhone et Android, l’application peut être utilisée pour échanger des messages avec des contacts, créer des discussions de groupe et partager des images et des fichiers. Toutes ses fonctions sont protégées par un chiffrement fort. Elle peut aussi servir à passer des appels vocaux chiffrés de bout en bout, une option payante facturée aux professionnels, le marché visé par l’entreprise.
La particularité d’Olvid est que son protocole de chiffrement ne repose pas sur un serveur global. Elle établit un lien direct entre les interlocuteurs et protège leurs échanges et leurs métadonnées sans passer par un tiers de confiance comme le font WhatsApp, Signal et les autres messageries sécurisées.
« WhatsApp et Signal n’ont pas le même engagement en matière de traitement des données mais elles fonctionnent sur le même modèle. Ce sont des applications mobiles qui identifient les contacts par leur numéro de téléphone et les mettent en relation dans une conversation à l’aide d’un serveur central », explique Gerome Billois, expert en cybersécurité chez Wavestone.
Olvid ne demande pas d’accès au numéro de téléphone, ni au carnet d’adresse. Elle requiert seulement un nom et un prénom, qu’elle ne vérifie pas et qu’elle stocke sur la mémoire du téléphone. Il n’y a pas de notion de compte. Il suffit de supprimer l’application pour qu’il n’en reste rien.
Lors de la première utilisation, le carnet d’adresse est vide. Olvid ne peut pas suggérer des personnes à ajouter car l’application n’a pas accès aux contacts du téléphone. L’utilisateur doit envoyer une invitation à chaque personne qu’il souhaite ajouter puis vérifier son authenticité avant d’échanger avec elle.
Pour assurer cette opération, Olvid utilise un moteur de cryptographie qui remplace l’annuaire central utilisé par WhatsApp ou Signal. Les interlocuteurs doivent échanger un code PIN de 4 chiffres généré sur leur téléphone lors de la demande de contact. Ils sont invités à le faire de vive voix (en face à face ou au téléphone) pour s’assurer de leur identité respective.
« La sécurité des échanges repose sur la confiance que les utilisateurs se font », explique Thomas Baignères, cofondateur d’Olvid. L’idée est née il y a 7 ans lorsque Thomas Baignères et Matthieu Finiasz, docteurs en cryptographie, ont réalisé une étude qui a abouti au constat que toutes les messageries chiffrées de bout en bout avaient au cœur de leur architecture un annuaire.
« On trouve au cœur de WhatsApp un annuaire qui recoupe l’intégralité des 2,5 milliards de numéros de téléphone des utilisateurs et joue le rôle de tiers de confiance pour mettre en relation les canaux sécurisés de leurs téléphones. Mais en matière de sécurité et de protection des données, un tiers de confiance pour 2,5 milliards de personnes, ça n’a aucun sens. S’il est piraté ou malveillant, vous n’avez plus de sécurité », souligne Thomas Baignères.
Désireux d’offrir aux utilisateurs la capacité de discuter en ligne avec la même sécurité qu’une discussion à huis clos sans s’appuyer sur un annuaire centralisé, les chercheurs se sont appuyés sur la recherche fondamentale en cryptographie pour développer un protocole sur-mesure, adapté aux contraintes d’une messagerie instantanée grand public.
« La cryptographie ne sait faire que deux choses pour créer un canal sécurisé. Soit vous passez par un tiers de confiance, soit vous demandez aux utilisateurs d’échanger leur clé sur un canal authentique », résume Thomas Baignères. Tout l’enjeu pour l’entreprise a été de simplifier ce processus fastidieux sans perdre en sécurité. Fait rare pour une startup, ces travaux ne feront pas l’objet d’un brevet mais seront publiés en open source dans les prochaines semaines pour contribuer à la recherche.
Validée par Michel Abdalla, directeur de recherche au CNRS et certifiée par l’Anssi, une première pour une messagerie, la solution développée par Olvid aspire à répondre aux besoins des entreprises qui cherchent un moyen simple pour communiquer avec un besoin de confidentialité important plus ouvert qu’une solution interne comme Microsoft Teams et plus sécurisé qu’une messagerie grand public comme WhatsApp.
La polémique sur le partage des données de WhatsApp avec Facebook a donné à Olvid une résonance inédite. Alors qu’elle était cantonnée à une audience confidentielle de 10.000 utilisateurs actifs par mois pour 40.000 téléchargements, l’entreprise dit faire face à un afflux “monumental” de nouveaux utilisateurs sur sa version grand public. Thomas Baignères évoque une croissance supérieure à 1.000% ces derniers jours.
Olvid n’est pas la seule application française à aller plus loin que WhatsApp et Signal dans la sécurisation des échanges. La messagerie Skred, fondée par l’entrepreneur Pierre Bellanger, derrière le groupe Skyrock, s’utilise aussi sans numéro de téléphone selon un système de chiffrement de pair à pair validé par l’Anssi. Elle propose des offres sur-mesure pour des clients privés et revendique plus de 8 millions d’utilisateurs.
Le groupe Thalès a développé de son côté la messagerie professionnelle Citadel qui cible les grandes entreprises avec des fonctionnalités de travail collaboratif. Enfin, les agents publics peuvent communiquer à distance à l’aide de Tchap, la messagerie instantanée entièrement conçue et opérée par l’Etat français.
Avec RTL.