La messagerie française Olvid est-elle vraiment plus sûre que WhatsApp, Signal ou Telegram ?


Créée par des cryptographes français, cette application propose un modèle de sécurité radicalement différent de ses concurrentes, où l’on n’est pas contraint de renseigner un numéro de téléphone ou une adresse e-mail.

Depuis la polémique liée aux nouvelles conditions d’utilisation de WhatsApp, Facebook assiste comme médusé à une hémorragie de sa plateforme de messagerie. Les gens se ruent vers des solutions alternatives telles que Signal, Telegram, Threema,… Et un nom apparaît de plus en plus souvent, celui d’Olvid. Il s’agit d’une messagerie créée par une start-up française qui n’arrête pas de collecter des prix et des médailles ces derniers temps : Prix Startup FIC 2020, Prix de l’innovation et prix du public aux Assises 2020, Certification CSPN par l’ANSSI en 2020. Et sur son site web, l’entreprise n’hésite pas à qualifier son produit comme « la messagerie instantanée la plus sûre du monde ». Il faut dire que les créateurs de ce logiciel ont fait un choix architectural plutôt radical. Contrairement aux autres messageries, Olvid ne dispose pas d’annuaire central et, par conséquent, ne demande aucun numéro de téléphone ou adresse e-mail. « Quand vous téléchargez WhatsApp, vous donnez accès à votre carnet d’adresse, ce qui permet à l’application de détecter les utilisateurs que vous connaissez. Cet annuaire de deux milliards de personnes représente un énorme risque de sécurité, car il est impossible de protéger une telle infrastructure », explique Thomas Baignères, PDG d’Olvid.


Cet annuaire central est également un tiers de confiance, car c’est lui qui distribue les secrets cryptographiques entre les utilisateurs. « Cela ouvre la porte à une attaque très simple, qui est l’homme du milieu. Vous pensez que vous êtes en contact avec votre ami, alors qu’en réalité un pirate s’est inséré entre vous deux », souligne le PDG.


Heureusement, chaque messagerie qui dispose d’un annuaire central propose un moyen de garantir l’identité de son interlocuteur. Il suffit, en effet, de vérifier que chacun possède bien les bons secrets cryptographiques, ce qui se fait généralement par le biais d’une longue série de caractères ou d’un code QR. Le problème, c’est que cette procédure est optionnelle et souvent reléguée au fin fond d’un menu, car elle assez compliquée à réaliser. La méthode du code QR nécessite d’être physiquement proche. Et celle des caractères est fastidieuse (60 caractères à communiquer pour WhatsApp et Signal). Bref, personne ou presque ne le fait jamais.


L'identité de l'interlocuteur est garantie


Avec Olvid, cette vérification est obligatoire et s'effectue avant de pouvoir entamer une discussion avec un interlocuteur. C’est possible car les cryptographes français ont réussi à simplifier au maximum cette procédure. Il suffit que les interlocuteurs transmettent l’un à l’autre un code à quatre chiffres par téléphone, visioconférence ou face-à-face. « Il n’est pas nécessaire que le canal utilisé soit confidentiel. Il faut juste être certain que l’information soit donnée par la bonne personne. Nous n’avons pas inventé cette méthode. C’est une innovation qui résulte de travaux réalisés par deux cryptographes de l’École polytechnique fédérale de Lausanne, Serge Vaudenay et Sylvain Pasini », précise Thomas Baignères.


Par ailleurs, les applications mobiles pour iOS et Android sont certes gratuites, mais certaines fonctionnalités sont payantes. Il faut ainsi payer un abonnement de 4,99 euros/mois pour pouvoir passer des coups de fil. Il sera donc difficile de convaincre un particulier de mettre la main à la poche pour un tel service qui est devenu assez banal. Mais si l’entreprise arrive à bien percer dans le monde B2B, elle pourra peut-être, à terme, se permettre une approche plus grand public.


-> Source

5 vues0 commentaire