L'application de messagerie française Olvid remplace WhatsApp au gouvernement
Dans une note du 22 novembre, la première ministre Elisabeth Borne a demandé aux membres du gouvernement d’installer l’application de messagerie française Olvid. Elle leur a également demandé de supprimer toutes les autres applications de messagerie non auditées par l’ANSSI (Agence nationale de la sécurité des systèmes d'information) au plus tard le 8 décembre. Un réveil du gouvernement sur les questions de cybersécurité ?
Alors que le monde numérique est en constante évolution - tout comme les cyberattaques - les questions de sécurité et de confidentialité des communications deviennent de plus en plus pressantes. Dans ce contexte, le gouvernement français a récemment fait le choix d'adopter Olvid, une application de messagerie sécurisée française.
Sécurité et confidentialité
L’importance de la sécurité dans les applications de messagerie ne peut être sous-estimée. Une faille de sécurité peut entraîner la divulgation d’informations privées, avec des conséquences désastreuses tant pour les individus que pour les organisations (en particulier si les personnes ciblées sont des membres du gouvernement).
L'Etat français a donc fait un choix fort en interdisant, pour les membres du gouvernement, les applications de messagerie classiques comme WhatsApp ou Telegram. Ceci, au profit d'Olvid. Cette application de messagerie made in France est présentée comme « la messagerie instantanée la plus sûre du monde » par le ministre délégué au Numérique Jean-Noël Barrot.
Des arguments de taille plaident en faveur de cette application. En effet, celle-ci a été développée en 2019 par deux docteurs en cryptographie. Des professionnels bien placés pour connaître les enjeux liés à la sécurité des outils de communication.
Sécurité
L’application propose un système de messagerie chiffrée de bout en bout. L’échange entre les utilisateurs·rices est chiffré à l’aide d’une clé qui est ensuite détruite. Il est donc impossible pour un tiers de la déchiffrer.
Collecte des données personnelles
Aucune donnée personnelle n'est requise : contrairement aux autres applications de messagerie, Olvid ne requiert ni numéro de téléphone, ni adresse électronique lors de l’inscription.
Aucun annuaire centralisé des utilisateurs·rices
Il est impossible de retrouver des utilisateurs·rices de l’application à l’aide de sa liste de contacts. Les usager·es sont donc obligés de vérifier eux·elles-mêmes l’identité de leurs correspondant·es avec un QR code affiché sur l’écran de chaque utilisateur·rice.
Adresses IP des utilisateurs·rices
En ce qui concerne les adresses IP, l’application indique les « utiliser » pour son fonctionnement sans pour autant « les consulter, les collecter ou les conserver. » Ce qui peut porter à confusion, car une adresse IP est une donnée personnelle au sens de l'article 4 du RGPD (Règlement Général sur la protection des données). Le fait d'utiliser une donnée personnelle entraîne par conséquent un traitement de données personnelles.
Certification par l’ANSSI (Agence nationale de la sécurité des systèmes d'information)
C’est le point le plus significatif : Olvid est la seule application de messagerie qui bénéficie de la Certification de Sécurité de Premier Niveau (CSPN) délivrée par l’ANSSI en 2020. Cette certification, aussi appelée « visa de sécurité de l’ANSSI », permet d’attester qu’un produit a subi avec succès une évaluation de sécurité.
Controverses
Malgré les informations rassurantes concernant le niveau de sécurité de l’application, des incertitudes persistent. En effet, alors que cette application a été présentée comme une invention 100% française, elle utilise pourtant le cloud AWS (Amazon Cloud Services).
Cette information a provoqué la polémique en raison des risques d’accès aux données par les autorités américaines au nom du Cloud Act.
Le Cloud Act est une loi américaine adoptée en 2018. Elle oblige les sociétés américaines, sans distinction de leur lieu d’implantation, à communiquer toutes les données électroniques de leurs utilisateurs·rices au gouvernement américain dans le cadre d’une enquête judiciaire.
Olvid ne crée aucun annuaire centralisé de ses utilisateurs, ne collecte pas leurs adresses IP (les identifiants des appareils connectés), ni leurs données de connexion, et tout est chiffré de bout en bout avec des algorithmes de chiffrement du plus haut niveau de sécurité
Thomas Baignères, PDG d'Olvid - AFP
Selon l'entreprise, ces risques seraient minimes, dans la mesure où les données personnelles des utilisateurs·rices ne seraient pas collectées et qu'il n’existerait aucune donnée de contact dans l’application.
En réponse à ces préoccupations, une solution pour Olvid serait de déplacer son serveur en France ou dans un autre pays qui offre des garanties de sécurité et de confidentialité plus fortes.
En fin de compte, l’avenir d’Olvid dépendra de sa capacité à répondre à ces défis et à maintenir la confiance de ses utilisateurs·rices. Avec le bon équilibre entre sécurité, confidentialité et facilité d’utilisation, Olvid a le potentiel de devenir un acteur majeur dans le domaine des applications de messagerie sécurisées. En attendant, l’application a encore du chemin à parcourir, dans la mesure où elle compte pour le moment 100.000 utilisateurs·rices contre 2 milliards pour WhatsApp.
Sources :
- Olvid - Politique de confidentialité
- Olvid et les accusations de failles de sécurité : la messagerie française dément – L'Express
- Française, respectueuse des données, sécurisée… qu'est-ce que l'application de messagerie Olvid, imposée aux ministres ? - ladepeche.fr
- Fini WhatsApp, l'application française Olvid imposée à tous les ministres - Les Echos
[Photo de couverture : Kelly Sikkema]
Soutenez-nous en partageant l'article :
