Depuis la polémique liée aux nouvelles conditions d’utilisation de WhatsApp, Facebook assiste comme médusé à une hémorragie de sa plateforme de messagerie. Les gens se ruent vers des solutions alternatives telles que Signal, Telegram, Threema,… Et un nom apparaît de plus en plus souvent, celui d’Olvid. Il s’agit d’une messagerie créée par une start-up française qui n’arrête pas de collecter des prix et des médailles ces derniers temps : Prix Startup FIC 2020, Prix de l’innovation et prix du public aux Assises 2020, Certification CSPN par l’ANSSI en 2020. Et sur son site web, l’entreprise n’hésite pas à qualifier son produit comme « la messagerie instantanée la plus sûre du monde ».
Il faut dire que les créateurs de ce logiciel ont fait un choix architectural plutôt radical. Contrairement aux autres messageries, Olvid ne dispose pas d’annuaire central et, par conséquent, ne demande aucun numéro de téléphone ou adresse e-mail. « Quand vous téléchargez WhatsApp, vous donnez accès à votre carnet d’adresse, ce qui permet à l’application de détecter les utilisateurs que vous connaissez. Cet annuaire de deux milliards de personnes représente un énorme risque de sécurité, car il est impossible de protéger une telle infrastructure », explique Thomas Baignères, PDG d’Olvid.
Cet annuaire central est également un tiers de confiance, car c’est lui qui distribue les secrets cryptographiques entre les utilisateurs. « Cela ouvre la porte à une attaque très simple, qui est l’homme du milieu. Vous pensez que vous êtes en contact avec votre ami, alors qu’en réalité un pirate s’est inséré entre vous deux », souligne le PDG.
Heureusement, chaque messagerie qui dispose d’un annuaire central propose un moyen de garantir l’identité de son interlocuteur. Il suffit, en effet, de vérifier que chacun possède bien les bons secrets cryptographiques, ce qui se fait généralement par le biais d’une longue série de caractères ou d’un code QR. Le problème, c’est que cette procédure est optionnelle et souvent reléguée au fin fond d’un menu, car elle assez compliquée à réaliser. La méthode du code QR nécessite d’être physiquement proche. Et celle des caractères est fastidieuse (60 caractères à communiquer pour WhatsApp et Signal). Bref, personne ou presque ne le fait jamais.
L’identité de l’interlocuteur est garantie
Avec Olvid, cette vérification est obligatoire et s’effectue avant de pouvoir entamer une discussion avec un interlocuteur. C’est possible car les cryptographes français ont réussi à simplifier au maximum cette procédure. Il suffit que les interlocuteurs transmettent l’un à l’autre un code à quatre chiffres par téléphone, visioconférence ou face-à-face. « Il n’est pas nécessaire que le canal utilisé soit confidentiel. Il faut juste être certain que l’information soit donnée par la bonne personne. Nous n’avons pas inventé cette méthode. C’est une innovation qui résulte de travaux réalisés par deux cryptographes de l’École polytechnique fédérale de Lausanne, Serge Vaudenay et Sylvain Pasini », précise Thomas Baignères.
Cette façon de faire — qui a déjà été validée de manière formelle par un cryptographe de l’ENS — est un peu moins confortable qu’avec WhatsApp ou Signal, mais le gain au niveau sécurité est considérable. Le petit effort supplémentaire vaut donc largement la chandelle.
Certes, Olvid dispose toujours d’une infrastructure de serveurs (hébergés chez Amazon Web Services) pour acheminer les messages. Mais selon l’entreprise, ces serveurs n’ont accès à aucune donnée sensible, que ce soit un numéro de téléphone ou une adresse e-mail. « Dans notre modèle de sécurité, les serveurs sont considérés comme malveillants, c’est pourquoi nous chiffrons également les métadonnées. La seule chose que le serveur voit passer, c’est le pseudonyme du destinataire », souligne le PDG.
Un modèle économique tourné vers les entreprises
Sur le papier, la supériorité d’Olvid au niveau sécurité semble donc acquise, et cela d’autant plus que la start-up a fait l’effort d’une certification CSPN auprès de l’ANSSI, qui s’obtient après avoir soumis son produit à une analyse technique en profondeur. Celle-ci a été faite pour l’application iOS (malheureusement pas pour l’application Android).
Mais tout cela n’est pas forcément suffisant pour remplacer WhatsApp, Signal ou Telegram sur le marché grand public. D’ailleurs, ce n’est pas le but que poursuivent pour l’instant les fondateurs qui ont axé leur modèle économique sur les entreprises et les services d’intégration qui vont avec.
Par ailleurs, les applications mobiles pour iOS et Android sont certes gratuites, mais certaines fonctionnalités sont payantes. Il faut ainsi payer un abonnement de 4,99 euros/mois pour pouvoir passer des coups de fil. Il sera donc difficile de convaincre un particulier de mettre la main à la poche pour un tel service qui est devenu assez banal. Mais si l’entreprise arrive à bien percer dans le monde B2B, elle pourra peut-être, à terme, se permettre une approche plus grand public.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.