La messagerie instantanée française sécurisée Olvid, lancée en mai 2019, et imposée aux ministres et à leurs cabinets, sur leurs téléphones et leurs ordinateurs par Elisabeth Borne, première ministre depuis une circulaire du 22 novembre 2023, se défend de toute faiblesse sécuritaire dans son fonctionnement technique malgré son usage des serveurs de l’Américain AWS (Amazon Web Services) afin de diffuser ses messages. Ces serveurs sont notamment soumis au Cloud Act américain.
« Le fait qu’il s’agisse de serveurs d’AWS n’est pas important en termes de sécurité, car il s’agit de données cryptées, avec un chiffrement du niveau secret défense » réplique Thomas Baignères, DG et co-fondateur d’Olvid qui s’exprime auprès de l’AFP. Le dirigeant explique que sa solution ne crée aucun annuaire centralisé de ses utilisateurs, ne collecte pas leurs adresses IP ni leurs données de connexion, et que l’ensemble des informations est chiffré de bout en bout.
Un risque qui est cependant évoqué par les spécialistes est que d’ici quelques années, le chiffrement actuel puisse être cassé par de nouveaux dispositifs, tels que les ordinateurs quantiques, et que les messages échangés en ce moment puissent alors être déchiffrés si ils sont captés et stockés dans l’intervalle.
Annuaire décentralisé pour Olvid
La majorité des messageries emploient un annuaire centralisé des utilisateurs, explique Olvid. Cela implique le partage obligatoire de leurs données personnelles telles que le numéro de téléphone, l’email, le nom, le prénom, l’adresse postale, la date de naissance, l’accès au carnet d’adresse, etc. insiste l’entreprise. « Notre messagerie ne demande aucune donnée personnelle et repose exclusivement sur la confiance que les utilisateurs s’accordent mutuellement » présente Olvid.
« Les annuaires centralisés constituent un ‘point de défaillance central’ des messageries traditionnelles, nous nous appuyons sur un annuaire décentralisé qui, conjugué au chiffrement des données, offre un niveau de protection inégalé » affirme Olvid. De fait, beaucoup d’attaques qui réussissent contre les entreprises passent par l’annuaire Active Directory de Microsoft, un annuaire centralisé.