Cet article date de plus d'un an.

La messagerie française "la plus sûre du monde" est hébergée chez l’américain Amazon

Nouveau monde Benjamin Vincent Le samedi à 17h50, 20h20 et 22h22, le dimanche à 17h52, 20h55 et 22h52

Elisabeth Borne a demandé au gouvernement d’adopter l’application française de messagerie instantanée Olvid, "en remplacement de toute autre", au nom de la confidentialité des échanges et de notre souveraineté. Or, on a appris depuis, qu’Olvid s’appuie sur les serveurs d'Amazon.

Benjamin Vincent

Radio France

Publié le 16/12/2023 08:13 Mis à jour le 16/12/2023 16:14

Temps de lecture : 3min

Olvid insiste sur la double certification obtenue en termes de sécurité. (Illustration) (NICOLAS CREACH / MAXPPP)

La révélation du recours d’Olvid au cloud d’AWS, Amazon Web Services, était passée presque inaperçue sur le média en ligne Acteurs Publics, le 30 novembre dernier. La reprise de l’information, huit jours plus tard, par l’Informé, tombait bien mal, puisque ce 8 décembre coïncidait avec la date butoir fixée par Elisabeth Borne pour que le gouvernement délaisse WhatsApp, Signal et Telegram notamment, au profit de cette messagerie instantanée française présentée, le 29 novembre dernier sur X / ex-Twitter, par le ministre délégué chargé du Numérique, Jean-Noël Barrot, comme "la plus sûre du monde".

Il y a 15 jours, déjà, j'expliquais ici le casse-tête que représente la création d’un nouveau répertoire avec tous ses contacts, puisque Olvid ne s’appuie volontairement sur aucun annuaire centralisé. Recréer chaque contact dans l’application suppose de s’échanger des codes confidentiels. C’est plus sûr, mais c’est aussi plus fastidieux.

Elle est française, certifiée par l'@ANSSI_FR, chiffrée, ne collecte aucune donnée personnelle.

Nous l'utilisons avec mon équipe depuis juillet 2022.

En décembre l'ensemble du Gouvernement utilisera @olvid_io, la messagerie instantanée la plus sûre du monde.
— Jean-Noël Barrot (@jnbarrot) November 29, 2023

Olvid insiste sur la double certification obtenue en termes de sécurité. Elle est mise en avant, à juste titre, dans la mesure où cette certification a été délivrée par la référence officielle en France, l’ANSSI (Agence nationale de la sécurité des systèmes d’information). Et puis, autre élément à prendre en compte : aucune autre messagerie instantanée n’a reçu, à ce jour, cette validation. L’entreprise parle d’ailleurs même de double certification : pour son application iOS, dédiée aux iPhone en 2020, mise à jour il y a moins de deux mois, et pour son application Android en 2021, sans mise à jour depuis.

Concrètement, quel est le risque ? Le premier souci, c’est l’hébergement des données, potentiellement aux Etats-Unis, où les autorités américaines ont le droit d’y accéder en vertu du CLOUD Act adopté en 2018. Par ailleurs, AWS ne dispose pas de la certification dite "SecNumCloud", la plus élevée à l’ANSSI pour un data center.

Données chiffrées et messages supprimés instantanément

Pas grave, laissait entendre – en substance – la circulaire d’Elisabeth Borne, le 22 novembre dernier : l’important, à croire Matignon, c’est que les données soient chiffrées de bout en bout et immédiatement supprimées, une fois le message parvenu à son destinataire. C’est justement l’une des particularités d’Olvid.

Pour autant, quid des métadonnées et des adresses IP, ces identifiants informatiques sur le réseau ? Qui peut garantir que le chiffrement ne sera pas percé un jour ? Le choix stratégique – économique, peut-être – d’AWS pose question, d’autant que l’application française vend cher ses services : 4,99 euros par mois et par personne – tarif minimum – dès qu’on veut l’utiliser sur plusieurs appareils.

En parallèle, WhatsApp, Signal – qui semble avoir la préférence de l’ANSSI parmi les challengers – ou Telegram, peuvent continuer à être utilisées pour les échanges avec les personnes extérieures au gouvernement. De son côté, Olvid annonce plus de 150.000 téléchargements depuis la parution de la circulaire Borne, il y a trois semaines.