Méconnue du grand public, Olvid est une application de messagerie instantanée française. Elle se présente comme une alternative à Signal et WhatsApp et se vante d’être la plus sure au monde. Elle a été choisie en mai par le RAID pour servir de sa messagerie interne.

Olvid n’est pas un nom qui évoque grand-chose pour la plupart des Françaises et Français. Pourtant, l’app de messagerie instantanée chiffrée est française et elle vient d’être choisie au début du mois de mai par le RAID, l’unité d’intervention de la Police nationale, pour être l’application de messagerie pour ses troupes afin d’échanger avec un haut niveau de confidentialité.

« Le RAID choisit Olvid pour les communications de ses membres », a fièrement annoncé le 5 mai sur Twitter la messagerie, expliquant également au passage être « immensément fiers de répondre à un tel niveau d’exigence ». Sa nationalité, son niveau de sécurité, ses fonctionnalités et son ouverture sont autant de critères qui ont joué en sa faveur.

Alors que l’app commence à faire de plus en plus parler d’elle, elle reste cependant toujours très peu connue. Quelle est donc cette « messagerie instantanée la plus sûre du monde », comme elle se plait à se présenter sur son site web ? Numerama revient en détail sur cette dernière.

Olvid : quelle est cette app de messagerie sécurisée ?

Olvid est une app de messagerie instantanée chiffrée, disponible sur Android et sur iOS. La première version de l’app a été lancée en novembre 2018. On trouve parmi les fondateurs de l’entreprise des cryptologues — donc des experts du chiffrement — qui expliquent avoir fait un travail de recherche et développement de plusieurs années avant de lancer Olvid.

Concrètement, Olvid se présente comme une app de messagerie classique. Elle permet de faire des conversations privées, entre deux personnes, mais aussi les conversations de groupe. Les conversations sont chiffrées de bout en bout par défaut, indique Olvid.

Ce procédé est possible grâce à « des protocoles cryptographiques à la puissance inégalée », selon son site. Concrètement, selon le papier technique décrivant les spécifications d’Olvid, l’équipe s’appuie sur la fonction de hachage SHA-256 et l’algorithme de chiffrement par bloc AES-256, ainsi que sur d’autres procédés, à l’image de HMAC pour l’authentification de message.

Ces différentes briques cryptographiques sont considérées comme des solutions viables et robustes, comme on peut le lire dans un guide de 2021 de l’Agence nationale de la sécurité des systèmes d’information (Anssi), qui s’occupe de la cybersécurité de l’État. Elles sont en tout cas à privilégier, dans la mesure où elles n’ont pas été fondamentalement remises en question.

Les messages, mais aussi les pièces jointes, telles que les photos, sont donc protégés. En plus des messages, Olvid permet de passer des appels. Ces derniers sont cependant limités à des appels audio : Olvid ne propose pas de communication en visio.

olvid2
Olvid se présente comme une messagerie instantanée classique — sauf qu’elle est chiffrée. // Source : Olvid

Autre aspect intéressant, il n’est pas nécessaire d’avoir une carte SIM pour utiliser Olvid : l’app n’a pas besoin d’un numéro de téléphone pour fonctionner, seulement d’une connexion à Internet, ce qui renforce un peu plus la confidentialité de l’usager. En clair, on peut s’en servir en se connectant à un hotspot Wi-Fi, à une box Internet ou à n’importe quel appareil partageant sa liaison Internet.

L’app est destinée aux particuliers et aux professionnels. Olvid a cependant mis l’accent sur l’utilisation par les entreprises dans sa communication, et a mis en place énormément de fonctionnalités expressément pensées pour elles, notamment la gestion de licences, les options de déploiement ou encore la création de groupes administrés.

Cette mise en avant des entreprises est logique : Olvid propose une utilisation gratuite pour les particuliers, mais payante pour les sociétés qui souhaitent en équiper leurs salariés. Les particuliers ont cependant accès malgré tout à un grand nombre de fonctionnalités, même en version gratuite. Enfin, dernière information : Olvid explique respecter le RGPD « à 100 % », compte tenu de sa nationalité et de sa présence en France.

Comment Olvid est-elle sécurisée ?

Olvid prétend être la messagerie la plus sûre du monde et ce qui est clair, c’est que l’entreprise a ajusté le fonctionnement de l’application pour tendre au maximum vers cette affirmation. Et cela passe aussi par un recueil minimal de données à caractère personnelles. Car d’une certaine façon, la meilleure donnée que l’on protège, c’est celle qu’on ne récolte pas.

Olvid annonce donc que son mode de fonctionnement « ne requiert aucune donnée personnelle : aucun numéro de téléphone, aucun mail, aucun nom, aucun prénom, aucune adresse, aucune date de naissance », et qu’elle ne fait « pas reposer la sécurité des échanges sur des serveurs ».

chiffrement
Le chiffrement de bout en bout est extrêmement important pour garantir la sécurité des messages // Source : FLY : D / Unsplash

Olvid explique que ses « protocoles cryptographiques sont capables de garantir la sécurité des données », et ce, même si « les serveurs se font pirater ». Cela souligne l’usage de la confidentialité persistante, une technique de chiffrement qui fait en sorte de préserver le secret des conversations passées, même si les clés servant à chiffrer les échanges ont été compromises.

L’app ne demandera par ailleurs jamais l’accès au répertoire du téléphone, ce qui permet de ne pas transmettre ces informations — cela veut surtout dire qu’il n’y a pas serveurs dans lesquels les identifiants des utilisateurs seraient stockés. Éliminer ses serveurs de l’équation permet de se passer d’un tiers, qui pourrait se faire pirater, estime Olvid.

Les conversations sont chiffrées de bout en bout par défaut sur l’app, comme c’est le cas pour Signal et WhatsApp. Le chiffrement de bout en bout est un protocole mathématique spécifique pour chiffrer les messages, qui peuvent être lus seulement par les personnes en possession d’une clé secrète. Sans cette clé, les messages sont illisibles. Ce type de chiffrement est donc un élément très important à prendre en compte qui permet d’assurer qu’aucune personne extérieure à une conversation ne puisse accéder aux messages, donc de garantir un haut niveau de protection.

Il n’y a pas que les messages qui sont chiffrés sur Olvid : l’app indique également chiffrer les métadonnées des conversations. Dans le cas d’un chiffrement « classique », ce sont les contenus des messages qui sont chiffrés. Mais les métadonnées restent visibles. Or, ces métadonnées — qui sont en quelque sorte le contexte autour du message — peuvent en dire long sur les conversations en elles-mêmes : elles peuvent contenir des informations sur qui a écrit un message et qui l’a reçu, à quelle heure, sur le nombre de messages envoyés, leur fréquence, par quel moyen et depuis quel endroit, etc..

Sans titre (3)
Le chiffrement à plusieurs niveaux d’Olvid a été certifié par l’ANSSI // Source : FLY:D / Unsplash

Olvid assure chiffrer les métadonnées, et donc, rendre ce genre d’informations inaccessibles. C’est cette protection qui est particulièrement intéressante. Pour l’instant, seule Olvid prend ce genre de précaution : Telegram ne chiffre pas les métadonnées, et WhatsApp a accès aux métadonnées. Signal, quant à lui, ne conserve pas les métadonnées au-delà de la période requise pour la circulation du message, mais ne les chiffre pas.

La messagerie la plus sure au monde ?

Tous ces efforts servent de socle à Olvid pour prétendre être la messagerie la plus sûre au monde. Elle peut aussi se targuer d’avoir décroché certaines distinctions de tiers réputés dans le domaine.

Olvid a ainsi reçu en 2021 le CSPN (Certification de sécurité de premier niveau) de l’Anssi, qui s’est toujours montrée très pointilleuse sur les questions de sécurité informatique, du fait de son rôle clé dans la sécurisation de l’administration et des opérateurs d’importance vitale.

La messagerie est également lauréate de plusieurs concours d’innovation, et est conseillée par la Fédération internationale pour les droits humains et par la direction des systèmes informatiques de l’école Polytechnique. Enfin, une évaluation de Quarkslab, une entreprise spécialisée dans la cybersécurité et l’étude des logiciels, montrait en 2019 que l’appli n’avait pas à rougir face à ses concurrentes directes et l’évaluait positivement.

Quarkslab
Plusieurs applications, dont Olvid, évaluées sur une liste de critères de sécurité. // Source : Quarkslab

Autre élément en faveur d’Olvid : les codes des applications mobiles iOS et Android sont disponibles en open source sur le GitHub de l’entreprise, et un programme de bug bounty est ouvert aux hackers. En clair, cela permet à tout le monde — du moins à tout le monde ayant le temps et les compétences — de vérifier le comportement des entrailles du logiciel.

Et la messagerie pense à l’avenir, en disant se préparer à « la cryptographie post-quantique », afin de continuer à assurer la sécurité de l’app lorsque des ordinateurs quantiques auront réussi à briser les chiffrements.