Olvid
Olvid est une application de messagerie instantanée chiffrée éditée depuis par l'entreprise française du même nom. Une application mobile spécifique a été certifiée par l'ANSSI en 2020 et en 2021, et des administrations françaises recommandent leur utilisation en interne.
Plateforme
[modifier | modifier le code]L'application Olvid est disponible en application mobile sur les plateformes Google Play et App Store[1]. Elle se décline également pour les trois systèmes d'exploitation d'ordinateurs : Windows, MacOS et Linux.[réf. souhaitée]
En , Olvid, Oodrive et Tixeo s'allient pour créer une plateforme alternative française de logiciel en ligne de gestion de projet et de travail collaboratif pour les données les plus sensibles des administrations, ministères et opérateurs d'importance vitale (OIV)[2].
Entreprise Olvid
[modifier | modifier le code]L'entreprise Olvid a été fondée en 2019 par les docteurs en cryptographie Thomas Baignères et Matthieu Finiasz, associés à Cedric Sylvestre et Jacques-André Bondy. La start-up obtient le prix « Startup FIC » au forum international de la cybersécurité à Lille en 2020 [3].
L'entreprise se rémunère sur le modèle de licence de son logiciel, et au nombre de comptes de sa version payante. Elle ne communique pas ses revenus mais elle a été initialement financée par une bourse French Tech Emergence au concours i-Lab de 350 000 euros accordée par Bpifrance. Un investisseur privé a ensuite investi dans l'entreprise[4].
En , l'entreprise Olvid compte 15 employés[4] et aurait levé 1,75 million d'euros de fonds d'après le média L'Informé[5],[6].
Licences logicielles
[modifier | modifier le code]Le programme source des programmes clients Olvid est libre et distribué sous la licence AGPLv3[7].
Le programme source du programme serveur Olvid est sous licence propriétaire[8]. Olvid indique que le serveur servant à la distribution des messages est hébergé sur Amazon Web Services et que le logiciel serveur qu'elle prévoit de placer sous licence ouverte ne sera pas la version utilisée pour le réseau public mais une version limitée à quelques centaines de comptes[8].
Sécurité
[modifier | modifier le code]Olvid revendique une sécurité de haut niveau au moyen de protocoles cryptographiques conçus spécifiquement[8]. En , les experts en sécurité considèrent que la fiabilité n'est pas encore garantie par son usage trop réduit[9].
En , son code est ouvert dans un programme public de prime aux bogues avec YesWeHack[10],[11],[12], pour détecter des vulnérabilités à corriger[13].
Les applications Olvid obtiennent une Certification de sécurité de premier niveau (CSPN) par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), en pour la version 0.8.2 du client pour iOS[14] et en pour la version 0.9.2 du client pour Android[15].
En , l'application exécutée sur les téléphones devient libre et les programmes sources des applications clientes pour smartphones Android et iOS sont publiées sur le dépôt GitHub d'Olvid[16],[7].
Utilisation
[modifier | modifier le code]Le , l'application est utilisée par 100 000 personnes. Les applications ont été téléchargées au moins 150 000 fois sur les magasins d'applications Apple et Google entre cette date et le [5].
Utilisation par les administrations de la France
[modifier | modifier le code]En , le RAID, unité de la Police nationale française, annonce utiliser Olvid depuis plus d'un an pour assurer les communications entre l'ensemble de ses membres et protéger l'anonymat des policiers[17],[18],[19],[20].
En , la Première ministre française, Élisabeth Borne, demande de manière formelle le déploiement de l'application Olvid ou Tchap sur les téléphones et ordinateurs des membres du gouvernement et des cabinets ministériels « pour le au plus tard »[21],[22].
Critiques en France
[modifier | modifier le code]La circulaire du adressée par les services de la Première ministre aux ministères énonce l'intégration de la solution Olvid aux titres de la cybersécurité et d'« une plus grande souveraineté technologique »[9],[23]. Ces deux dimensions ont fait l'objet d'observations dans la presse[6],[24],[25],[5],[26].
En premier lieu, la conformité technique de la solution est discutée. Comme les spécifications publiques le précisent, le stockage des données de l'application est confié en partie au « cloud » des serveurs américains d'Amazon Web Services[26],[27]. D'une part cela rendrait incertaine la compatibilité de la solution avec « la règle dite « R9 » de la doctrine gouvernementale « cloud au centre » », laquelle est censée empêcher un juge d'un État tiers — ici les États-Unis via le Cloud Act — de saisir les données, malgré leur chiffrement. D'autre part l'absence de qualification SecNumCloud de la solution interroge[5], cette qualification étant attendue dans le cadre des infrastructures de type cloud selon le référentiel de sécurité élaboré par l'ANSSI[28].
En second lieu, la nature extra-territoriale d'une partie de l'investissement dans la solution pose question. Selon le média L'Informé, l'investisseur Bruno Scherrer, ancien de Lehman Brothers et désormais résident suisse, aurait engagé 1,75 million d'euros en pour 16 % du capital d'Olvid, à la fois à titre personnel et au travers du fonds Phi Square Holdings, société de droit luxembourgeois[6].
Références
[modifier | modifier le code]- Gaëtane Deljurie, « Cybersécurité: les trois pépites du FIC (2/5) », sur La Tribune, (consulté le ).
- Sylvain Rolland, « Cloud : Oodrive, Tixeo et Olvid s'allient pour créer un « Teams » français dès », La Tribune, (consulté le ).
- Les Échos, « Olvid, la nouvelle messagerie ultra sécurisée pour les entreprises », (consulté le )
- Ingrid Vergara, « Comment la messagerie sécurisée française Olvid a réussi à séduire le gouvernement et les directions d'entreprises », Le Figaro, (consulté le ).
- Vincent Fagot, « Olvid, la messagerie sécurisée choisie par le gouvernement, déjà sous le feu des critiques » , Le Monde, (consulté le ).
- Emmanuel Paquette et Marc Rees, « Un actionnaire luxembourgeois, des données chez Amazon… l'appli Olvid pas franchement made in France » , sur linforme.com, (consulté le ).
- « La messagerie sécurisée Olvid passe en open source », sur Next, (consulté le ).
- « Olvid : Serveur et Open Source », sur olvid.io, Olvid (consulté le ).
- Le Monde avec AFP, « Les ministères sommés de « remplacer » leurs messageries instantanées par l'application française Olvid », Le Monde, (consulté le )
- (en) Catherine Chapman, « Hackers bank big bucks at live hacking event in France », sur The Daily Swig, (consulté le ).
- Emmanuelle Lamandé, « Guillaume Vassault-Houlière, YesWeHack : le Bug Bounty est aujourd'hui une pratique mature et reconnue », sur Global Security Mag, (consulté le ).
- « La messagerie ultra-sécurisée Olvid se confronte aux 15 000 hackers de la communauté YesWeHack », sur Place de l'IT, (consulté le ).
- Marc Jacob, « Olvid compte sur les 15 000 hackers de YesWeHack pour challenger la sécurité de son application », sur Global Security Mag, (consulté le ).
- « OLVID », sur cyber.gouv.fr, ANSSI, (consulté le ).
- « Olvid Version 0.9.2 pour Android », sur cyber.gouv.fr, ANSSI, (consulté le ).
- Alexandre Boero, « La messagerie sécurisée française Olvid devient open source », sur Clubic, (consulté le ).
- @PoliceNationale, « [#PoliceConnectée] Dans le cadre d'une convention de partenariat, le #RAID utilise depuis plus d'un an une messagerie sécurisée pour communiquer en toute sécurité. Cette solution française, proposée par @olvid_io, est certifiée par @ANSSI_FR et protège l'anonymat des #policiers. », sur Twitter, (consulté le ).
- « Thomas Baignières (Olvid) : Olvid, la nouvelle messagerie ultra sécurisée pour les entreprises », BFM Business, (consulté le ).
- Aurore Gayte, « 3 questions sur Olvid, l'app française qui désire s'imposer face à Signal et WhatsApp », sur Numerama, 9 mai 2022, mis à jour (consulté le ).
- « Olvid, la messagerie sécurisée qui met la vie privée avant tout », sur DPO partagé, (consulté le ).
- Guillaume Grallet, « Les ministres français invités à désinstaller WhatsApp, Signal et Telegram », Le Point, (consulté le ).
- « Cybersécurité : les ministres français invités à désinstaller les applications de messagerie comme Whatsapp, Signal ou Telegram », sur Franceinfo, (consulté le ).
- Le Parisien avec AFP, « Borne demande aux ministres de supprimer WhatsApp, Signal et Telegram de leurs téléphones et d'utiliser Olvid » , Le Parisien, (consulté le ).
- « Olvid, une française à la sauce américaine », Le Canard enchaîné, .
- HuffPost avec AFP, « Olvid, la nouvelle messagerie du gouvernement, déjà critiquée » , sur HuffPost, (consulté le ).
- Jacques Cheminat, « Olvid : la polémique sur AWS ne PaaS pas » , sur Le Monde informatique, (consulté le ).
- Pierre Otin, « Mais pourquoi Olvid, app du gouvernement, héberge ses données chez Amazon ? » , sur iPhon.fr, (consulté le ).
- « SecNumCloud pour les fournisseurs de services Cloud : Pourquoi et comment être qualifié SecNumCloud ? » , sur cyber.gouv.fr, ANSSI, (consulté le ).
Liens externes
[modifier | modifier le code]