IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

France : il est demandé aux ministres d'abandonner WhatsApp, Telegram et Signal au profit d'Olvid, une app de messagerie française.
Signal estime que la France dit n'importe quoi sur sa messagerie

Le , par Stéphane le calme
14 commentaires

360PARTAGES

27  1 
Elisabeth Borne, la Première ministre, a demandé à son cabinet de cesser d'utiliser les applications de messagerie instantanée très répandues comme WhatsApp, Signal ou Telegram et d'installer Olvid, un produit largement méconnu de la scène start-up parisienne qui se présente comme une alternative plus sécurisée. Dans une circulaire ministérielle, la cheffe du gouvernement français a exhorté les ministres et leurs hauts fonctionnaires à déployer l'application Olvid sur les téléphones et les ordinateurs. Précisons que l'application est en partie gratuite, en tout cas pour envoyer des messages. Mais si vous voulez appeler, il faudra passer à un abonnement à cinq euros par mois.

Il est demandé aux ministres français de cesser d'utiliser WhatsApp, Telegram et Signal au profit des applications de messagerie françaises. Le gouvernement est préoccupé par l’utilisation de ces services de messageries chiffrées étrangers qui n’ont pas de serveurs en France. « Nous devons trouver un moyen d’avoir un service de messagerie chiffré qui n’est pas chiffré par les États-Unis ou la Russie », a déclaré une porte-parole du ministère du numérique. « Vous commencez à réfléchir aux failles potentielles qui pourraient se produire, comme nous l’avons vu avec Facebook, donc nous devons prendre les devants ».

Le fondateur de Telegram, Pavel Durov, est russe, bien que l’entrepreneur vive en exil et que son application de messagerie vient d’être bloquée dans son pays d’origine après que la société a refusé de remettre les clés de chiffrement aux autorités. WhatsApp, qui (contrairement à Telegram) est chiffré de bout en bout sur l’ensemble de sa plateforme (en se servant du protocole open source de Signal), appartient néanmoins à la grande enseigne technologique américaine Facebook, et est développé à partir des États-Unis (comme Signal également). Pour mémoire, depuis avril 2016, WhatsApp intègre le chiffrement de bout en bout pour toutes les communications. Pour cela, elle utilise le protocole Signal de la Signal Foundation cofondée par Brian Acton. En revanche, les sauvegardes des conversations sont restées longtemps non chiffrées, en local ou sur un cloud Google Drive ou iCloud. La possibilité de les chiffrer est annoncée en septembre 2021.


Olvid, l'alternative made-in France

Olvid est une application de messagerie instantanée chiffrée développée par des experts français en cybersécurité, avec des messages et des métadonnées chiffrées.

Le cabinet de la Première ministre a déclaré dans un document rapporté par le journal français Le Point que tous les membres du gouvernement et des ministères devraient installer l'application française sur leurs téléphones et ordinateurs « pour remplacer les autres messageries instantanées afin de renforcer la sécurité [des communications] ».

Olvid se distingue de ses concurrentes WhatsApp (américaine) ou Telegram (russe), parce qu'elle ne stocke pas de données sur des serveurs. Selon la description qui en est donnée par ses créateurs sur son site web :

Notre modèle de sécurité est radicalement innovant. Olvid est le seul moyen de communication ne faisant plus reposer la sécurité des échanges sur des serveurs.

Les serveurs se font hacker ? Peu importe, il n’est pas possible de prendre connaissance des contenus échangés, ni de révéler les identités des interlocuteurs. Olvid est la seule messagerie à chiffrer également les métadonnées en garantissant ainsi l’anonymat des interlocuteurs. Olvid garantit enfin l’authentification des utilisateurs, contrairement à l’intégralité des serveurs des messageries qui se substituent aux tiers de confiance…
Olvid, dirigé par deux chercheurs en cryptographie et soutenu par plusieurs accélérateurs technologiques français, va « remplacer les autres systèmes de messagerie instantanée afin de renforcer la sécurité des échanges pouvant contenir des informations confidentielles », a indiqué le cabinet de la Première ministre. Le Point a rapporté plus tôt que la circulaire annonçant cette décision donne aux ministres jusqu'au 8 décembre pour remplacer leurs applications de messagerie, citant les propos de la Première ministre :

« Les principales applications de messagerie instantanée grand public jouent un rôle de plus en plus important dans nos communications quotidiennes. Cependant, ces outils numériques ne sont pas sans failles de sécurité et ne peuvent donc garantir la sécurité des conversations et des informations partagées via eux ».


Pour Jean-Noël Barrot, Olvid est une application « 100 % sûre »

Disponible gratuitement sur Android, iOS et ordinateur, l'application ne nécessite pas de numéro de téléphone pour s'inscrire mais elle est encore relativement peu connue du grand public. Des options payantes sont également disponibles pour passer des appels audio, utiliser plusieurs appareils ou faciliter l'utilisation professionnelle.

Olvid ne présente aucun risque, selon le spécialiste Damien Bancal : « On a déjà un petit peu plus confiance. D'abord parce qu'elle a été auditée. Ça veut dire que des entités ont pu regarder son code, voir si c'était fiable, sécurisé. Le RAID de la police nationale utilise Olvid. On est sur du 100% Français », dit-il.

Les applications de messagerie telles que WhatsApp, Telegram et Signal de Meta sont devenues de plus en plus des outils de communication incontournables dans les cercles restreints de la politique française, et les responsables gouvernementaux utilisent également ces applications lorsqu'ils parlent aux journalistes. Le président Emmanuel Macron serait lui-même un fervent utilisateur d’applications de messagerie.


Lors d'une interview avec France Info, le ministre délégué de la Transition numérique et des télécommunications, Jean-Noël Barrot, a déclaré qu'Olvid est une application « 100 % sûre ». Une déclaration qui pourrait être embarrassante pour l’application française si jamais une faiblesse est repérée un jour dans le logiciel.

[TWITTER]<blockquote class="twitter-tweet" data-media-max-width="560"><p lang="fr" dir="ltr">Avec <a href="https://twitter.com/olvid_io?ref_src=twsrc%5Etfw">@olvid_io</a>, nous franchissons un pas supplémentaire vers une plus grande sécurité des communications entre membres du Gouvernement et leurs équipes.<br><br>J'encourage les Français à choisir les solutions de <a href="https://twitter.com/LaFrenchTech?ref_src=twsrc%5Etfw">@LaFrenchTech</a> : c'est la meilleure manière de garantir notre souveraineté. <a href="https://t.co/Ddj2fdewQP">pic.twitter.com/Ddj2fdewQP</a></p>— Jean-Noël Barrot (@jnbarrot) <a href="https://twitter.com/jnbarrot/status/1730226966379323775?ref_src=twsrc%5Etfw">November 30, 2023</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script> [/TWITTER]

D'ailleurs, certaines questions ont fusé sur X/Twitter, comme ces internautes qui déclarent :

Monsieur le Ministre, cette solution est française et je m’en réjouis. Elle est vraisemblablement très sécurisée et c’est essentiel. Mais est-elle réellement plus sécurisée que toutes les autres ? J’ai l’impression que c’est le combo 🇫🇷+🔐 qui la rend pertinente.
Olvid stocke ses données chez AWS, donc arrêtez d'avoir le terme souveraineté a tout prix lorsque vous promouvez des services qui ne le sont pas
Oui souveraineté en utilisant les entreprises américaines. AWS, par exemple. On est une colonie, c'est ça ? Donc non, votre solution ne repose pas sur une infrastructure exclusivement française. En cas des communications gouvernementales, c'est un crime.

La présidente de Signal monte au créneau

Mais le fait que le gouvernement brandisse le volet sécuritaire agace Meredith Whittaker, présidente de Signal, qui a réagi sur X/Twitter en ces termes :

La Première ministre française impose aux ministres l’utilisation d’une petite appli de messagerie française. Très bien. Mais je suis inquiète de voir qu’elle invoque des ‘failles de sécurité’ dans Signal (et autres) pour justifier ce changement
...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

14 commentaires
Commenter Signaler un problème
_toma_
Avatar de _toma_
Membre éclairé https://www.developpez.com
Le 02/12/2023 à 13:24
« Nous devons trouver un moyen d’avoir un service de messagerie chiffré qui n’est pas chiffré par les États-Unis ou la Russie », a déclaré une porte-parole du ministère du numérique. « Vous commencez à réfléchir aux failles potentielles qui pourraient se produire, comme nous l’avons vu avec Facebook, donc nous devons prendre les devants ».
Heu... prendre les devants, ça aurait plutôt consisté à se poser ce genre de questions il y a une ou deux décennies je pense. Ce genre de déclaration ça donne quand même une bonne idée du niveau des mecs...

Et au fait, on change de discours officiel ? Les messageries chiffrées, c'est pas le mal incarné utilisé uniquement par les pédo-terroristo-écolo-islamo-gauchistes ?
8  0 
escartefigue
Avatar de escartefigue
Modérateur https://www.developpez.com
Le 05/12/2023 à 9:54
C'est une bonne chose que le gouvernement prenne des mesures pour sécuriser les échanges, même si cette mesure doit avoir un coût (qui semble modeste d'après le tableau de tarification publié)

Toutefois, il faudrait être naïf pour croire à cette affirmation :

Pour Jean-Noël Barrot, Olvid est une application « 100 % sûre »
Plus sûre que Whatsapp, je veux bien le croire, mais 100% sûre, ça n'existe pas.
8  0 
ludovicdeluna
Avatar de ludovicdeluna
Membre du Club https://www.developpez.com
Le 05/12/2023 à 19:39
L’espionnage des États-Unis en Europe est une réalité que nos gouvernements on mis du temps à conceptualiser. Il y a eut l'affaire Snowden, les WikiLeaks, le scandale des cartes SIM piratées (merci les anglais) lors de négociations avec nos dignitaires, les piratages d'appareils effectués par des agences américaines lors de la négociation du renouvellement du traité commercial transatlantique. Et bien plus récemment Alstom (fleuron Français), avec le FBI qui négocie gentillement avec ses dirigeants tout en recrutant des espions dans la boite afin d'alimenter les dossiers du DOJ. Et tout ceci s'est fini en un formidable succès pour les Américains.

Depuis 2005-2006, les affaires se succèdent et les ministres jactent dans l’hémicycle... Puis tout ce petit monde reprend son train train quotidien et oublie ce qui s'est passé.

J'avais suivit quelques reportages bien foutus sur le sujet. Alors on peut critiquer que ça reste superficiel. Mais j'ai découvert à ce moment comment la rhétorique américaine qui dure depuis plusieurs décennies se résume en une condescendance à peine masquée qui feinte l'étonnement que la France n'ait pas cette même capacité. Ils sont drôles ces gens là. Il s'avère que la Chine effectue un espionnage de masse à la même échelle que celles des USA, mais bizarrement ça passe mal. Je ne vais pas défendre l'Empire du milieu qui a des appétits territoriaux grandissants, mais ça donne une bonne idée de la manière dont les politiques américains voient (de très haut) notre petit pays qui ferait mieux de fermer sa g***.

Mais je comprend qu'après 20 années à jouer la victime, la France ait envie de sortir de ce cercle vicieux. Alors la communication était vraiment bancale. Parler de faille dans Signal, c'est juste admettre que la France aurait voulu être informée avant que les USA ne temporises leurs publications. On aurait pu anticiper un minium pour continuer nos propres écoutes. Politique, politique toujours.

Là, le gouvernement espère reprendre la main... Vont-ils poursuivre leurs efforts pour affaiblir le chiffrement - autre sujet fétiche en Europe ? Et si oui, ceci exclura t-il les outils de messagerie made in Cocorico ?

Politique encore et toujours. Toute cette mascarade et gesticulation pour simplement annoncer quelque chose sans employer les mots qu'il aurait fallu, quitte à passer pour des imbéciles.

Nous verrons si ils le sont vraiment ou si la France va commencer à réviser son niveau d'engagement dans ce domaine.
6  0 
weed
Avatar de weed
Membre chevronné https://www.developpez.com
Le 03/12/2023 à 11:20
Olvid mets en avant son appli avec comme argument la sécurité mais surtout la vie privée ce qui est plus restrictif.
On peut très bien avoir une appli sécurisée pour nous protéger de l'extérieur mais pas de la vie privée de manière optimum.

Olvid n'est pas présent sur F-droid. Il faut passer par Aurora pour ceux qui n'ont pas le play store. A ma grande surprise, pas de tracker, même pas l'utilisation de la base de donnée Google firebase. Pas d'utilisation de composant Google .

Ovid travaille pour le pousser sur F-droid, pour le moment, il ne répond pas aux prérequis très strictes permettant un gage de qualité.

Tel que je comprends, l'appli utilise comme base de donnée sqllite en se connectant via JDBC mais le pilote contiendrait des fichiers bibliothèques *.so non compatible à la politique F-droid.
F-droid souhaite avoir accès à l'ensemble des sources de tout afin de vérifier qu'il n'y ait pas d'entourloupe avant de publier.
Les discussions qui en parlent :
- https://github.com/olvid-io/olvid-an...roid/issues/23
- https://github.com/olvid-io/olvid-android/issues/2

En tout cas, je ne pense pas qu'avec Whatsapp, on soit arrivé à un tel niveau qui doit utiliser des librairies Google et partage avec Facebook.

Pour la partie serveur, malheureusement ils sont sur AWS mais ils sont en train de prospecter pour s'héberger sur une solution européenne. Et pour les plus courageux, apparemment ils envisagent de proposer une solution installable sur son propre serveur. Vu la difficulté de la mise en place, ce sera uniquement sous forme de conteneur Docker
https://olvid.io/faq/roadmap-bientot/
4  0 
weed
Avatar de weed
Membre chevronné https://www.developpez.com
Le 01/12/2023 à 22:53
Que pensez-vous de la décision du gouvernement de se passer de services de messagerie grand public pour leurs communications ? Partagez-vous le point de vue de Baptiste Robert qui pense que les conversations professionnelles n'ont pas leur place sur WhatsApp et Telegram ? Pourquoi ?

Je dirais que je suis même surpris que l'on passe toujours que les membres du gouvernement passe par Whatsapps. On ne sait pas ce qu'il en est de la confidentialité des données avec whatsapp. Les clefs de chiffrement sont stockés sur leurs serveurs.

De plus, depuis quelques années, Whatsapps partage ses données utilisateurs avec Facebook.
https://www.lemonde.fr/pixels/articl...1_4408996.html

Le grand public voit peu d'intérêt à se protéger de sa vie privée, Par contre pour nos institutions, j'estime qu'il est important que la vie privée soit au mieux protégé pour les représentants de notre pays.

J'aurais pensé que le gouvernement un cercle non ouvert, comme par exemple une instance NextCloud sur lequel ils peuvent partager des documents, et peuvent communiquer entre eux via cette instance et notamment NextCloud Talk. Cela marche plutot bien.

Après pourquoi pas Olvid.

Pensez-vous que le gouvernement français a raison de se méfier des risques d’espionnage par des entités étrangères ? Avez-vous confiance dans la sécurité et la confidentialité de vos communications en ligne ?
Je n'irais pas jusqu'à ce niveau mais ont sait très bien que les GAFAM se nourrissent de données en faisant des croisements. Je vois peu d'intéret pour les représentants à utiliser WHatsapps alors que la concurrence peut répondre aux besoins s'ils communiquent entre eux.

Que pensez-vous du fait que l'envoi des messages est gratuit tandis que les appels nécessitent un abonnement ? Seriez-vous prêt à payer pour une application de messagerie ? Dans quelle mesure ?
Si j'adoptais Olvid et que mes correspondants y seraient, je l'utiliserais uniquement pour les messages écrits. Je passe mes appels vocaux via le téléphone classique, j'ai suffisamment confiance auprès de mes opérateurs.

Comment le gouvernement français pourrait-il promouvoir l’utilisation de son service de messagerie chiffrée auprès des citoyens ? Quels seraient les critères pour choisir entre Olvid et d’autres applications de messagerie ?
Extrêmement compliqué. La protection de sa vie privée dans le monde numérique n'est pas du tout la préoccupation du grand public. Il n'y a qu'à voir l'adoption en masse autour de nous de Chrome, du cloud, ... Beaucoup utilisent l'argument je n'ai rien à cacher, je n'ai rien à me reprocher.

Pour le moment, on n'a pas de visibilité sur l'utilisation de nos données par les GAFAM en essayant de croiser un maximum de données. Il faut à un minima un gros scandale pour qu'il y ait un électrochoc du grand public sur le sujet.
3  0 
Fagus
Avatar de Fagus
Membre expert https://www.developpez.com
Le 04/12/2023 à 13:35
Citation Envoyé par Leruas Voir le message
Qui a audité le code ? et combien d'heures ils ont passés à regarder le code ?
On a des infos sur ça ?
Car un audit ça peut très bien se faire rapido en 2h ou en des jours de vérification
Oui. Anssi. cf https://www.olvid.io/faq/guides/ en bas audit ou https://cyber.gouv.fr/sites/default/...-2021_12fr.pdf

Leur schéma d'échange de clés à la GPG est moins dérangeant que la facilité de découverte automatique de signal par numéro de téléphone.

Chez signal ils font leurs malins avec leurs audits mais sur leur propre page tout n'est pas résolu https://community.signalusers.org/t/...y-audits/13243

Bon, en vrai n'importe lequel est mieux que whatsapp qui implémente un protocole de chiffrage en gardant les clés pour eux. Ensuite, de là à dire que c'est incassable... Si on me dit que l'état est capable de pousser une mise à jour sabotée, ou que le RNG d'android est troué, ou que l'état peut rooter n'importer quel téléphone non durci, je ne hausserais même pas un sourcil.

Citation Envoyé par weed
Pour le moment, on n'a pas de visibilité sur l'utilisation de nos données par les GAFAM en essayant de croiser un maximum de données. Il faut à un minima un gros scandale pour qu'il y ait un électrochoc du grand public sur le sujet.
Il y a eu plein d'électrochocs. Par ex, les produits microsoft ont une faille CVSS supermégahaute tous les 6 mois ; les processeurs intels ont des backdoors et des vulnérabilités innombrables ; facebook a fait la une un nombre indicible de fois pour ses méconduites. Les gens n'en ont rien à faire. D'ailleurs, il faudrait déjà leur expliquer les mots avant de leur expliquer le problème.

Moi même j'ai un téléphone pas à jour parce que ça me saoule d'en acheter un tous les 3 ans. (Quand j'ai dit ça à un mec du monde de la sécurité il a pas fait l'AVC en direct devant moi mais pas loin).
3  0 
Leruas
Avatar de Leruas
Membre éclairé https://www.developpez.com
Le 01/12/2023 à 22:23
Qui a audité le code ? et combien d'heures ils ont passés à regarder le code ?
On a des infos sur ça ?
Car un audit ça peut très bien se faire rapido en 2h ou en des jours de vérification
2  0 
unanonyme
Avatar de unanonyme
Membre éclairé https://www.developpez.com
Le 05/12/2023 à 21:33
Bonjour,

après lecture de la spec j'ai pensé que le système était un poil compliqué pour un service managé.

Il me semblait qu'on pouvait faire un poil plus simple pour échanger des clefs
sans sacrifier aux fondamentaux.

Mais sinon c'est state of the art, il y a même le full ratchet.

Pour autant je ne suis pas certain que cela puisse nous épargner
d'un nouveau scandale à la benjamin griveaux,
entre la chaise et le clavier la bêtise n'a pas de limite....

Bonne journée.
2  0 
denisys
Avatar de denisys
Membre chevronné https://www.developpez.com
Le 01/12/2023 à 19:40
Et cela rapporte , combien financièrement , ce choix ?
A qui ?
---
https://www.olvid.io/pricing/fr/
3  2 
Prox_13
Avatar de Prox_13
Membre éprouvé https://www.developpez.com
Le 04/12/2023 à 11:06
D'abord:

"Pour la vente directe de lots de licences :

Dans le cadre de la vente de lots de licences, les informations que Nous sommes susceptibles de collecter et traiter sont les suivantes :

Vos nom et prénom*
La ​dénomination sociale de Votre ​société*
Vos coordonnées (téléphone et adresse postale)*
Votre e-mail*
Vos données bancaires et financières* ​pour procéder à la facturation
Votre ​historique de contact ​avec Nous pour vous fournir de l’assistance
L’adresse IP ​pour l’utilisation de l’application. Nous rappelons que, comme toute application, Olvid utilise pour son fonctionnement les adresses IP des utilisateurs, sans néanmoins les consulter, les collecter ou les conserver."
Plus bas :

"Nos prestataires de services peuvent également être destinataires des données personnelles strictement nécessaires à la réalisation des prestations que nous leur aurons confiées et notamment ceux auxquels Nous faisons appel pour procéder à l’exécution des services. Nous utilisons les serveurs d’AWS, en précisant une nouvelle fois que les serveurs ne jouent aucun rôle dans la sécurité, seules les adresses IP peuvent être visibles par le prestataire."
Les serveurs qui ne jouent aucun rôle dans la sécurité, mais qui comportent vos données bancaires, postales et financières ainsi que votre nom/prénom. Donc oui, vous payez le luxe de masquer votre IP pour montrer votre nom/compte bancaire/adresse
1  1 
Commenter Signaler un problème