Olvid, la messagerie sécurisée

Vous le savez, il existe de nombreuses applications  pour communiquer avec ses contacts, de manière plus ou moins sécurisée. Application gratuite, payante, libre, opensource, propriétaire, décentralisée, il y en a pour tous les goûts. Chaque entreprise y va de sa petite phrase pour rassurer l’utilisateur. Nous allons ici regarder plus en détail l’application Olvid.

« Olvid, la messagerie instantanée la plus sûre du monde. »

Le chiffrement utilisé par Olvid ne passe pas par un serveur central. Cela signifie qu’en cas de piratage du serveur d’Olvid, les messages des utilisateurs resteront en sécurité sur leur smartphone. Ce projet 100% français vient  d’ailleurs d’être récompensé lors du Forum international de la cybersécurité (FIC) de Lille.

Certes, moins intuitif que WhatsApp – notamment pour l’échange des clés avec ses contacts – l’application ne vise pas directement le grand public mais plutôt les utilisateurs conscients des risques de sécurité, et prêts à faire un petit effort de prise en main. Il existe d’ailleurs une version entreprise (payante) qui propose des options supplémentaires, comme les appels sécurisés.

« En réalité, chaque utilisateur reçoit une clef de chiffrement, traduite en 4 chiffres qu’il échange avec son interlocuteur par téléphone ou de vive voix. Cet échange ne se fait qu’une fois et permet ensuite d’établir un canal de communication sécurisé entre les deux personnes à tout moment. Les clefs sont détenues par les utilisateurs, rien n’est stocké sur nos serveurs », explique le CTO d’Olvid.

Pour chercher à améliorer l’application et combler d’éventuelles failles, un programme public de Bug Bounty est aujourd’hui en cours via la plateforme de Yes We Hack. L’application est également en cours d’audit auprès de l’ANSSI.

Points positifs

  • L’application est légère, avec seulement 6.5mo
  • Olvid chiffre également les métadonnées
  • Pas de tiers qui pourrait identifier les utilisateurs
  • Pas de données personnelles lors de la création du compte (contrairement à Signal)

Mise en route


1 – Rien de compliqué ici. Si c’est la première fois que vous lancez l’application, vous devez créer un nouvel utilisateur.

2 – Vous pouvez entrer les informations que vous souhaitez mais rien ne vous oblige à donner votre véritable identité.

3 – Pour ajouter vos contacts, vous avez plusieurs options : envoyer directement une invitation (via une autre application, mail ou messagerie) ou scanner le QR Code.

4 – La première fois que vous ajoutez un contact (ou que vous recevez une demande), il faut qu’elle soit acceptée par les deux utilisateurs.

5 – Voilà le principe de l’échange des clés : vous devez fournir votre code à votre contact, qui lui vous donnera son code en échange. Idéalement, il faut faire cet échange sans laisser de traces ! C’est tout l’intérêt de ce dispositif (qui ressemble à ce que propose l’application Briar).

6 – Une fois renseigné, votre contact est visible dans votre liste et vous pouvez commencer à échanger avec lui.

7 – On peut envoyer du texte, des images, des pièces jointes, prendre une photo.

8 – Vous trouverez dans les paramètres de l’application tout un tas d’options permettant de renforcer la sécurité de l’application, comme l’ajout d’un code pour ouvrir l’application (et éviter que n’importe qui ayant accès à votre téléphone puisse voir vos messages), utiliser le mode « incognito » du clavier, et activer la sauvegarde de vos clés.

Pour conclure

C’est intéressant d’avoir sur le marché une application qui a été conçue par des docteurs en cryptographie et cela fait plaisir de voir une solution française qui ne dépend pas d’un géant de l’informatique ou de la tech. Certes, l’application Olvid n’est pas encore open source mais l’équipe souhaite qu’elle le soit au plus vite.

Évidemment, pour pouvoir vraiment évaluer l’application, il faut convaincre vos contacts de l’installer et l’utiliser. Peut-être que les déçus de Signal iront regarder de plus près.

Pour aller plus loin, vous pouvez écouter l’équipe du podcast NoLimitSecu, qui a reçu les cofondateur d’Olvid.

Categories

10 Responses

  1. Ce n’est pas une application intéressante pour plusieurs raisons:
    1) C’est 100% français ce qui veux dire sous contrôle du gouvernement français et de ses services secrêt. Une application intéressante est internationnale faites par une ONG.
    2) Elle n’est pas Open-Source et comme StopCovid le côté Open-Source est très probablement du bashing. Il y aura des librairies propriétaires ou la partie serveur…
    3) Elle n’est pas multi-plateforme disponie sur PC (dont Linux).
    4) Elle ne semble pas décentralisé et donc très facilement piratable/blocable, peu fiable…

    Pour moi l’idéal est XMMP mais c’est difficile de configurer tout pour que ce soit sécurisé. Par contre il existe Matrix et son implémentation Riot qui remplis toutes les conditions…

    • Je suis d’accord avec les points que tu soulèves. Je crois qu’ils travaillent sur une version desktop aussi, multiplateforme.
      Mais en effet, pas encore opensource et pas du tout décentralisé.
      XMPP c’est bien mais pour monsieur Michu, c’est pas la peine. Et Matrix/Riot (qui s’appelle maintenant Element) y a pas que du positif. Je trouve une lourdeur à l’ensemble et là encore, ça reste un outil pour geek. Je caricature un peu mais bon, si c’est pour discuter juste avec les amis libristes du net, soit je reste sur du mail chiffré, soit je passe par XMPP en effet.

        • Le terme « centralisé » est imprécis.

          Olvid offre un service centralisé, dans le sens où eux seuls détiennent les serveurs qui contiennent les messages chiffrés, comme expliqué et critiqué sur cette page : https://fsf.org.in/article/better-than-whatsapp/

          La durée de vie des services centralisés dépend de ces seuls serveurs.

          En revanche, eux, ne centralisent pas les clefs sur des serveurs comme expliqué sur cette seconde page : https://observatoire-fic.com/securiser-nos-communications-de-lemail-a-whatsapp-et-au-dela-par-thomas-baigneres-et-matthieu-finiasz-olvid/

          Quels autres services apportent cet argument de sécurité?

          • Je peux répondre que je connais un paquet de personnes qui préfèrent un service décentralisé au niveau des serveurs, qui plus est opensource (serveur comme appli), ce qui n’est pas « encore » le cas d’Olvid, même si je sais bien qu’ils ont annoncé que ça allait le devenir.

          • Au sujet des applis centralisées :

            « Ces applications ne savent pas parler entre elles et ne possèdent très souvent qu’une seule implémentation, celle de l’entreprise qui la développe. On peut donc oublier l’autohébergement et l’usage de clients ou serveurs alternatifs. En cas de faille de sécurité dans l’un des composants (client/serveur/protocole), le patch sera sûrement déployé plus rapidement, mais cela augmente la criticité desdits composants et les surexpose. […]. De la même manière, laisser dans les mains d’un tiers la gestion de l’infrastructure, d’autant plus si celle-ci est sur le cloud (suivez mon regard), pose évidemment des questions d’ordre politique, de censure, mais aussi de résilience.  »

            extrait de l’édito sur la page : https://boutique.ed-diamond.com/en-kiosque/1576-misc-hs-23.html

    • Bonjour. Il n’existe pas d’application parfaite, et tout dépend ce qu’on recherche. Pour moi, si une application n’est pas libre-open source, elle n’est pas auditable et je dois donc faire confiance aveuglement dans l’entreprise qui l’a conçue. Et je ne fais pas confiance 🙂 Mais libre-open source ne garantit pas non plus que l’application soit irréprochable techniquement et d’un point de vue de la sécurité. La sécurité à 100% ça n’existe pas.

  2. Bonsoir. Si je lis bien les commentaires, ce serait Matrix/Riot (ou Element) le plus sûr.
    Si oui, comment procéder pour créer une adresse mail dans cette appli. ?
    Merci d’avance.
    J.Ellal

    • Bonjour,
      il n’y a pas d’application « plus sur » ou parfaite selon moi. ça depend ce que vous recherchez, quelque-chose de simple, user friendly, gratuit, payant, opensource ou non, pour vous, pour la famille etc… car de toute façon le plus compliqué est de faire migrer ses contacts. Element est en effet pas mal, mais je pense que le grand public sera rapidement perdu sur cette application (bien qu’elle soit libre et fonctionne en décentralisée).

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *