Publicité en cours de chargement...

Publicité en cours de chargement...

En finir avec la polémique Olvid

16 jan. 2024 - 09:50,
Tribune - Cédric Cartau
Récemment[1] dans ces mêmes colonnes, je faisais part de mon étonnement eu égard à l’empressement des pouvoirs publics à quitter les messageries instantanées réputées « non sûres », telle WhatsApp, pour contraindre les membres du gouvernement (et des deux chambres, et des assistants parlementaires, et des membres des cabinets, etc.) à passer sur Olvid.    

La polémique a touché pas mal de médias et d’acteurs de la cyber, à tel point que le PDG d’Olvid a jugé nécessaire d’intervenir pour répondre aux critiques. Et d’insister, encore une fois, sur le chiffrement de bout en bout (que Signal met aussi en œuvre au demeurant) et sur le fait que l’absence d’annuaire centralisé de 2 milliards de personnes comme pour WhatsApp fait mathématiquement baisser le risque inhérent à la maintenance d’un tel annuaire. Ce qui est vrai en termes de protection des comptes, mais faux en termes de protection des messages car, sauf en cas de backdoor de la NSA dans WhatsApp, dans les deux cas les messages sont chiffrés de bout en bout. Mais tel n’est pas le sujet de ce second volet.

À découvrirEn direct de l’APSSIS - Cyberattaque : le retour d’expérience et les conseils du GHT de Dordogne

Par contre, deux éléments du débat ont été longuement commentés, et en premier lieu l’hébergement par AWS de la solution Olvid. Sur un strict plan technique cyber, une brèche de sécurité est ouverte en permettant à AWS et à Joe Biden d’accéder aux métadonnées, dont l’analyse peut révéler énormément de choses. Quand on sait que Facebook sait estimer l’orientation sexuelle d’une personne ou la durée de vie potentielle d’un couple rien qu’en analysant le graphe des relations de chacun des deux comptes (authentique), j’en connais du côté de la CIA qui vont s’en donner à cœur joie pour savoir qui rencontre qui en dehors des heures de bureau entre 17 heures et 19 heures – et l’exploiter bien entendu.

Le PDG d’Olvid a cependant fait remarquer[1] à juste titre que la seule façon de s’affranchir de la dépendance à AWS[2] serait de disposer d’hébergeurs SecNumCloud de même niveau en France, ce qui – selon lui et selon les services qu’Olvid utilise chez AWS – n’est pas encore le cas. Olvid, one point.

Sinon, je suis récemment tombé sur un très intéressant podcast[3] du Nouveau Monde (France Info) qui pointait un talon d’Achille commun à toutes les messageries instantanées (Olvid ni plus ni moins que les autres) : les notifications. En effet, si vous avez paramétré les notifications sur votre smartphone (Android ou iOS fonctionnent à peu près de la même manière), l’appli envoie à l’OS de votre smartphone un certain nombre d’informations qui vont être affichées (furtivement ou pas, en haut ou en bas de l’écran, etc. selon les paramètres de notification que vous avez choisis). Et la communication entre l’appli et iOS est en clair (forcément) de sorte que… le fournisseur de l’OS peut gentiment espionner à peu près tout ce que vous racontez, à qui vous le racontez et dans le sens entrant ou sortant. En d’autres termes, l’appli est bien chiffrée de bout en bout, mais vous filez l’intégralité du message à… un Gafam.

Non seulement je n’ai absolument rien trouvé dans la documentation d’Olvid (ni de ses concurrents d’ailleurs) sur le sujet dans la partie technique du site (j’ai peut-être mal cherché), mais en plus les échanges de données entre l’appli et le service de notification de l’OS sont plus qu’obscurs. L’appli envoie tout (message + correspondant + horodatage, etc.) et c’est le service de notification qui filtre après en fonction des options retenues ? Ou l’inverse ? Je penche pour la première version, la pire en termes de cyber. C’est tout sauf clair.

Ce qui est sûr dans cette histoire, c’est que :

– le modèle décentralisé d’Olvid diminue les risques d’atteinte au carnet d’adresses, mais en induisant des difficultés d’utilisation qui risquent d’engendrer des contournements ;
– les notifications sont une belle cochonnerie ;
– même avec un hébergeur SecNumCloud bien français, tant que l’on ne maîtrise pas toute la pile de l’hyperviseur à la DB, on n’est sûr de rien en matière d’espionnage ;
– si vous voulez vous faire des 5 à 7, évitez la messagerie pro, surtout si vous travaillez dans un environnement qui est une cible rêvée pour les barbouzes.

 Punaise, sans le vouloir je viens de théoriser le concept de trois tiers, qui existe dans la sauvegarde, mais auquel personne n’avait pensé pour les messageries instantanées : une pour la maison, une pour le taf et une dernière pour les jeux de cache-cache. Surtout ne me remerciez pas, c’est tout naturel. 


[1] /article/5349/tous-sur-olvid-mais-pour-qui-pour-quand-et-surtout-pourquoi.html 

[2] https://www.01net.com/actualites/la-messagerie-francaise-olvid-est-elle-vraiment-plus-sure-que-whatsapp-signal-ou-telegram-2030295.htmlV 

[2] https://www-lemondeinformatique-fr.cdn.ampproject.org/c/s/www.lemondeinformatique.fr/actualites/lireamp-olvid-la-polemique-sur-aws-ne-paas-pas-92463.html 

[3] https://www.francetvinfo.fr/replay-radio/nouveau-monde/notifications-mobiles-le-talon-d-achille-de-nos-messages-prives-et-professionnels_6206322.html 


L'auteur

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.

Avez-vous apprécié ce contenu ?

A lire également.

Regonfler un pneu ou s’attaquer à la root cause : vision 27001 de la mise sous contrainte

15 sept. 2025 - 22:20,

Tribune

-
Cédric Cartau

Imaginez un peu la scène : vous êtes dans votre jardin en train de tailler vos rosiers, et par-dessus la clôture vous apercevez votre voisin que vous saluez chaleureusement. Vous en profitez pour le prévenir que le pneu arrière gauche de sa voiture, garée dans son allée et que vous voyez très bien d...

Illustration Tour de France CaRE Domaine 2

Tour de France CaRE Domaine 2

13 sept. 2025 - 16:20,

Communiqué

- Orange Cyberdefense

La cybersécurité n’est plus une option pour les établissements de santé ! Grâce au programme CaRE, vous pouvez bénéficier de subventions pour augmenter votre résilience numérique. Orange Cyberdefense vous invite à son Tour de France autour du Domaine 2 du programme CaRE de mi-septembre à mi-octobre.

Illustration CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA

CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA

08 sept. 2025 - 11:50,

Tribune

-
Manon DALLEAU

Le mois de juillet 2025 a marqué le lancement de CaRE D2, avec pour objectif de renforcer la stratégie de continuité et de reprise d'activité des établissements de santé, aussi bien sur le plan métier que sur le plan informatique. Au cœur du dispositif : le Plan de Continuité et de Reprise d'Activit...

Illustration Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025

Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025

05 sept. 2025 - 11:39,

Actualité

- DSIH

Depuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.