Publicité en cours de chargement...
En finir avec la polémique Olvid
La polémique a touché pas mal de médias et d’acteurs de la cyber, à tel point que le PDG d’Olvid a jugé nécessaire d’intervenir pour répondre aux critiques. Et d’insister, encore une fois, sur le chiffrement de bout en bout (que Signal met aussi en œuvre au demeurant) et sur le fait que l’absence d’annuaire centralisé de 2 milliards de personnes comme pour WhatsApp fait mathématiquement baisser le risque inhérent à la maintenance d’un tel annuaire. Ce qui est vrai en termes de protection des comptes, mais faux en termes de protection des messages car, sauf en cas de backdoor de la NSA dans WhatsApp, dans les deux cas les messages sont chiffrés de bout en bout. Mais tel n’est pas le sujet de ce second volet.
À découvrir → En direct de l’APSSIS - Cyberattaque : le retour d’expérience et les conseils du GHT de Dordogne
Par contre, deux éléments du débat ont été longuement commentés, et en premier lieu l’hébergement par AWS de la solution Olvid. Sur un strict plan technique cyber, une brèche de sécurité est ouverte en permettant à AWS et à Joe Biden d’accéder aux métadonnées, dont l’analyse peut révéler énormément de choses. Quand on sait que Facebook sait estimer l’orientation sexuelle d’une personne ou la durée de vie potentielle d’un couple rien qu’en analysant le graphe des relations de chacun des deux comptes (authentique), j’en connais du côté de la CIA qui vont s’en donner à cœur joie pour savoir qui rencontre qui en dehors des heures de bureau entre 17 heures et 19 heures – et l’exploiter bien entendu.
Le PDG d’Olvid a cependant fait remarquer[1] à juste titre que la seule façon de s’affranchir de la dépendance à AWS[2] serait de disposer d’hébergeurs SecNumCloud de même niveau en France, ce qui – selon lui et selon les services qu’Olvid utilise chez AWS – n’est pas encore le cas. Olvid, one point.
Sinon, je suis récemment tombé sur un très intéressant podcast[3] du Nouveau Monde (France Info) qui pointait un talon d’Achille commun à toutes les messageries instantanées (Olvid ni plus ni moins que les autres) : les notifications. En effet, si vous avez paramétré les notifications sur votre smartphone (Android ou iOS fonctionnent à peu près de la même manière), l’appli envoie à l’OS de votre smartphone un certain nombre d’informations qui vont être affichées (furtivement ou pas, en haut ou en bas de l’écran, etc. selon les paramètres de notification que vous avez choisis). Et la communication entre l’appli et iOS est en clair (forcément) de sorte que… le fournisseur de l’OS peut gentiment espionner à peu près tout ce que vous racontez, à qui vous le racontez et dans le sens entrant ou sortant. En d’autres termes, l’appli est bien chiffrée de bout en bout, mais vous filez l’intégralité du message à… un Gafam.
Non seulement je n’ai absolument rien trouvé dans la documentation d’Olvid (ni de ses concurrents d’ailleurs) sur le sujet dans la partie technique du site (j’ai peut-être mal cherché), mais en plus les échanges de données entre l’appli et le service de notification de l’OS sont plus qu’obscurs. L’appli envoie tout (message + correspondant + horodatage, etc.) et c’est le service de notification qui filtre après en fonction des options retenues ? Ou l’inverse ? Je penche pour la première version, la pire en termes de cyber. C’est tout sauf clair.
Ce qui est sûr dans cette histoire, c’est que :
– le modèle décentralisé d’Olvid diminue les risques d’atteinte au carnet d’adresses, mais en induisant des difficultés d’utilisation qui risquent d’engendrer des contournements ;
– les notifications sont une belle cochonnerie ;
– même avec un hébergeur SecNumCloud bien français, tant que l’on ne maîtrise pas toute la pile de l’hyperviseur à la DB, on n’est sûr de rien en matière d’espionnage ;
– si vous voulez vous faire des 5 à 7, évitez la messagerie pro, surtout si vous travaillez dans un environnement qui est une cible rêvée pour les barbouzes.
Punaise, sans le vouloir je viens de théoriser le concept de trois tiers, qui existe dans la sauvegarde, mais auquel personne n’avait pensé pour les messageries instantanées : une pour la maison, une pour le taf et une dernière pour les jeux de cache-cache. Surtout ne me remerciez pas, c’est tout naturel.
[1] /article/5349/tous-sur-olvid-mais-pour-qui-pour-quand-et-surtout-pourquoi.html
L'auteur
Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.
Avez-vous apprécié ce contenu ?
A lire également.

La cyber et les probabilités paresseuses
26 mai 2025 - 21:29,
Tribune
-Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Cybersécurité, simuler pour protéger : la force des formations immersives
19 mai 2025 - 23:41,
Tribune
-Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

La cyber, les rillettes et les puces en 5 minutes
19 mai 2025 - 23:24,
Tribune
-C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE
09 mai 2025 - 16:39,
Actualité
- DSIHLe programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...