Vous êtes dans : Accueil > Tribunes libres >

Tous sur Olvid, mais pour qui, pour quand et surtout pourquoi ?

Cédric Cartau, MARDI 12 DéCEMBRE 2023

Impossible de passer à côté : la Première ministre, Élisabeth Borne, a demandé aux membres de son gouvernement de supprimer les messageries instantanées « classiques » du genre WhatsApp ou Signal pour les remplacer par Olvid. Ite, missa est. Ceux qui me lisent peuvent témoigner que je bouffe du Gafam plus souvent qu’à mon tour et, a priori, la décision de flinguer WhatsApp au sein de l’exécutif semble tomber sous le sens. Sauf que plusieurs aspects interrogent tout de même.

Tout d’abord et depuis belle lurette, les messageries « classiques » pratiquent le chiffrement de bout en bout, de sorte que les messages peuvent être considérés comme relativement confidentiels. Messages écrits s’entend, pour les appels visio ou téléphoniques, c’est une autre histoire. Soyons objectif jusqu’au bout, il est clair que pour WhatsApp il n’y a aucune garantie que la NSA ne dispose pas de backdoor au bon endroit, on peut même parier à quasi coup sûr qu’elle en a une. Mais pour Signal (messagerie la plus sûre selon Edward Snowden lui-même), on a un peu plus confiance – même le gouvernement UK veut l’interdire au motif qu’il ne peut pas déchiffrer les messages, c’est dire !

Ensuite, j’invite les lecteurs à prendre café et pousse-café devant cette vidéo de Paf LeGeek[1]. Il est clair que même si Olvid est très très très sûr, l’audit réalisé par l’Anssi se limite souvent au code et ne va pas jusqu’à l’infrastructure d’hébergement et, à la date de la vidéo de Paf, Olvid était hébergé chez… AWS (en tout cas si l’on en croit la doc technique publiée sur le site d’Olvid). Quand on sait les informations qui peuvent être déduites des métadonnées (quelle IP géolocalisée parle à quelles autres IP géolocalisées, à quelle fréquence, etc.), on se dit que la seule façon pour Olvid d’être vraiment sécure est de sécuriser toute la pile : datacenter, hyperviseur, OS, middleware et couche applicative côté serveur, idem côté terminal. Et là, ce n’est pas gagné.

L’autre élément qui interroge, c’est le modèle inhérent à Olvid, qui est du point à point sans annuaire central. Dit autrement, si vous voulez pouvoir échanger avec un collègue, il faut que chacun de vous deux déroule une manipulation technique, certes courte, mais obligatoire et plus contraignante si vous n’êtes pas en face à face. Pour dix personnes, il va falloir réaliser 55 manipulations, et pour N personnes N x (N+1)/2. Si l’on prend comme base de travail les ministres, les cabinets et les parlementaires avec leurs attachés, on tourne aux environs de 1 000 personnes. Si chaque manipulation unitaire prend une minute, on en arrive tout de même à 8 341 heures de travail, soit environ cinq années-hommes, et encore sans parler des turnovers des personnels ni de la gestion des départs.

Et dernier point : Olvid n’est pas un concurrent de WhatsApp. Le concurrent souverain et sécurisé de WhatsApp, c’est Tchap, utilisé quotidiennement pas des DPO, des RSSI, etc. Ce qui ne veut pas dire qu’Olvid ne sert à rien, mais seulement qu’il répond à un besoin qui n’est pas de remplacer WhatsApp.

Soit je me fourre totalement le doigt dans l’œil (et merci dans ce cas de me l’indiquer par MP), soit il y a un truc qui m’a échappé. D’autant que la sécurisation des échanges est un sujet très vaste qui touche les messageries instantanées, mais pas seulement. Quid des visioconférences ? Tous les politiques utilisent la solution Webconf de l’État, plus aucun ne fait de Zoom ? Quid des Drive ? Bien entendu Dropbox et Google Drive ont été bloqués (pas d’alternative souveraine sauf erreur) ? Quid des échanges de fichiers ? Tout le monde a arrêté WeTransfer et utilise France Transfert ?

Il y a une règle de base en matière de cyber : pour interdire, il faut proposer un outil avec des fonctionnalités comparables. On peut officiellement interdire une appli pourrie sur une flotte de smartphones gérée par un MDM, mais si rien de valable n’est proposé… les utilisateurs délaissent le smartphone institutionnel pour utiliser leur portable perso, et là c’est pire que tout, car le MDM ne voit plus rien. C’est du vécu.

[1]   https://youtu.be/R013csGnVjQ?si=Wr_ZlXlwWJda9eo0 

L'auteur

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.

#sécurité