La messagerie française "la plus sûre du monde" est hébergée chez l’américain Amazon

La révélation du recours d’Olvid au cloud d’AWS, Amazon Web Services, était passée presque inaperçue sur le média en ligne Acteurs Publics, le 30 novembre dernier. La reprise de l’information, huit jours plus tard, par l’Informé, tombait bien mal, puisque ce 8 décembre coïncidait avec la date butoir fixée par Elisabeth Borne pour que le gouvernement délaisse WhatsApp, Signal et Telegram notamment, au profit de cette messagerie instantanée française présentée, le 29 novembre dernier sur X / ex-Twitter, par le ministre délégué chargé du Numérique, Jean-Noël Barrot, comme "la plus sûre du monde".

Il y a 15 jours, déjà, j'expliquais ici le casse-tête que représente la création d’un nouveau répertoire avec tous ses contacts, puisque Olvid ne s’appuie volontairement sur aucun annuaire centralisé. Recréer chaque contact dans l’application suppose de s’échanger des codes confidentiels. C’est plus sûr, mais c’est aussi plus fastidieux.

Olvid insiste sur la double certification obtenue en termes de sécurité. Elle est mise en avant, à juste titre, dans la mesure où cette certification a été délivrée par la référence officielle en France, l’ANSSI (Agence nationale de la sécurité des systèmes d’information). Et puis, autre élément à prendre en compte : aucune autre messagerie instantanée n’a reçu, à ce jour, cette validation. L’entreprise parle d’ailleurs même de double certification : pour son application iOS, dédiée aux iPhone en 2020, mise à jour il y a moins de deux mois, et pour son application Android en 2021, sans mise à jour depuis.

Concrètement, quel est le risque ? Le premier souci, c’est l’hébergement des données, potentiellement aux Etats-Unis, où les autorités américaines ont le droit d’y accéder en vertu du CLOUD Act adopté en 2018. Par ailleurs, AWS ne dispose pas de la certification dite "SecNumCloud", la plus élevée à l’ANSSI pour un data center.

Données chiffrées et messages supprimés instantanément

Pas grave, laissait entendre – en substance – la circulaire d’Elisabeth Borne, le 22 novembre dernier : l’important, à croire Matignon, c’est que les données soient chiffrées de bout en bout et immédiatement supprimées, une fois le message parvenu à son destinataire. C’est justement l’une des particularités d’Olvid.

Pour autant, quid des métadonnées et des adresses IP, ces identifiants informatiques sur le réseau ? Qui peut garantir que le chiffrement ne sera pas percé un jour ? Le choix stratégique – économique, peut-être – d’AWS pose question, d’autant que l’application française vend cher ses services : 4,99 euros par mois et par personne – tarif minimum – dès qu’on veut l’utiliser sur plusieurs appareils.

En parallèle, WhatsApp, Signal – qui semble avoir la préférence de l’ANSSI parmi les challengers – ou Telegram, peuvent continuer à être utilisées pour les échanges avec les personnes extérieures au gouvernement. De son côté, Olvid annonce plus de 150.000 téléchargements depuis la parution de la circulaire Borne, il y a trois semaines.