L’application de messagerie Olvid qui promet une protection optimale n’est pas dépourvue de défauts. D’après Acteurs Publics, son serveur de distribution des messages est hébergé chez Amazon Web Services (AWS), ce qui déroge à une règle de la doctrine gouvernementale « Cloud au centre ».
Depuis ce 8 décembre, les ministres ne peuvent plus communiquer entre eux via les applications WhatsApp, Signal ou Telegram sur leur smartphone, suite à une demande d’Elisabeth Borne de fin novembre. Selon la Première ministre, ces applications présentent des « failles de sécurité » ce qui pose problème au sein du gouvernement.
A la place de ces applications de messagerie, les ministres doivent désormais faire avec Olvid, l’alternative « made in France » encore peu connue du public mais qui est pourtant bien plus sécurisée que les autres selon la cheffe du gouvernement. C’est pourquoi le cabinet Borne a demandé aux ministres d’installer Olvid « en remplacement des autres messageries instantanées afin de renforcer la sécurité des échanges », dans sa circulaire du 22 novembre dernier.
Mais cette alternative française présente tout de même un gros défaut, celui de ne pas être totalement 100% française et même d’enfreindre une règle du gouvernement sur les services cloud.
Un hébergement chez Amazon Web Services (AWS)
Comme le rapporte Acteurs Publics, dans des propos repris par l’Informé, l’application française déroge à la règle appelée « R9 » de la doctrine gouvernementale « Cloud au Centre ». Cette dernière interdit aux acteurs publics français d’utiliser un service cloud dépendant d’un état tiers, notamment lorsque une demande d’accès aux données sensibles (ordre ou sécurité publics) doit être faite.
Mais ce n’est pas tout, cette règle R9 prévoit que les services de messagerie doivent être dotés de la qualification SecNumcloud, ce qui n’est pas le cas d’Olvid.
En effet, le serveur de distribution des messages de l’application française est hébergé chez Amazon Web Services (AWS), qui ne remplit aucun de ces deux critères.
Elisabeth Borne défend son choix et cette dérogation en affirmant qu’Olvid est « la seule plateforme de messagerie privée ayant reçu la certification de sécurité de premier niveau (CSPN) de l’Agence nationale de la sécurité des systèmes d’information (Anssi)», une certification exigeante et difficile à obtenir.
Matignon ajoute que « les données sont chiffrées de bout en bout, donc illisibles par toute personne ou organisation n’étant ni expéditrice ni destinataire d’un message » et que l’application propose un annuaire décentralisé, gage d’une protection supplémentaire par rapport à des WhatsApp ou Telegram qui n’ont que le chiffrement de bout en bout. Et en plus de vouloir assurer une protection optimale sur les échanges entre les ministres, le gouvernement veut permettre « une avancée vers une plus grande souveraineté française » à travers l’utilisation de l’app française.
Une dérogation qui pose des risques
D’après l’Informé, le député Philippe Latombe sollicite toutefois « la vigilance du gouvernement », craignant que cette exception à la règle R9 « court le risque de se répéter dans un contexte où elle ne serait pas justifiée », dans une question parlementaire en cours de dépôt. Il ajoute qu’il est tout à fait possible d’utiliser l’application en utilisant un VPN et donc de masquer son adresse IP, ce qui ne garantit pas une protection optimale.
De son côté, le patron d’Olvid, Thomas Baignères, avance que « la sécurisation d’Olvid ne repose pas sur la partie serveur, mais sur les appareils » et que le choix d’AWS est totalement justifié par la qualité des prestations. « Depuis la mise en service, il n’y a pas eu une seconde de panne ! », avance-t-il avant d’ajouter « nous ne sommes pas liés à vie à Amazon » ce qui laisse entendre qu’Olvid pourrait changer d’hébergeur à l’avenir.
Le patron de l’app assure tout de même être en discussion avec d’autres acteurs qui ont cette fois le label SecNumCloud et qui respectent alors la doctrine gouvernementale.
