Olvid, la messagerie sécurisée choisie par le gouvernement, déjà sous le feu des critiques

Dans un souci de garantir la souveraineté numérique de la France, le gouvernement a-t-il eu tort de promouvoir la solution de messagerie instantanée française Olvid ? La question se pose après la publication de deux articles, le premier par le média en ligne L’Informé, le 8 décembre, le second par Le Canard enchaîné, le 13 décembre.

Dans une circulaire en date du 22 novembre, Matignon demandait aux membres du gouvernement et des cabinets ministériels de « déployer [cette application] en remplacement de toute autre » d’ici au 8 décembre, « afin d’assurer la sécurité des conversations et des informations partagées [sur ce type de plates-formes] ». Etaient visées des solutions plus populaires, telles que Signal ou WhatsApp.

De quoi donner une visibilité à cette messagerie créée en 2019 et jusqu’ici relativement confidentielle. D’autant plus qu’une semaine plus tard, le ministre délégué chargé du numérique, Jean-Noël Barrot, assurait le service après-vente sur X, décrivant Olvid comme « la messagerie instantanée la plus sûre du monde ».

Lire aussi : Les ministères sommés de « remplacer » leurs messageries instantanées par l’application française Olvid

Le cloud américain AWS

Mais l’argument est partiellement battu en brèche par les deux enquêtes publiées ces derniers jours dans la presse. « Olvid, une française à la sauce américaine », titrait ce mercredi Le Canard enchaîné, soulignant que l’application recourt aux services du prestataire de cloud américain AWS pour héberger ses services, soumis à ce titre aux lois extraterritoriales américaines. Un fait qui n’était pas caché. On en trouve la mention dans la documentation présente sur le site d’Olvid. Mais ce choix technologique aurait pu faire tiquer un exécutif qui ne cesse de dire vouloir privilégier des solutions d’hébergement françaises ou européennes.

A l’occasion de l’actualisation de la « doctrine d’utilisation de l’informatique en nuage [cloud] par l’Etat », du 31 mai, le gouvernement édictait ainsi que les données « d’une sensibilité particulière » devraient être « immunisées contre toute réglementation extracommunautaire », et hébergées « par des solutions disposant de la qualification SecNumPlus délivrée par l’Anssi [Agence nationale de la sécurité des systèmes d’information] » – ce qui n’est pas le cas de AWS. Pourtant, dans sa circulaire de novembre, la première ministre exempte Olvid de cette obligation, arguant que les données transitant par les serveurs de AWS « sont chiffrées de bout en bout » et « supprimées aussitôt la délivrance d’un message ».

Thomas Baignères, le dirigeant de la société et l’un de ses quatre fondateurs, continue, lui, à défendre la qualité du service offert par Olvid. La messagerie se différencie de ses concurrentes du fait qu’elle sécurise elle aussi la confidentialité du message, chiffré de bout en bout, mais y ajoute une surcouche d’authentification des interlocuteurs. Ainsi, Olvid ne passe pas par un annuaire centralisé – qui pourrait subir une faille de sécurité – mais offre des clés d’authentification uniques à chacun de ses usagers. La société elle-même ne dispose pas des données personnelles de ses utilisateurs, puisqu’ils n’ont pas besoin pour s’inscrire de laisser leur numéro de téléphone ou leur adresse e-mail.

Il vous reste 35% de cet article à lire. La suite est réservée aux abonnés.