L'abonnement à l'Informé est à usage individuel
Un autre appareil utilise actuellement votre compte
Continuer la lectureUn actionnaire luxembourgeois, des données chez Amazon… l’appli Olvid pas franchement made in France
Élisabeth Borne a demandé à son gouvernement d’utiliser la messagerie « française » Olvid en lieu et place de WhatsApp ou Télégram. Un choix qui pose question.
L’horloge tourne. À partir de ce 8 décembre, tous les membres des cabinets ministériels et les ministres eux-mêmes sont priés de ne plus utiliser les messageries instantanées WhatsApp, Signal et autre Telegram sur leurs smartphones. La Première ministre, Élisabeth Borne, leur impose d’utiliser pour communiquer une solution française, Olvid comme l’avait révélé le Point. Ce service garantit « la protection des données de ses utilisateurs grâce à un annuaire décentralisé et un chiffrement des messages de bout en bout ». Les fonctionnalités seraient identiques à celles des produits concurrents, accusés d’être victimes de « failles de sécurité ».
Mais Olvid est-elle aussi made in France que le gouvernement le proclame ? Premier sujet d’étonnement : la messagerie compte parmi ses actionnaires un fonds d’investissement luxembourgeois a appris l’Informé. Il s’agit de Phi Square Holdings, dirigé par Bruno Scherrer. « Cet investisseur a été capable de nous apporter ce dont on avait besoin et des conseils importants, explique à l’Informé Thomas Baignères, PDG d’Olvid. C’est quelqu’un qui aime rester discret, mais nous le connaissons depuis longtemps. Nous faisons bien attention aux personnes qui entrent au capital et restons toujours maîtres de l’entreprise ». Français mais résident en Suisse (en tout cas jusqu’en mai 2022), cet ancien banquier est passé par Lehman Brothers. Il est aussi l’un des quatre dirigeants d’un hedge fund, Theleme Partners LLP qui gère 2,5 milliards de dollars d’actifs. Sa maison mère, Theleme Capital Partners, est basée aux Îles Caïmans, longtemps inscrites sur la liste noire européenne des paradis fiscaux. L’investisseur a parié 1,75 million d’euros pour 16,6 % du capital d’Olvid en 2022 à titre personnel et au travers de Phi Square Holdings. Ce coup de publicité inespéré de la part du gouvernement a de quoi ravir cet investisseur présent en France dans les sociétés Cyrebro Technologies et MyBrain Technologies, la seconde venant de fermer ses portes début novembre. Il soutient également Cybelangel International (au Luxembourg) société spécialisée dans la fuite de données critiques, un champion de la French Tech, cofondée par le docteur en cryptographie Matthieu Finiasz, également actionnaire d’Olvid. Contacté, Bruno Scherrer n’a pas donné suite à nos sollicitations.
Olvid présente une autre curiosité. Comme l’a noté Acteurs Publics, l’appli déroge à la règle dite « R9 » de la doctrine gouvernementale « Cloud au Centre », dont la dernière version a été actualisée le 31 mai 2023. Ce texte interdit notamment aux acteurs publics français d’utiliser un service cloud dont les données pourraient faire l’objet d’une demande d’accès d’un état tiers lorsqu’elles sont sensibles, en lien avec l’ordre ou la sécurité publics. Ces services doivent aussi être dotés de la qualification SecNumcloud. Or le serveur de distribution des messages d’Olvid est hébergé Amazon Web Services (AWS), qui ne remplit aucun de ces deux critères. En cas de demandes d’un juge américain, AWS n’aura d’autre choix que d’ouvrir ses portes.
Pour justifier cette dérogation, Borne relève dans sa missive qu’Olvid est « la seule plateforme de messagerie privée ayant reçu la certification de sécurité de premier niveau (CSPN) de l’Agence nationale de la sécurité des systèmes d’information (Anssi)». Jointe par l’Informé, la même agence nous indique que ce visa « a porté sur l’évaluation du niveau de sécurité des fonctionnalités critiques de l’application : authentification des utilisateurs et des échanges, chiffrement des messages et des pièces jointes, et chiffrement des sauvegardes des contacts ». Autant de qualités qui ont pesé à Matignon : « les données sont chiffrées de bout en bout, donc illisibles par toute personne ou organisation n’étant ni expéditrice ni destinataire d’un message ». Par ailleurs, les contenus sont supprimés aussitôt qu’ils sont délivrés. « Olvid propose un chiffrement extrêmement robuste » plaide-t-on du côté de l’Élysée, très impliquée dans ce dossier, qui reconnaît qu’« on ne pourra jamais s’assurer que la donnée ne passe pas par aucun matériel non souverain ».
Selon nos informations, dans une question parlementaire en cours de dépôt, le député Philippe Latombe sollicite malgré tout « la vigilance du gouvernement », craignant que cette exception à la règle R9 « court le risque de se répéter dans un contexte où elle ne serait pas justifiée ». « La sécurisation d’Olvid ne repose pas sur la partie serveur, mais sur les appareils » répond pour sa part Thomas Baignères, PDG d’Olvid. Si les serveurs AWS peuvent voir les adresses IP des utilisateurs de la messagerie, « on peut tout à fait utiliser l’application en utilisant un VPN (ndlr ce qui permet de masquer son adresse IP) » poursuit Baignères. Le choix de cet acteur américain reste justifié par la qualité des prestations offertes. « Depuis la mise en service, il n’y a pas eu une seconde de panne ! Pour autant, nous ne sommes pas liés à vie à Amazon ». Baignères assure d’ailleurs discuter avec d’autres acteurs, cette fois labellisés SecNumCloud, pour profiter un jour prochain de leurs offres.
Une certitude : Olvid devra coexister avec une autre application cette fois étatique, la messagerie souveraine Tchap, éditée par la direction interministérielle du numérique (DINUM) et qui n’a fait l’objet que d’une courte mention en fin de circulaire. Sur les téléphones des ministres, l’abandon des messageries privées ne sera pas nécessairement aussi radical qu’espéré, notamment pour assurer les échanges avec les homologues étrangers. D’ailleurs selon le Canard Enchaîné, la plupart des membres du gouvernement n’ont pas l’intention de suivre les directives Borne. Techniquement, l’Anssi elle-même considère que la certification d’Olvid ne devrait pas nécessairement ombrager d’autres solutions. Et pour cause, la CSPN « ne présume en rien les niveaux de sécurité des produits proposant des services similaires » prévient l’Agence. Et dans le lot, « la solution Signal assure également un niveau de sécurité permettant de répondre à certains usages et l’ANSSI peut recommander le recours à Signal lorsque les solutions Tchap et Olvid ne peuvent être utilisées ».
Malgré les polémiques, Olvid sort déjà gagnante de ce coup de projecteur. L’éditeur indique avoir enregistré 150 000 téléchargements depuis la circulaire Borne, alors que la solution comptait jusqu’alors 100 000 utilisateurs. Et ce malgré une barrière à l’entrée assez forte : l’application ne proposant pas d’annuaire centralisé comme Whatsapp ou Telegram, les utilisateurs doivent s’échanger un QR code en face-à-face ou se l’envoyer. Les formules payantes (jusqu’à 9,90 euros par mois et utilisateur, en plus d’un forfait de 4 990 euros par an) permettent de configurer un serveur de gestion d’annuaire. Selon nos informations, c’est cette option que devraient adopter la Présidence de la République et les ministères pour faciliter les échanges. La direction interministérielle du numérique a été chargée par la Première ministre d’accompagner ce déploiement.
