Aller au contenu

« Olvid » : différence entre les versions

Un article de Wikipédia, l'encyclopédie libre.
Contenu supprimé Contenu ajouté
Lupin~fr (discuter | contributions)
→‎Critiques en France : ajout d'une réf aux commentaires dans les articles de presse
Lyondif02 (discuter | contributions)
m →‎Critiques en France : corr. term. qualification SecNumCloud (et non certification)
Ligne 47 : Ligne 47 :
La circulaire du {{date-|22 novembre 2023}} adressée par le [[Gouvernement Élisabeth Borne|gouvernement]] aux [[Ministère français|ministères]] énonce l’intégration de la solution Olvid aux titres de la cybersécurité et d’{{citation|une plus grande [[souveraineté numérique|souveraineté technologique]]}}<ref name=":3" />{{,}}<ref>{{Lien web |langue=fr |auteur=Le Parisien avec [[AFP]] |titre=Borne demande aux ministres de supprimer WhatsApp, Signal et Telegram de leurs téléphones et d’utiliser Olvid |url=https://www.leparisien.fr/high-tech/borne-demande-aux-ministres-de-supprimer-whatsapp-signal-et-telegram-de-leurs-telephones-et-dutiliser-olvid-29-11-2023-OFN34YNJLBGAPCAMHIU6JDF73Y.php |accès url=libre |site=[[Le Parisien]] |date=29/11/2023 |consulté le=01/01/2024}}</ref>. Ces deux dimensions ont fait l’objet d’observations dans la presse<ref name=":4" />{{,}}<ref>{{Lien web |langue=fr |auteur=Le HuffPost avec [[AFP]] |titre=Olvid, la nouvelle messagerie du gouvernement, déjà critiquée |url=https://www.huffingtonpost.fr/politique/article/olvid-la-nouvelle-messagerie-du-gouvernement-deja-critiquee_226960.html |accès url=libre |site=[[HuffingtonPost]] |date=13/12/2023 |consulté le=01/01/2024}}</ref>{{,}}<ref>{{Article|langue=fr|prénom1=Vincent|nom1=Fagot|titre=Olvid, la messagerie sécurisée choisie par le gouvernement, déjà sous le feu des critiques|périodique=Le Monde|lien périodique=Le Monde|date=13/12/2023|lire en ligne=https://www.lemonde.fr/economie/article/2023/12/13/olvid-la-messagerie-securisee-choisie-par-le-gouvernement-deja-sous-le-feu-des-critiques_6205651_3234.html|consulté le=01/01/2024|accès url=limité}}</ref>{{,}}<ref name=":5" />.
La circulaire du {{date-|22 novembre 2023}} adressée par le [[Gouvernement Élisabeth Borne|gouvernement]] aux [[Ministère français|ministères]] énonce l’intégration de la solution Olvid aux titres de la cybersécurité et d’{{citation|une plus grande [[souveraineté numérique|souveraineté technologique]]}}<ref name=":3" />{{,}}<ref>{{Lien web |langue=fr |auteur=Le Parisien avec [[AFP]] |titre=Borne demande aux ministres de supprimer WhatsApp, Signal et Telegram de leurs téléphones et d’utiliser Olvid |url=https://www.leparisien.fr/high-tech/borne-demande-aux-ministres-de-supprimer-whatsapp-signal-et-telegram-de-leurs-telephones-et-dutiliser-olvid-29-11-2023-OFN34YNJLBGAPCAMHIU6JDF73Y.php |accès url=libre |site=[[Le Parisien]] |date=29/11/2023 |consulté le=01/01/2024}}</ref>. Ces deux dimensions ont fait l’objet d’observations dans la presse<ref name=":4" />{{,}}<ref>{{Lien web |langue=fr |auteur=Le HuffPost avec [[AFP]] |titre=Olvid, la nouvelle messagerie du gouvernement, déjà critiquée |url=https://www.huffingtonpost.fr/politique/article/olvid-la-nouvelle-messagerie-du-gouvernement-deja-critiquee_226960.html |accès url=libre |site=[[HuffingtonPost]] |date=13/12/2023 |consulté le=01/01/2024}}</ref>{{,}}<ref>{{Article|langue=fr|prénom1=Vincent|nom1=Fagot|titre=Olvid, la messagerie sécurisée choisie par le gouvernement, déjà sous le feu des critiques|périodique=Le Monde|lien périodique=Le Monde|date=13/12/2023|lire en ligne=https://www.lemonde.fr/economie/article/2023/12/13/olvid-la-messagerie-securisee-choisie-par-le-gouvernement-deja-sous-le-feu-des-critiques_6205651_3234.html|consulté le=01/01/2024|accès url=limité}}</ref>{{,}}<ref name=":5" />.


En premier lieu, la conformité technique de la solution resterait discutable. Comme les spécifications publiques le précisent, le [[Stockage de données|stockage des données]] de l'application est confié en partie au « [[Cloud computing|cloud]] » des serveurs américains d'[[Amazon Web Services]]<ref name=":5">{{Lien web |langue=fr |prénom=Jacques |nom=Cheminat |titre=Olvid : la polémique sur AWS ne PaaS pas |url=https://www.lemondeinformatique.fr/actualites/lire-olvid-la-polemique-sur-aws-ne-paas-pas-92463.html |accès url=libre |site=[[Le Monde Informatique]] |date=15/12/2023 |consulté le=01/01/2024}}</ref>{{,}}<ref>{{Lien web |langue=fr |prénom=Pierre |nom=Otin |titre=Mais pourquoi Olvid, app du gouvernement, héberge ses données chez Amazon ? |url=https://www.iphon.fr/post/olvid-heberge-donnees-amazon |accès url=libre |site=[https://www.iphon.fr/ iPhon.fr] |date=16/12/2023 |consulté le=01/01/2024}}</ref>. D’une part cela rendrait la compatibilité de la solution incertaine avec {{citation|la règle dite « R9 » de la doctrine gouvernementale « cloud au centre »}}, laquelle est censée empêcher un juge d'un État tiers {{incise|ici les [[États-Unis]] via le [[CLOUD Act|Cloud Act]]}} de saisir les données, malgré leur [[chiffrement]]. D'autre part l’absence de certification SecNumCloud de la solution interrogerait, cette certification étant attendue dans le cadre des infrastructures de type cloud selon le référentiel de sécurité élaboré par l'[[Agence nationale de la sécurité des systèmes d'information|ANSSI]]<ref>{{Lien web |langue=fr |auteur institutionnel=[[Agence nationale de la sécurité des systèmes d'information]] |titre=SecNumCloud pour les fournisseurs de services Cloud |sous-titre=Pourquoi et comment être qualifié SecNumCloud ? |url=https://cyber.gouv.fr/secnumcloud-pour-les-fournisseurs-de-services-cloud |accès url=libre |site=[[ANSSI]] |date=29/09/2023 |consulté le=01/01/2024}}</ref>.
En premier lieu, la conformité technique de la solution resterait discutable. Comme les spécifications publiques le précisent, le [[Stockage de données|stockage des données]] de l'application est confié en partie au « [[Cloud computing|cloud]] » des serveurs américains d'[[Amazon Web Services]]<ref name=":5">{{Lien web |langue=fr |prénom=Jacques |nom=Cheminat |titre=Olvid : la polémique sur AWS ne PaaS pas |url=https://www.lemondeinformatique.fr/actualites/lire-olvid-la-polemique-sur-aws-ne-paas-pas-92463.html |accès url=libre |site=[[Le Monde Informatique]] |date=15/12/2023 |consulté le=01/01/2024}}</ref>{{,}}<ref>{{Lien web |langue=fr |prénom=Pierre |nom=Otin |titre=Mais pourquoi Olvid, app du gouvernement, héberge ses données chez Amazon ? |url=https://www.iphon.fr/post/olvid-heberge-donnees-amazon |accès url=libre |site=[https://www.iphon.fr/ iPhon.fr] |date=16/12/2023 |consulté le=01/01/2024}}</ref>. D’une part cela rendrait la compatibilité de la solution incertaine avec {{citation|la règle dite « R9 » de la doctrine gouvernementale « cloud au centre »}}, laquelle est censée empêcher un juge d'un État tiers {{incise|ici les [[États-Unis]] via le [[CLOUD Act|Cloud Act]]}} de saisir les données, malgré leur [[chiffrement]]. D'autre part l’absence de qualification SecNumCloud de la solution interrogerait, cette qualification étant attendue dans le cadre des infrastructures de type cloud selon le référentiel de sécurité élaboré par l'[[Agence nationale de la sécurité des systèmes d'information|ANSSI]]<ref>{{Lien web |langue=fr |auteur institutionnel=[[Agence nationale de la sécurité des systèmes d'information]] |titre=SecNumCloud pour les fournisseurs de services Cloud |sous-titre=Pourquoi et comment être qualifié SecNumCloud ? |url=https://cyber.gouv.fr/secnumcloud-pour-les-fournisseurs-de-services-cloud |accès url=libre |site=[[ANSSI]] |date=29/09/2023 |consulté le=01/01/2024}}</ref>.


En second lieu, la nature extra-territoriale d'une partie de l'[[investissement]] dans la solution poserait question. Selon le média ''L'Informé'', l'[[investisseur]] Bruno Scherrer, ancien de [[Lehman Brothers]] et désormais résident [[suisse]], aurait engagé {{nobr|1,75 million}} d'euros en {{date|2022}} pour 16 % du [[capital]] d'Olvid, à la fois à titre personnel et au travers du [[Fonds d'investissement|fonds]] Phi Square Holdings, société de [[droit luxembourgeois]]<ref name=":4">{{Lien web |langue=fr |prénom=Emmanuel |nom=Paquette |prénom2=Marc |nom2=Rees |titre=Un actionnaire luxembourgeois, des données chez Amazon… l’appli Olvid pas franchement made in France |url=https://www.linforme.com/tech-telecom/article/un-actionnaire-luxembourgeois-des-donnees-chez-amazon-l-appli-olvid-est-elle-vraiment-made-in-france_1262.html |accès url=payant |site=[https://www.linforme.com/ l’Informé] |date=08/12/2023 |consulté le=23/12/2023}}</ref>.
En second lieu, la nature extra-territoriale d'une partie de l'[[investissement]] dans la solution poserait question. Selon le média ''L'Informé'', l'[[investisseur]] Bruno Scherrer, ancien de [[Lehman Brothers]] et désormais résident [[suisse]], aurait engagé {{nobr|1,75 million}} d'euros en {{date|2022}} pour 16 % du [[capital]] d'Olvid, à la fois à titre personnel et au travers du [[Fonds d'investissement|fonds]] Phi Square Holdings, société de [[droit luxembourgeois]]<ref name=":4">{{Lien web |langue=fr |prénom=Emmanuel |nom=Paquette |prénom2=Marc |nom2=Rees |titre=Un actionnaire luxembourgeois, des données chez Amazon… l’appli Olvid pas franchement made in France |url=https://www.linforme.com/tech-telecom/article/un-actionnaire-luxembourgeois-des-donnees-chez-amazon-l-appli-olvid-est-elle-vraiment-made-in-france_1262.html |accès url=payant |site=[https://www.linforme.com/ l’Informé] |date=08/12/2023 |consulté le=23/12/2023}}</ref>.

Version du 1 janvier 2024 à 22:12

Olvid
Description de l'image Olvid01.png.

Informations
Dernière version 2.1 (Android, )
2.3 (iOS, )
2.3 (iPadOS, )
2.3 (macOS, )
1.6.2 (Microsoft Windows, )
1.6.2 (Linux, )Voir et modifier les données sur Wikidata
Environnement Android, iOS, macOS, Microsoft Windows, iPadOS et LinuxVoir et modifier les données sur Wikidata
Type Messagerie instantanéeVoir et modifier les données sur Wikidata
Politique de distribution freemium
Licence Licence publique générale affero GNU version 3 et licence propriétaire
Site web olvid.io/frVoir et modifier les données sur Wikidata

Olvid est une application de messagerie instantanée chiffrée éditée depuis 2019 par l'entreprise française éponyme. Les applications mobiles sont certifiées par l'ANSSI et les administrations françaises recommandent leur utilisation en interne.

Plateforme

L'application Olvid est disponible en application mobile sur les plateformes Google Play et App Store[1].

En , Olvid, Oodrive et Tixeo s'allient pour créer une plateforme alternative française de logiciel en ligne de gestion de projet et de travail collaboratif pour les données les plus sensibles des administrations, ministères et opérateurs d'importance vitale (OIV)[2].

Entreprise Olvid

L'entreprise se rémunère sur le modèle de licence de son logiciel, et au nombre de comptes de sa version payante. Elle ne communique pas ses revenus mais elle a été initialement financée par une bourse French Tech Emergence au concours i-Lab de 350 000 euros accordée par Bpifrance. Un investisseur privé a ensuite investi dans l'entreprise[3].

En , l'entreprise Olvid compte 15 employés[3].

Licences logicielles

Le programme source des programmes clients Olvid est libre et distribué sous la licence AGPLv3[4].

Le programme source du programme serveur Olvid est sous licence propriétaire[5]. Olvid indique que le serveur servant à la distribution des messages est hébergé sur Amazon Web Services[5].

Sécurité

Olvid revendique une sécurité de haut niveau au moyen de protocoles cryptographiques conçus spécifiquement[5]. En , les experts en sécurité considèrent que la fiabilité n'est pas encore garantie par son usage trop réduit[6].

En , son code est ouvert dans un programme public de prime aux bogues avec YesWeHack[7],[8],[9], pour détecter des vulnérabilités à corriger[10].

Les applications Olvid obtiennent une Certification de sécurité de premier niveau (CSPN) par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), en pour iOS[11] et en pour Android [12].

En , la composante application d'Olvid devient libre et les programmes sources des applications clientes pour smartphones Android et iOS sont publiées sur le dépôt GitHub d'Olvid[13],[4].

Utilisation par les administrations de la France

En , le RAID, unité de la Police nationale française, annonce utiliser Olvid depuis plus d'un an pour assurer les communications entre l'ensemble de ses membres et protéger l'anonymat des policiers[14],[15],[16],[17].

En , la Première ministre française, Élisabeth Borne, demande de manière formelle le déploiement de l'application Olvid ou Tchap sur les téléphones et ordinateurs des membres du gouvernement et des cabinets ministériels « pour le au plus tard »[18],[19].

Critiques en France

La circulaire du adressée par le gouvernement aux ministères énonce l’intégration de la solution Olvid aux titres de la cybersécurité et d’« une plus grande souveraineté technologique »[6],[20]. Ces deux dimensions ont fait l’objet d’observations dans la presse[21],[22],[23],[24].

En premier lieu, la conformité technique de la solution resterait discutable. Comme les spécifications publiques le précisent, le stockage des données de l'application est confié en partie au « cloud » des serveurs américains d'Amazon Web Services[24],[25]. D’une part cela rendrait la compatibilité de la solution incertaine avec « la règle dite « R9 » de la doctrine gouvernementale « cloud au centre » », laquelle est censée empêcher un juge d'un État tiers — ici les États-Unis via le Cloud Act — de saisir les données, malgré leur chiffrement. D'autre part l’absence de qualification SecNumCloud de la solution interrogerait, cette qualification étant attendue dans le cadre des infrastructures de type cloud selon le référentiel de sécurité élaboré par l'ANSSI[26].

En second lieu, la nature extra-territoriale d'une partie de l'investissement dans la solution poserait question. Selon le média L'Informé, l'investisseur Bruno Scherrer, ancien de Lehman Brothers et désormais résident suisse, aurait engagé 1,75 million d'euros en pour 16 % du capital d'Olvid, à la fois à titre personnel et au travers du fonds Phi Square Holdings, société de droit luxembourgeois[21].


Références

  1. Gaëtane Deljurie, « Cybersécurité: les trois pépites du FIC 2020 (2/5) », sur La Tribune, (consulté le ).
  2. Sylvain Rolland, « Cloud : Oodrive, Tixeo et Olvid s'allient pour créer un « Teams » français dès 2023 », La Tribune, (consulté le ).
  3. a et b Ingrid Vergara, « Comment la messagerie sécurisée française Olvid a réussi à séduire le gouvernement et les directions d'entreprises », Le Figaro, (consulté le ).
  4. a et b « La messagerie sécurisée Olvid passe en open source », sur Next, (consulté le ).
  5. a b et c « Olvid : Serveur et Open Source », sur olvid.io, Olvid (consulté le ).
  6. a et b Le Monde avec AFP, « Les ministères sommés de « remplacer » leurs messageries instantanées par l'application française Olvid », Le Monde, (consulté le )
  7. (en) Catherine Chapman, « Hackers bank big bucks at live hacking event in France », sur The Daily Swig, (consulté le ).
  8. « Guillaume Vassault-Houlière, YesWeHack : le Bug Bounty est aujourd'hui une pratique mature et reconnue », sur Global Security Mag Online (consulté le ).
  9. « La messagerie ultra-sécurisée Olvid se confronte aux 15 000 hackers de la communauté YesWeHack », sur Place de l'IT, (consulté le ).
  10. Marc Jacob, « Olvid compte sur les 15 000 hackers de YesWeHack pour challenger la sécurité de son application », sur Global Security Mag Online, (consulté le ).
  11. « OLVID », sur cyber.gouv.fr, ANSSI, (consulté le ).
  12. « Olvid Version 0.9.2 pour Android », sur cyber.gouv.fr, ANSSI, (consulté le ).
  13. Alexandre Boero, « La messagerie sécurisée française Olvid devient open source », sur Clubic, (consulté le ).
  14. @PoliceNationale, « [#PoliceConnectée] Dans le cadre d'une convention de partenariat, le #RAID utilise depuis plus d'un an une messagerie sécurisée pour communiquer en toute sécurité. Cette solution française, proposée par @olvid_io, est certifiée par @ANSSI_FR et protège l'anonymat des #policiers. », sur Twitter, (consulté le ).
  15. « Thomas Baignières (Olvid) : Olvid, la nouvelle messagerie ultra sécurisée pour les entreprises », BFM Business, (consulté le ).
  16. Aurore Gayte, « 3 questions sur Olvid, l'app française qui désire s'imposer face à Signal et WhatsApp », sur Numerama, 9 mai 2022, mis à jour (consulté le ).
  17. « Olvid, la messagerie sécurisée qui met la vie privée avant tout », sur DPO partagé, (consulté le ).
  18. Guillaume Grallet, « Les ministres français invités à désinstaller WhatsApp, Signal et Telegram », Le Point, (consulté le ).
  19. « Cybersécurité : les ministres français invités à désinstaller les applications de messagerie comme Whatsapp, Signal ou Telegram », sur Franceinfo, (consulté le ).
  20. Le Parisien avec AFP, « Borne demande aux ministres de supprimer WhatsApp, Signal et Telegram de leurs téléphones et d’utiliser Olvid » Accès libre, sur Le Parisien, (consulté le )
  21. a et b Emmanuel Paquette et Marc Rees, « Un actionnaire luxembourgeois, des données chez Amazon… l’appli Olvid pas franchement made in France » Accès payant, sur l’Informé, (consulté le )
  22. Le HuffPost avec AFP, « Olvid, la nouvelle messagerie du gouvernement, déjà critiquée » Accès libre, sur HuffingtonPost, (consulté le )
  23. Vincent Fagot, « Olvid, la messagerie sécurisée choisie par le gouvernement, déjà sous le feu des critiques », Le Monde,‎ (lire en ligne Accès limité, consulté le )
  24. a et b Jacques Cheminat, « Olvid : la polémique sur AWS ne PaaS pas » Accès libre, sur Le Monde Informatique, (consulté le )
  25. Pierre Otin, « Mais pourquoi Olvid, app du gouvernement, héberge ses données chez Amazon ? » Accès libre, sur iPhon.fr, (consulté le )
  26. Agence nationale de la sécurité des systèmes d'information, « SecNumCloud pour les fournisseurs de services Cloud : Pourquoi et comment être qualifié SecNumCloud ? » Accès libre, sur ANSSI, (consulté le )

Liens externes