Olvid

Olvid est une application de messagerie instantanée chiffrée éditée depuis 2019 par l'entreprise française du même nom. Une application mobile spécifique a été certifiée par l'ANSSI en 2020 et en 2021, et des administrations françaises recommandent leur utilisation en interne.

Olvid

Informations

Environnement	Android, iOS, macOS, Microsoft Windows, iPadOS et Linux
Type	Messagerie instantanée
Politique de distribution	open core
Licence	Licence publique générale affero GNU version 3 et licence propriétaire
Site web	olvid.io/fr

modifier - modifier le code - voir Wikidata (aide)

Plateforme

L'application Olvid est disponible en application mobile sur les plateformes Google Play et App Store^[1]. Elle se décline également pour les trois systèmes d'exploitation d'ordinateurs : Windows, MacOS et Linux.^{[réf. souhaitée]}

En 2022, Olvid, Oodrive et Tixeo s'allient pour créer une plateforme alternative française de logiciel en ligne de gestion de projet et de travail collaboratif pour les données les plus sensibles des administrations, ministères et opérateurs d'importance vitale (OIV)^[2].

Entreprise Olvid

L'entreprise Olvid a été fondée en 2019 par les docteurs en cryptographie Thomas Baignères et Matthieu Finiasz, associés à Cedric Sylvestre et Jacques-André Bondy. La start-up obtient le prix « Startup FIC » au forum international de la cybersécurité à Lille en 2020 ^[3].

L'entreprise se rémunère sur le modèle de licence de son logiciel, et au nombre de comptes de sa version payante. Elle ne communique pas ses revenus mais elle a été initialement financée par une bourse French Tech Emergence au concours i-Lab de 350 000 euros accordée par Bpifrance. Un investisseur privé a ensuite investi dans l'entreprise^[4].

En 2023, l'entreprise Olvid compte 15 employés^[4] et aurait levé 1,75 million d'euros de fonds d'après le média L'Informé^[5],[6].

Licences logicielles

Le programme source des programmes clients Olvid est libre et distribué sous la licence AGPLv3^[7].

Le programme source du programme serveur Olvid est sous licence propriétaire^[8]. Olvid indique que le serveur servant à la distribution des messages est hébergé sur Amazon Web Services et que le logiciel serveur qu'elle prévoit de placer sous licence ouverte ne sera pas la version utilisée pour le réseau public mais une version limitée à quelques centaines de comptes^[8].

Sécurité

Olvid revendique une sécurité de haut niveau au moyen de protocoles cryptographiques conçus spécifiquement^[8]. En novembre 2023, les experts en sécurité considèrent que la fiabilité n'est pas encore garantie par son usage trop réduit^[9].

En 2020, son code est ouvert dans un programme public de prime aux bogues avec YesWeHack^{[10],[11],[12]}, pour détecter des vulnérabilités à corriger^[13].

Les applications Olvid obtiennent une Certification de sécurité de premier niveau (CSPN) par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), en 2020 pour la version 0.8.2 du client pour iOS^[14] et en 2021 pour la version 0.9.2 du client pour Android^[15].

En 2021, l'application exécutée sur les téléphones devient libre et les programmes sources des applications clientes pour smartphones Android et iOS sont publiées sur le dépôt GitHub d'Olvid^[16],[7].

Utilisation

Le 22 novembre 2023, l'application est utilisée par 100 000 personnes. Les applications ont été téléchargées au moins 150 000 fois sur les magasins d'applications Apple et Google entre cette date et le 13 décembre 2023^[5].

Utilisation par les administrations de la France

En 2022, le RAID, unité de la Police nationale française, annonce utiliser Olvid depuis plus d'un an pour assurer les communications entre l'ensemble de ses membres et protéger l'anonymat des policiers^{[17],[18],[19],[20]}.

En novembre 2023, la Première ministre française, Élisabeth Borne, demande de manière formelle le déploiement de l'application Olvid ou Tchap sur les téléphones et ordinateurs des membres du gouvernement et des cabinets ministériels « pour le 8 décembre 2023 au plus tard »^[21],[22].

Critiques en France

La circulaire du 22 novembre 2023 adressée par les services de la Première ministre aux ministères énonce l'intégration de la solution Olvid aux titres de la cybersécurité et d'« une plus grande souveraineté technologique »^[9],[23]. Ces deux dimensions ont fait l'objet d'observations dans la presse^{[6],[24],[25],[5],[26]}.

En premier lieu, la conformité technique de la solution est discutée. Comme les spécifications publiques le précisent, le stockage des données de l'application est confié en partie au « cloud » des serveurs américains d'Amazon Web Services^[26],[27]. D'une part cela rendrait incertaine la compatibilité de la solution avec « la règle dite « R9 » de la doctrine gouvernementale « cloud au centre » », laquelle est censée empêcher un juge d'un État tiers — ici les États-Unis via le Cloud Act — de saisir les données, malgré leur chiffrement. D'autre part l'absence de qualification SecNumCloud de la solution interroge^[5], cette qualification étant attendue dans le cadre des infrastructures de type cloud selon le référentiel de sécurité élaboré par l'ANSSI^[28].

En second lieu, la nature extra-territoriale d'une partie de l'investissement dans la solution pose question. Selon le média L'Informé, l'investisseur Bruno Scherrer, ancien de Lehman Brothers et désormais résident suisse, aurait engagé 1,75 million d'euros en 2022 pour 16 % du capital d'Olvid, à la fois à titre personnel et au travers du fonds Phi Square Holdings, société de droit luxembourgeois^[6].

Références

1. Gaëtane Deljurie, « Cybersécurité: les trois pépites du FIC 2020 (2/5) », sur La Tribune, 25 janvier 2020 (consulté le 19 février 2020).
2. Sylvain Rolland, « Cloud : Oodrive, Tixeo et Olvid s'allient pour créer un « Teams » français dès 2023 », La Tribune, 28 septembre 2022 (consulté le 10 avril 2023).
3. Les Échos, « Olvid, la nouvelle messagerie ultra sécurisée pour les entreprises », 12 février 2021 (consulté le 24 novembre 2024)
4. Ingrid Vergara, « Comment la messagerie sécurisée française Olvid a réussi à séduire le gouvernement et les directions d'entreprises », Le Figaro, 6 décembre 2023 (consulté le 13 décembre 2023).
5. Vincent Fagot, « Olvid, la messagerie sécurisée choisie par le gouvernement, déjà sous le feu des critiques » , Le Monde, 13 décembre 2023 (consulté le 1^er janvier 2024).
6. Emmanuel Paquette et Marc Rees, « Un actionnaire luxembourgeois, des données chez Amazon… l'appli Olvid pas franchement made in France » , sur linforme.com, 8 décembre 2023 (consulté le 23 décembre 2023).
7. « La messagerie sécurisée Olvid passe en open source », sur Next, 3 janvier 2022 (consulté le 26 avril 2022).
8. « Olvid : Serveur et Open Source », sur olvid.io, Olvid (consulté le 4 avril 2023).
9. Le Monde avec AFP, « Les ministères sommés de « remplacer » leurs messageries instantanées par l'application française Olvid », Le Monde, 29 novembre 2023 (consulté le 1^er janvier 2024)
10. (en) Catherine Chapman, « Hackers bank big bucks at live hacking event in France », sur The Daily Swig, 31 janvier 2020 (consulté le 19 février 2020).
11. Emmanuelle Lamandé, « Guillaume Vassault-Houlière, YesWeHack : le Bug Bounty est aujourd'hui une pratique mature et reconnue », sur Global Security Mag, février 2020 (consulté le 19 février 2020).
12. « La messagerie ultra-sécurisée Olvid se confronte aux 15 000 hackers de la communauté YesWeHack », sur Place de l'IT, 6 mai 2020 (consulté le 13 mai 2020).
13. Marc Jacob, « Olvid compte sur les 15 000 hackers de YesWeHack pour challenger la sécurité de son application », sur Global Security Mag, avril 2020 (consulté le 29 avril 2020).
14. « OLVID », sur cyber.gouv.fr, ANSSI, 5 octobre 2020 (consulté le 17 mars 2021).
15. « Olvid Version 0.9.2 pour Android », sur cyber.gouv.fr, ANSSI, 31 mai 2021 (consulté le 1^er janvier 2022).
16. Alexandre Boero, « La messagerie sécurisée française Olvid devient open source », sur Clubic, 4 janvier 2022 (consulté le 26 avril 2022).
17. @PoliceNationale, « [#PoliceConnectée] Dans le cadre d'une convention de partenariat, le #RAID utilise depuis plus d'un an une messagerie sécurisée pour communiquer en toute sécurité. Cette solution française, proposée par @olvid_io, est certifiée par @ANSSI_FR et protège l'anonymat des #policiers. », sur Twitter, 2 mai 2022 (consulté le 5 février 2023).
18. « Thomas Baignières (Olvid) : Olvid, la nouvelle messagerie ultra sécurisée pour les entreprises », BFM Business, 4 mai 2022 (consulté le 5 février 2023).
19. Aurore Gayte, « 3 questions sur Olvid, l'app française qui désire s'imposer face à Signal et WhatsApp », sur Numerama, 9 mai 2022, mis à jour 1^er décembre 2023 (consulté le 5 février 2023).
20. « Olvid, la messagerie sécurisée qui met la vie privée avant tout », sur DPO partagé, 29 décembre 2022 (consulté le 5 février 2023).
21. Guillaume Grallet, « Les ministres français invités à désinstaller WhatsApp, Signal et Telegram », Le Point, 29 novembre 2023 (consulté le 30 novembre 2023).
22. « Cybersécurité : les ministres français invités à désinstaller les applications de messagerie comme Whatsapp, Signal ou Telegram », sur Franceinfo, 29 novembre 2023 (consulté le 30 novembre 2023).
23. Le Parisien avec AFP, « Borne demande aux ministres de supprimer WhatsApp, Signal et Telegram de leurs téléphones et d'utiliser Olvid » , Le Parisien, 29 novembre 2023 (consulté le 1^er janvier 2024).
24. « Olvid, une française à la sauce américaine », Le Canard enchaîné,‎ 13 décembre 2023.
25. HuffPost avec AFP, « Olvid, la nouvelle messagerie du gouvernement, déjà critiquée » , sur HuffPost, 13 décembre 2023 (consulté le 1^er janvier 2024).
26. Jacques Cheminat, « Olvid : la polémique sur AWS ne PaaS pas » , sur Le Monde informatique, 15 décembre 2023 (consulté le 1^er janvier 2024).
27. Pierre Otin, « Mais pourquoi Olvid, app du gouvernement, héberge ses données chez Amazon ? » , sur iPhon.fr, 16 décembre 2023 (consulté le 1^er janvier 2024).
28. « SecNumCloud pour les fournisseurs de services Cloud : Pourquoi et comment être qualifié SecNumCloud ? » , sur cyber.gouv.fr, ANSSI, 29 septembre 2023 (consulté le 1^er janvier 2024).

Liens externes

• Site officiel

• Portail du logiciel
• Portail des télécommunications
• Portail de la sécurité informatique
• Portail de la sécurité de l’information
• Portail de la cryptologie