En finir avec la polémique Olvid

La polémique a touché pas mal de médias et d’acteurs de la cyber, à tel point que le PDG d’Olvid a jugé nécessaire d’intervenir pour répondre aux critiques. Et d’insister, encore une fois, sur le chiffrement de bout en bout (que Signal met aussi en œuvre au demeurant) et sur le fait que l’absence d’annuaire centralisé de 2 milliards de personnes comme pour WhatsApp fait mathématiquement baisser le risque inhérent à la maintenance d’un tel annuaire. Ce qui est vrai en termes de protection des comptes, mais faux en termes de protection des messages car, sauf en cas de backdoor de la NSA dans WhatsApp, dans les deux cas les messages sont chiffrés de bout en bout. Mais tel n’est pas le sujet de ce second volet.

À découvrir → En direct de l’APSSIS - Cyberattaque : le retour d’expérience et les conseils du GHT de Dordogne

Par contre, deux éléments du débat ont été longuement commentés, et en premier lieu l’hébergement par AWS de la solution Olvid. Sur un strict plan technique cyber, une brèche de sécurité est ouverte en permettant à AWS et à Joe Biden d’accéder aux métadonnées, dont l’analyse peut révéler énormément de choses. Quand on sait que Facebook sait estimer l’orientation sexuelle d’une personne ou la durée de vie potentielle d’un couple rien qu’en analysant le graphe des relations de chacun des deux comptes (authentique), j’en connais du côté de la CIA qui vont s’en donner à cœur joie pour savoir qui rencontre qui en dehors des heures de bureau entre 17 heures et 19 heures – et l’exploiter bien entendu.

Le PDG d’Olvid a cependant fait remarquer[1] à juste titre que la seule façon de s’affranchir de la dépendance à AWS[2] serait de disposer d’hébergeurs SecNumCloud de même niveau en France, ce qui – selon lui et selon les services qu’Olvid utilise chez AWS – n’est pas encore le cas. Olvid, one point.

Sinon, je suis récemment tombé sur un très intéressant podcast[3] du Nouveau Monde (France Info) qui pointait un talon d’Achille commun à toutes les messageries instantanées (Olvid ni plus ni moins que les autres) : les notifications. En effet, si vous avez paramétré les notifications sur votre smartphone (Android ou iOS fonctionnent à peu près de la même manière), l’appli envoie à l’OS de votre smartphone un certain nombre d’informations qui vont être affichées (furtivement ou pas, en haut ou en bas de l’écran, etc. selon les paramètres de notification que vous avez choisis). Et la communication entre l’appli et iOS est en clair (forcément) de sorte que… le fournisseur de l’OS peut gentiment espionner à peu près tout ce que vous racontez, à qui vous le racontez et dans le sens entrant ou sortant. En d’autres termes, l’appli est bien chiffrée de bout en bout, mais vous filez l’intégralité du message à… un Gafam.

Non seulement je n’ai absolument rien trouvé dans la documentation d’Olvid (ni de ses concurrents d’ailleurs) sur le sujet dans la partie technique du site (j’ai peut-être mal cherché), mais en plus les échanges de données entre l’appli et le service de notification de l’OS sont plus qu’obscurs. L’appli envoie tout (message + correspondant + horodatage, etc.) et c’est le service de notification qui filtre après en fonction des options retenues ? Ou l’inverse ? Je penche pour la première version, la pire en termes de cyber. C’est tout sauf clair.

Ce qui est sûr dans cette histoire, c’est que :

– le modèle décentralisé d’Olvid diminue les risques d’atteinte au carnet d’adresses, mais en induisant des difficultés d’utilisation qui risquent d’engendrer des contournements ;
– les notifications sont une belle cochonnerie ;
– même avec un hébergeur SecNumCloud bien français, tant que l’on ne maîtrise pas toute la pile de l’hyperviseur à la DB, on n’est sûr de rien en matière d’espionnage ;
– si vous voulez vous faire des 5 à 7, évitez la messagerie pro, surtout si vous travaillez dans un environnement qui est une cible rêvée pour les barbouzes.

 Punaise, sans le vouloir je viens de théoriser le concept de trois tiers, qui existe dans la sauvegarde, mais auquel personne n’avait pensé pour les messageries instantanées : une pour la maison, une pour le taf et une dernière pour les jeux de cache-cache. Surtout ne me remerciez pas, c’est tout naturel. 

[1] /article/5349/tous-sur-olvid-mais-pour-qui-pour-quand-et-surtout-pourquoi.html 

[2] https://www.01net.com/actualites/la-messagerie-francaise-olvid-est-elle-vraiment-plus-sure-que-whatsapp-signal-ou-telegram-2030295.htmlV 

[2] https://www-lemondeinformatique-fr.cdn.ampproject.org/c/s/www.lemondeinformatique.fr/actualites/lireamp-olvid-la-polemique-sur-aws-ne-paas-pas-92463.html 

[3] https://www.francetvinfo.fr/replay-radio/nouveau-monde/notifications-mobiles-le-talon-d-achille-de-nos-messages-prives-et-professionnels_6206322.html 

L'auteur

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.