Olvid est-elle vraiment sécurisée ?
Le 22 novembre, les ministres, secrétaires d’État, directeurs et membres de cabinet recevaient une circulaire signée d’Élisabeth Borne demandant le déploiement de l’application française Olvid.io sur les téléphones et les ordinateurs des membres du gouvernement et des cabinets ministériels, pour le 8 décembre « au plus tard ». En cause, les applications de messagerie instantanée grand public WhatsApp, Signal, Wechat, ou encore Telegram, « des outils numériques pas dénués de failles de sécurité et [qui] ne permettent ainsi pas d’assurer la sécurité des conversations et des informations partagées par leur intermédiaire »
Le souci, c’est qu’Olvid.io, cette application française créée par une startup, doublement certifiée par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) et les messageries type WhatsApp ou Telegram (qui ne le sont pas), ne gèrent pas les contacts de la même manière.
C’est d’ailleurs bien l’un des avantages d’Olvid.io, mais c’est vrai : quand on l’installe et qu’on lance l’application pour la première fois sur son smartphone, on démarre à zéro, sans aucun contact, ce qui est assez déstabilisant. Et pour cause : il n’y a pas de répertoire centralisé sur des serveurs, l’application d’ailleurs ne demande, et ne demandera, ni votre mail ni votre numéro de portable.
Aucun tiers ne pourra identifier les participants. Il faut donc récréer tous ses contacts, un par un, sans possibilité de les importer depuis WhatsApp, Telegram ou Signal.
Et même la création d’un contact suppose une démarche particulière. Il existe, en effet, deux méthodes pour ajouter un correspondant : soit face à face physiquement. Chacun tend alors son téléphone et présente un QR code fourni par Olvid.io, que l’autre interlocuteur va scanner et vice-versa. Le tour est joué en quelques secondes. On imagine quand même la scène reproduite des milliers de fois dans les couloirs de l’Assemblée et du Sénat…