Lors de son 15ème prix de l’Innovation, le jury des Assises de la Sécurité a récompensé le 3 juillet Olvid pour sa solution de messagerie instantanée. Alliancy en a profité pour s’entretenir avec l’un des fondateurs et actuel CEO de la start-up, Thomas Baignères, afin de comprendre en quoi Olvid est « plus sécurisée que WhatsApp ».

Alliancy. En quoi la solution Olvid est-elle plus sécurisée que WhatsApp ? 

Thomas Baignères. WhatsApp fait une fausse promesse de garantie de protection des données personnelles. Ils parlent beaucoup de chiffrement de bout en bout : cela veut simplement dire que lorsqu’une information part d’un téléphone, elle ne sera pas déchiffrée entre les deux interlocuteurs.

Mais il y a un « mais » ! Car, au coeur de son architecture se trouve un annuaire, un serveur contenant les identifiants de plus de deux milliards d’utilisateurs. Véritable tiers de confiance, cet annuaire est considéré comme la clé de voûte de toute la sécurité. Il serait naïf de penser qu’un tiers de confiance puisse assurer à lui tout seul la sécurité d’utilisateurs répartis dans le monde entier.

Comme il est garant des identités numériques, cet annuaire peut facilement usurper l’identité d’une personne et déchiffrer les messages transmis via une technique de « l’attaque de l’homme du milieu ». Il faut donc plus de transparence sur l’accès et le contrôle des identités numériques.

C’est pourquoi il y a sept ans, nous avons décidé qu’il fallait se débarrasser de cet annuaire et développer une messagerie qui n’impose pas un serveur comme tiers de confiance. Olvid est gratuit et ne nécessite pas d’annuaire centralisé. L’application ne nous transmet donc pas l’identité des utilisateurs. Et dès lors que vous décidez de désinstaller l’application, toutes les données seront supprimées.

La seule donnée accessible est une adresse IP, qui est d’ailleurs simple à masquer grâce aux VPN. Nous ne pouvons pas y accéder et seul un pseudonyme du destinataire arrive sur nos serveurs, tout le reste est chiffré. Nous ne pouvons donc pas faire de lien avec l’identité des utilisateurs et ces derniers pourront même bientôt recourir à une solution pour masquer leur IP.

Comment avez-vous vécu la crise et comment voyez-vous la suite ?

Thomas Baignères. La crise a révélé qu’il faut faire attention au choix de ses outils numériques car ils sont la cible de nombreuses cyberattaques. Notre dépendance par rapport au numérique est problématique, dès lors qu’elle se base sur des solutions sans réelles garanties de sécurité.

Chez Olvid, nous avons poursuivi notre activité de manière dématérialisée, sans aucun réel souci. L’avantage d’être constitués à majorité d’ingénieurs est que nous sommes tous habitués au changement.

En parallèle, cette année nous avons aussi été très fiers d’avoir remporté le prix de l’Innovation des Assises et de la start-up FIC. Il faut maintenant continuer dans cette lancée en termes de notoriété et obtenir plus de crédit concernant l’exigence et la qualité de nos protocoles cryptographiques. Notre application est aujourd’hui gratuite pour le grand public, la version payante (prévue pour octobre) incluant en plus la visioconférence et l’émission d’appels sécurisés vers n’importe quel autre utilisateur d’Olvid. Et nous comptons aussi lancer une version desktop pour les entreprises.

Votre solution est l’aboutissement de six années de R&D. Quels liens entretenez-vous avec le monde de la recherche ?

Thomas Baignères. C’est effectivement le cas. Déjà, parmi les membres fondateurs d’Olvid, Matthieu Finiasz (CTO) et moi-même sommes tous les deux docteurs en cryptographie. Nous assistons régulièrement à des conférences internationales notamment en lien avec l’IACR (The International Association for Cryptologic Research). Ces réseaux nous permettent de rencontrer des experts du milieu et de faire valider nos travaux auprès de pairs. Récemment nous avons par exemple fourni l’intégralité du code de nos protocoles cryptographiques au professeur Michel Abdalla, Directeur de Recherche au CNRS, Professeur-attaché à l’ENS, président du board de l’IACR. Ce dernier a validé la première partie de nos protocoles et travaille actuellement sur la seconde, ce qui nous rend légitime étant donné sa notoriété dans le monde de la cryptographie.

Il est d’ailleurs pertinent de rappeler que nos protocoles sont le fruit de plusieurs années de recherche en cryptographie, ce n’est pas seulement nous qui l’avons créé. À chaque virgule changée dans le code d’un protocole, sa sécurité est automatiquement impactée. D’où l’importance de toujours faire valider par les pairs. Les start-up offrent la possibilité d’aller plus vite dans le déploiement de protocoles ; qui habituellement prend autour de 30 ans pour sortir d’expérimentation.

Nous avons aussi souhaité faire valider notre protocole auprès de la communauté de hackers français. C’est ainsi que nous avons lancé un Bug Bounty public sur la plateforme YesWeHack fin janvier. Au total 15 000 hackeurs peuvent tenter de révéler les failles d’Olvid. Si quelques vulnérabilités ont été détectées, aucune n’était grave. Nous mettons tout en œuvre pour assurer qu’Olvid est bien la messagerie la plus sûre du monde et toutes ces validations montrent, en sorte, que vous n’avez même pas besoin de nous faire confiance.

Est-ce un moyen de vous faire reconnaître sur le marché en tant qu’alternative souveraine aux messageries des géants du web ?

Thomas Baignères. Notre objectif est d’ériger une alternative française et européenne aux messageries américaines ou russes. Nous sommes profondément agnostiques et notre ambition est de se positionner contre les messageries des Gafam comme Whatsapp, qui ont des stratégies assez verticales et centralisées sur la donnée.

De notre côté, nous avons hébergé un de nos serveurs chez AWS. Mais il ne joue aucun rôle dans la sécurité, cela concerne la version publique de notre application qui grâce à AWS a pu scaler facilement. Nous travaillons tout de même sur une implémentation indépendante chez un acteur du cloud français.

Enfin, nous avons entamé les démarches auprès de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) pour soumettre Olvid au processus d’audit de CSPN, une certification de sécurité de premier niveau pour estimer la résistance d’une solution numérique à des cyberattaques.

Est-ce que le marché public vous intéresse ? Allez-vous remplacer la messagerie Tchap du Gouvernement ?

Thomas Baignères. Nous serions ravis d’entendre que le gouvernement décide d’utiliser une messagerie souveraine comme la nôtre. C’est normal pour les membres de l’exécutif de faire confiance aux services de Tchap, mais il y a un problème de séparation des pouvoirs en jeu, étant donné que l’application est administrée par l’État. Quoiqu’il en soit, notre ambition n’est pas spécialement d’équiper le gouvernement, nous visons un marché plus large que la France et l’Europe.

Nous avons vu de nombreux projets technologiques souverains émerger ces derniers mois autour de Gaïa-X ou encore Stop Covid… Pensez-vous répondre à ce « besoin » de souveraineté ?

Thomas Baignères. Nous pouvons entrevoir dans ce discours de souveraineté une connotation étatique, mais le plus important c’est de ne pas confier ses données à des tiers, sans bonne garantie de sécurité. Notre objectif est bien de permettre aux acteurs français et européens de retrouver la souveraineté de leurs données.

C’est d’autant plus important au regard de l’état de guerre économique dans lequel nous vivons. Aujourd’hui, plus de 80 % des entreprises françaises ont fait l’objet de cyberattaques et, trop souvent, les PME touchées n’étaient pas au courant. Il est donc urgent de s’équiper d’outils sécurisés pour préserver nos entreprises.