Comment Olvid entrevoit l’avenir de sa messagerie sécurisée

La jeune pousse française prépare l’arrivée de la vidéo et de l’audio, mais également du support de clients multiples – notamment pour le poste de travail – et encore de celui des déploiements d’entreprise en lien avec l’annuaire.

Cela fera bientôt 3 ans que Thomas Baignères, Matthieu Finiasz – tous deux docteurs en cryptographie, le second co-fondateur de CybelAngel –, Jacques-André Bondy et Cédric Sylvestre ont créé Olvid, une jeune pousse française à l’ambition affichée d’offrir une alternative robuste et hautement sécurisée aux messageries électroniques du marché – que ce soit WhatsApp et Telegram, mais aussi Signal, et même Wire, Wickr ou encore Threema. Olvid a notamment été distinguée en ouverture de l’édition 2020 du Forum International de la Cybersécurité, fin janvier à Lille.

Cédric Sylvestre raconte que l’aventure a commencé lorsque Thomas Baignères et Matthieu Finiasz ont décidé de se pencher sur l’architecture des messageries instantanées, afin de chercher à savoir s’ils pouvaient leur faire confiance pour échanger des informations sensibles. De cet examen est ressorti ce qu’ils ont identifié comme des points critiques majeurs : la base de données à partir de laquelle les messageries identifient les correspondants, à partir de leurs numéros de téléphone, d’une part, et le mécanisme de gestion de l’identité basé sur le seul numéro de téléphone.

« Ce serveur pose problème parce qu’il est tout puissant », indique Cédric Sylvestre, évoquant des risques d’interception ou de compromission. Et la gestion des identités sur la seule base des numéros de téléphone peut se révéler peu robuste, notamment avec le risque de SIM swapping.

Olvid n’utilise au contraire pas d’annuaire – et assure le chiffrement de toutes les métadonnées. D’ailleurs, impossible de savoir si ses contacts l’utilisent sur la seule base de leur numéro de téléphone : les échanges n’ont vocation qu’à avoir lieu dans un cercle de confiance. « Nous avons choisi de baser la mise en relation sur la confiance que s’accordent les personnes, sans passer par un tiers ». Dans la pratique, l’utilisateur présente à ses correspondants potentiels un code QR correspondant à un identifiant qui lui est exclusif.

L’audio et la vidéo arrivent prochainement

Alors certes, certaines plateformes de messagerie permettent le déploiement de serveurs sur ses propres infrastructures, à l’instar d’un Matrix/Riot par exemple, mais également Wire et Wickr. Mais Cédric Sylvestre avance de potentielles difficultés et risques, liés à l’ouverture de comptes dédiés à des tiers externes à l’organisation. Ce que permet d’éviter Olvid : « le premier cas d’usage que l’on a observé, c’est la gestion de crise, quand le système d’information est tombé ou dégradé ».

Aujourd’hui, toutefois, Olvid affiche un éventail fonctionnel en retrait de ses concurrents. Mais la jeune pousse s’attelle d’arrache-pied à y remédier. Matthieu Finiasz explique ainsi, que la prochaine grosse nouveauté à venir sera l’audio et la vidéo sécurisés, mais tout d’abord limités à des échanges à deux. Et cela permettra, dans un premier temps, d’éviter de chercher une réponse technique aux questions d’architecture liées aux conversations à plusieurs avec chiffrement de bout en bout : « on veut retrouver le même niveau de sécurité dans les communications vocales que pour le canal texte ».

WebRTC sera utilisé, mais en faisant passer la signalisation par le canal sécurisé déjà existant aujourd’hui, et sans faire de pair-à-pair : les communications transiteront par un serveur central.

De nouveaux outils clients

Pour maintenir le chiffrement de bout en bout à plus de deux personnes, une astuce est envisagée : envoyer vers chaque participant l’ensemble des flux audio – qui, « suffisamment compressés », peuvent ne pas consommer trop de bande passante – mais limiter le flux vidéo descendant au seul participant en train de véritablement parler. « Le système mosaïque avec les vidéos de tout le monde, on oublie ; on ne peut pas le faire avec du chiffrement de bout en bout », souligne Matthieu Finiasz.

Pour l’heure, Olvid n’est disponible que sur terminaux mobiles Android et iOS – non via une interface Web ou un client lourd. Et cela peut s’avérer pénalisant à l’usage. Matthieu Finiasz en est parfaitement conscient : « un développeur travaille actuellement au client lourd Windows, qui utilisera le moteur cryptographique écrit en Java du client Android ».

Mais cela implique de pouvoir gérer l’utilisation d’un même compte Olvid sur plusieurs terminaux. Ce qui n’est pas encore le cas, quand bien même « le moteur est prévu pour cela depuis le début », car « tout n’a pas encore été implémenté ».

En attendant, un client Web léger, rattaché au téléphone – à l’instar de WhatsApp for Web – est en cours de préparation. La préférence va là au développement d’extensions de navigateur afin de limiter le recours à du téléchargement de code au chargement de la page : « les extensions sont signées, ce qui permet d’être sûr que le code n’est pas modifié à la volée ».

Gérer les déploiements d’entreprise

Accessoirement, cette approche « client léger » connecté peut mieux répondre à certains besoins qu’un client lourd, notamment dans les environnements avec ordinateurs partagés, comme dans les hôpitaux, par exemple. Car là, il n’est pas question d’avoir une identité liée fortement à un client lourd.

Mais le mode de gestion des identités retenu par Olvid peut toutefois poser des difficultés en entreprise : comment provisionner les contacts internes à l’organisation d’un utilisateur à l’installation de l’application ? C’est le troisième volet de la roadmap de la jeune pousse : le lien avec l’annuaire d’entreprise.

Matthieu Finiasz entrevoit là l’intégration avec le système d’administration de la mobilité d’entreprise (EMM) pour pousser un fichier de configuration permettant ce provisionnement : « l’idée est de permettre d’entrer en contact avec ses collègues sans avoir à passer par un échange de codes, et de pouvoir directement accéder à des groupes poussés par l’Active Directory ».

La réflexion porte à ce stade sur l’utilisation de Keycloak pour assurer la fédération d’identité, via des clés publiques, entre l’annuaire et l’EMM – à charge pour l’entreprise de le déployer en interne. Et bien sûr, pas question d’écrire sur l’AD, mais de quoi se préparer et disposer d’outils prêts pour faire face, par exemple, à une situation de gestion de crise.

Cédric Sylvestre explique que l’audio et la vidéo sont attendus en bêta pour la fin juin, puis la commercialisation à partir de septembre. Olvid commencera à travailler sur le lien avec l’AD durant l’été. Les clients Web et Windows sont quant à eux prévus pour la fin de l’année.

Pour approfondir sur Sécurité du Cloud, SASE

Close