Olvid, une société française, propose depuis quelques années une messagerie instantanée gratuite (les appels sont payants) et sécurisée. À l’occasion des Assises de la cybersécurité, nous avons discuté des projets en cours avec son CEO Thomas Baignères, notamment avec des applications pour ordinateurs de bureau et des chatbots.
Olvid mise sur la sécurité et la confidentialité pour se démarquer : l’application « ne requiert aucune donnée personnelle : aucun numéro de téléphone, aucun mail, aucun nom, aucun prénom, aucune adresse, aucune date de naissance ». Il n’y a même pas de compte et Olvid se gargarise d’être « la première et seule messagerie instantanée ayant reçu une (puis deux !) CSPN de l’ANSSI (certifications de sécurité de premier niveau) ». Le principe de fonctionnement est détaillé par ici. Notez qu’il est possible d’envoyer des pièces jointes… sans limite de taille (pour le moment ?).
Le code source est libéré délivré
Les promesses, c'est une chose. Les actes en sont souvent une autre, surtout dans ce domaine. Pour répondre à la demande (légitime et motivée) des utilisateurs, Olvid libérait fin 2021 le code de ses applications mobiles pour Android et iOS. Il est disponible sur GitHub.
Thomas Baignères et une partie de l’équipe (qui ne compte que 13 employés) étaient aux Assises de la cybersécurité de Monaco. Il nous explique qu’il est « difficile d'avoir des retombées complètement mesurables » sur le passage en open source. C’est un « état d'esprit » et permettre à d’autres de s’en inspirer, mais aussi de « redonner » à la communauté puisque certaines briques de l’open source ont été utilisées.
Olvid précise que son code est documenté afin de s’y retrouver facilement et que toute la partie fondamentale sur les algorithmes de chiffrement est structurée : « ce n'est pas paumé à droite et à gauche […] on n'a pas le code de l’interface utilisateur en plein milieu du code ». Les chercheurs en sécurité peuvent donc la retrouver et l’analyser.
Olvid nous donne un exemple d’utilisation : des clients du ministère de l’Intérieur utilisent l’application Olvid, mais ne peuvent la récupérer que via un Store privé. Pour y être présent, « il faut qu'ils aient le code source, qu'ils le recompilent et le signent eux-mêmes ; c’est un prérequis ».
Tout le code source ? Non, le serveur résiste encore et toujours
Ouvert certes, mais dans une certaine mesure seulement : le code du serveur – qui joue le rôle de passe-plat entre les différents utilisateurs puisque les données sont chiffrées et déchiffrées uniquement sur les terminaux – n’est pas ouvert. C’est un reproche récurrent de certains utilisateurs, mais c’est un non sujet pour Olvid, car il n’a selon l’entreprise « aucune espèce d'intérêt ».
« Ce qu'il faut comprendre, c'est que le serveur ne joue pas de rôle sur la sécurité, au même titre que le routeur que votre message va traverser, et sur lequel vous ne posez pas de questions ». Olvid part du principe qu’elle ne fait pas confiance à son propre serveur. Maitriser le serveur permet aussi de garder la main sur les utilisateurs, sans remettre en question la confidentialité de leurs données et communications.
AWS, DynamoDB et multiserveurs
En parlant du serveur justement : il est hébergé chez AWS, via une architecture serverless. La raison ? L’utilisation de DynamoDB, qui n’existe que chez Amazon. Un choix assumé et qui donnerait de bons résultats. Jusqu’à présent, Olvid affirme ne pas avoir eu « une seconde de down ».
La société justifie son choix : « On préfère avoir un serveur unique à un endroit où on sait que ça marche bien, plutôt que de commencer à se dire que chacun va mettre son propre serveur. Si une personne a un serveur qui marche mal, pour les gens qui essayent de communiquer avec lui, ça va mal marcher. Du coup, le ressenti, c'est qu’Olvid marche mal et on ne veut pas cela. Pour l'instant, on reste donc sur un seul serveur qu’on administre ».
Précision importante : « on a une architecture qui permet déjà aujourd'hui […] et depuis le départ de fonctionner en multiserveurs. Il y a un côté résilience qu'on pourra mettre en place dans les années à venir ».
Le code serveur sera open source… un jour
Le sujet du code serveur est pris au sérieux par Olvid, qui y consacre une page de son site. Le but premier et le choix d’AWS est clairement indiqué : permettre aux « équipes techniques de libérer du temps pour développer les applications clientes (au sein desquelles se situe l’intelligence d’Olvid) plutôt que de passer du temps en administration serveurs (un sujet particulièrement complexe et chronophage) ». Quitter AWS pour une solution souveraine n’est pas exclue, mais ce n’est pas la priorité. Pour rappel, le serveur n’est pas un enjeu de sécurité pour la messagerie Olvid.
L’architecture actuelle est pensée pour tenir une charge de « plusieurs centaines de milliers d’utilisateurs (voire plus) », mais elle n’est « clairement pas pratique pour déployer un serveur personnel ».
Dans tous les cas, la promesse est de publier le code serveur « quand les API seront stabilisées et que nous serons prêts. Mais pour toutes les raisons expliquées précédemment, ça ne sera probablement pas la version AWS que nous ouvrirons, mais plutôt une version "standalone" (par exemple un Docker), facile à déployer et plus adaptée pour un "petit" nombre d’utilisateurs (quelques centaines) ».
Des applications Windows, macOS et Linux
Les applications pour ordinateurs sont (enfin) là. La version Windows est dès à présent disponible, celle pour Mac est en cours de validation chez Apple. La mouture Linux est finalisée et ne devrait donc pas tarder. Comme les versions Android et iOS, les applications sont gratuites, mais « la possibilité d'utiliser plusieurs appareils en même temps nécessite un abonnement Premium ». Vous souhaitez gérer vos messages sur votre ordinateur et votre portable ? Il faut passer à la caisse.
Cette option est proposée à 4.99 euros par mois pour le grand public. Elle permettait déjà d’émettre des appels audio sécurisés (la réception est toujours possible) et permet désormais de profiter de la fonction multi-appareils. Des achats à l’année (moins chers que les mensuels) sont en cours de réflexion, ainsi qu’une option famille.
Des chatbots pour les entreprises
Les chatbots arrivent aussi : « C'est le pilotage par API de toute la messagerie. Vous prenez la version Linux, vous enlevez la partie interface utilisateur que vous remplacez par une couche pilotable à distance (via une API) et là, vous avez un moteur de messages d'Olvid. Il peut être un utilisateur au sens normal du terme pour les autres utilisateurs de l'application, mais qui est programmé pour faire ce que vous voulez ».
On a un drôle de sens de l’humour chez Olvid : « on a intégré l'IA de Mistral [et Llama 2] pour nous amuser. On l’a mise sur du SecNumCloud [chez Outscale, ndlr] car l'intelligence artificielle voit les informations en clair pour les traiter et renvoyer une réponse ». Pour le moment, l’API n’est « absolument pas documentée, mais ça va venir ».
Olvid aimerait par la suite proposer des bots maison à ses clients grand public (sur l’offre payante), mais il y a une problématique de fond : « Certes, le bot tourne sur l’infrastructure SecNumCloud d’Olvid, mais il n'empêche pas que moi, je peux avoir un accès root au serveur SecNumCloud, et accéder à l’information en clair, tout comme le bot. Donc comment l'expliquer aux utilisateurs à qui on a dit depuis le début que tout ce que vous envoyez sur Olvid, on n'y a pas accès ? ».
Suite collaborative TOO : le projet suit son cours
Enfin, nous avons posé la question du partenariat annoncé l’année dernière entre Oodrive, Olvid et Tixeo. Baptisé TOO (des initiales des trois entreprises), il a pour but de proposer « une suite collaborative sécurisée et souveraine ». Dans le communiqué de l’époque, les trois partenaires envisageaient « une première version de l’offre cloud de confiance pour le second semestre 2023 ».
Nous étions sans grande nouvelle depuis, mais Olvid nous confirme que les travaux sont toujours en cours, le projet n’est donc pas abandonné, sans nous donner davantage de détails. L’échéance de fin 2023 semble difficilement tenable pour l’instant.
Commentaires (15)
#1
Intéressant, merci.
On est un peu à la recherche d’outil de messagerie instantanée couplé à de l’appel externe avec du evernote et du stockage “cloud”. Le tout en on premise… ^^
Dur dur.
#2
J’utilise olvid depuis plusieurs mois maintenant, et je n’ai rien à lui reprocher…au contraire, même, car je sais que mes données ne servent pas les GAMAM!!! Je le conseille à tous!
#3
interressant, mais enfin toujours le même problème d’avoir tout le monde sur la même application, trop compliqué…
Donc on reste sur Signal où déjà ça a été compliqué d’amener l’entourage (et pas tout le monde y est encore ! )
#4
Concernant les entreprises, je rajoute que j’ai du mal à voir où se situe ce produit… Un remplaçant de Teams ? de la téléphonie ?
Je trouve l’offre entreprise trop limitée, car à priori cela ne communique qu’avec du Olvid, j’ai du mal à voir quelle entreprise pourrait avoir besoin de cela… A voir TOO ce que cela donnera
#4.1
Une messagerie interne, un peu comme ce que propose Threema avec leur offre entreprise ?
#4.2
Ok, ça reste léger du coup, ou alors pour ceux qui n’ont pas de solution déjà en place. Le problème restera l’interaction avec les clients / fournisseurs. Du coup, s’il y a besoin de Teams (hélas) pour communiquer avec le reste du monde, cela ferait 2 messageries en parallèle :/
#5
Perso Signal j’ai laissé tomber depuis qu’ils ont abandonné les SMS. Je comprends leur logique, mais leur approche “tout ou rien” fait que j’ai choisi… rien.
Je reste avec Silence, qui malgré ses (gros) défauts et l’absence de màj, est totalement neutre avec l’application correspondante, contrairement à Signal.
#5.1
j’ai eu des bugs récents avec Signal qui m’ont un peu saouler, les gens ne voient plus les images que j’envoi…
#5.2
J’ai eu le cas aussi avec une personne la semaine dernière qui m’a dit la même chose, j’ai regardé : 6 versions de retard sur la branche 6.x.
La mise à jour a réglé le problème.
C’est une conclusion un peu hâtive non ? On peut constater aussi un trou de 4 mois en 2022 sur l’historique de la version Android. Et accessoirement, Matthieu Finiasz est tout de même co-fondateur du projet.
#6
Ah on peut voir qu’ils ont vire leur dev android depuis 3 mois et maintenant il bosse sur son projet perso https://github.com/finiasz/le-compte-est-bon
#7
Ça s’adresse aux entreprises qui ont besoin d’une messagerie téléphonique sécurisée, plus que les SMS, WhatsApp ou Signal.
#8
#9
Intéressant, merci !
Dommage qu’il ne soit pas possible de transférer tout (messages et fichiers joints compris) lors d’un changement d’appareil : c’est pour moi rédhibitoire.
https://olvid.io/faq/a-propos-de-la-sauvegarde/
#10
Quelqu’un a réussi à faire fonctionner la sauvegarde d’Olvid sur un webdav perso ? J’ai réussi à monter un webdav dans l’explorateur de fichier d’Android via Davx5 mais pas Olvid ? Si non, j’écrirais un message aux devs.
#11
Cela devrait être un prérequis pour n’importe qui n’aime pas exécuter des bots/virus/vers ou rejoindre gracieusement une grappe d’attaque… n’importe qui de sensé, donc… et ainsi donc pas l’écrasante majorité des
utilisateursconsommateurs.Il est si triste, mais douloureusement réel que l’on décrive cela comme un totem, une exception à collectionner.