Un Gaulois contre les GAFAM : mais pourquoi Olvid, le "WhatsApp des ministres", fait exception et peut avoir des serveurs chez... Amazon ?

Corentin Béchade
11 décembre 2023 à 09h53
28
Les serveurs AWS propulsent l'application Olvid © Alexandre Boero pour Clubic
Les serveurs AWS propulsent l'application Olvid © Alexandre Boero pour Clubic

À peine adopté, déjà délégitimé ? L’application Olvid, qui a vocation à remplacer les autres messageries instantanées chez les membres du gouvernement, est critiquée en raison de son utilisation de serveurs Amazon.

Une appli française, promue par le gouvernement et appelée à devenir le canal de communication préférée des ministres, peut-elle faire appel aux services d’Amazon ? Il semblerait bien que oui, si l’on en croit les débats autour du logiciel Olvid. Ce service, pensé pour remplacer WhatsApp au sein des plus hautes sphères de l’état, stocke en effet des données sur des serveurs Amazon Web Services (AWS) alors que cela contrevient à des doctrines gouvernementales et va à l’encontre des efforts de « souveraineté numérique ».

Le chiffrement qui sauve la face

Pour mettre au clair cette situation, Philippe Latombe (député MoDem), a donc interrogé la Première ministre sur la dérogation dont profite Olvid, qui lui permet de ne pas avoir recours à un serveur labellisé par l’Agence nationale de la sécurité des systèmes d'information (ANSSI). Comme le relève l’ancien journaliste et actuel directeur des affaires juridiques chez Clever Cloud Guillaume Champeau, Olvid est en effet dispensé d’obéir à la doctrine « cloud au centre », qui veut qu’une solution de communication gouvernementale soit obligatoirement opérée via des serveurs étiquetés « SecNumCloud » en raison de leurs immunisations face aux lois extraeuropéennes.

D’après la circulaire signée de la main d’Elisabeth Borne, « les données susceptibles de transiter sur des infrastructures commerciales étant chiffrées de bout en bout […] et […] supprimées aussitôt la délivrance d’un message », Olvid peut donc héberger ses données chez Amazon sans soucis. À noter que les métadonnées sont également chiffrées, ce qui limite encore un peu les données accessibles par l’hébergeur. Seuls les pseudos des interlocuteurs ou interlocutrices sont visibles.

Une transition compliquée

Il est à noter que le recours à un hébergeur extraeuropéen est un des points pourtant reprochés à WhatsApp, Signal, Telegram et autres. De quoi provoquer l’ire de la PDG de Signal (qui a aussi recours à AWS de manière chiffrée) qui expliquait que son application est également « audité de manière indépendante, open source et largement éprouvé depuis 10 ans ».

Les ministres ne semblent de toute façon pas tout à fait prêts à basculer vers Olvid, comme le prouve un article du Canard Enchainé partagé par le journaliste Raphaël Grably. On y trouve une citation de ministre expliquant qu’il « faudrait éviter de nous emmerder avec des conneries. Nous allons continuer à utiliser WhatsApp, Telegram et Signal parce que c’est beaucoup plus simple ». À bon entendeur.

Olvid
Télécharger
Olvid
  • Facile de prise en main
  • Aucune donnée collectée

Olvid est une application de messagerie française. Son approche en matière de sécurité et de confidentialité reflète des standards élevés, souvent associés aux innovations technologiques européennes notamment en ce qui concerne la protection des données personnelles et la vie privée des utilisateurs. Cet ancrage français contribue également à sa réputation en tant qu'alternative sécurisée et fiable aux applications de messagerie plus traditionnelles.

Olvid est une application de messagerie française. Son approche en matière de sécurité et de confidentialité reflète des standards élevés, souvent associés aux innovations technologiques européennes notamment en ce qui concerne la protection des données personnelles et la vie privée des utilisateurs. Cet ancrage français contribue également à sa réputation en tant qu'alternative sécurisée et fiable aux applications de messagerie plus traditionnelles.

Source : Twitter - Philippe Latombe, Guillaume Champeau, Meredith Whittaker, Raphael Grably

Corentin Béchade

Corentin Béchade

Journaliste depuis quasiment 10 ans, j’ai écumé le secteur de la tech et du numérique depuis mes tout premiers chapôs. Bidouilleur (beaucoup), libriste (un peu), j’ai développé une spécialisation sur...

Lire d'autres articles

Journaliste depuis quasiment 10 ans, j’ai écumé le secteur de la tech et du numérique depuis mes tout premiers chapôs. Bidouilleur (beaucoup), libriste (un peu), j’ai développé une spécialisation sur les thèmes de l’écologie et du numérique ainsi que sur la protection de la vie privée. Le week-end je torture des Raspberry Pi à grands coups de commandes 'sudo' pour me détendre.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (28)

Proutie66
On est franchement con. A la limite, l’héberger chez OVH, je dirais pourquoi pas, mais sincèrement, autant en l’état actuel qu’ils utilisent whatsapp.
dante0891
La France veut toujours à faire des logiciels maisons qui font gaspiller des thunes…<br /> Dans ce cas et pour d’autres, c’est pour éviter les fuites et la mainmise via les lois US.<br /> Après comme pour beaucoup, le changement est difficile. Au pire comme entreprise faire imposer ce logiciel aux personnes concernées.<br /> Comme dit plus haut, il existe des serveurs en France (voir en Europe). Est-ce ce type de service doit également passer par des appels d’offres ?<br /> Si c’est le cas, nous ne pouvons pas contrer les géants de la tech implanté en France…
max6
premier point: la France ne «&nbsp;fait pas de logiciel maison&nbsp;» ce logiciel est open source et n’a pas été «&nbsp;fait par la France&nbsp;» 'je suppose par là que vous voulez dire l’état)<br /> deuxième point ce logiciel est par nature décentralisé donc les serveurs n’abritent aucune données des utilisateurs sauf probablement les clés publiques.<br /> Enfin il est chiffré de bout en bout ce qui veut dire que les données transitant ne sont pas en clair de toutes manière.<br /> Mais oui il existe des serveurs en France et même dans ce cas il devrait y avoir des serveurs gérés par l’état afin de garantir la sécurité.
nicgrover
" les données susceptibles de transiter sur des infrastructures commerciales étant chiffrées de bout en bout […] et […] supprimées aussitôt la délivrance d’un message "<br /> On me dit en haut lieu que les hackers sont déjà sur le coup…
MattS32
dante0891:<br /> Est-ce ce type de service doit également passer par des appels d’offres ?<br /> C’est développé par une entreprise privée, et pas sur commande publique, donc aucune obligation d’appel d’offres.
a-snowboard
On y trouve une citation de ministre expliquant qu’il « faudrait éviter de nous emmerder avec des conneries. Nous allons continuer à utiliser WhatsApp, Telegram et Signal parce que c’est beaucoup plus simple »<br /> Il est un peut affligeant ce ministre
DocteurB
Le pire, c’est que le gouvernement à déjà des serveurs qui heberge des chats securisés , pour la cnamts , la gendarmerie , et d’autres organismes liés à l’etat, les serveurs sont basés sur Synapse un serveur basé sur le protocol Matrix et ça marche très bien, c’est open source et il y a de très bons clients PC/Mobile. Et ils vont dépenser des sous pour faire moins bien et heberger ça chez Amazon …
bennukem
Matrix n’est pas certifié CSPN. Je n’ai d’ailleurs jamais pigé pourquoi matrix a eu la hype face à xmpp.
MHC
C’était si difficile d’héberger chez OVH ou Scaleway ?
Gus_71
(@bennukem) Si ton but était de faire un post incompréhensible par 99% des lecteurs, félicitation, c’est réussi !
gaadek
En quoi est-ce affligeant?<br /> Au contraire, je trouve navrant de dépenser de l’énergie et des sous publiques pour plagier, heu copier, heu développer des applications franco-françaises juste parce que c’est cool le «&nbsp;made in France&nbsp;»<br /> So Olvid avait été un précurseur, pourquoi pas, mais on parle là d’interdire des apps qui sont déjà utilisées, fonctionnelles, fiables, pour les remplacer par autre chose d’équivalent. Je vois pas le but de la démarche.
dFxed
@dante0891 @Proutie66<br /> Alors quand l’état ne fait pas, ça gueule parce qu’il fait rien.<br /> Et quand il fait, ça gueule parce que c’est pas parfait.<br /> Dites les gens, a un moment, les doubles standards, c’est rigolo. Mais a force c’est vraiment usant.
a-snowboard
Affligeant dans la manière dont c’est dit. Désolé mais j’attends une meilleure allocution de la part des ministre qu’un parlé de caniveau.<br /> Affligeant parce qu’il n’y a aucune notion de sécurité intérieure et qu’il vaut mieux «&nbsp;foutre la paix&nbsp;» que de rélféchir 5 minutes.<br /> Et ton commentaire montre que t’as rien compris du propos. A la base il s’agissait d’avoir une application pour les ministres (en premier lieux) qui ne soit pas lié aux gafam, et ni lié à la russie.<br /> Bref, un truc un peu indépendant ou européen qui ne transite pas par les serveurs étranger et a priori sans trop de backdoors.
gaadek
Hey, relax, pas besoin de t’exciter comme ça, tu as le droit de rester cool.<br /> Je suis OK sur le fait que le ton employé par le ministre n’est pas pro. Mais sur le fond, il a raison.<br /> Concernant la sécurité intérieure, je ne vois pas en quoi Olvid fait mieux que Signal,<br /> Quant au liens entre l’app et les Gafam, c’est un faux débat. La majorité des apps chiffrent déjà les informations, la question est plutôt de savoir si le chiffrement est suffisant pour garantir la confidentialité des données, quelque soit l’emplacement de stockage.<br /> C’est pas parce qu’un serveur est en Europe qu’il ne peut pas être piraté pour en extraire les données, et dans ce sens, il vaut mieux chiffrer les infos pour les stocket n’importe où que de penser qu’un serveur en Europe garantie une quelconque sécurité des données.<br /> Et encore une fois, sous cet aspect, je préfère largement faire confiance à Signal qui est open source, avec une forte communauté, plutôt qu’un Ovild développé /maintenu par je ne sais qui, et avec une capacité à détecter et corriger des failles de sécurité bien moindre.<br /> Alors tu pourrais dire que Signal est dév par une boite aux US, mais le code source étant dispo, rien n’empêche de compiler soit même le code pour s’assurer qu’aucune backdoor n’est présente…
userresu
Oui il est affligeant… mais il y a également bcp de monde qui ne comprennent rien et qui sont tout autant affligeant ; il n’y a qu’à voir les gens qui notent leur mots de passe en clair sur des post-it ; ces même gens qui fustigent les double authentification car «&nbsp;ça fait ch*er&nbsp;»… Les «&nbsp;utilisateurs finaux&nbsp;» #EndUsers sont généralement affligeant de connerie
MattS32
gaadek:<br /> Concernant la sécurité intérieure, je ne vois pas en quoi Olvid fait mieux que Signal,<br /> Signal dépend de serveurs soumis à une législation étrangère. En cas de conflit, l’accès pourrait donc être coupé. Une solution hébergé en France (mais donc pas chez AWS…) offrirait plus de robustesse face à ce genre de situation, certes extrême, mais pas totalement impossible.<br /> Bon par contre ce problème n’empêcherait pas d’utiliser Signal, mais il faudrait le faire en créant une instance hébergée ici (le code source du serveur Signal est disponible également, donc ça serait faisable) et avec un client compilé chez nous.
gaadek
En effet, avec des serveurs AWS, on peut imaginer une interruption de service et c’est un point important.<br /> Mais comme Olvid fonctionne justement avec des serveurs AWS, on en revient à la question de base: pourquoi vouloir se passer de solutions fonctionnelles pour aller sur une solution qui n’offre pas mieux?
gaadek
Merci pour ton commentaire, en effet, laisser les ministres utiliser Whatsapp ou Telegram, c’est assez léger en terme de sécurité.
peper_1_1
Il semble que tu ne connaisses pas vraiment olvid, difficile dans ce cas de le comparer à d’autres (signal par ex.).<br /> Olvid chiffre ses meta données et son code source est public.
gaadek
Salut,<br /> Il semble que toi non plus tu ne connaisses pas Olvid: seul le code source des clients est libre, celui du serveur est sous licence propriétaire <br /> Mais oui, je ne connais pas Olvid. Est-ce que cela m’empêche pour autant de comparer avec d’autres outils? J’espère bien que non, sinon, je ne vois pas en quoi je pourrais me dire qu’Olvid est mieux (ou pas) que des produits concurrents.<br /> Mais tu es libre d’expliquer en quoi Olvid peut être meilleur que d’autres solutions telles que Signal par exemple, ça permettra de comprendre ton point de vue
peper_1_1
Tu as raison, j’ai fais un raccourci un peu trop rapide sur les codes source.<br /> Toutefois, le fait que les meta données ne soient pas accessibles reste, poir moi, un facteur différenciant (je te renvoi aux différentes affaires liées aux «&nbsp;fadettes&nbsp;» pour illustrer), de même que la non association a un numéro de téléphone (ce qui rend l’application peu pratique du fait de la mise en relation par l’échange direct d’un secret : qrcode ou code).<br /> On parle ici d’espionnage étatique !<br /> Pour ce qui est de comparer des choses sans veritablement les connaître… je n’aurai pas de commentaire.
gaadek
Merci,<br /> En effet le chiffrement des métadonnées permet de garantir l’anonymat des échanges. C’est indéniablement un point positif, avec son pendant négatif : l’utilisation par des réseaux mal intentionnés sera intraçable.<br /> Le côté utilisation sans numero de téléphone est sympa aussi.
Joeee
Je ne comprends pas les propos du ministre, en tant qu’utilisateur, il est tout aussi simple d’utiliser n’importe quel messagerie, le principe de fonctionnement est le même.<br /> Du coup, si tout le gouvernement se met à utiliser, à être synchro, ce sera même plus simple que de jongler entre plusieurs messagerie. Tel que je comprends, il y a une certaine liberté.<br /> Pour whatsapp, ils chiffrent mais stockent également les clefs…<br /> Après un des avantages de Olvid est qu’il sera peut être possible de migrer les serveurs en Europe. C’est dans la roadmap :<br /> olvid.io<br /> Olvid - Secure Messaging<br /> A moins que je me trompe la partie serveur de Signal n’est pas libre.
Joeee
MHC:<br /> C’était si difficile d’héberger chez OVH ou Scaleway ?<br /> Je ne connais pas la spécificité de AWS et la fonction recherchée et non présente sur OVH, je pense que c’est la scalabilité, le fait de pouvoir activer ou désactiver des VM ou diminuer/augmenter la puissance en fonction de la demande
MattS32
Joeee:<br /> en tant qu’utilisateur, il est tout aussi simple d’utiliser n’importe quel messagerie, le principe de fonctionnement est le même.<br /> Justement non, Olvid c’est un peu plus compliqué, car ça n’utilise pas le numéro de téléphone comme identifiant, il faut échanger un QR pour pouvoir communiquer avec quelqu’un. Et comme ils ne stockent rien, faut aussi gérer tes sauvegardes. Si tu n’en as pas fait et que ton téléphone tombe en panne, tu perds ton «&nbsp;compte&nbsp;», et faut en recréer un, refaire l’échange de QR avec tous tes contacts, etc…
Joeee
Okay, cela marche, c’est le revers de la médaille pour plus de sécurité. Merci pour l’info. En effet du coup, je peux comprendre la réticence pour certains qui sont ne pas sensibles par la vie privée
SATS
De toutes façons, à part faire rire les ricains, allemands ou chinois sur le ridicule des politiciens français, je ne vois pas trop le risque…
MHC
La scalabilité est également présente chez OVH et Scaleway… et c’est non seulement français mais également moins cher.
Joeee
SATS:<br /> De toutes façons, à part faire rire les ricains, allemands ou chinois sur le ridicule des politiciens français, je ne vois pas trop le risque…<br /> Les chinois, j’imagine qu’ils utilisent leurs messageries wechat ou une autre.<br /> Les américains, j’imagine qu’ils utilisent la messagerie Signal dont les serveurs sont basés aux USA<br /> @MHC Qu’en est il des allemands ? ils ont leurs propres messageries ?<br /> MHC:<br /> La scalabilité est également présente chez OVH et Scaleway… et c’est non seulement français mais également moins cher.<br /> @MHC Nos entreprises du CAC40 utilisent à tout va AWS qui coutent une fortune.<br /> Chez mon client actuel, grand compte, c’est le cas.<br /> Pourquoi malheureusement ils ne dépensent pas des fortunes pour nos fleurons français ou tout du moins européens au lieu des GAFAM déjà plein aux as ?
Voir tous les messages sur le forum
  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet

Connaissez-vous Olvid, l’application que le gouvernement va adopter pour remplacer WhatsApp, Telegram et Signal ? Connaissez-vous Olvid, l’application que le gouvernement va adopter pour remplacer WhatsApp, Telegram et Signal ?
Après l’attaque d’Arras, Gérald Darmanin s’en prend (encore) aux messageries chiffrées (MaJ) Après l’attaque d’Arras, Gérald Darmanin s’en prend (encore) aux messageries chiffrées (MaJ)
Désinstallez d'urgence ces applications qui en veulent à vos comptes Signal et Telegram Désinstallez d'urgence ces applications qui en veulent à vos comptes Signal et Telegram
Sur Google Messages, vos conversations de groupe seront désormais chiffrées Sur Google Messages, vos conversations de groupe seront désormais chiffrées