Le C4, la cellule de crise cyber française, a lancé il y a quelques jours une alerte sur la sécurité des messageries instantanées comme WhatsApp ou Signal. Olvid, qui est Française, explique pourquoi elle n'est pas concernée.

Thomas Baignères CEO et cofondateur d'Olvid, ici lors de la dernière édition des Assises de la cybersécurité. © Alexandre Boero / Clubic
Thomas Baignères CEO et cofondateur d'Olvid, ici lors de la dernière édition des Assises de la cybersécurité. © Alexandre Boero / Clubic

Le 20 mars 2026, le C4, une cellule de crise qui réunit les principales agences françaises de sécurité et de renseignement (l'ANSSI, la DGSE, la DGSI et d'autres) a tiré la sonnette d'alarme : des campagnes de hameçonnage ciblées visent les messageries instantanées de personnalités politiques et de hauts fonctionnaires en France. Derrière ces attaques, on retrouve des hackers que les services secrets néerlandais ont formellement rattachés au Kremlin. Quelques jours plus tard, la messagerie française Olvid, qui continue son bonhomme de chemin, monte au créneau pour expliquer pourquoi elle, contrairement à Signal ou WhatsApp, n'est pas concernée.

Les autorités cyber alertent sur trois techniques de phishing qui n'exploitent aucune faille technique

Avant d'en revenir aux explications d'Olvid, il faut bien comprendre que la France n'est pas la première à alerter sur le sujet. Dès le mois de février, les services de sécurité allemands signalaient des attaques visant des responsables politiques et militaires directement sur leur application Signal. Mi-mars, leurs homologues néerlandais confirmaient la menace et désignaient nommément des hackers liés au gouvernement russe. Puis Paris a officiellement reconnu que son territoire était à son tour concerné le 20 mars.

La cellule de crise française, qui rassemble l'ANSSI, le COMCYBER, la DGA, la DGSE et la DGSI, décrit trois techniques d'attaque, et la première est hélas redoutable d'efficacité. Un faux compte se fait passer pour le service d'assistance officiel de Signal et contacte directement la victime dans l'application. Il prétexte un problème de sécurité urgent et lui demande de communiquer un code reçu par SMS. Si la victime s'exécute, l'attaquant n'a plus qu'à enregistrer son compte sur son propre téléphone, et en prendre le contrôle total. il n'y aucune prouesse informatique là-dedans, puisque c'est la confiance qui est piégée, pas le logiciel.

La deuxième technique est encore plus sournoise, parce qu'elle est totalement invisible. La victime reçoit un message l'invitant à rejoindre un groupe de discussion en scannant un QR code, un geste banal, du même ordre que scanner le menu d'un restaurant. Sauf que ce code ne mène à aucun groupe et connecte discrètement le compte Signal de la victime à un téléphone contrôlé par l'attaquant. Signal autorise en effet l'utilisation d'un même compte sur plusieurs appareils à la fois, une fonctionnalité qui a son utilité au quotidien, mais qui est ici retournée contre l'utilisateur. L'espion peut alors lire tous les messages en temps réel, en envoyer à la place de sa victime, et ce sans qu'aucune notification ne vienne alerter qui que ce soit.

L'ANSSI co-diffuse une alerte sur la sécurité de Signal, WhatsApp et des messageries instantanées, qu'il faut sérieusement considérer. © Alexandre Boero / Clubic
L'ANSSI co-diffuse une alerte sur la sécurité de Signal, WhatsApp et des messageries instantanées, qu'il faut sérieusement considérer. © Alexandre Boero / Clubic

La troisième technique est sans doute la plus dangereuse, car ses effets peuvent durer longtemps après l'attaque initiale. Une fois un compte piraté, l'attaquant crée un faux profil à l'image de la victime et s'en sert pour rejoindre ses groupes de discussion, comme s'il était elle. Il peut alors lire l'ensemble des échanges passés, accéder au carnet d'adresses, et envoyer des messages en se faisant passer pour quelqu'un en qui tout le monde a confiance. Ce n'est plus de l'espionnage passif, mais une infiltration active, capable de manipuler des décisions, de semer la méfiance, ou de faire circuler de fausses informations au cœur même des cercles les plus privés.

Comment Olvid a conçu une messagerie que ces attaques ne peuvent pas atteindre

Trois jours après l'alerte française, Olvid a publie une réponse détaillée sur son site internet. La note du C4 affirme que « toutes les autres messageries instantanées grand public sont concernées » par ces attaques. Olvid conteste ce « toutes », et explique pourquoi. La messagerie française, dont la sécurité a été officiellement certifiée par l'ANSSI elle-même, estime que son architecture rend ces attaques structurellement impossibles.

Sur la question du QR code, Olvid a fait un choix volontairement plus contraignant que ses concurrentes. Pour connecter un nouvel appareil à son compte, il est impossible de scanner quoi que ce soit reçu par message. C'est l'utilisateur lui-même qui doit lancer la procédure depuis l'application, puis saisir un code à 8 chiffres affiché sur le premier appareil sur le second, qui en affiche alors 8 nouveaux à saisir en retour. Un aller-retour manuel, en temps réel, entre les deux téléphones. Fastidieux ? Oui, un peu, mais les plus fervents utilisateurs d'Olvid ont su s'habituer avec le temps. Car c'est précisément ce qui rend l'attaque à distance impossible.

Sur le phishing par message direct, Olvid joue une carte que peu de messageries ont : personne ne peut vous contacter à l'improviste. Contrairement à Signal ou WhatsApp, où n'importe qui connaissant votre numéro peut vous envoyer un message, vous ajouter dans un groupe etc., Olvid exige que vous ayez vous-même validé un contact et vérifié son identité, avant qu'il puisse vous écrire. Un faux support technique ne peut tout simplement pas vous joindre. Le piège ne peut pas se refermer, parce qu'il n'y a pas de vraie porte d'entrée exploitable.

Le code PIN de Signal est moins protecteur qu'on ne le croit

Olvid pointe aussi une limite que peu de gens connaissent concernant le code PIN recommandé par les autorités françaises. Sur Signal, ce code est lié à votre numéro de téléphone. Donc lorsque vous changez de téléphone, Signal vous demande d'abord de prouver que vous êtes bien le propriétaire de ce numéro, via un SMS, puis vous invite à saisir votre PIN. Mais cette deuxième étape est facultative, on peut la zapper. Un attaquant qui aurait mis la main sur votre numéro peut donc faire exactement la même chose, ignorer le PIN, et prendre le contrôle du compte. Signal ne peut pas imposer ce code sans risquer de bloquer des utilisateurs légitimes qui l'auraient oublié ou qui viendraient d'obtenir un numéro appartenant autrefois à quelqu'un d'autre.

Olvid échappe à ce problème parce que l'application n'est rattachée à aucun numéro de téléphone, ni à aucune adresse e-mail. Il est donc impossible de s'emparer d'un compte en détournant une carte SIM. Mais Olvid va plus loin, et résume sa philosophie en une formule intéressante, « sans authentification le chiffrement n'est rien ». Cela veut dire que chiffrer vos messages, c'est-à-dire les rendre illisibles pour quiconque les intercepterait; ne sert à rien si vous ne pouvez pas être certain que la personne à qui vous écrivez est bien celle qu'elle prétend être. Le cadenas ne protège rien si quelqu'un d'autre possède la clé, autrement dit.

En attendant, les conseils de bon sens des autorités françaises restent valables pour les utilisateurs de Signal et WhatsApp. Activez le code PIN de votre application, vérifiez de temps en temps quels appareils sont connectés à votre compte, et ne scannez jamais un QR code reçu par message. Les agents de l'État, eux, sont orientés vers TCHAP, la messagerie sécurisée développée spécifiquement pour l'administration française.