Olvid, une société française, propose depuis quelques années une messagerie instantanée gratuite (les appels sont payants) et sécurisée. À l’occasion des Assises de la cybersécurité, nous avons discuté des projets en cours avec son CEO Thomas Baignères, notamment avec des applications pour ordinateurs de bureau et des chatbots.

Olvid mise sur la sécurité et la confidentialité pour se démarquer : l’application « ne requiert aucune donnée personnelle : aucun numéro de téléphone, aucun mail, aucun nom, aucun prénom, aucune adresse, aucune date de naissance ». Il n’y a même pas de compte et Olvid se gargarise d’être « la première et seule messagerie instantanée ayant reçu une (puis deux !) CSPN de l’ANSSI (certifications de sécurité de premier niveau) ». Le principe de fonctionnement est détaillé par ici. Notez qu’il est possible d’envoyer des pièces jointes… sans limite de taille (pour le moment ?).

Le code source est libéré délivré

Les promesses, c'est une chose. Les actes en sont souvent une autre, surtout dans ce domaine. Pour répondre à la demande (légitime et motivée) des utilisateurs, Olvid libérait fin 2021 le code de ses applications mobiles pour Android et iOS. Il est disponible sur GitHub.

Thomas Baignères et une partie de l’équipe (qui ne compte que 13 employés) étaient aux Assises de la cybersécurité de Monaco. Il nous explique qu’il est « difficile d'avoir des retombées complètement mesurables » sur le passage en open source. C’est un « état d'esprit » et permettre à d’autres de s’en inspirer, mais aussi de « redonner » à la communauté puisque certaines briques de l’open source ont été utilisées.

Olvid précise que son code est documenté afin de s’y retrouver facilement et que toute la partie fondamentale sur les algorithmes de chiffrement est structurée : « ce n'est pas paumé à droite et à gauche […] on n'a pas le code de l’interface utilisateur en plein milieu du code ». Les chercheurs en sécurité peuvent donc la retrouver et l’analyser.

Olvide nous donne un exemple d’utilisation : des clients du ministère de l’Intérieur utilisent l’application Olvid, mais ne peuvent la récupérer que via un Store privé. Pour y être présent, « il faut qu'ils aient le code source, qu'ils le recompilent et le signent eux-mêmes ; c’est un prérequis ».

Tout le code source ? Non, le serveur résiste encore et toujours