ALT IsoLogoTipo SBX Theme
Souveraineté et confidentialité des messages instantanés à l'usage des institutions françaises : la tentative OLVID
Campus Virtuel
Demande d'informations
ESLSCA SA, Ecole de Commerce privée française, accorde une grande importance à la protection de vos données à caractère personnel.

Par suite, ESLSCA SA vous informe qu’elle traitera vos données à caractère personnel en vue de vous contacter et  vous informer du programme choisi lors des deux prochaines rentrées. Après cette période-là où dès que les informations demandées vous seront fournies, vos données seront supprimées.

Conformément à la loi Informatique et Libertés du 6 janvier 1978 modifiée et au Règlement (UE) 2016/679 relatif à la protection des données à caractère personnel, vous disposez des droits suivants sur vos données: droit d’accès, droit de rectification, droit à l’effacement (droit à l’oubli), droit d’opposition, droit à la limitation du traitement, droit à la portabilité. Vous pouvez également définir des directives relatives à la conservation, à l'effacement et à la communication de vos données à caractère personnel après votre décès. En cas de manquement aux dispositions ci-dessus, vous avez le droit d’introduire une réclamation auprès de la CNIL.

Pour exercer vos droits, merci d’adresser votre courrier RAR à l’adresse suivante DPO Planeta Formation France, 70, Galerie des Damiers, 92415 Courbevoie ou à l’adresse électronique suivante [email protected]. Merci de joindre la copie ou le scan d’une pièce d’identité.
0

Souveraineté et confidentialité des messages instantanés à l'usage des institutions françaises : la tentative OLVID

Olvid
Cyber

Dans une circulaire du 21 novembre 2023, Mme la Première ministre Elisabeth Borne enjoignait les membres du gouvernement et des cabinets interministériels à utiliser Olvid afin d’assurer la sécurité des conversations et des informations échangées, cette mesure s’inscrivant dans la continuité de l’attention portée à la sécurité des applications utilisées par les agents publics. 

Meredith Whittaker, présidente de la fondation Signal, réagissait alors en indiquant que si « La Première ministre française invoque des 'failles de sécurité' dans Signal (et autres) pour justifier cette décision, cette affirmation n'est étayée par aucune preuve et est dangereusement trompeuse »Le groupe Meta rappelant de son côté que WhatsApp est « une plateforme gratuite, très sécurisée avec un chiffrement de bout à bout par défaut, très robuste ». 

Les messageries instantanées (en anglais "chat") sont des systèmes qui permettent d’échanger des messages textuels ou des fichiers (images, vidéo, son…) en temps réel entre plusieurs utilisateurs connectés à un même réseau informatique. Leur usage est aujourd’hui largement démocratisé avec 24 millions de visiteurs uniques quotidiens sur WhatsApp en France en 2024. Ce marché de la messagerie instantanée est dominé par des entreprises étrangères : américaines pour Facebook Messenger, Whatsapp et Signal, russe pour Telegram, chinoise pour Wechat. 

Mais c’est l’usage de ces messageries qui pose dorénavant problème. En effet, il ne se limite plus à la sphère personnelle mais est aujourd’hui largement utilisé dans le monde professionnel privé et public où pour toute mission ou groupe de travail, bureau et service, des groupes sur messageries sont créés. Ces groupes, dont le titre est souvent évocateur voire révélateur de leur objectif ou de leur réseau, est le lieu d’échange d’informations souvent sensibles. Ils permettent également d’identifier chacun de leurs membres. 

Dès lors, le stockage et l’accès aux données posent la question de la souveraineté et de la confidentialité des échanges, cette interrogation suscitant les inquiétudes légitimes du gouvernement français qui tentait par cette circulaire d’y apporter une première réponse. 

Olvid se présente en effet sur son site web comme une entreprise française offrant « une solution qui ne fait aucun compromis sur la sécurité », « [chiffrant] de bout-en-bout via des protocoles cryptographiques » les messages et pièces jointes échangés, tout en ne « [requérant] aucune donnée personnelle : aucun numéro de téléphone, aucun mail, aucun nom, aucun prénom, aucune adresse, aucune date de naissance »1. En outre, la société précise ne jamais demander l’accès au carnet d’adresse de l’utilisateur. 

Mais, malgré ces promesses séduisantes et la volonté de Matignon, l’utilisation de cette application dans les institutions françaises reste anecdotique. Si l’échec semble patent, il trouve des explications multiples dans un secteur soumis à l’hégémonie des acteurs étrangers luttant pour conserver leur ascendant. 

 

Le constat d’un secteur sous l’emprise de sociétés étrangères 

Selon une étude menée en août 2023 par Statista2, les applications de messagerie instantanée les plus populaires dans le monde en nombre d’utilisateurs actifs mensuels sont Whatsapp avec 2 milliards d’utilisateurs, Wechat avec 1,3 milliard d’utilisateurs, Facebook Messenger avec 931 millions d’utilisateurs et Telegram avec 700 millions d’utilisateurs (pour rappel, WhatsApp a été racheté par Facebook en 2014 pour 16 milliards de dollars). Alors que le marché est dominé par ces entreprises étrangères, leur puissance économique est colossale à l’image des 26,5 milliards de dollars que représente le marché mondial des applications de messagerie instantanée. Face à ces mastodontes, Olvid ne représente que 100.000 utilisateurs en 2023 au moment de la promotion faite par le gouvernement avec cette circulaire. Et dans cet environnement peu permissif, il est à noter que malgré l’absence de risque que peut représenter Olvid face à ses concurrents étrangers, la circulaire gouvernementale a fait réagir dans les hautes sphères de ces entreprises comme en témoignent les prises de paroles citées ci-avant. 

 

L’enjeu de la maîtrise des données dans un contexte de guerre économique 

Si la réaction des leaders de la messagerie instantanée était d’abord animée par une volonté de défense de leur réputation, gardienne de leur part de marché et donc de leur rentabilité économique, l’enjeu véritable de disposer d’une entreprise française dans le secteur est la maîtrise des données. 

Cet enjeu trouve sa genèse avec la survenance du Patriot Act, loi antiterroriste promulguée en octobre 2001 à la demande du président George W. Bush en réaction aux attaques terroristes du 11 septembre 2001. Si l’objectif de cette loi était de lutter contre le terrorisme octroyant des pouvoirs extraordinaires au département de la Justice, à la NSA et à d'autres agences fédérales concernant la surveillance intérieure et internationale des communications, elle a eu pour conséquence de permettre l’accès par les autorités américaines, sans mandat judiciaire, aux données d’une entreprise dès lors qu’elle possède directement ou indirectement un hébergement de ses données aux USA ou qu‘elle est en lien avec un client ou un prestataire américain. Si ce texte avait initialement une portée temporaire, il a depuis été systématiquement prorogé alors même qu’il a essuyé de nombreuses critiques (notamment à la suite de l’affaire Snowden3).

Par ailleurs, à cette première loi est venu s’ajouter en 2018 le Cloud Act permettant aux autorités américaines d’accéder à des données situées physiquement en dehors du sol américain (y compris en France…), dès lors qu’une entreprise américaine est techniquement impliquée dans le stockage de ces données. 

Ces deux textes offrent ainsi aux institutions américaines un champ d’intervention extrêmement large. Dans un monde où « les rapports de force entre les puissances s'articulent autour d'enjeux économiques »4, le renseignement économique y jouent un rôle crucial et l’accès aux données numériques en constitue une partie. Dès lors, il est aisé de prendre la mesure de l’outil offensif que représente ces lois américaines. 

Face à la candeur voire la naïveté de l’Union européenne et de la France, il est à noter que dans les arrêts Schrems I et Schrems II, la Cour de justice de l'Union européenne (CJUE) avait considéré que le niveau de protection étasunien n’était pas compatible avec les exigences de protection requises en droit de l’Union européenne, retenant que les programmes de surveillance des services de renseignement américains n’étaient ni « limités au strict nécessaire », ni proportionnés. 

Dès lors, la circulaire Olvid s'inscrit dans une démarche plus large du gouvernement français visant à renforcer la sécurité et la souveraineté numérique de l'État. Cette décision a ainsi été précédée de l'interdiction d'utiliser des applications récréatives, comme TikTok, sur les téléphones professionnels des fonctionnaires. 

 

Olvid : l’offensive opportune du gouvernement français 

Créée en 2019 par deux experts en cybersécurité, l’entreprise Olvid est fondée sur la volonté de répondre à un besoin de confidentialité et de protection des données renforcées et en a fait son principal argument commercial. Elle se démarque en outre de ses concurrents pour être une entreprise française, connue des institutions : elle fut ainsi lauréate, en 2020, du concours i-Lab opéré par Bpifrance, obtenant une bourse de 350.000€, et remporta la même année le prix de l'innovation des Assises de la sécurité. 

Marqué par le constat de l’hégémonie étrangère dans le secteur et malgré une prise de conscience lente et encore limitée de la guerre économique mondialisée5, le gouvernement français tente ainsi, par sa circulaire du 21 novembre 2023, de reprendre l’ascendant en imposant l’utilisation d’Olvid. 

Outre l’argument national, le gouvernement français va s’appuyer sur les qualités de sécurité et de confidentialité accrues de l’application pour expliquer son choix. En effet, comme le note la circulaire, l’application « est la seule plate-forme de messagerie privée ayant reçu la certification de sécurité de premier niveau (CSPN) de l'agence nationale de la sécurité des systèmes d'information (ANSSI) »6. Pour cela, l’application propose un chiffrement des données, une authentification de bout en bout des contacts, une architecture décentralisée (absence de serveur central) et une validation scientifique des protocoles cryptographiques. A cela s’ajoute l’absence d’annuaire centralisé et un modèle économique basé sur les versions payantes (par opposition à ceux basés sur la collecte et la revente de données). 

Cette offensive informationnelle menée par le gouvernement va se traduire par « 10 fois plus de téléchargements en moins de 24 heures » selon Thomas Baignères, cofondateur et CEO d’Olvid qui ne feignait alors ni son enthousiasme ni son contentement après l’appui du gouvernement. Mais c’est bien autour de l’argument de la sécurité, pilier de cette recommandation, que le contre narratif va s’organiser. 

 

L’application la « plus sécurisée au monde » : un argumentaire attaqué... 

Si Whatsapp, via un communiqué, et Signal, via un tweet de sa présidente Meredith Whittaker, vont réagir rapidement (cf éléments introductifs), cette dernière va par la suite se montrer davantage véhémente en déployant un contre discours ciblant l’argument de sécurité invoqué7.

Après avoir rappelé que « Signal [faisait] l'objet d'un audit indépendant et [que] son protocole [était] testé depuis plus de 10 ans », elle a pointé lors d’une interview la différence entre son entreprise et Olvid au sujet de la gestion du répertoire, arguant que Signal ne « connaît pas votre réseau social ». 

La présidente de la Signal Foundation va par la suite être l'invitée de France 24 le 1er décembre 2023 pour répondre à l’exposé de la circulaire. Elle y explique alors ne pas remettre en cause le choix fait par Matignon, dans la mesure où « chaque gouvernement doit pouvoir choisir les outils qu’il veut pour communiquer », tout en critiquant le choix des mots et l’affirmation des failles dans les autres applications, concluant que « Nous devons être très prudents, en particulier avec les affirmations officielles, qui jettent l'opprobre sur des applications comme Signal, qui constituent la référence en matière de sécurité et de protection de la vie privée dans le secteur ». 

Si le contre narratif n’a à ce moment que peu attaqué les capacités d’Olvid en se limitant à rappeler que les autres messageries et principalement Signal sont toutes autant sûres, celui-ci fait naître néanmoins des doutes qui vont être amplifiés par la presse, par le revirement du bureau de la Première Ministre et par les déclarations du cofondateur d’Olvid, Thomas Baignères. 

... et finalement mis à mal. 

Le 8 décembre 2023, deux articles vont alors paraître dans le Canard Enchainé et L’informé8 posant la question du stockage des données par Olvid, qui se fait sur Amazon Web Services (AWS). Si l’information n’est pas inédite, elle est alors mise en perspective avec les raisons de souveraineté invoquées par Matignon dans sa circulaire. Thomas Baignères, cofondateur de l'entreprise, expliquera à cette époque que les données sont chiffrées de bout en bout et que ce choix de stocker les données chez AWS ne présente aucun risque, celui-ci s’étant par ailleurs imposé à eux en l’absence d’offre de cloud européen. 

Dans le même temps, le 14 décembre 2023, toujours dans le Canard Enchaîné, le bureau de la Première ministre revient partiellement sur l'exposé de la circulaire indiquant que « Ces consignes ne concernent que les téléphones des cabinets fournis par l'État, et lorsqu'il s'agit d'une communication entre ministres et cabinets » précisant que les autres messageries « continuaient à être utilisées pour les échanges avec les personnes extérieures au gouvernement ». 

Tout cela venait s’ajouter à l’attaque portée directement contre la sécurité de l’application qui, dans un article de France Info du 30 novembre 2023, signalait que « pour les experts en sécurité, l’utilisation encore limitée d’Olvid ne permet[tait] pas de prouver sa fiabilité », accusation à laquelle répondait Thomas Baignères en reconnaissant que « [C’était] un point d'attention ». 

 

Une utilisation de l’application encore confidentielle 

Au bilan de cette joute informationnelle de trois semaines, chaque argument fondant la recommandation édictée dans la circulaire va voir sa portée limitée ou va être contrée. Il est intéressant de constater que c’est la presse française qui va livrer les meilleurs contre-arguments qu’elle fera par ailleurs valider par le cofondateur d’Olvid. Si un an après, Thomas Baignères tirait un constat positif de cette mise en avant par Matignon et de l’exposition qui s’en est suivie, l’utilisation d’Olvid reste encore confidentielle avec environ 150.000 utilisateurs en août 2024 selon les chiffres divulgués par le cofondateur. 

Néanmoins, si le nombre d’utilisateurs reste restreint, plusieurs grands ministères utilisent dorénavant l’application (en version gratuite ou payante) relativisant l’échec que laisse à penser les chiffres. Et comme le note Thomas Baignères « Les utilisateurs qu’on perd, on les perd tout de suite. C’est réglé en quelques jours. Ceux qu’on garde continuent à utiliser Olvid. ». 

 

A. V. SIE 28 de l’EGE 

Notes

1.  https://www.olvid.io/fr/

2.  Statista est un portail en ligne allemand offrant des statistiques issues de données d’instituts, d'études de marché et d'opinion ainsi que de données provenant du secteur économique.

3.  Les révélations d’Edward Snowden en 2013 ont contribué à réduire l’utilisation du Patriot Act pour acquérir des enregistrements de courriels et de métadonnées internet sans mandat judiciaire.

4.  Christian Harbulot, « L’art de la guerre économique », 2018.

5.  « Les autorités françaises, leurs administrations et bon nombre d'entreprises [se doivent] de renoncer à leurs lubies libérales et regarder en face ce qu'il faut bien appeler une culture de la guerre économique généralisée dans le monde », Christian Harbulot, « La guerre économique au XXI siècle », 2024.

6.  Olvid est la seule application de messagerie en France à avoir été accréditée par l’ANSSI, en septembre 2020 pour la version iOS et en mai 2021 pour sa mouture Android. 

7.  Notamment parce que la sécurité est également au centre de la communication de Signal.

.
Demande d'informations
ESLSCA SA, Ecole de Commerce privée française, accorde une grande importance à la protection de vos données à caractère personnel.

Par suite, ESLSCA SA vous informe qu’elle traitera vos données à caractère personnel en vue de vous contacter et  vous informer du programme choisi lors des deux prochaines rentrées. Après cette période-là où dès que les informations demandées vous seront fournies, vos données seront supprimées.

Conformément à la loi Informatique et Libertés du 6 janvier 1978 modifiée et au Règlement (UE) 2016/679 relatif à la protection des données à caractère personnel, vous disposez des droits suivants sur vos données: droit d’accès, droit de rectification, droit à l’effacement (droit à l’oubli), droit d’opposition, droit à la limitation du traitement, droit à la portabilité. Vous pouvez également définir des directives relatives à la conservation, à l'effacement et à la communication de vos données à caractère personnel après votre décès. En cas de manquement aux dispositions ci-dessus, vous avez le droit d’introduire une réclamation auprès de la CNIL.

Pour exercer vos droits, merci d’adresser votre courrier RAR à l’adresse suivante DPO Planeta Formation France, 70, Galerie des Damiers, 92415 Courbevoie ou à l’adresse électronique suivante [email protected]. Merci de joindre la copie ou le scan d’une pièce d’identité.