Olvid ou la messagerie qui refuse de vous connaître

Dans l’univers des messageries dites « sécurisées », une promesse revient sans cesse : le chiffrement. Mais derrière ce mot devenu incantatoire se cache une réalité plus ambiguë. La plupart des solutions reposent sur un point central de vulnérabilité : l’annuaire des utilisateurs. Numéro de téléphone, adresse mail, serveur d’identités… Celui qui contrôle l’annuaire contrôle, de fait, la distribution des clés cryptographiques. Et, donc, potentiellement, la sécurité elle-même.

C’est de ce constat qu’est née la solution Olvid. Découvrez ses spécificités dans cet entretien avec l’un de ses 4 cofondateurs, Jacques-André Bondy.

Pouvez-vous vous présenter en quelques mots ?

Je suis l’un des quatre cofondateurs d’Olvid. Parmi nous, il y a deux docteurs en cryptographie. Au départ, ils ont étudié les messageries chiffrées et leurs modèles de sécurité, y compris les solutions grand public et professionnelles. Et, ils ont vite vu un problème structurel commun. 

Quel problème, exactement ?

Presque toutes les messageries reposent sur un modèle où l’éditeur maîtrise un annuaire des utilisateurs. Or, si vous contrôlez l’annuaire, vous contrôlez la distribution des identités cryptographiques.

Et, donc, vous devenez « tout puissant » sur ce qui découle du chiffrement. Dit autrement : l’éditeur, ou toute entité capable de le contraindre, peut devenir un adversaire potentiel.

Et vous, vous avez décidé de faire autrement. Comment ?

Notre idée a été simple : créer une messagerie qui n’a besoin d’aucune donnée personnelle pour fonctionner. Pas d’e-mail, pas de numéro de téléphone, pas de nom et, surtout, pas de serveur d’annuaire opéré par Olvid qui centralise la distribution des identités. À la place, on laisse l’utilisateur établir un contact direct avec ses interlocuteurs, via un échange de clés (par exemple un QR code). Résultat : Olvid n’a pas la capacité technique d’accéder à vos contenus ou de « tenir » vos identités.

C’est justement ce que certains trouvent contraignant : devoir échanger un QR code avant de parler…

C’est vrai : c’est le prix du modèle. Mais une fois qu’on l’a fait une ou deux fois, ça devient simple. Et, on a pourtant des usages massifs, y compris des groupes très larges sans annuaire.
Et surtout, ce modèle est un choix : nous refusons de baser l’identité sur un numéro de téléphone et un SMS, parce que c’est fragile. On l’a vu : voler un numéro, détourner une ligne, intercepter des SMS… Ce n’est plus de la science-fiction.

Alors comment faites-vous quand une organisation veut déployer Olvid à 50, 500 ou 1 000 personnes ?

Là, on réintroduit un annuaire, mais la différence est fondamentale : il est chez le client. Dans l’offre entreprise, c’est l’organisation qui héberge son annuaire et garde le contrôle. Nous fournissons la technologie et les outils pour l’opérer. C’est ce qui permet de créer automatiquement des groupes, de simplifier l’adoption, tout en restant dans un modèle de sécurité où nous pouvons garantir mathématiquement que nous n’avons accès à aucune donnée.

Vous parlez de « garanties mathématiques ». Ça se traduit comment concrètement ?

D’abord, par un modèle conçu pour être auditable. Ensuite, parce qu’on l’a justement fait auditer et certifier, notamment avec une certification de sécurité de premier niveau (CSPN) délivrée par l’ANSSI. Ce n’est pas de la communication, mais bien une démarche de preuve.
C’est d’ailleurs pour ça qu’on a longtemps dit « la messagerie la plus sécurisée du monde ». Aujourd’hui, on préfère dire : « la messagerie privée pour tous », grand public comme professionnel. L’objectif, c’est de recréer dans le numérique les garanties d’une discussion à huis clos : authenticité + confidentialité.

Quels sont les cas d’usage les plus convaincants pour un dirigeant ?

Il y en a deux. Le premier est simple mais souvent sous-estimé : comprendre que, sur beaucoup d’outils, il faut agir comme si on parlait en clair. Dans un contexte de guerre économique, croire que « c’est bon, c’est chiffré » peut être une illusion dangereuse. Le second, c’est l’opérationnel : Olvid n’est pas seulement une messagerie. Quand une entreprise veut aller plus loin, elle peut automatiser des réflexes et des process.

Automatiser ? C’est-à-dire ?

Avec des bots, par exemple. Des capteurs qui remontent une alerte (« une porte s’ouvre à 23h30 », « température anormale ») peuvent déclencher automatiquement un message vers un groupe prédéfini. Et, ce message est authentique : pas de phishing, pas de fausse alerte, pas de doute sur l’émetteur. On peut aller très loin : workflows de réponse, interaction (« tapez 1 / tapez 2 »), diffusion d’un flux d’informations, ou même des cas de géolocalisation avancée pour des contextes de terrain. Ce sont des outils que le client peut adapter à son organisation.

Et, en situation de crise cyber ?

C’est un cas d’usage fréquent. Le jour où une entreprise doit couper son SI parce qu’elle ne sait plus s’il est corrompu : plus d’e-mails, plus d’outils internes… Il lui faut un canal de secours. Beaucoup de cellules de crise finissent sur WhatsApp ou Signal par réflexe ou urgence, mais c’est rarement une bonne idée quand on doit s’échanger des informations sensibles. Avec Olvid, si tout a été préparé en amont (groupes, annuaire chez le client, procédures), on peut tout couper et continuer à communiquer de manière sécurisée.

On vous a aussi interrogé sur la « souveraineté » : Olvid est-ce vraiment bleu-blanc-rouge ?

Si on est déployés dans certains environnements, c’est qu’on a été extrêmement vérifiés. On ne serait pas présents à l’Élysée, au service du Premier ministre, ou dans plusieurs ministères s’il y avait un problème. Olvid, c’est une aventure française, créée par 4 cofondateurs français, construite au départ sur fonds propres, avec l’appui de l’écosystème start-up et des concours. On a grandi progressivement. Aujourd’hui, on est une quinzaine. Et, notre ligne est claire : garder le contrôle, préserver la confiance, et laisser la technologie parler via l’auditabilité et la preuve.

Dernière question : quel message vous aimeriez faire passer aux dirigeants qui nous lisent ?
Qu’ils ne confondent pas « habitude » et « sécurité ». Beaucoup utilisent WhatsApp, parfois Signal, par facilité. Mais la facilité n’est pas un critère de protection. Ceux qui veulent rester lucides doivent choisir leurs canaux comme ils choisissent leurs serrures : en fonction du risque, pas en fonction du confort. Et idéalement, avant la crise, pas le lendemain.

Vous voulez découvrir Olvid, c’est ici