Olvid, l’alternative à WhatsApp recommandée par l’ANSSI

Falko

SA- aspirant
Membre
Joined
Apr 3, 2020
Messages
188
Reaction score
266
11/01/2021

Ces derniers jours, nous entendons beaucoup parler de WhatsApp et du mécontentement des utilisateurs suite à l'annonce de Facebook qui a décidé de modifier la politique de confidentialité. De nombreux utilisateurs sont bien décidés à se tourner vers une alternative et le nom de deux applications revient sans cesse : Signal et Telegram.

Un lecteur d'IT-Connect a attiré mon attention vers une autre application : Olvid. Une messagerie instantanée sur mobile, sécurisée par du chiffrement bout en bout, développée par une entreprise française et recommandée par l'ANSSI.

Là où Olvid se différencie de WhatsApp, Signal et Telegram, c'est qu'il ne nécessite pas de numéro de téléphone pour s'inscrire ! L'application demande "juste rien" pour créer un compte : pas d'e-mail, pas de nom, de pas prénom, pas d'adresse, etc... L'application est clean et n'ira pas fouiller dans votre carnet d'adresses. Le serveur central utilisé par Olvid sert à la mise en relation des messages entre les contacts mais il ne sert pas à stocker les messages ! En cas de piratage, vos conversations ne vont pas fuiter sur la toile... De manière générale, Olvid ne collecte pas et n'exploite pas vos données personnelles.
"À part vous, personne ne saura jamais avec qui vous avez échangé. Pas même nous."

L'ANSSI n'a pas dit clairement "utilisez Olvid à la place de WhatsApp" mais Olvid est une application recommandée par l'ANSSI et qui a obtenue une certification CSPN. L'ANSSI a audité le code source d'Olvid et l'évaluation s'est portée sur plusieurs axes : authentification des utilisateurs, authentification des échanges, chiffrement des messages et des pièces jointes et chiffrement des sauvegardes du carnet de contact.

L'application Olvid est gratuite pour envoyer des messages (y compris avec des pièces jointes) et pour recevoir des appels audio/vidéo sécurisés. Pour émettre des appels, il faut disposer d'un abonnement payant facturé 4.99 € par mois. Si cette messagerie instantanée vous intéresse dans le cadre d'un usage professionnel, sachez qu'Olvid propose des offres pour les entreprises.

L'application Olvid est disponible sur Android et iOS. Puisque l'application ne requiert pas de numéro de téléphone, vous pouvez l'utiliser depuis une tablette sans problème car il n'est pas utile d'avoir une carte SIM.
 

Officer

SA- chef d'équipe
Membre confirmé
Membre
Joined
Apr 4, 2020
Messages
526
Reaction score
2,178
Comme d'habitude, ce qui me dérange c'est que c'est français. On connaît la chanson avec Qwant. J'ai fait l'erreur une fois, je la ferai pas une deuxième.
 

ErikaSama

SA- aspirant
Membre
Joined
Jan 10, 2021
Messages
4
Reaction score
7
En plus de ne pas passer par un numéro de téléphone, Olvid semble strictement supérieur à Signal car la sécurité reste guarantit en cas de corruption du serveur (on doit faire confiance à Signal quand il dit ne pas stocker les métadonnées: à qui on parle et quand).
J'aurais tendance à faire confiance à Olvid avec un point négatif tout de même: le code n'est pas open source. Cela dit, la plupart des gens téléchargent Signal via GooglePlay ce qui clairement n'offre aucune guarantie...

Le fait que ça soit français ne fait rien, c'est le produit d'une petite startup et c'est bien préférable à une technologie américaine, chinoise ou russe.
 

Un Four Pour Tous

SA- soldat de choc
Membre confirmé
Membre
Joined
Aug 2, 2020
Messages
606
Reaction score
1,390
Tant qu'ils ne posteront pas le code source, l'application ne sera pas utiliser.
 

Officer

SA- chef d'équipe
Membre confirmé
Membre
Joined
Apr 4, 2020
Messages
526
Reaction score
2,178
En plus de ne pas passer par un numéro de téléphone, Olvid semble strictement supérieur à Signal car la sécurité reste guarantit en cas de corruption du serveur (on doit faire confiance à Signal quand il dit ne pas stocker les métadonnées: à qui on parle et quand).
J'aurais tendance à faire confiance à Olvid avec un point négatif tout de même: le code n'est pas open source. Cela dit, la plupart des gens téléchargent Signal via GooglePlay ce qui clairement n'offre aucune guarantie...

Le fait que ça soit français ne fait rien, c'est le produit d'une petite startup et c'est bien préférable à une technologie américaine, chinoise ou russe.
Signal c'est logiquement, comme beaucoup de solutions de messagerie ou mail, basé sur une infrastructure Zero-Knowledge avec chiffrement. Donc même si les serveurs sont corrumpus, les données sont extraites ou interceptées chiffrées sans possibilité d'avoir la clé de déchiffrement.
Chez Olvid la différence semble être le type de chiffrement, le chiffrement des metadata, et l'usage d'un ID généré sans données personnelles. La promesse c'est que les serveurs ne savent strictement rien de vous (y compris votre IP de connexion logiquement).

Et que ce soit français fait très clairement quelque chose. Un service suisse ou américain sera peut-être coopératif avec la justice française mais c'est différent que d'être soumis directement à la législation française et en contact direct. Voyez.
 

Tintin et Milou

SA- soldat de choc
Membre confirmé
Membre
Joined
Jul 13, 2020
Messages
936
Reaction score
1,759
Sérieux les gars, je ne veux pas paraître condescendant mais là... Dans ANSSI il y a "national" et le site est en .gouv.fr. Rien qu'un de ces 2 éléments devrait suffire à vous faire passer votre chemin.

Vous pensez réellement que le gouvernement Français va vous aider à être invisible sur Internet ? VRAIMENT ? 😵
 

Tintin et Milou

SA- soldat de choc
Membre confirmé
Membre
Joined
Jul 13, 2020
Messages
936
Reaction score
1,759
Je fuis tout ce qui est français désolé. Qui dit français dit juif, qui dit juif dit censure de tout ce qui déplait au Sanhédrin sans procès.
Je pense qu'on peut étendre ce comportement à tout ce qui est recommandé par n'importe quel gouvernement.
 

Gabriel Eroï

SA- aspirant
Membre confirmé
Membre
Joined
Nov 26, 2020
Messages
295
Reaction score
486
Sérieux les gars, je ne veux pas paraître condescendant mais là... Dans ANSSI il y a "national" et le site est en .gouv.fr. Rien qu'un de ces 2 éléments devrait suffire à vous faire passer votre chemin.

Vous pensez réellement que le gouvernement Français va vous aider à être invisible sur Internet ? VRAIMENT ? 😵
Je fuis tout ce qui est français désolé. Qui dit français dit juif, qui dit juif dit censure de tout ce qui déplait au Sanhédrin sans procès.
J'avais posté un truc ici il me semble... un peu dans le sens de ce que vous dites. Je ne vois pas le post :unsure:

Tant qu'ils ne posteront pas le code source, l'application ne sera pas utiliser.
De surcroît !
Un serveur à 5€/mois avec un jabber+un certif auto signé et tu peux causer avec la planète entière via le serveur à travers des sockets sécurisées.
Ceci dit faut savoir l'installer

Signal c'est logiquement, comme beaucoup de solutions de messagerie ou mail, basé sur une infrastructure Zero-Knowledge avec chiffrement. Donc même si les serveurs sont corrumpus, les données sont extraites ou interceptées chiffrées sans possibilité d'avoir la clé de déchiffrement.
Chez Olvid la différence semble être le type de chiffrement, le chiffrement des metadata, et l'usage d'un ID généré sans données personnelles. La promesse c'est que les serveurs ne savent strictement rien de vous (y compris votre IP de connexion logiquement).
Je suis bien d'accord qu'un émulateur ou API PGP en javascript + Zero-Knowledge est techniquement viable mais il me paraît plus sécurisé de crypter moi-même les messages que j'envoie car rien n'empêche l'application de rajouter du code en cours de route qui permettrait de rajouter une copie en claire par exemple.
La combinaison HTML+CSS+Javascript est extrêmement souple ! On peut rajouter/enlever du code à la volée, d'où la lenteur...
 

Officer

SA- chef d'équipe
Membre confirmé
Membre
Joined
Apr 4, 2020
Messages
526
Reaction score
2,178
Sérieux les gars, je ne veux pas paraître condescendant mais là... Dans ANSSI il y a "national" et le site est en .gouv.fr. Rien qu'un de ces 2 éléments devrait suffire à vous faire passer votre chemin.

Vous pensez réellement que le gouvernement Français va vous aider à être invisible sur Internet ? VRAIMENT ? 😵
Le gouvernement semble utiliser Element. Donc clairement le chiffrement des échanges (conversations, données) est quelque chose qui l'intéresse. J'ose également penser que ce même gouvernement, bien qu'il soit un traitre à sa nation et à son peuple, ait des intérêts stratégiques nationaux (protéger les intérêts de sa petite caste suceuse de sang français en somme) qui puissent s'exprimer au travers de l'avènement d'une solution purement française sans pour autant qu'elle offre des backdoors. Solution qui, compte tenu des finances et contrats actuels, n'a aucune obligation d'avoir comme business plan l'exclusivité au secteur public, et a donc comme nécessité d'être sur le marché privé. Bon en gros on n'en est pas encore au turbo-communisme. Disons que partir du principe que toute solution française a son code infiltré par l'Etat français c'est comme dire que les semi-conducteurs fabriqués par des boîtes françaises ont un micro des Renseignements Généraux caché systématiquement dedans.

Faut pas partir dans la paranoïa mais pas non plus se laisser berner. Personnellement je suis méfiant.

rien n'empêche l'application de rajouter du code en cours de route qui permettrait de rajouter une copie en claire par exemple.
Certes. D'où l'intérêt de l'open source. Signal a son code client (app) et infrastructure (serveurs) en open-source par exemple.
 

Tintin et Milou

SA- soldat de choc
Membre confirmé
Membre
Joined
Jul 13, 2020
Messages
936
Reaction score
1,759
Disons que partir du principe que toute solution française a son code infiltré par l'Etat français c'est comme dire que les semi-conducteurs fabriqués par des boîtes françaises ont un micro des Renseignements Généraux caché systématiquement dedans.

Faut pas partir dans la paranoïa mais pas non plus se laisser berner. Personnellement je suis méfiant.
Je ne partage pas du tout ton opinion. Je ne vois pas du tout pourquoi, à l'heure ou tous les gouvernements se demandent comment ils vont pouvoir surveiller et contrôler ce qui se dit sur Internet, ils recommanderaient d'utiliser quelque chose qui va à l'encontre de ce qu'ils souhaitent.

Je suis parano dans ce domaine et je conseille à tous ici de l'être. On le sait maintenant que le système nous fait la guerre, utiliser quoique ce soit qu'il recommande dans le domaine de la confidentialité, ce n'est pas une balle qu'on se tire dans le pied, c'est un obut.
 

Gabriel Eroï

SA- aspirant
Membre confirmé
Membre
Joined
Nov 26, 2020
Messages
295
Reaction score
486
...
Disons que partir du principe que toute solution française a son code infiltré par l'Etat français c'est comme dire que les semi-conducteurs fabriqués par des boîtes françaises ont un micro des Renseignements Généraux caché systématiquement dedans.

Faut pas partir dans la paranoïa mais pas non plus se laisser berner. Personnellement je suis méfiant.


Gabriel Eroï said:
rien n'empêche l'application de rajouter du code en cours de route qui permettrait de rajouter une copie en claire par exemple.
>> Certes. D'où l'intérêt de l'open source. Signal a son code client (app) et infrastructure (serveurs) en open-source par exemple.
Quand j'ai jeté un oeil sur le site d'Olvid, les codes commerciaux sentaient le politiquement ((( ultra correct ))) à la sauce cocorico - une charmante métis devant son portable n'a plus rien d'originale aujourd'hui.

Open source oui, mais qui va analyser scrupuleusement les 20 000 lignes de codes (qui évoluent régulièrement) qui doivent être nécessaire à faire tourner tout ça ?
Il suffit qu'il soit rajouter l'option d'incorporer du code propriétaire dans certains cas ce qui est techniquement parfaitement entendable.

Des heures de code j'en ai pas mal derrière moi.
Autant les gens ne comprennent rien à la politique et votent n'importe quoi autant ils comprennent rien à l'informatique et utilisent des logiciels parce qu'ils sont infoutus de comprendre 3 manips basiques.

Je ne me suis jamais interressé à Signal ou protonmail. C'est juste qu'à un moment donné j'arrête de réfléchir et j'utilise mon intuition et ne m'attend pas à ce qu'un service soit (éternellement) sécure tout comme j'ai vite cessé d'être trop confiant vis à vis de Trump, Poutine...

Comme tu dis si bien : « Faut pas partir dans la paranoïa mais pas non plus se laisser berner. Personnellement je suis méfiant. »
 

Officer

SA- chef d'équipe
Membre confirmé
Membre
Joined
Apr 4, 2020
Messages
526
Reaction score
2,178
Quand j'ai jeté un oeil sur le site d'Olvid, les codes commerciaux sentaient le politiquement ((( ultra correct ))) à la sauce cocorico - une charmante métis devant son portable n'a plus rien d'originale aujourd'hui.

Open source oui, mais qui va analyser scrupuleusement les 20 000 lignes de codes (qui évoluent régulièrement) qui doivent être nécessaire à faire tourner tout ça ?
Il suffit qu'il soit rajouter l'option d'incorporer du code propriétaire dans certains cas ce qui est techniquement parfaitement entendable.

Des heures de code j'en ai pas mal derrière moi.
Autant les gens ne comprennent rien à la politique et votent n'importe quoi autant ils comprennent rien à l'informatique et utilisent des logiciels parce qu'ils sont infoutus de comprendre 3 manips basiques.

Je ne me suis jamais interressé à Signal ou protonmail. C'est juste qu'à un moment donné j'arrête de réfléchir et j'utilise mon intuition et ne m'attend pas à ce qu'un service soit (éternellement) sécure tout comme j'ai vite cessé d'être trop confiant vis à vis de Trump, Poutine...

Comme tu dis si bien : « Faut pas partir dans la paranoïa mais pas non plus se laisser berner. Personnellement je suis méfiant. »
20 000 lignes de code avec des centaines de contributeurs et des milliers de lecteurs. Bon.

Je serais intéressé, si tu as le temps, par l’idée que tu regardes toi-même le code de Signal et que tu nous en faces un compte-rendu. Ça éviterait de brasser du vent.

Je ne partage pas du tout ton opinion. Je ne vois pas du tout pourquoi, à l'heure ou tous les gouvernements se demandent comment ils vont pouvoir surveiller et contrôler ce qui se dit sur Internet, ils recommanderaient d'utiliser quelque chose qui va à l'encontre de ce qu'ils souhaitent.

Je suis parano dans ce domaine et je conseille à tous ici de l'être. On le sait maintenant que le système nous fait la guerre, utiliser quoique ce soit qu'il recommande dans le domaine de la confidentialité, ce n'est pas une balle qu'on se tire dans le pied, c'est un obut.
J’entends bien et je suis d’accord. Cependant dans ce cas tu évites Element parce que des gouvernements l’utilisent. Tu évites Signal parce que c’est recommandé par le PDG de Twitter. Et surtout tu lâches ton smartphone parce que c’est Google ou Apple. Ainsi que ton ordinateur parce que c’est Microsoft ou Apple. ProtonMail parce que derrière c’est le CERN, le MIT, Harvard et Caltech. Tutanota on sait même pas d’ailleurs. Ou PGP parce que son créateur s’appelle Zimmermann. C’est ça que je veux dire.
 
Last edited:

Gabriel Eroï

SA- aspirant
Membre confirmé
Membre
Joined
Nov 26, 2020
Messages
295
Reaction score
486
20 000 lignes de code avec des centaines de contributeurs et des milliers de lecteurs. Bon.

Je serais intéressé, si tu as le temps, par l’idée que tu regardes toi-même le code de Signal et que tu nous en faces un compte-rendu. Ça éviterait de brasser du vent.
J'ai franchement autre chose à faire que de scruter le code de Signal ou autre.
Je ne suis pas en train de garantir que ce n'est pas fiable ou vicié mais j'ai une appréhension losque j'utilise ces trucs - que j'utilise pas d'ailleurs.
Même concernant ma distro Linux préférée, j'ai parfois le doute qu'une taupe ce soit incrustée parmi les développeurs.

Je préfère de loin la méthode PGP car ce sont les utilisateurs qui se trouvent être responsable autant de l'encryption que du choix du destinataire malgré ne pas être capable de m'instruire sur les mécanismes de cryptographie. Et tant pis si le créateur s'appelle Zimmermann.
L'interprétation des sonates pour piano et violon de Bélà Bartok par ((( Gidon Kremer ))) & Iouri Smirnov me va très bien également.
 
  • Like
Reactions: mix
Top