L’Interview de Thomas Baignères a été réalisée lors des 20ème Assises de la Cybersécurité qui se sont déroulées du 14 au 16 octobre 2020 à Monaco   

SDBR News : Prix de la start-up en janvier au FIC 2020, Prix de l’Innovation des Assises 2020 en octobre à Monaco… Quelle aventure pour Olvid !

Thomas Baignères : Il est vrai que 2020 est une année folle, même si l’aventure a commencé il y a longtemps ! Nous avons commencé la R&D du produit il y a 6 ans, avec Matthieu Finiasz qui est co-fondateur d’Olvid et aujourd’hui notre CTO. Nous sommes tous les deux docteurs en cryptographie et nous avions constaté il y a 7 ans que les messageries instantanées grand public, telles que WhatsApp, Signal ou Telegram, n'apportent absolument pas le niveau de sécurité auquel on pourrait s’attendre.

SDBR News : Pouvez-vous préciser ?

Thomas Baignères : Prenez la messagerie instantanée WhatsApp, par exemple, qui a fait de grandes campagnes marketing sur le chiffrement de bout en bout des communications. D’ailleurs à chaque début de communication vous avez un écran vert qui s’affiche et qui dit « chiffrée de bout en bout » et qui renvoie à l’idée que même WhatsApp ne peut pas prendre connaissance de vos échanges. Le chiffrement de bout en bout, c’est la capacité pour WhatsApp de chiffrer le message ou la photo envoyée avant qu’ils ne quittent le téléphone. Le déchiffrement ne se fait que sur le téléphone de votre destinataire ; entre les deux, ces messages restent chiffrés et donc, effectivement, entre les deux WhatsApp ne peut prendre connaissance de ces informations. Si l’histoire s’arrêtait là, Olvid n’existerait pas…

SDBR News : Donc elle ne s’arrête pas là ?

Thomas Baignères : La promesse est formidable, mais lorsqu’on fouille un peu on s’aperçoit que cela ne se passe pas réellement comme cela. Comment fait WhatsApp pour créer des « canaux sécurisés » entre les deux utilisateurs finaux, le fameux TLS qui crée un canal sécurisé entre un client et un serveur : les informations échangées dans ce canal étant chiffrées pour empêcher toute interception de données "en clair" par un pirate informatique. Et bien nous nous sommes aperçus que WhatsApp utilise un serveur opéré par WhatsApp et Facebook, dont on ne parle pas et qui est un annuaire qui regroupe les 2.5 milliards de numéros de téléphones des utilisateurs de WhatsApp. A chaque numéro de téléphone sont associées les données cryptographiques qui vont être distribuées au gré des conversations qui vont avoir lieu sur WhatsApp : lorsque vous souhaitez vous connecter à un interlocuteur, WhatsApp va vous transmettre les données cryptographiques à utiliser. Donc, ce faisant, vous faites confiance à WhatsApp pour vous transmettre les bonnes données cryptographiques.

SDBR News : N’est-ce donc pas plutôt rassurant ?

Thomas Baignères : WhatsApp utilise une architecture extrêmement classique selon laquelle existe en son cœur un « tiers de confiance » qui est un distributeur d’identité numérique : c’est lui qui gère les identités numériques et qui est le garant que telle identité numérique est bien la mienne, par exemple. Ce faisant, il peut aussi vous tromper et c’est assez difficile à vérifier : d’une manière générale, les gens ne savent pas le faire ou ne le font pas. Si ce tiers de confiance fait mal son travail ou bien est piraté, il n’existe alors plus aucune sécurité ! En outre WhatsApp, qui appartient à Facebook, joue aussi un rôle de réseau social croisé avec Facebook : WhatsApp sait donc très bien qui parle avec qui, au-delà de ce que vous voyez. En outre, tout est basé sur un numéro de téléphone : si vous en changez, en France ce numéro sera réattribué au bout de 3 mois. C’est comme cela que certaines personnes se sont vu attribuer, sur Twitter ou WhatsApp, des photos ou des messages qui ne leur appartenaient pas… C’est la preuve que leurs systèmes sont mal sécurisés. Dans quelle situation pourrait-on imaginer qu’un « tiers de confiance » le soit pour 2 ou 3 milliards d’êtres humains ? Cela n’a pas de sens ! La messagerie « Signal » utilise la même architecture que WhatsApp…

SDBR News: Et l’application Telegram ?

Thomas Baignères : Beaucoup d’utilisateurs ont quitté WhatsApp ou Signal pour aller chez Telegram, en arguant que c’était une application plus sûre. Telegram est encore moins sûre même si leur marketing a réussi à faire croire que l’application était sécurisée, alors qu’en fait elle ne chiffre pas de bout en bout par défaut ! Dans une conversation à deux, vous devez activer une option spécifique pour qu’elle soit sécurisée de bout en bout et, dans une conversation à plus de deux, il n’y a tout simplement pas de chiffrement de bout en bout !

SDBR News : Alors quelle est l’innovation d’OLVID ?

Thomas Baignères : Face à ce marché existant, nous nous sommes demandé comment faire une messagerie mondiale et globale mais fondamentalement honnête et souveraine ? La réponse est qu’il ne faut pas avoir d’annuaire ! Il ne faut pas créer un endroit qu’il suffit de pirater pour avoir accès à tout et pouvoir truquer les conversations. Donc nous avons décidé de recréer une architecture en enlevant l’annuaire et en mettant en œuvre des protocoles cryptographiques complexes. Ce n’est pas une chose facile à faire,  mais nous avons réussi à créer pour votre téléphone la messagerie OLVID qui a la particularité de faire du chiffrement réel de bout en bout et de tout : données, métadonnées, fichiers, images, etc. Donc, grâce à OLVID, les utilisateurs reprennent possession de leur identité numérique et décident avec qui ils ont envie de la partager. Nos propres serveurs ignorent qui parle avec qui : nous avons créé en quelque sorte le huis clos numérique...      

SDBR News : Comment puis-je concrètement entrer dans le monde d’OLVID ?

Thomas Baignères : C’est très simple. Il suffit de télécharger l’application OLVID sur votre téléphone iOS ou Android, (via leurs stores Google Play ou App Store), puis de partager avec un contact votre identité Olvid via un canal quelconque : un SMS, un email ou même WhatsApp. Lorsque votre contact la reçoit, il n’a pas la garantie qu’elle n’ait pas été manipulée, puisqu’elle est passée par un canal peu sûr ; mais peu importe, il va vous adresser une invitation via OLVID.  Au moment où vous acceptez cette invitation, un protocole cryptographique, que vous ne verrez pas, va s’exécuter entre vos deux téléphones et, à l’issue de ce protocole, vous verrez apparaître 4 chiffres sur votre écran comme votre interlocuteur. Il suffira d’échanger vos 4 chiffres entre vous pour que votre relation soit authentifiée. 

SDBR News : Est-ce la seule façon d’entrer en relation ?

Thomas Baignères : Non, bien sûr. Ensuite, je peux vous présenter des interlocuteurs dont je peux valider l’identité par un protocole de présentation. Je pourrais ainsi vous présenter Matthieu Finiasz en agissant entre vous comme tiers de confiance, comme dans la vie réelle.

SDBR News : Est-ce un outil uniquement professionnel ?

Thomas Baignères : Non. Olvid est gratuitement disponible pour tous sur les stores et le restera. Cette gratuité se finance par nos offres payantes qui s'adressent bien aux professionnels. Nous sommes la première messagerie instantanée au monde à avoir obtenu la qualification CSPN de l’ANSSI, ce qui rassure les entreprises. Les entreprises peuvent charger gratuitement notre POC de démonstration, pour quelques mois de façon à valider notre offre avec une vingtaine de collaborateurs par exemple : messagerie, photos, fichiers, téléphonie. Nous commençons la commercialisation, avec des prix très bas comme vous pourrez le voir sur notre site web. Nous avons beaucoup de clients qui attendent la sortie de versions plus complètes mais qui se sont déjà engagés…       

 https://olvid.io

Crédits photos: OLVID