Face à la proposition de loi Narcotrafic qui menace le chiffrement des messageries, le PDG d'Olvid, Thomas Baignères, prend position et explique à Clubic pourquoi les « backdoors sécurisées » sont techniquement impossibles à réaliser.
La proposition de loi dite Narcotrafic, qui met le feu aux poudres, sera débattue à l'Assemblée nationale le 17 mars 2025, après avoir été adoptée à l'unanimité au Sénat. L'un des amendements déposés inquiète tout particulièrement le secteur de la messagerie sécurisée.
Le texte, présenté comme un outil de lutte contre le trafic de stupéfiants, pourrait prévoir d'obliger les services de messagerie instantanée « chiffrée » comme Signal, WhatsApp ou Telegram à introduire des accès dérobés pour les autorités. Une mesure que Thomas Baignères, PDG et cofondateur de la messagerie française sécurisée Olvid, juge auprès de Clubic techniquement irréalisable.
Olvid défend une approche radicalement différente des autres messageries dites sécurisées
D'abord, pourquoi avons-nous décidé de donner la parole à Olvid aujourd'hui, au-delà du fait qu'elle soit 100% française ? La raison est simple : contrairement aux messageries dites sécurisées populaires, l'application ne collecte aucune donnée personnelle et fonctionne sans annuaire centralisé d'utilisateurs. Elle est, en outre, hautement certifiée par l'ANSSI, l'agence française de cybersécurité.
« Dans l'immense majorité des messageries grand public, quand vous vous inscrivez, on vous demande votre numéro de téléphone », explique Thomas Baignères. « Ce numéro est inscrit dans un annuaire qui va servir de pierre angulaire à toutes les mises en relation. » Un système qui, selon lui, compromet fondamentalement la sécurité, puisque cet annuaire devient « la clé de voûte de toute la sécurité du système ».
Olvid propose une alternative radicale en supprimant complètement cet annuaire centralisé. « Nous n'avons pas accès aux données personnelles de nos utilisateurs », affirme le PDG. Une approche qui permet à l'entreprise française d'offrir non seulement un chiffrement de bout-en-bout, mais également une authentification de bout-en-bout, préalable indispensable à une véritable sécurité.
Le numéro de téléphone, « un très mauvais identifiant »
« Pour une raison que j'ignore, ça fait des années que toutes les messageries sécurisées parlent de chiffrement, et c'est passé dans le langage courant. Mais en réalité, il y a un élément préalable essentiel : l'authentification », décrit Thomas Baignères.
L'application française est déjà utilisée au plus haut niveau de l'État, y compris par le président Emmanuel Macron. Elle repose sur un principe simple : l'utilisateur crée un compte qui reste sur son téléphone et choisit explicitement avec qui il souhaite entrer en contact, sans intermédiaire. Et donc, sans donner quelque donnée que ce soit. Les autres applications demandent systématiquement un numéro de téléphone.
Thomas Baignères met justement en garde contre l'utilisation du numéro de téléphone comme identifiant dans les messageries. Il explique que le processus de vérification par SMS est intrinsèquement vulnérable : « N'importe qui capable d'écouter le canal SMS peut avoir les 6 ou 8 chiffres réclamés par WhatsApp ou autres et les rentrer comme vous, donc usurper votre capacité à prouver que vous êtes bien le détenteur du numéro. » Le fondateur d'Olvid souligne que « le réseau SMS est probablement l'un des réseaux les moins sûrs du monde », ce qui rend toute la sécurité du système fragile dès le départ. Mais venons-en au cœur du problème.
L'impossibilité technique des portes dérobées, les « backdoors sécurisées »
Concernant la proposition de loi Narcotrafic, Thomas Baignères nous met en garde, avec les pincettes de rigueur, contre l'illusion technique des backdoors dites « sécurisées ». « L'idée est, si j'ai bien compris, de créer des backdoors que l'on pourrait activer exclusivement dans le cadre d'affaires criminelles. Le problème, c'est que c'est techniquement impossible à réaliser », affirme celui qui est aussi docteur en cryptographie.
Pour illustrer cette impossibilité, le PDG d'Olvid utilise une métaphore parlante : « Imaginez que je tienne une pomme entre les mains à 1m50 du sol, que je la lâche, il y a une probabilité très importante pour qu'elle tombe. Et là, la loi nous dit : on va vous obliger à faire en sorte que cette pomme reste en lévitation. Sauf que la gravité est une loi universelle, et que la pomme va inévitablement tomber. »
La position d'Olvid est donc sans équivoque : « Il est absolument exclu d'introduire des backdoors, on ne le fera jamais. Il faut que ce soit vraiment hyper clair : le chiffrement de bout-en-bout, on ne le touche pas. Il n'y a aucune autre forme de discussion là-dessus », affirme catégoriquement Thomas Baignères.
« Si je vais voir nos utilisateurs en leur disant qu'il y a un petit changement d'architecture et que maintenant, à n'importe quel instant, si j'appuie sur un bouton, je vais pouvoir lire les conversations, je pense qu'ils vont me regarder avec un œil un peu interloqué », ajoute-t-il, soulignant que cela anéantirait la raison d'être d'Olvid.
Un équilibre à trouver entre sécurité nationale et protection de la vie privée
L'entreprise française, qui revendique plus de 200 000 utilisateurs actifs, se dit néanmoins prête au dialogue avec les autorités. « On comprend que les services de police aient besoin d'information. On est tous d'accord qu'il est bon de lutter contre le trafic de drogue, c'est une évidence et si on peut les aider, on le fera. »
Thomas Baignères souligne tout de même le paradoxe d'une législation qui, si elle était adoptée telle que proposée, pourrait affaiblir (et pas qu'un peu) le chiffrement. « Imaginons que le chiffrement devienne interdit, les honnêtes gens n'auraient plus rien pour se protéger et les criminels, eux, se ficheraient totalement de la loi puisque par définition ils s'en fichent déjà. »
La solution réside peut-être dans l'approche suggérée par l'ancien directeur de l'ANSSI, Guillaume Poupard, pour qui toucher au chiffrement n'aurait pas de sens. « Le chiffrement, on n'y touche pas, ça n'a effectivement pas de sens, mais des solutions alternatives doivent être trouvées », rappelle le PDG d'Olvid, qui appelle à un travail de réflexion entre législateurs et techniciens, pour trouver un équilibre respectueux des libertés numériques.
« Quand on a une réquisition, on peut donner des éléments d'information aux autorités, sans pour autant compromettre le chiffrement, il n'y a aucun problème là-dessus », précise au passage Thomas Baignères. Et le dirigeant d'ouvrir la voie à une collaboration constructive avec les autorités qui respecterait l'intégrité technique et éthique d'un internet sécurisé.
À l'heure où la France s'apprête à débattre d'un amendement et d'une proposition de loi controversée, on a bien compris que l'enjeu dépasse largement la simple question technique, pour toucher à l'équilibre fondamental entre la sécurité publique et protection des libertés individuelles.
Le cas d'Olvid illustre parfaitement ce dilemme moderne : comment préserver les outils de protection numérique des citoyens tout en donnant aux autorités les moyens d'accomplir leurs missions de sécurité ? Voilà une équation que le législateur devra résoudre sans sacrifier l'un pour l'autre.
