Le président de la start-up Olvid, Thomas Baignères, que Clubic a rencontré, entend concurrencer WhatsApp, Signal ou encore Telegram sur le marché de la messagerie instantanée sécurisée.

Olvid annonce tout de suite la couleur, en faisant la promesse à ses potentiels utilisateurs de leur offrir la « messagerie instantanée la plus sûre du monde », et ainsi concurrencer le géant WhatsApp, en ciblant avant tout les entreprises. La jeune entreprise française, née il y a moins de deux ans, se donne les moyens de ses ambitions sur un marché déjà bien encombré, en misant avant tout sur les idées et l'innovation plutôt que sur des levées de fonds à vau-l'eau. L'application freemium (une partie gratuite, avec des fonctionnalités payantes) ne nécessite aucune donnée personnelle, et ne se sert pas des mêmes ingrédients que ses concurrents. Pour en parler plus en détails, nous avons discuté, à l'occasion des Assises de la sécurité 2020 à Monaco, avec le P.-D.G. et co-fondateur d'Olvid, Thomas Baignères.

Interview de Thomas Baignères, P.-D.G. et co-fondateur d'Olvid

Thomas Baignères (© Alexandre Boero pour Clubic)
Thomas Baignères (© Alexandre Boero pour Clubic)

Clubic : Une première question très simple : pouvez-vous nous présenter Olvid ?

Thomas Baignères : Olvid, c'est une messagerie disponible pour iOS ou Android. Notre ambition est de réussir à remplacer WhatsApp dans les entreprises et dans la poche d'un maximum de monde. C'est la première messagerie qui se passe totalement de tiers de confiance, qui n'a besoin d'aucune donnée personnelle pour fonctionner et qui est fondamentalement gratuite, la première au monde. Certains se disent surement « mais je ne comprends pas, WhatsApp, c'est gratuit pourtant ! ». On sait bien que lorsque c'est gratuit, c'est que c'est vous le produit. Chez nous, pour la première fois, ce n'est pas vrai. Tout repose sur de la cryptographie de haute voltige. Nous avons mis tout ce qu'il est possible de mettre en œuvre scientifiquement pour protéger vos données.

« L'application est fondamentalement gratuite. Mais nous avons certaines fonctionnalités payantes, à destination des entreprises. Elles font vivre notre société »

Au-delà de cette messagerie, comme nous n'avons pas de données, on nous pose la question de notre modèle économique, qui est extrêmement simple. Nous avons certaines fonctionnalités qui sont payantes et plutôt à destination des entreprises. Comme la voix chiffrée de bout en bout, en one-to-one, et nous travaillons sur la possibilité de faire des conférences téléphoniques. Il y a aussi la visio, la connexion avec l'Active Directory, un client desktop ou encore une roadmap. Ce sont ces options-là qui font vivre l'entreprise aujourd'hui.

Vous parliez de WhatsApp. Qu'est-ce qui distingue Olvid de l'application américaine, mais aussi de Signal ou encore Telegram, d'autres messageries dites « sécurisées » ?

On se distingue techniquement au départ. WhatsApp fait beaucoup de marketing sur le chiffrement de bout en bout, qui est la capacité à chiffrer votre message avant qu'il ne quitte votre téléphone, en le protégeant par des moyens cryptographiques. Le message traverse Internet et les serveurs de WhatsApp, toujours chiffré et protégé. Puis il va arriver sur le téléphone de votre destinataire, et ce n'est que là qu'il sera déchiffré. En termes de promesse, pour la protection des données, c'est ce qu'on peut faire de mieux.

Mais comment WhatsApp s'y prend-il pour créer ce canal chiffré sécurisé de bout en bout ? C'est la question. En fait, dans l'architecture de WhatsApp, il y a un serveur dont on parle peu, qui est un annuaire, opéré par Facebook sur le sol américain, qui regroupe l'intégralité des 2,5 milliards de numéros de téléphone des gens qui utilisent WhatsApp. Lorsque vous démarrez une conversation téléphonique avec l'un de vos proches ou collègues, votre téléphone interroge l'annuaire en lui disant qu'il veut parler à tel numéro de téléphone, et l'annuaire lui fournit les données cryptographiques, les clés publiques sur lesquelles il va falloir se baser pour créer ces canaux de chiffrement de bout en bout. À ce moment-là, vous êtes en train de faire confiance à un annuaire, à un tiers pour vous livrer les données cryptographiques. Si cet annuaire est malveillant ou qu'il est piraté, vous n'avez plus la moindre sécurité. Il y a un tiers de confiance pour 2,5 milliards de personnes, ce qui n'a absolument aucun sens. Ce n'est qu'une illusion de sécurité.

« AVEC WHATSAPP, il y a un tiers de confiance unique pour 2,5 milliards de numéros de téléphone, ce qui n'a aucun sens. chez olvid, nous avons supprimé cet annuaire unique »

Signal, c'est le même modèle, mais ils ont au moins eu la bonne idée de blinder toute la sécurité au maximum. Il y a un annuaire, mais ils font tout ce qu'il est possible techniquement pour protéger au mieux ce dernier et les utilisateurs.

Ensuite, il y a Telegram, et là, c'est le pire. Contrairement à ce que les gens croient, il n'y a pas de chiffrement de bout en bout des communications. Quand vous êtes à deux, vous pouvez activer cette option, le secret chat. Si vous ne l'activez pas, tout ce que vous dites est en clair sur des serveurs de Telegram. Et si vous êtes en groupe, à partir de trois personnes, tout est en clair sur leurs serveurs. Telegram, c'est la sécurité de l'e-mail.

Et Olvid dans tout ça ? Au départ, on a tout de suite voulu supprimer cet annuaire. Lorsque vous supprimez la clé de voûte de toute une architecture de sécurité, généralement, tout se casse la figure. Il ne faut pas avoir un serveur qui joue un rôle dans la sécurité. Il faut remettre la sécurité dans les mains des utilisateurs. C'est ce que nous avons fait avec Olvid, avec la suppression de l'annuaire et des protocoles cryptographiques notamment issus de la recherche publique, qui sont modernes et ne mettent généralement que 15 à 20 ans à sortir. Olvid est la première messagerie qui fait du chiffrement de bout en bout d'absolument tout (données et métadonnées).

Comment connecte-t-on ses contacts dans Olvid ? Pas en passant par l'annuaire du smartphone, donc ?

On ne voulait pas demander aux utilisateurs d'avoir accès à leur carnet d'adresses, carnet qui ne leur appartient pas. On ne demande aucun accès. Dans le cas d'Olvid, le numéro de téléphone ne sert à rien, et lorsque vous lancez la messagerie pour la première fois, on vous demande un prénom et un nom, et ça reste sur votre téléphone. Il n'y a pas de notion de compte sur Olvid, vous gardez tout en local sur votre smartphone. Et cette identité que vous venez de créer, vous avez l'occasion de la partager avec les gens avec qui vous voulez entrer en contact. La personne recevant votre identité peut vous inviter à discuter sur Olvid. Si vous acceptez, ce qui va apparaître, ce sont quatre chiffres chez vous, quatre chiffres sur l'écran de votre correspondant. Le seul travail à faire est d'échanger ces quatre chiffres. Une fois que ce travail est fait, Olvid crée le canal sécurisé, et ensuite vous utilisez Olvid comme vous utilisez WhatsApp.

Un QR, puis un code à quatre chiffres permettent de relier deux contacts en toute sécurité (© Alexandre Boero pour Clubic)
Un QR, puis un code à quatre chiffres permettent de relier deux contacts en toute sécurité (© Alexandre Boero pour Clubic)

Donc, les deux étapes nécessaires pour ajouter quelqu'un à ses contacts via Olvid, ce sont l'envoi du lieu avec le QR code et le code à quatre chiffres.

Oui. En fait, nous avons décentralisé la confiance et l'avons remise dans les mains des gens.

« Il n'y a pas de notion de compte sur Olvid, vous gardez tout en local sur votre smartphone »

L'outil est formidable, mais sa force ne fait-elle pas aussi sa faiblesse ? Est-ce que ça ne va pas ralentir la progression de l'adoption de l'application ?

Mais c'est très bien (rires). Il y a quelques années, les gens n'étaient pas nécessairement demandeurs, et dans un monde BtoC, oui, ça pourrait freiner l'adoption. Mais les gens commencent à prendre conscience de ce qu'ils ont à perdre en utilisant une messagerie gratuite. On l'a vu avec Facebook et le scandale Cambridge Analytica. Avec Olvid, vous discuterez avec les gens avec qui vous discutez dans la vraie vie. C'est un réseau social à taille humaine.

Combien d'utilisateurs recensez-vous pour le moment ?

Nous avons eu 30 000 téléchargements, mais ce qui compte, c'est le nombre d'utilisateurs quotidiens, et nous sommes à 6 000 actuellement.

Les deux contacts potentiels doivent s'échanger un code respectif (© Alexandre Boero pour Clubic)

Parmi eux, est-ce qu'on retrouve essentiellement des professionnels, des entreprises ?

Tout à fait. WhatsApp est un fléau dans les entreprises, mais il faut reconnaître que ça marche bien, ça va vite, ça se télécharge en deux minutes. Finalement, c'est exactement ce qu'on a fait, mais nous sommes respectueux des utilisateurs et entreprises qui décideraient d'utiliser notre solution.

Ici, aux Assises, nous avons eu un nombre de prospects absolument incroyable, séduits par l'idée. Il n'y a pas d'annuaire, mais ça n'empêche pas une entreprise qui dispose de son propre annuaire (par exemple l'Active Directory) de s'appuyer là-dessus pour permettre à tous les collaborateurs de l'entreprise d'utiliser Olvid avec la même facilité qu'un WhatsApp. L'idée est de proposer une messagerie qui, au sein de l'entreprise, permet à tous d'échanger avec la même expérience qu'un WhatsApp, en créant gratuitement et en 30 secondes une passerelle sécurisée par exemple entre la grande entreprise et la TPE.

Est-ce qu'à l'image d'un Qwant vous souhaitez convaincre les institutions et administrations ?

Nous n'en sommes pas là et restons pragmatiques. Pour ce qui est de la partie étatique, l'État a déjà développé Tchap. Nous préférons rester dans le secteur privé, ça reste notre objectif premier.

« Un réseau social à taille humaine »

On a voulu montrer que la technologie marchait, avant de trouver des financements ou de demander de l'aide. Nous avons développé toute la partie technique et la R&D. Lorsque nous avons demandé des financements, nous avons montré que la messagerie fonctionnait, à la fois sur un smartphone Android et sur un mobile iOS. Ce fut validé, et aujourd'hui encore, par des chercheurs de l'École normale supérieure. On fait valider tout ce qu'on fait par un chercheur, Michel Abdalla, de l'ENS, qui est probablement l'un des plus compétents dans le monde sur ces problématiques de protocole cryptographique. Nous faisons du bug bounty avec l'entreprise YesWeHack depuis un certain temps. Et nous sommes devenus la première messagerie au monde à avoir obtenu une certification de sécurité de premier niveau (CSPN), délivrée par l'ANSSI.

Sur quelles fonctionnalités travaillez-vous aujourd'hui ? Allez-vous continuer à développer la partie freemium de l'application ?

C'est l'idée, oui. Je m'y engage : nous aurons toujours une partie fondamentalement gratuite. Aujourd'hui, ce qui est gratuit, c'est l'échange de texte, de pièces-jointes de toutes natures et de toutes tailles, à deux ou en groupe sans limite. Il n'y a pas de limite en nombre de personnes.

Aujourd'hui, nous travaillons sur des fonctionnalités destinées aux entreprises, comme la capacité à s'interfacer avec l'annuaire de l'entreprise de manière sécurisée, avec plusieurs settings différents en fonction de la façon dont l'entreprise a envie de voir cet interfaçage-là. Quand on touche à Activity Directory, il faut faire attention, sinon on vous met dehors si vous ne le faites pas correctement. Nous travaillons à la voix, à la visio. Dans un premier temps, la voix marche déjà à deux mais on veut qu'elle marche à cinq, six voire dix. Nous travaillons sur un client web, qui permettra d'avoir un écran déporté de son téléphone sur son ordinateur pour pouvoir facilement glisser et déposer les pièces-jointes, c'est très important. On travaille également sur un client autonome : vous n'avez pas de téléphone, ce n'est pas grave, mais vous avez un client autonome qui marche sur votre ordinateur et est complètement synchronisé avec votre téléphone. Cela devrait arriver pour le milieu de l'année prochaine. Nous travaillons à développer toute la partie message éphémère, c'est-à-dire pouvoir envoyer un message qui va s'autodétruire, et envoyer un message qu'on a le droit de voir qu'une fois, etc.

C'était le mot de la fin, merci beaucoup Thomas ! Bon courage avec Olvid.

Merci beaucoup, c'est sympa.

Olvid
  • Facile de prise en main
  • Aucune donnée collectée
Télécharger