Pour gérer vos consentements :
Categories: LogicielsOpen Source

Olvid : après la CSPN, l’open source

Intégration MDM, interfaçage avec les annuaires d’identités, plug-in Keycloak pour l’IAM… Autant d’éléments qui figurent sur la feuille de route d’Olvid. Et qui traduisent la volonté de son éditeur* : pousser cette messagerie sécurisée vers les entreprises.

En ce début d’année, le logiciel bénéficie d’un coup de projecteur. Pas tant pour cette stratégie que pour la concrétisation d’une promesse : son passage en open source. Une démarche prévue pour 2021… et réalisée in extremis, le 31 décembre. Elle englobe le code source des applications mobiles (iOS, Android ; licence GPLv3) et les protocoles cryptographiques qui sous-tendent Olvid.

Pour avoir une idée du fonctionnement de ces protocoles, on pourra consulter les spécifications techniques d’Olvid. Pour une approche à plus haut niveau, il y a les rapports de certification CSPN (attribuée à la version iOS en septembre 2020 et à la version Android en mai 2021).

La CSPN iOS a pris en considération quatre éléments : authentification des utilisateurs, authentification des échanges, chiffrement des messages et des pièces jointes, chiffrement des sauvegardes du carnet de contacts. Idem sur Android, avec un élément supplémentaire : les appels VoIP. À travers ces derniers, Olvid a instauré un début de modèle économique freemium : émettre ces appels nécessite une licence payante (4,99 € TTC/mois/utilisateur ; achat in-app).

AWS inside

Les messages, comme les appels, sont relayés via un serveur hébergé chez AWS. Ce serveur assure exclusivement la mise en relation de ces communications entre contacts. Il ne récupère aucun élément d’identification. Un point-clé d’Olvid, « fondé uniquement sur la confiance mutuelle des interlocuteurs ». L’établissement de cette confiance repose notamment sur l’échange de codes.

L’identité d’un utilisateur associe une URL de serveur et deux clés publiques (une pour le chiffrement ; l’autre pour la signature et l’authentification). Elle ne contient rien qui permette de lier lesdites clés à une identité du monde réel (une distinction par rapport aux certificats x509).
Les appels VoIP s’appuient sur le même canal de confiance. Avec WebRTC pour le chiffrement de bout en bout.

Des clients de bureau (Windows, Mac et Linux) sont dans les cartons. Avec, nous promet-on, une synchronisation sans dispositif maître. Pour le moment, on peut utiliser une version web, à condition de disposer d’un appareil Android compatible qui servira de passerelle.

* Une start-up parisienne du même nom, à la tête de laquelle on trouve deux docteurs en cryptographie. Dont Matthieu Finiasz, par ailleurs président-cofondateur de CybelAngel.

Illustration principale © Buida Nikita Yourievich – Shutterstock

Recent Posts

Quand le candidat IT idéal n’est pas celui que vous croyez

L'usage de "deepfakes" et d'informations d'identification personnelle volées progresse chez les candidats et usurpateurs patentés…

1 jour ago

Roaming : le menu dans l’Union européenne jusqu’en 2032

La nouvelle régulation sur l'itinérance mobile dans l'UE est entrée en application. Quelles en sont…

1 jour ago

Vers une régulation européenne des cryptoactifs : quelles bases technologiques ?

Les colégislateurs de l'UE ont trouvé un accord provisoire sur trois propositions de règlements touchant…

1 jour ago

Google Cloud ouvre sa région France

Google Cloud dispose d'une région France lancée commercialement fin juin. Une étape indispensable pour lutter…

1 jour ago

Pourquoi FedEx bascule des grands systèmes au cloud

Le transporteur américain FedEx va fermer les 20% restants de ses mainframes dans les deux…

1 jour ago

Cloud de confiance : quelle feuille de route pour S3NS, la coentreprise Google-Thales ?

Sous l'ombrelle S3NS, Google et Thales esquissent une première offre en attendant celle qui visera…

2 jours ago