Menu Close

25/03/2021: Messagerie chiffrée : une nécessité? avec Cédric Sylvestre

« La décentralisation pour une meilleure sécurité au plus proche des utilisateurs », c’était le thème et la conclusion de cette nouvelle masterclasse organisée par l’équipe de la Cybersecurity Student Association ce jeudi 26 mars. A cette occasion, nous recevions Cédric Sylvestre, l’un des quatre cofondateurs d’Olvid, la messagerie instantanée 100% French touch, réputée la plus sûre au monde. Diplômé de l’IEP de Lyon, d’un 3e cycle de droit international, et de l’ESCP-Europe, Cédric Sylvestre est actuellement chargé du business development d’Olvid.  

WhatsApp est la messagerie la plus utilisée, y compris dans le milieu professionnel. Cette utilisation professionnelle est ce que Cédric Sylvestre appelle du « Shadow IT » (l’adoption d’une pratique issue vie privée dans les milieux professionnels). L’application est effectivement attrayante du fait de la simplicité de son utilisation et du fait qu’elle propose une même interface pour les amis, la famille et les collèges. Sa gratuité est également un facteur important, bien que problématique du fait du modèle économique de Whatsapp basé sur l’exploitation des données et métadonnées.  

Pourtant, aujourd’hui, les fuites de données en entreprise proviennent majoritairement d’une négligence (et bien moins d’un acte de malveillance). A 95% des cas, cette négligence provient d’un tiers (sous-traitants, partenaires, consultants, avocats) et concerne donc tous les niveaux (top management, consultant, RH, R&D). 

Comment fonctionne Whatsapp?

La sécurité de la messagerie Whatsapp se base sur deux éléments centraux : 

  • l’encryption de bout en bout, qui permet de transmettre via des serveurs de distribution des messages chiffrés d’un utilisateur à l’autre
  • un ‘annuaire des utilisateurs’, qui regroupe sur un autre serveur les 2,5 milliards de numéros de téléphone des utilisateurs de WhatsApp associés à leurs clés de chiffrement (qui sont systématiquement distribuées aux numéros de téléphone) .

Pourquoi est-ce problématique?

Pour Cédric Sylvestre, 2 éléments posent problème : d’une part, la centralisation de ce système de sécurité sur un même serveur, et d’autre part le fait que l’identité d’une personne soit seulement basée sur le numéro de téléphone. Comme il l’explique, un numéro ne peut pas pleinement certifier l’identité d’un interlocuteur – Whatsapp peut certes chiffrer une conversation entre deux numéros mais ne peut garantir ni une identification ni une authentification des interlocuteurs. 

Comment fonctionne Olvid ?

A l’inverse de Whatsapp, Olvid ne centralise pas les clés de chiffrement et ne demande aucune donnée aux utilisateurs (la messagerie ne se base pas sur le numéro de téléphone), en réinventant les procédés cryptographiques. Olvid fonctionne avec des clés d’API anonymes. La messagerie n’opère donc aucun serveur annuaire des identités numériques de ses utilisateurs. Sa principale différence avec les autres applications telles que Signal ou Telegram réside dans le fait que les données des utilisateurs ne sont pas hébergées sur un serveur ou sur le cloud.

Le modèle économique d’Olvid se base pour l’instant exclusivement sur la vente en B2B aux entreprises de la formule payante de la messagerie (disposant de davantage d’options que la formule gratuite).

En mai 2019, Mark Zuckerberg a dit : « the future is private ». En mars 2021, Cédric Sylvestre lui a répondu : « the future is decentralization ».

Ressources :

https://olvid.io/fr/


“Decentralization for better and closer security ” was the topic and the final words of this last masterclass organized by the Cybersecurity Student Association team this Thursday, March 26th. For this occasion, we welcomed Cédric Sylvestre, one of the four co-founders of Olvid, a 100% French touch instant messenger app, ‘the safest in the world’ for some. Graduated from the Lyon IEP and ESCP-Europe, Cédric Sylvestre is currently in charge of the business development  at Olvid.

WhatsApp is the most widely used messaging system, including inside most workplaces. This work usage is what Cédric Sylvestre calls “Shadow IT” (the adoption of a private life practice in a professional environment). The app is actually attractive because of its simplicity of use and the fact that it offers a single interface for friends, family and colleges. Its free access is also an important factor, although problematic due to WhatsApp’s business model based on the exploitation of data and metadata.

But most corporate data breaches today are the result of negligence (and much less of malicious intent). In 95% of cases, this negligence comes from a third party (subcontractors, partners, consultants, lawyers) and therefore concerns all levels (top management, consultant, HR, R&D).

How does Whatsapp work?

The security of Whatsapp messaging is based on two central elements:

  • end-to-end encryption, which enables encrypted messages to be transmitted from one user to another via distribution servers
  • a “user directory”, which groups together on another server the 2.5 billion telephone numbers of WhatsApp users associated with their encryption keys (which are systematically distributed to telephone numbers).

Why is this problematic?

For Cédric Sylvestre, there are two problems: on the one hand, the centralization of this security system on one sole server, and on the other hand the fact that a person’s identity is only based on the telephone number. As he explains, a number cannot fully certify the identity of a caller – Whatsapp can encrypt a conversation between two numbers but cannot guarantee the caller identification or authentication.

How does Olvid work?

Unlike Whatsapp, Olvid does not centralize encryption keys and does not request any data from users (the app does not need a phone number to work), reinventing cryptographic processes. Olvid works with anonymous API keys.  Therefore, Olvid does not have any directory server for the digital identities of its users. Its main difference from other apps like Signal or Telegram is that user data is not hosted on a server or in the cloud.

Olvid’s business model is currently based exclusively on B2B sales of the paid messaging plan (which offers more options than the free formula).

In May 2019, Mark Zuckerberg said: “the future is private”. In March 2021, Cédric Sylvestre replied: “the future is decentralization”.

Resources:

https://olvid.io/fr/