L’affaire Olvid est symptomatique d’une bataille idéologique sur la « souveraineté IT » et la réalité de terrain. L’éditeur d’une solution de messagerie sécurisée (certifiée par l’Anssi rappelons-le) a été mis sous le feu des projecteurs après qu’Elisabeth Borne ait sommé les ministres de ne plus se servir d’autres applications (comme WhatsApp, Signal, Telegram,…). La sphère médiatique s’est emparée du débat en soulevant quelques contradictions sur l’aspect purement « national » d’Olvid. Nos confrères de l’Informé et du Canard Enchaîné ont constaté que l’éditeur français hébergeait son serveur de distribution de message chez AWS.
La nationalité américaine du fournisseur de cloud a donc fait resurgir les craintes d’une soumission aux lois américaines et de leur caractère extraterritoriale, comme le Cloud Act ou plus encore le FISA (qui vient d’être prolongé par le Congrès au moins jusqu’en avril prochain). Ce choix brouille aussi pour le moins le message du Gouvernement d’adopter une solution « complétement » française. Jean-Noël Barrot, ministre délégué chargé de la transition numérique et des télécommunications, avait déclaré dans une interview à France Info, « Olvid, c'est une solution qui est 100 % française,100 % sécurisée».
AWS, un passage obligé
Voyant la polémique enfler, Olvid est monté au créneau en publiant un long message pour se défendre et préciser certains termes. Sur la partie exposition aux lois américaines, il met en avant sa technologie de chiffrement de bout en bout. Il « garantit cryptographiquement qu’il sera impossible pour un tiers de recouvrer ce message, même si ce tiers a enregistré l’intégralité du trafic internet et dérobé les appareils des deux utilisateurs pour en extraire toutes les clés cryptographiques ».
Sur le choix d’AWS pour son serveur relais, l’éditeur met en avant la qualité de service et le passage à l’échelle du fournisseur de cloud. « C’est là que nous avons trouvé la meilleure qualité de service, avec le moins d’effort à fournir de notre côté pour la maintenance et le passage à l’échelle de notre infrastructure », observe la société. Une position souvent entendue par d’autres organisations pour justifier l’adoption de cloud américain (Health Data Hub sur Azure ou le PGE (prêt garanti par l’Etat) sur AWS).
Pas de PaaS labellisé SecNumCloud
Une solution pourrait être un hébergement sur un cloud de confiance, labellisée SecNumCloud. Mais Olvid rappelle qu’aujourd’hui les offres disponibles concernent uniquement le IaaS et non le PaaS. « Il n’existe aujourd’hui pas d’offre SecNumCloud de type PaaS, car construire une offre de ce type à partir d’une IaaS représente un travail colossal », peut-on lire en gras dans le message. Et la société a dressé une liste des services utilisés chez AWS : Lambda (serverless), API Gateway, DynamoDB (base de données managée), SNS (pour l’envoi de notifications push), SQS (pour le traitement asynchrone de requête) et du S3 (stockage objet). Le tout en haute disponibilité.
Effectivement, la plupart des acteurs travaillent sur ce sujet. Christophe Lesur, directeur général de Cloud Temple, avait évoqué lors d’un atelier aux Assises de la Sécurité, « une qualification des fonctions PaaS au Q1 2024 ». Du côté de Docaposte, le PDG Olivier Vallet, nous a indiqué, « déposer un dossier pour la partie PaaS au milieu de l’année prochaine auprès de l’Anssi ». Même Octave Klaba, CEO d’OVH s’est invité dans le débat en interpellant directement Olvid sur Twitter, « j’ai lu la liste de produits que vous avez besoin. Ca m’intéresse de discuter comment vous pouvez utiliser notre Public Cloud (PaaS) avec ISO27000 et/ou SecNumCloud (pas IaaS). Sinon vous resterez inaudible sur l’argumentaire technique pour plein de utilisateurs/clients. » Olvid s’est empressé d’accepter la main tendue par le dirigeant. A suivre...
Commentaire