Archives des OLVID - GENERATE

Comment Olvid entrevoit l’avenir de sa messagerie sécurisée

Thomas Kolbe — Sun, 07 Jun 2020 05:24:05 +0000

La jeune pousse française prépare l’arrivée de la vidéo et de l’audio, mais également du support de clients multiples – notamment pour le poste de travail – et encore de celui des déploiements d’entreprise en lien avec l’annuaire.

Cela fera bientôt 3 ans que Thomas Baignères, Matthieu Finiasz – tous deux docteurs en cryptographie, le second co-fondateur de CybelAngel –, Jacques-André Bondy et Cédric Sylvestre ont créé Olvid, une jeune pousse française à l’ambition affichée d’offrir une alternative robuste et hautement sécurisée aux messageries électroniques du marché – que ce soit WhatsApp et Telegram, mais aussi Signal, et même Wire, Wickr ou encore Threema. Olvid a notamment été distinguée en ouverture de l’édition 2020 du Forum International de la Cybersécurité, fin janvier à Lille.

Cédric Sylvestre raconte que l’aventure a commencé lorsque Thomas Baignères et Matthieu Finiasz ont décidé de se pencher sur l’architecture des messageries instantanées, afin de chercher à savoir s’ils pouvaient leur faire confiance pour échanger des informations sensibles. De cet examen est ressorti ce qu’ils ont identifié comme des points critiques majeurs : la base de données à partir de laquelle les messageries identifient les correspondants, à partir de leurs numéros de téléphone, d’une part, et le mécanisme de gestion de l’identité basé sur le seul numéro de téléphone.

« Ce serveur pose problème parce qu’il est tout puissant », indique Cédric Sylvestre, évoquant des risques d’interception ou de compromission. Et la gestion des identités sur la seule base des numéros de téléphone peut se révéler peu robuste, notamment avec le risque de SIM swapping.

Olvid n’utilise au contraire pas d’annuaire – et assure le chiffrement de toutes les métadonnées. D’ailleurs, impossible de savoir si ses contacts l’utilisent sur la seule base de leur numéro de téléphone : les échanges n’ont vocation qu’à avoir lieu dans un cercle de confiance. « Nous avons choisi de baser la mise en relation sur la confiance que s’accordent les personnes, sans passer par un tiers ». Dans la pratique, l’utilisateur présente à ses correspondants potentiels un code QR correspondant à un identifiant qui lui est exclusif.

L’audio et la vidéo arrivent prochainement

Alors certes, certaines plateformes de messagerie permettent le déploiement de serveurs sur ses propres infrastructures, à l’instar d’un Matrix/Riot par exemple, mais également Wire et Wickr. Mais Cédric Sylvestre avance de potentielles difficultés et risques, liés à l’ouverture de comptes dédiés à des tiers externes à l’organisation. Ce que permet d’éviter Olvid : « le premier cas d’usage que l’on a observé, c’est la gestion de crise, quand le système d’information est tombé ou dégradé ».

Aujourd’hui, toutefois, Olvid affiche un éventail fonctionnel en retrait de ses concurrents. Mais la jeune pousse s’attelle d’arrache-pied à y remédier. Matthieu Finiasz explique ainsi, que la prochaine grosse nouveauté à venir sera l’audio et la vidéo sécurisés, mais tout d’abord limités à des échanges à deux. Et cela permettra, dans un premier temps, d’éviter de chercher une réponse technique aux questions d’architecture liées aux conversations à plusieurs avec chiffrement de bout en bout : « on veut retrouver le même niveau de sécurité dans les communications vocales que pour le canal texte ».

WebRTC sera utilisé, mais en faisant passer la signalisation par le canal sécurisé déjà existant aujourd’hui, et sans faire de pair-à-pair : les communications transiteront par un serveur central.

De nouveaux outils clients

Pour maintenir le chiffrement de bout en bout à plus de deux personnes, une astuce est envisagée : envoyer vers chaque participant l’ensemble des flux audio – qui, « suffisamment compressés », peuvent ne pas consommer trop de bande passante – mais limiter le flux vidéo descendant au seul participant en train de véritablement parler. « Le système mosaïque avec les vidéos de tout le monde, on oublie ; on ne peut pas le faire avec du chiffrement de bout en bout », souligne Matthieu Finiasz.

Pour l’heure, Olvid n’est disponible que sur terminaux mobiles Android et iOS – non via une interface Web ou un client lourd. Et cela peut s’avérer pénalisant à l’usage. Matthieu Finiasz en est parfaitement conscient : « un développeur travaille actuellement au client lourd Windows, qui utilisera le moteur cryptographique écrit en Java du client Android ».

Mais cela implique de pouvoir gérer l’utilisation d’un même compte Olvid sur plusieurs terminaux. Ce qui n’est pas encore le cas, quand bien même « le moteur est prévu pour cela depuis le début », car « tout n’a pas encore été implémenté ».

En attendant, un client Web léger, rattaché au téléphone – à l’instar de WhatsApp for Web – est en cours de préparation. La préférence va là au développement d’extensions de navigateur afin de limiter le recours à du téléchargement de code au chargement de la page : « les extensions sont signées, ce qui permet d’être sûr que le code n’est pas modifié à la volée ».

Gérer les déploiements d’entreprise

Accessoirement, cette approche « client léger » connecté peut mieux répondre à certains besoins qu’un client lourd, notamment dans les environnements avec ordinateurs partagés, comme dans les hôpitaux, par exemple. Car là, il n’est pas question d’avoir une identité liée fortement à un client lourd.

Mais le mode de gestion des identités retenu par Olvid peut toutefois poser des difficultés en entreprise : comment provisionner les contacts internes à l’organisation d’un utilisateur à l’installation de l’application ? C’est le troisième volet de la roadmap de la jeune pousse : le lien avec l’annuaire d’entreprise.

Matthieu Finiasz entrevoit là l’intégration avec le système d’administration de la mobilité d’entreprise (EMM) pour pousser un fichier de configuration permettant ce provisionnement : « l’idée est de permettre d’entrer en contact avec ses collègues sans avoir à passer par un échange de codes, et de pouvoir directement accéder à des groupes poussés par l’Active Directory ».

La réflexion porte à ce stade sur l’utilisation de Keycloak pour assurer la fédération d’identité, via des clés publiques, entre l’annuaire et l’EMM – à charge pour l’entreprise de le déployer en interne. Et bien sûr, pas question d’écrire sur l’AD, mais de quoi se préparer et disposer d’outils prêts pour faire face, par exemple, à une situation de gestion de crise.

Cédric Sylvestre explique que l’audio et la vidéo sont attendus en bêta pour la fin juin, puis la commercialisation à partir de septembre. Olvid commencera à travailler sur le lien avec l’AD durant l’été. Les clients Web et Windows sont quant à eux prévus pour la fin de l’année

Source : Le MagIT

L’article Comment Olvid entrevoit l’avenir de sa messagerie sécurisée est apparu en premier sur GENERATE.

La messagerie Olvid, ultra-sécurisée se confronte aux 15 000 hackers de la communauté YesWeHach

Thomas Kolbe — Thu, 07 May 2020 12:56:57 +0000

La messagerie Olvid, ultra-sécurisée grâce à une architecture logicielle et au chiffrement, lance un programme de Bug Bounty public sur YesWeHack. Chercheurs: A vos claviers!

La messagerie ultra-sécurisée Olvid intègre déjà une sécurité de très haut niveau grâce à une architecture logicielle et à un chiffrement évolués.
Son éditeur éponyme a décidé de lancer un programme de Bug Bounty public sur YesWeHack, leader européen de la discipline.
La start-up hexagonale va ainsi soumettre sa messagerie à l’épreuve des diverses incessantes attaques lancées par les 15 000 hackers de la communauté YesWeHack.
Objectif clairement annoncé: renforcer plus encore la sécurité de l’application, détecter et corriger les éventuelles faiblesses, et rendre un meilleur service aux utilisateurs de la solution, en toute transparence.

Un challenge au service des utilisateurs

Se présentant comme la messagerie la plus sécurisée du monde, Olvid s’appuie sur une architecture renforcée utilisant un minimum de librairies tierces et sur un chiffrement accru sur toute la chaîne des traitements.
«Pour une messagerie ultra sécurisée comme Olvid, le Bug Bounty est indispensable: si nous voulons qu’une application résiste aux hackers, il faut la faire évaluer avec l’aide de spécialistes qui utilisent les mêmes méthodes d’attaque que les cyberpirates. Et c’est justement ce que peut nous apporter une spécialiste comme YesWeHack avec sa communauté internationale de chercheurs,» déclare Matthieu Finiasz directeur technique et cofondateur d’Olvid.
Bien au-delà du défi, la démarche traduit de façon opérationnelle une approche stratégique pour l’éditeur, comme l’explique Guillaume Vassault-Houliere, CEO et cofondateur de YesWeHack: «Le passage sur un programme de Bug Bounty public était essentiel pour Olvid. D’abord pour challenger la sécurité de son application en affrontant les assauts d’un grand nombre de chercheurs, mais aussi pour apporter plus de transparence à ses milliers d’utilisateurs.»
Initialement en programme privé depuis le Forum International de la Cybersécurité (FIC) 2020 qui s’est tenu fin janvier, Olvid en a déduit que son système était suffisamment robuste pour être soumis à toute la communauté de YesWeHack.
Dans le cadre du programme de Bug Bounty, les primes versées par Olvid s’élèveront de 50 à 2 000 euros. Plus d’informations sur le programme de Bug Bounty d’Olvid sont disponibles sur le site de YesWeHack.

Les trois piliers de la sécurisation d’Olvid

Les mesures de sécurité intégrée à l’application s’articulent en trois axes.

Une vérification théorique du chiffrement est réalisée par Michel Abdalla, un chercheur du CNRS et de l’ENS internationalement reconnu dans le domaine, qui démontre mathématiquement que les protocoles apportent les garanties mises en avant.
Une Certification de Sécurité de Premier Niveau (CSPN) a été remise par l’Agence Nationale de la Sécurité des Systèmes d’Information (Anssi).
Un programme de Bug Bounty porté par le leader européen du domaine YesWeHack, apporte une garantie supplémentaire que des chercheurs en cybersécurité scrutent tous les recoins de l’application pour détecter des vulnérabilités à exploiter.

Source : PLACEDELIT

L’article La messagerie Olvid, ultra-sécurisée se confronte aux 15 000 hackers de la communauté YesWeHach est apparu en premier sur GENERATE.

Olvid, the ultra-secure messaging app, goes public

Thomas Kolbe — Tue, 28 Apr 2020 15:22:19 +0000

This Customer Story of ours is somewhat special: it tells tales as it happens about the journey from a private Bug Bounty to a public one. Olvid, a thriving start-up, is making the jump in only four months, so we give you the fine details.

Could you please briefly introduce us to Olvid?

Olvid is an instant messaging application whose security does not rely on any trusted third party. Unlike others (Signal, WhatsApp, Telegram, etc.) who use a central directory to establish secure channels, Olvid does not need a directory. This eliminates:

The risk of massive hack/leak if an attacker takes control of that directory.
The need for Olvid to collect any personal data (no phone number, no name, no email, no nothing).

Thanks to this new security model and the innovative cryptographic protocols implemented, Olvid offers its users:

Absolute confidentiality.
A strong guarantee on the identity of its contacts, without any risk of identity usurpation, fraud, spam, etc.
Total anonymity towards third parties, including our own servers.

What led you to launch a Bug Bounty programme?

In Olvid, we re-implemented everything from scratch: we rely on a minimum of third-party libraries and we have designed the whole application “in house”.

Having new cryptographic protocols, it was essential for us to have our implementation validated as widely as possible. To achieve that, we started on 3 axes:

A “theoretical” verification of the cryptography, by Prof. Michel Abdalla (from the French National Centre for Scientific Research), internationally recognized, which mathematically proves that our protocols provide the security guarantees that we claim;
A CSPN certification against the ANSSI (National Cybersecurity Agency of France requirements);
And finally, a Bug Bounty programme mobilising thousands of cybersecurity researchers looking for exploitable vulnerabilities in every nook and cranny of our application.

For us, this last verification stage is essential. When you sell a security application, you certainly do not want a hacker to brag about having found a vulnerability in it!

If we want to protect our application from hackers, it must be evaluated by people who use their exact methods and thought process.

We had the opportunity to participate in YesWeHack’s Live Bug Bounty at the International Cybersecurity Forum (FIC), where we started our Bug Bounty experience by being hacked live for two days! We don’t regret it, it has been an incredible experience. We’ve had the chance to discuss our application with cybersecurity researchers; and it was a very instructive experience, from both technical and business aspects.

Today you’re expanding your private programme into a public one–what motivated this choice?

During our four months running a private programme, only a few vulnerabilities were reported by the twenty or so researchers participating; none of these was severe.

Therefore, we have deduced that our system is robust enough to welcome YesWeHack’s entire community. We now want to take advantage of one of Bug Bounty’s major strengths—crowdsourcing: tens of thousands of researchers bringing different skill sets and methods, to test the security of our application.

The reason for our move to a public programme is simple: we want to offer our users the best possible security guarantee. The more hunters scanning and attacking our app, the better it is for everyone!

Any tip for startups hesitating to launch a Bug Bounty programme?

Stop doubting right now! You’ve got to do it! It is indeed a bit scary at first to think that people will actually try to attack your product; but that’s fine, as long as you have the right people doing it.

I guess it’s comfortable to live in denial, thinking that if no one has succeeded to attack us yet, we’re safe. However, someday, an attack will happen. And the only way to be better prepared to this is having your application tested. Penetration testing, certifications, etc. are very important as they provide “stamps” that we can show to our clients.

Continuous monitoring by expert hunters going through and validating every new update is critical for every business in today’s world.

Anything else you’d like to add?

So, hunters go ahead, attack us, we’re waiting! There’s still money to be taken from our wallet 🙂

To learn more about Olvid’s Bug Bounty programme or to start hacking on it, click here.

Source : Yes We Hack

L’article Olvid, the ultra-secure messaging app, goes public est apparu en premier sur GENERATE.

Olvid: la messagerie plus sécurisée que WhatsApp

Thomas Kolbe — Sat, 25 Apr 2020 11:23:06 +0000

Olvid propose un modèle sécuritaire radicalement innovant. Olvid est le seul moyen de communication ne faisant plus reposer la sécurité des communications sur des serveurs. Cette start-up fait partie de la sélection "100 start-up où investir en 2020” de Challenges.

Créée en mai 2019, la start-up a fait une entrée remarquée dans le monde de la cybersécurité en décrochant en 2020 le prix FIC, très reconnu dans le secteur avec sa "messagerie la plus sûre du monde". Il est vrai que les cofondateurs, Thomas Baignères (EPFL) et Matthieu Finiasz (ENS-Inria) sont des experts reconnus, sachant qu'ils sont tous deux docteurs en cybersécurité. Après 5 ans de recherche ils ont mis au point une "rupture technologique" avec un modèle de cryptographie très pointue leur permettant de proposer un serveur 100% sécurisé. La messagerie est gratuite pour le grand public (10.000 utilisateurs) et propose des fonctions avancées- et payantes- pour les entreprises comme le chiffrement de la voix ou des interfaces de recherche. Deux autres associés fondateurs aux profils commerciaux et marketing- Cédric Sylvestre (ESCP Europe) et Jacques-André Bondy (ISG) sont là pour développer un portefeuille de grands clients qui doivent protéger leurs données et leurs communications. La société est soutenue par la Banque Postale et Wavestone, un leader du conseil en cybersécurité.

Source : Challenges

L’article Olvid: la messagerie plus sécurisée que WhatsApp est apparu en premier sur GENERATE.

Olvid, la messagerie française qui se veut plus sécurisée que WhatsApp, Telegram et Signal

Thomas Kolbe — Tue, 18 Feb 2020 14:35:38 +0000

Surfant sur les soupçons entourant la sécurité des messageries chiffrées comme WhatsApp ou Telegram, le Français Olvid propose une solution qu'il présente comme "la plus sûre au monde". Explications.

Les dirigeants d'Olvid ne pouvaient rêver meilleures publicités. En l'espace d'un mois, deux actualités très médiatisées sont venues conforter leur projet de messagerie hautement sécurisée 100% française. La première a été la révélation du piratage du téléphone de Jeff Bezos, fondateur d'Amazon et homme le plus riche du monde, après la réception d’un message WhatsApp envoyé par le prince héritier d’Arabie saoudite. Si l'affaire n'a pas encore permis d'identifier précisément la faille utilisée par les hackers, elle n'est pas une bonne nouvelle pour Facebook (propriétaire de l'application) qui a corrigé en 2019 des failles de sécurité relatives à la gestion des appels audio et à l'envoi de fichier MP4. L'autre information bienvenue pour la pépite française a été la divulgation de l'espionnage à grande échelle de la société Crypto AG, spécialisée dans le chiffrement, par les services secrets américains et allemands. Au total, depuis les années 1970, plus de 120 pays ont été espionnés par les deux pays. A cela s'ajoute les interrogations récurrentes sur l'indépendance de la messagerie russe Telegram vis à vis du Kremlin.

"Cela prouve à quel point il est important qu'une messagerie de confiance, totalement sécurisée, voit le jour. Aujourd'hui, celle-ci n'existe pas" juge Thomas Baignères, le PDG d'Olvid. Cet expert en cryptographie s'est lancé il y a cinq ans, avec trois associés, dans l'aventure Olvid. "Notre constat était simple, poursuit-il. A l'époque on voyait arriver les messageries comme WhatsApp, Signal ou Telegram, mais on était persuadé qu'il y avait de la place pour quelque chose de plus sécurisé, fondé sur une rupture technologique majeure". L'idée consiste à ne plus faire reposer la sécurité des communications sur les serveurs mais uniquement sur la cryptographie.

....

Source : Challenges

L’article Olvid, la messagerie française qui se veut plus sécurisée que WhatsApp, Telegram et Signal est apparu en premier sur GENERATE.

Olvid propose la première messagerie instantanée entièrement sécurisée

Thomas Kolbe — Tue, 11 Feb 2020 14:33:35 +0000

Ce mardi 11 février, Thomas Baignères, cofondateur d'Olvid, s'est penché sur les particularités de la messagerie sécurisée proposée par sa start-up et l'approche cryptographique, dans Start up & co dans l'émission Tech & Co présentée par Frédéric Simottel. Tech & Co est à voir ou écouter du lundi au jeudi sur BFM Business.

Tech & Co est le rendez-vous de l’actu du numérique sur BFM Business. Sébastien Couasnon, ses chroniqueurs et ses invités commentent les grandes tendances qui bouleversent les acteurs de l’économie et de la tech.

Source : BFM Business

L’article Olvid propose la première messagerie instantanée entièrement sécurisée est apparu en premier sur GENERATE.