" Si vous voulez utiliser un produit français, allez-y ! Mais ne diffusez pas de fausses informations en cours de route ", déclare Meredith Whittaker. Elle est la présidente de la Signal Foundation, dont une filiale est derrière le développement de l'application de messagerie instantanée Signal et du protocole éponyme.
Cette réaction fait suite à la médiatisation d'une circulaire de la Première ministre Élisabeth Borne. À partir du 8 décembre prochain, les membres du gouvernement et des cabinets ministériels devront installer l'application Olvid, en remplacement de toute autre messagerie instantanée. Signal est donc aussi dans le collimateur.
Meredith Whittaker est particulièrement irritée par une phrase de la Première ministre française concernant les principales applications de messagerie grand public. " Ces outils numériques ne sont pas dénués de failles de sécurité et ne permettent ainsi pas d'assurer la sécurité des conversations et des informations partagées par leur intermédiaire. "
Un préjudice pour Signal ?
Pour Meredith Whittaker, l'interprétation est que " les messageries dominantes contiennent des failles de sécurité. " Elle ajoute : " Porter des accusations de vulnérabilités est très grave, surtout de la part d'un gouvernement. Et c'est particulièrement préjudiciable dans le contexte de Signal. "
" Je suis inquiète que la Première ministre française invoque des failles de sécurité dans Signal (et autres) pour justifier la décision. Cette affirmation n'est étayée par aucune preuve et est dangereusement trompeuse. "
The French PM is mandating ministers use a small French messaging app. OK.
— Meredith Whittaker (@mer__edith) November 30, 2023
But I’m alarmed that she’s claiming “security flaws” in Signal (et al) to justify the move.
This claim is not backed by any evidence, and is dangerously misleading esp. coming from gov. https://t.co/DWxilDiLWE
La présidente de la Signal Foundation souligne que Signal est open source et fait l'objet d'un audit indépendant, avec un protocole testé pendant plus de 10 ans. En outre, un programme de divulgation responsable des vulnérabilités a été mis en place.
Un coup de projecteur sur Olvid
La formulation d'Élisabeth Borne peut paraître alambiquée, en donnant l'impression qu'une application comme Olvid serait la seule à ne pas être touchée par des vulnérabilités de sécurité. Dans le domaine de la sécurité informatique… c'est difficile à imaginer. Ce qui compte aussi, c'est la réactivité à combler des failles.
Pour autant, et dans le registre des messageries avec chiffrement de bout en bout, Olvid - qui ne demande pas des données personnelles - a bien quelques arguments à mettre en avant, même par rapport à une application comme Signal. En particulier, au niveau d'un annuaire décentralisé et d'une authentification de bout en bout pour les contacts.
Olvid revendique actuellement près de 100 000 utilisateurs. Un chiffre qui pourrait sensiblement augmenter désormais. Pour Signal, il est question de plus de 40 millions d'utilisateurs.
