Bonjour cyrano66 !
Si Olvid se limitait à envoyer la clé publique par un canal non sûr, sans autre forme de vérification, vous auriez parfaitement raison. C’est pour cette raison que nous mettons en œuvre des protocoles cryptographiques qui permettent aux utilisateurs de s’assurer qu’aucune attaque n’a eu lieu. Par exemple, dans le cas où vous envoyez (justement) votre clé par SMS, vous aurez à échanger 2x4 chiffres avec votre correspondant. Ces chiffres doivent être échangés sur un canal authentique (par par SMS donc), mais pas nécessairement confidentiel (le téléphone, c’est bon, tant que vous pouvez reconnaitre la voix de votre correspondant). Le protocole crypto (de type SAS, pour Short Authenticated Strings) garantit qu’un adversaire a au plus 1 chance sur 100 millions de réussir son attaque.
Mais ce n’est qu’un exemple. Un utilisateur peut aussi présenter un contact à d’autres de ses contacts (comme dans la « vraie » vie). Dans ce cas, c’est lui qui joue le rôle de tiers de confiance.
Pour nos clients professionnels, il est possible de s’interfacer avec un annuaire (contrôlé par le client à 100%).
Si vous avez des questions, n’hésitez pas. Chez Olvid on essaie de répondre aussi systématiquement que possible. Et en toute honnêteté 
– Thomas Baignères
Merci pour ces précisions très complètes.
Bonne chance pour votre messagerie.
Bonjour YKrouton,
Ce n’est pas tant les clés publiques mais leur association avec un élément d’identification (nom, prénom) qui importe. Dans Olvid, comme dans WhatsApp, le clé publique joue le rôle d’identité numérique. Sur le réseau, une clé publique parle à une autre clé publique. Si vous associez un faux nom à une clé publique, alors la personne qui recevra vos messages ne sera la pas celle que vous avez en tête lorsque vous les avez rédigés.
Un des problèmes de WhatsApp est que cette association est faite par un « annuaire » opéré, justement, par WhatsApp. Quid de la situation où cet annuaire vous pousse une association erronée ? Et bien vous envoyez des messages chiffrés de bout-en-bout vers la mauvaise personne. On est dans un cas d’école d’une attaque de type MitM.
Donc oui, les clés publiques jouent un rôle central dans la sécurité. Pour donner un autre exemple : les autorités de certifications en font leur business, en signant l’association entre une clé publique et l’URL d’un site web.
J’espère vous avoir convaincu Excellente soirée à vous
– Thomas Baignères
PS: J’adore votre pseudo, Astérix en Hispanie ?
Typiquement le genre d’initiative dont notre pays à besoin. Excellent projet. Je leur souhaites une réussite proportionnelle à leur capacité à assurer la sécurité des données des utilisateurs. C’est à dire la plus grande possible.
‹ La messagerie la plus sûre du monde › autoproclamé sans beaucoup de recherche je suppose ? Car de mémoire Jami est encore plus sécurisé que cela, open source et tout aussi gratuite…
Peut etre parce que faire oeuvre de charité pour une cause pour ensuite tout donner au pire des tortionnaires de cette cause c’est un peu fort de café ?
Mais bon a l’ere de « ca me desole que des gens arrivent a denoncer des nazis ils ont le droit de dire/faire ce qu’ils veulent », plus rien ne m’etonne.
Bonjour, c’est un projet intéressant que Orvid. Je comprends l’intérêt de passer outre cet annuaire global en établissant un contact soit ponctuellement, soit avec un annuaire auto-géré par une entreprise style Active Directory.
Mais si on met le cas particulier d’Active Directory de côté, ce projet m’évoque fortement Sessions : https://getsession.org/
Comme vous, c’est une messagerie qui fonctionne par une identité locale stockée sur l’appareil (pas d’annuaire), dispo sous iOS et Android et PC (client complet), avec messages, fichiers, et des messages audio en plus (ils ne sont pas encore aux conversations vocales). Les deux grandes différences sont que le code est intégralement open-source et documenté, et que le routage se fait via le projet TOR… je crois que pour le coup, ce sont eux qui se qualifient pour le titre de messagerie la plus sécurisée au monde ! Même si la votre est pas mal non plus. (Le support d’AD doit être un argument de poids en entreprise pour le coup.)
N’empêche, pour le grand public à l’heure actuelle, Signal représente le meilleur compromis Facilité, Fonctionnalités et Respect de la vie privée. C’est PARCE qu’il est accessible et qu’il fait autant que Whatsapp que les gens se posent la question de la sécurité. A partir du moment où l’alternative équivalente à Whatsapp existe, on commence à réfléchir à ce qu’apporte Whatsapp jusqu’ici par rapport à un autre.
J’ai basculé sur Signal de façon assez simple : si mes parents, ma famille etc. veulent me parler, c’est Signal, sinon ils ne me parlent plus. Ben curieusement ils l’ont tous adopté 
Peut-être que personne n’était au courant que WhatsApp a été fondé dans un des pays le plus tortionnaire de ceux qui ne portent pas les bons gènes.
La il s’agit d’une entreprise française donc moins enclin à vendre son business au plus tortionnaire… ah mais oui nous aussi nous avons envoyé pas mal de gens en voyages gratuits tout frais payés dans de superbes camps 5 étoiles !
Alors pouvons-nous faire confiance aux françaises et français ? A moins qu’ils ne soient pas très français ? Je parle des concepteurs de cette app…
Si c’était si sûr, ils publieraient le code source… Là, à tout les coups il y a une backdoor pour le gouvernement.
« cryptographie de haute voltige. Nous avons mis tout ce qu’il est possible de mettre en œuvre scientifiquement »
Quand on arrive à ce paragraphe on a confiance. Venez chez nous, c’est sûûûûûr 
Bonjour,
Merci pour cet article,
J ai plusieurs questions :
- comment on fait si on casse son tel pour retrouver ses contacts
- en cas de vol de telephone, est ce qu’on va pas avoir un gros risque de sécurité ?
- le message passe-t-il par des serveurs, ou directement de per to per ?
bonne chance pour votre messagerie
l’échange de code ca me fait penser a teamviewer
Il existe depuis un moment le protocole Tox qui est P2P, par rapport à ce dernier, je ne suis pas certain d’y voir un quelconque avantage dans olvid.
quelqu’un pour m’en dire plus ?
Tu viens de me faire décrouvrir Jami. Franchement top.
Je pense que c’est aussi bien que Tox, même mieux car un username peut être associé. Puis faut bien avouer que Tox n’est pas super sexy…
Le techno utilisée semble effectivement bonne et pas bête du tout. En revanche, quid du procédé crypto utilisé ? J’imagine que c est de la crypto asymétrique, mais il faudrait en savoir un peu plus pour connaître le niveau de sécurité du truc.
M’enfin, dans le doute, je l ai téléchargé et j’ai commencé à l’utiliser, et ca fonctionne bien. reste à convertir famille et amis…
J’avais essayé de convaincre des gens de passer à threema, jamais réussi. Mais les modes changes. C’est la masse des utilisateurs qui va faire en sorte qu’on adopte une messagerie ou l’autre
Si on peut associer l’authentification de communication de Olvid au LDAP, cet applications va cartonner chez les pros
Non. Les 4 chiffres, c’est probablement un hash d’une clé de session, vu qu’il y a 2 partenaires impliqués. Ce n’est certainement pas public, c’est privé, et, je l’espère, c’est éphémère sinon, c’est une faille flagrante pour la sécurité.
Formidable, mais pourquoi restreindre l’application à certains pays seulement? Par exemple ici à La Réunion on ne peut pas avoir accès, Play Store nous dit « Application indisponible dans votre pays »
J’ai testé, j’ai désinstallé : interface peu ergonomique, il en émane une certaine lourdeur d’utilisation.
Pourquoi tant de haine ?
C’est super, mais en gratuit limité sans voix ni vidéo. C’est normal, il faut bien qu’il vendent un service. Donc je vois plus un usage d’entreprise. Quand un cadre part en mission en chine par ex, il doit utiliser Olvid pour éviter l’espionnage.
je trouve l’idée bonne mais le nom tout pourri, il aurait pu l’appeler colvid tant qu’à faire.