Prendre rendez-vous

Pourquoi Olvid n'est pas concernée par les récentes attaques ciblant d'autres applications de messagerie grand public

23 mars 2026

L'affaire en bref

Après les alertes du BSI et de l'AIVD, c'est au tour du C4 (Centre de Coordination des Crises Cyber) de publier une note sur la vague de phishing ciblant certaines messageries instantanées.

La note mentionne deux attaques :

  • La fausse invitation à rejoindre un groupe : L'utilisateur ciblé est incité à scanner un code QR qui, en réalité, permet à l'adversaire d'ajouter un appareil qu'il contrôle au compte de messagerie de sa victime.
  • L'attaque par sollicitation directe : L'utilisateur ciblé reçoit un message conçu pour lui soutirer des informations confidentielles.

Selon la note, « toutes les autres messageries instantanées grand public sont concernées par ce mode opératoire ».

Toutes ? Non ! Car une messagerie conçue par d'irréductibles cryptologues gaulois résiste encore et toujours à ces adversaires. C'est évidemment Olvid. Voyons pourquoi.

Sur la fausse invitation à rejoindre un groupe

La première attaque est réalisable sur n'importe quelle messagerie qui donne la possibilité :

  • d'ajouter un appareil à son compte via un simple scan de code QR,
  • et de rejoindre un groupe via un simple scan de code QR.

Le point commun : un simple scan de code QR. Les deux opérations, pourtant de nature très différentes, utilisent deux mécanismes extrêmement similaires.

L'ajout d'un appareil est une opération particulièrement sensible et relativement rare, qui ne devrait de toute évidence pas reposer sur une interaction minimaliste et unilatérale. En d'autres termes, permettre d'ajouter un appareil via un seul scan de code QR, ce n'est pas suffisant en termes de sécurité.

C'est pourquoi, sur Olvid, nous avons opté pour une méthode spécifique, interactive, nécessitant une action en temps réel sur chacun des appareils : le premier appareil affiche un code de 8 chiffres qu'il faut saisir sur le second, qui en affiche alors 8 nouveaux, qu'il faut saisir sur le premier. Enfin, il n'y a pas de moyen « externe » (lien, code QR, etc.) pour initier un ajout d'appareil, c'est à l'utilisateur de prendre l'initiative d'aller au bon endroit dans l'application pour initier cet ajout.

S'il est probable qu'aucune méthode ne garantisse une protection absolue contre l'ingénierie sociale, notre mécanisme d'ajout d'appareil complique considérablement la tâche de l'adversaire.

Sur l'attaque par sollicitation directe

Cette seconde menace repose sur une attaque classique de phishing, réalisable via n'importe quel moyen de communication permettant à un utilisateur de se faire passer pour un tiers, auprès de n'importe quel autre utilisateur. De nombreuses arnaques en ligne, comme la fraude au Président, débutent de cette façon.

Il n'étonne plus grand monde que ces attaques soient techniquement triviales par mail ou SMS, canaux qui n'ont pas été conçus pour être sûrs. En revanche, nous pensons qu'elles ne sont pas acceptables sur des messageries qualifiées de « sécurisées ». Ces dernières devraient, autant que possible, protéger leurs utilisateurs en bloquant cryptographiquement le spam.

Si c'est très exactement ce que fait Olvid, ce n'est pas le cas de toutes les messageries instantanées.

Cette différence tient notamment à un choix fondamental de conception : la majorité des messageries permettent à un utilisateur de « découvrir » automatiquement d'autres utilisateurs. Peu importe que cette fonctionnalité soit jugée pratique, indispensable, pénible ou intrusive : elle expose, par nature, chaque utilisateur à des messages non sollicités.

C'est pourquoi, sur Olvid, nous insistons sur l'importance de l'authentification de bout en bout. Que ce soit en présentiel ou à distance, l'ajout d'un contact Olvid nécessite systématiquement une action explicite de l'utilisateur, le forçant à vérifier l'identité de son nouvel interlocuteur.

Résultat : le spam est impossible sur Olvid, ce qui réduit drastiquement le risque de phishing.

Une note sur la préconisation d'hygiène numérique visant à définir un code PIN

La note suggère que la définition d'un « code PIN pour l'application » permet d'éviter une prise de contrôle des comptes de messagerie par un tiers.

Ce n'est pas toujours vrai.

Prenons l'exemple de Signal : Lorsque vous changez de téléphone, Signal vous redemande de prouver que vous êtes propriétaire de votre numéro de téléphone via un code par SMS.

Ensuite, l'application vous invite à entrer votre PIN. Mais vous pouvez simplement passer cette étape : le code PIN est uniquement nécessaire pour restaurer ses paramètres et contacts, mais il n'est pas indispensable pour recouvrer son compte[1].

Un attaquant qui souhaiterait prendre le contrôle de votre compte peut lui aussi passer l'étape du code PIN. Ainsi il pourra recevoir vos messages et en envoyer en votre nom.

Mais pourquoi Signal a-t-il fait le choix de rendre le PIN optionnel pour la récupération de compte ?

Imaginons que le code soit obligatoire pour récupérer son compte et considérons la situation suivante : un utilisateur obtient une nouvelle carte SIM avec un numéro de téléphone qui appartenait précédemment à quelqu'un d'autre[2]. Si l'ancien propriétaire a utilisé Signal et défini un code PIN, le nouvel utilisateur, pourtant légitime, ne pourrait pas accéder à l'application sans connaître ce code. Il ne pourrait tout simplement plus jamais utiliser Signal.

Signal ne peut donc pas imposer systématiquement ce PIN lors d'un changement de téléphone[3]. Par conséquent, ce code ne permet pas « d'éviter une prise de contrôle des comptes de messagerie par un tiers ». Signal n'y peut rien.

Certaines messageries ne sont, par conception, pas confrontées à ce problème.

C'est le cas d'Olvid (qui ne repose pas sur un numéro de téléphone et permet à chaque utilisateur de créer autant de profils qu'il le souhaite) ou encore de SimpleX Chat.

Sans authentification le chiffrement n'est rien

Avant de conclure, il est essentiel de souligner un élément singulier : ni notre billet ni la note du C4 ne mentionnent le chiffrement de bout en bout, pourtant systématiquement utilisés par les messageries visées par les attaques décrites.

La raison est simple : le chiffrement de bout en bout ne permet pas, à lui seul, de garantir une réelle sécurité de bout en bout. Pour cela, il doit impérativement s'accompagner d'une authentification cryptographique, elle aussi de bout en bout.

Sécurité de bout en bout
=
Authentification de bout en bout
+
Chiffrement de bout en bout

Conclusion

La note du C4 décrit de façon très claire deux attaques auxquelles certaines messageries grand public exposent leurs utilisateurs.

Nous disons bien « certaines » et non pas « toutes ».

En effet, contrairement à ce que laisse supposer la note, Olvid n'est pas concernée par ces attaques.

Pourquoi ? Parce que Olvid est conçue pour ne faire aucun compromis sur la sécurité, tout en restant accessible et simple d'utilisation, accessible et utilisable gratuitement par tous.

Alors, mesdames et messieurs du C4, cela vaut bien une petite préconisation d'hygiène numérique supplémentaire, non ? Tous sur Olvid !

[1] L'option « Registration Lock » dans Signal permet de forcer l'introduction du PIN lors d'un changement de téléphone, mais pour une durée limitée de 7 jours.

[2] À notre connaissance, l'opérateur a entre 45 et 120 jours pour réaffecter un numéro.

[3] Une autre raison est que certains utilisateurs oublient leur PIN, tout simplement, et que Signal n'a aucun moyen de le réinitialiser, pour de bonnes raisons de sécurité.

Trouvez et partagez la version en anglais ici : https://olvid.io/articles/c4-alert-phishing/en/.