L’annonce a résonné comme un véritable « cri d’indépendance » dans les couloirs de Paris : la Première ministre a ordonné que le gouvernement français abandonne WhatsApp et Signal au profit d’Olvid, une application de messagerie présentée comme « native ». L’objectif affiché était clair : protéger les secrets d’État de la longue main des agences de renseignement étrangères.
Cependant, une ironie amère s’est rapidement imposée : le cœur d’Olvid — son infrastructure de serveurs — bat au sein d’Amazon Web Services (AWS), un géant américain.
Pour le grand public, cela semble n’être qu’une simple question technique d’hébergement. Mais pour les architectes de la cybersécurité souveraine et ceux qui suivent la géopolitique des données, il s’agit d’une vulnérabilité politique de tout premier ordre.
Extraterritorialité et Conflit de Souverainetés
En s’appuyant sur l’infrastructure d’Amazon, Olvid entre automatiquement dans l’orbite du CLOUD Act américain.
L’analyse juridique de cette affaire révèle un scénario d’insécurité juridictionnelle que la simple adoption d’une « application » nationale ne permet absolument pas de résoudre. Le point de bascule réside dans le concept de « contrôle » versus « localisation ».
Le CLOUD Act a radicalement modifié le paradigme juridique en stipulant que la localisation physique du serveur n’a aucune importance. L’obligation de coopération du fournisseur de services (ici, AWS) découle uniquement de son lien juridictionnel avec les États-Unis. Ainsi, Washington peut exiger des données auprès d’entreprises relevant de sa juridiction, même lorsque ces données sont physiquement stockées sur le sol européen.
Sur le plan légal, cela crée un conflit frontal avec le Règlement général sur la protection des données (RGPD). La Cour de justice de l’Union européenne (à travers les célèbres arrêts Schrems I et II) a d’ailleurs déjà établi que les lois de surveillance américaines n’offrent pas un niveau de protection équivalent à celui de l’Europe, car elles ne se limitent pas à ce qui est « strictement nécessaire ».
La souveraineté numérique n’est pas un attribut du logiciel, mais une propriété de l’intégrité de la chaîne de garde.
Le Spectre du FISA et la Fausse Promesse du Chiffrement
Pire encore, cette dépendance à l’infrastructure américaine place ces données sous l’ombre du Foreign Intelligence Surveillance Act (FISA), qui autorise la surveillance électronique à des fins de « renseignement étranger » visant des cibles situées hors des États-Unis.
Face à ces menaces, Olvid affirme que son chiffrement de bout en bout constitue un bouclier suffisant. Du point de vue de l’ingénierie de la vie privée, cette défense est dangereusement partielle.
Le récent rejet par l’Assemblée nationale française des backdoors (portes dérobées) témoigne d’une résistance législative face à la vulnérabilité par conception. Pourtant, même si le contenu d’un message est chiffré, l’infrastructure centralisée d’AWS expose les métadonnées. Savoir qui parle à qui, quand, à quelle fréquence et depuis où est souvent beaucoup plus précieux pour le renseignement étranger que le contenu du message lui-même.
Le chiffrement protège le texte, mais le serveur centralisé trahit le réseau de contacts.
Le Véritable Danger Reste à Venir
Tant que l’infrastructure européenne dépendra d’entités soumises à des statuts extraterritoriaux, la sécurité juridique de nos communications restera purement temporaire et illusoire.
La sécurité nationale au XXIᵉ siècle exige bien davantage que de bonnes intentions législatives ou des boucliers logiciels de façade : elle exige une indépendance totale de l’infrastructure et du matériel. Car si l’interception de ces métadonnées et de ces paquets chiffrés semble inoffensive aujourd’hui, elle nourrit en réalité la menace la plus dévastatrice de la prochaine décennie : la stratégie du “Collecter maintenant, déchiffrer plus tard”.
Un secret d’État intercepté aujourd’hui n’est qu’une bombe à retardement mathématique.
(Lisez la suite de notre analyse dans la Partie 2 : La Bombe à Retardement et l’Impératif Zero-Knowledge)