Abbiamo scaricato e installato Olvid, l’app di messaggistica parigina imposta dalla premier Élisabeth Borne a tutti i membri del Governo francese a partire dall’8 dicembre prossimo.
Più nel dettaglio, il primo ministro ha chiesto, nella circolare del 22 novembre, l’implementazione dell’applicazione Olvid sui telefoni e sui computer dei membri del governo e degli uffici ministeriali.
Ragioniamoci un attimo.
Un primo ministro che indica un’app specifica da usare, con una circolare, per motivi di privacy e sicurezza nazionale.
Potrebbe farlo anche Giorgia Meloni? Puntando su una soluzione made in Italy, perché esistono già nel mercato italiano. Per esempio TelsyInTouch, l’app sviluppata da Telsy, società di cybersecurity del gruppo TIM, che consente la registrazione anche offline, tramite file di attivazione cifrato.
In pratica l’amministratore attiva TelsyInTouch sul backend, scarica un file zip cifrato che contiene i dati di registrazione e le chiavi di traffico, quindi carica il file fisicamente sul device e lo seleziona nella schermata di attivazione della app; in alternativa, può scansionare con la app, un QR Code mostrato sulla consolle di amministrazione (è un modo ‘alternativo’ per carica il file zip di attivazione sul device, senza utilizzare cavi di collegamento ‘fisici’).
Questo è lo scenario tipicamente preferito in ambienti governativi, dove non vogliono esporre il servizio di registrazione su internet per minimizzare la superfici di attacco ed avere dal backend il pieno controllo sui device attivati.
Cosa caratterizza l’app francese
“Questi strumenti digitali non sono privi di difetti di sicurezza e quindi non possono garantire la sicurezza delle conversazioni e delle informazioni condivise”, ha scritto nella circolare Borne.
Nel comunicato stampa della società si legge “come evidenziato nella circolare del 22 novembre del primo ministro Élisabeth Borne, la messaggistica istantanea Olvid garantisce la protezione dei dati dei suoi utenti “grazie a una directory decentralizzata e alla crittografia dei messaggi end-to-end, pur mantenendo le stesse funzionalità di altre applicazioni di grande pubblico”.
Olvid è stata la prima piattaforma di messaggistica a ricevere la certificazione di sicurezza di primo livello (CSPN) da parte dell’agenzia cyber nazionale francese (ANSSI).
Quest’articolo non vuole essere un’analisi sulla sovranità digitale, quella vera, portata avanti dalla Francia. Ne abbiamo già discusso qui in quest’altro articolo dal titolo: “Sovranità digitale (quella vera). Il Governo francese ha le sue app di messaggistica, di invio file e per la didattica. E in Italia?”
Qui vogliamo fare un’analisi tecnica. Installando l’app Olvid ci siamo accorti che non è stato chiesto il numero di telefono né l’email. E non memorizza o traccia nessun dato personale. Si affida a una directory decentralizzata che, combinata con la crittografia dei dati end-to-end, offre un forte livello di protezione.
E come si fa ad aggiungere i contatti senza il numero di telefono? Con il QR code
Per ogni utente, l’app genera un codice QR, chiamato ID, che può essere condiviso attraverso tante modalità digitali, anche AirDrop, ai contatti con cui si vuole comunicare su Olvid.
Ho fatto una prova con un mio contatto. Entrambi abbiamo installato l’app e ci siamo scambiati i QR code. Poi l’app ha generato un codice di 4 cifre per me, che ho dovuto condividere con il contatto e viceversa. Abbiamo iniziato a chattare e i messaggi sono protetti dalla crittografia end-to-end. L’app consente anche di fare call.
Il backup dei contatti e dei gruppi è criptato ma facoltativo e per farlo occorre generare il ‘backup key’ da conservare per poi ‘sbloccare’ l’app quando si vorrà aprirla su un altro dispositivo o quando si smarrisce il proprio smartphone. Non è previsto il backup né di chat né dei file.
In WhatsApp, per fare un confronto, è possibile fare il backup su un cloud delle chat e dei file ricevuti da recuperare in caso di smarrimento o sostituzione dello smartphone. Ma il backup crittografato end-to-end non è di default attivato. “Quando attivi questa funzione nessuno può accedere al tuo backup nemmeno WhatsApp o il cloud service provider”, ci spiega WhatsApp. Tradotto, vuol dire che le nostre chat e media non sono al sicuro con il classico backup su WhatsApp!
Ritornando all’app scelta dal governo francese, l’elemento di novità di Olvid rispetto a WhatsApp, Signal e Telegram è la non richiesta del numero di telefono per usare l’app. La nuova frontiera delle app di messaggistiche è la comunicazione attraverso codici QR? Tra i contro c’è la possibilità di digitare un nome e cognome falso o di altre persone. Questa modalità dell’uso del QR code al posto del numero è usata da un’altra app di messaggistica istantanea: Session.
Usata per esempio da Christian Bernieri, esperto di protezione dei dati e DPO: “La uso come canale di comunicazione anonimo per chi non mi vuole dire chi è o non mi vuole dare il suo cellulare”, ci ha spiegato. Gli abbiamo anche chiesto se le app che usano QR Code al posto dei numeri di cellulari possono essere la nuova frontiera della messaggistica istantanea?
“È uno scenario ma non diventerà una realtà. Nessuno è disposto a rinunciare ai propri contatti e la funzione di ricerca automatica tra i propri contatti di chi usa una certa app è fondamentale. Senza questa, la gente non userà mai un sistema di messaggistica. Ovviamente senza una directory centrale qualunque app perde attrattiva anche se è numero 1 per sicurezza. Un buon compromesso potrebbe essere l’uso di nickname univoci”, questa la sua proposta.
