El asunto Olvid es sintomático de una batalla ideológica sobre la “soberanía de TI” y la realidad sobre el terreno. El editor de una solución de mensajería segura (certificada por Anssi, recordemos) quedó en el punto de mira después de que Elisabeth Borne ordenó a los ministros que ya no utilicen otras aplicaciones (como WhatsApp, Signal, Telegram, etc.). Los medios de comunicación aprovecharon el debate planteando algunas contradicciones sobre el aspecto puramente “nacional” de Olvid. Nuestros colegas de l'Informé y du Canard Enchaîné señalaron que el editor francés alojaba su servidor de distribución de mensajes en AWS.

La nacionalidad estadounidense del proveedor de la nube ha hecho resurgir así los temores de sumisión a las leyes estadounidenses y a su carácter extraterritorial, como la Cloud Act o, más aún, la FISA (que acaba de ser prorrogada por el Congreso al menos hasta el próximo abril). Esta elección también confunde, por decir lo menos, el mensaje del Gobierno de adoptar una solución “completamente” francesa. Jean-Noël Barrot, Ministro Delegado responsable de la transición digital y de las telecomunicaciones, declaró en una entrevista a France Info: “Olvid es una solución 100% francesa, 100% segura”.

Índice
  1. AWS, imprescindible
  2. Sin PaaS con la etiqueta SecNumCloud

AWS, imprescindible

Al ver crecer la controversia, Olvid dio un paso al frente. publicando un largo mensaje para defenderse y aclarar ciertos términos. En la parte de exposición a las leyes americanas, destaca su tecnología de cifrado de extremo a extremo. "Garantiza criptográficamente que será imposible que un tercero recupere este mensaje, incluso si este tercero registró todo el tráfico de Internet y robó los dispositivos de ambos usuarios para extraer todas las claves criptográficas".

Sobre la elección de AWS para su servidor de retransmisión, el editor destaca la calidad del servicio y la ampliación del proveedor de la nube. “Aquí es donde encontramos la mejor calidad de servicio, con el menor esfuerzo requerido por nuestra parte para el mantenimiento y escalamiento de nuestra infraestructura”, observa la empresa. Una posición escuchada a menudo por otras organizaciones para justificar la adopción de la nube estadounidense (Health Data Hub en Azure o el PGE (préstamo garantizado por el estado) en AWS).

Sin PaaS con la etiqueta SecNumCloud

Una solución podría ser alojar en una nube confiable, denominada SecNumCloud. Pero Olvid señala que hoy en día las ofertas disponibles sólo se refieren a IaaS y no a PaaS. “Actualmente no existe una oferta SecNumCloud tipo PaaS, porque construir una oferta de este tipo a partir de una IaaS representa una cantidad de trabajo colosal”, podemos leer en negrita en el mensaje. Y la empresa ha compilado una lista de servicios utilizados en AWS: Lambda (sin servidor), API Gateway, DynamoDB (base de datos administrada), SNS (para enviar notificaciones push), SQS (para procesamiento de consultas asincrónicas) y S3 (almacenamiento de objetos). Todo en alta disponibilidad.

De hecho, la mayoría de los actores trabajan sobre este tema. Christophe Lesur, director general de Cloud Temple, mencionó durante un taller en los Assises de la Sécurité“una calificación de las funciones PaaS en el primer trimestre de 2024”. Por parte de Docaposte, el director general Olivier Valletnos dijo “presentar un expediente para la parte PaaS a mediados del próximo año con Anssi”. Incluso Octave Klaba, director general de OVH, se invitó a participar en el debate interrogando directamente a Olvid en Twitter“He leído la lista de productos que necesitas. Estoy interesado en analizar cómo se puede utilizar nuestra Nube Pública (PaaS) con ISO27000 y/o SecNumCloud (no IaaS). De lo contrario, permanecerá inaudible en el terreno técnico para muchos usuarios/clientes. » Olvid se apresuró a aceptar la mano extendida por el líder. Continuará...