Olvid est une startup fournissant une application de messagerie sécurisée et entièrement chiffrée. On entend beaucoup parler d’elle en ce moment car le gouvernement Français a demandé à ses ministres d’utiliser cette application et non des messageries moins sécurisées comme WhatsApp.

Cette recommandation du gouvernement a généré un débat dans le monde tech car Olvid utilise Amazon Web Service (AWS) pour l’hébergement de sa plateforme. De nombreuses personnes considèrent donc par défaut cette application comme non sécurisée.

Il faut savoir qu’Olvid a publié une FAQ sur le sujet, justifiant le choix d’AWS par le fait que c’est le cloud provider répondant le mieux à leurs besoins et que l’application chiffre les messages de bout en bout. Aucun intermédiaire n’est donc en mesure de lire les communications.
Bien sûr, ces justifications ne suffisent souvent pas aux "experts Twitter". De mon côté, je fais confiance aux ingénieurs développant la solution. Et c’est normal: les types développant et auditant l’application ont des doctorats en crypto d’écoles réputées, donc c’est pas moi, misérable ver de terre de la crypto, qui vais aller les contredire en disant "HAHA vous utilisez AWS, je suis sûr que vous avez pas pensé au man in the middle". Un peu de sérieux.

On voit aussi des gens se posant la question de ce choix d’AWS. Pourquoi ne pas utiliser un cloud provider Français ? Comme dit précédemment, Olvid dit avoir fait ce choix pour des raison pragmatiques d’efficacité. Choix que je comprends également.

La France est en retard sur le cloud. Ce n’est pas une opinion, c’est un fait. Nos cloud providers locaux, malgré leurs efforts, ont du mal à rattraper ce retard. Les fondations sont toujours en construction dans un monde où les clients s’attendent à beaucoup plus.
J’aurai d’ailleurs largement préféré que les cloud providers Français essayent d’innover sur des sujets spécifiques (SDN, Edge, offre Kubernetes avancée, base de données, Observability etc. comme peuvent le faire des entreprises comme Cloudflare, Tailscale, Confluent, Grafana…​) plutôt que d’implémenter des offres généralistes calquées sur les cloud US (souvent en moins bien). J’étais personnellement optimiste sur le fait que des offres locales puissent rattraper leur retard il y a quelques années sur de l’IaaS/PaaS généraliste, mais on voit année après année que ça ne marche pas.

Comme je le dis souvent, le cloud est un énorme accélérateur de productivité pour les entreprises, notamment les startups/scale-up. Et aujourd’hui ces entreprises ne peuvent pas se permettre de sacrifier leur efficacité et fiabilité dans des marchés où la concurrence est souvent mondiale et où il est très dur de s’imposer, encore plus pour des startups européennes avec un marché fragmenté en de nombreux pays.

Reprenons le cas d’Olvid: est ce que la boîte en serait où elle en est aujourd’hui si elle n’était pas sur AWS ? Et nos autres scale-up et licornes, très souvent utilisatrices de solutions US ?
C’est là que se trouve le dilemme du cloud souverain: doit-on sacrifier un pan non négligeable de l’économie tech Française sur l’autel de la souveraineté, en forçant les entreprises à utiliser des produits ne répondant pas à leurs besoins ? Et si la réponse est oui, comment survivre à cette forte baisse de productivité alors que la concurrence étrangère aura elle accès aux meilleurs produits du marché ?

On le voit d’ailleurs avec SecNumCloud: on commence à imposer à certaines entreprises d’avoir leurs applications hébergées sur des offres SecNumCloud. Et là aussi soyons honnête: personne ne souhaite quitter des offres US pour aller sur les offres SecNumCloud actuelles (Outscale ou des offres type VMWare OVH). C’est quoi le but, planter les quelques boîtes Françaises qui ont réussi à décoller en leur mettant encore plus de bâtons dans les roues ? Et même si d’autres offres devenaient SecNumCloud dans le futur, ça fait pas rêver.

J’ai d’ailleurs l’impression que certains cloud providers font "all-in" sur cet aspect, comme si ils avaient abandonnés l’idée de faire des produits qui seront utilisés car de qualité. Je trouve cette stratégie assez dangereuse: certes cela avantagera les cloud locaux mais handicapera fortement le reste de l’écosystème tech. Et je trouve la stratégie de "blaming" permanent des gens utilisant des solutions US extrêmement pénible (surtout quand ça vient de gens en plein Dunning-Kruger)

Il ne sert à rien de vouloir aller trop vite sur ces sujets. Je pense que la majorité des tech Français aimeraient utiliser des cloud locaux, mais ils ont aussi la responsabilité de faire des choix ne mettant pas en danger la santé de leurs entreprises. Vouloir imposer certains acteurs alors que le produit n’est pas prêt ne peut qu’avoir des conséquences désastreuses pour la tech Française, qui n’a vraiment pas besoin de cela dans le contexte actuel.