fizkes - stock.adobe.com
La visioconférence se dirige vers le chiffrement bout en bout, lentement mais sûrement
De plus en plus d’éditeurs misent sur la fonctionnalité « Insertables Streams » de WebRTC pour rejoindre les solutions avant-gardistes déjà chiffrées de bout en bout. Dernier en date : Lifesize. Et demain Google ?
Jusqu’ici, parmi les acteurs de la visioconférence seules quelques exceptions – Tixeo ou la stack open source NextCloud et sa visio Talk par exemple – avaient fait le choix du chiffrement de bout en bout (ou E2EE pour « End to End Encryption »). Les autres expliquaient qu’il n’était pas possible de gérer des réunions avec un grand nombre de participants sans, à un moment ou à un autre, déchiffrer les flux (pour les multiplexer) sur un serveur central.
Mais comme dit l’expression, « ça, c’était avant ».
La démocratisation du télétravail a, semble-t-il, augmenté le degré d’expertise des entreprises sur ces outils. Les points clairs leur posent de plus en plus questions (écoutes légales possibles comme évoquées par le fondateur de Zoom, espionnage industriel, etc.). Résultat, la demande – voire l’exigence – pour le E2EE est là.
Insertable Streams en approche rapide
En parallèle, une technologie open source mûrit rapidement. La communauté du projet WebRTC travaille depuis plusieurs mois sur une option de chiffrement bout en bout, baptisée Insertable Streams.
Une nouveauté qui est également reprise par Jitsi (un framework qui s’appuie sur WebRTC).
« Ce sera comme d’avoir un flux encapsulé dans un autre. Le premier flux est déchiffré et routé par le serveur, mais le deuxième, lui, restera chiffré ; avec les clés dans les mains des seuls utilisateurs », explique Frédéric Jaffrès co-fondateur de Satelliz, la société partenaire de Jamespot pour lequel elle a intégré Jitsi sur le cloud 3DS Outscale. Jamespot qui prévoit aussi d’intégrer cette technologie, dès qu’elle sera mûre, pour la mise en production (même si « un hébergement sécurisé européen [sans chiffrement de bout en bout] est suffisant dans 99 % des cas pour les industriels et les besoins de l’État », insiste son intégrateur).
Cette semaine, c’est au tour de l’américain Lifesize – qui s’appuie lui aussi sur WebRTC – d’annoncer qu’il va déployer Insertable Streams. Lifesize prend même l’engagement de la mettre à disposition de tous ses clients dès l’automne.
« Cette nouvelle version sera déployée progressivement au cours du troisième trimestre 2020 », promet l’éditeur, « elle permettra de chiffrer de bout en bout les visioconférences [de groupe] réalisées à l’aide des applications Lifesize pour ordinateurs fixes ou portables ou pour le web, ou avec la gamme des systèmes de salle de réunion 4K de Lifesize ».
Logiquement, Lifesize permettra de gérer les propres clés de chiffrement (chiffrer de bout en bout, mais laisser la gestion des clés à l’éditeur n’aurait aucun sens en termes de sécurité). Logiquement, également, passer en E2EE désactivera l’enregistrement des réunions, les appels RTCP (par téléphone) et la prise en charge des équipements tiers de salle de conférence.
L’idée est peu ou prou la même chez Alcatel-Lucent Entreprise pour sa visio dans Rainbow. « Rainbow est en passe de devenir une plateforme encore plus hautement sécurisée [avec le E2EE] », se félicite Samuel Tourbot, VP business Engine chez Alcatel-Lucent Entreprise. « Pour le chiffrement de bout en bout en conférence, nous travaillons à l’implémentation de la nouvelle API [N.D.R. : Insertable Streams] qui permet de chiffrer les flux entre deux clients sans que le serveur n’ait accès aux flux clairs ».
Comme Lifesize, Alcatel-Lucent Entreprise promet l’arrivée d’Insertable Streams avant la fin 2020.
Google étant un des plus gros contributeurs de WebRTC (la fonctionnalité est d’ailleurs actuellement testable et compatible avec un seul navigateur : Chrome), il y a fort à parier que Google Meet passe lui aussi au chiffrement de bout en bout avec cette méthode. Notons que le géant du cloud emploie le responsable du projet, Harald Tveit Alvestrand, un ingénieur norvégien responsable de la coordination des standards WebRTC chez Google.
Montée en puissance des options open source
L’enthousiasme va néanmoins peut-être devoir être légèrement modéré, en tout cas sur le calendrier. Insertable Streams est encore jeune. Se faire un avis définitif sur le niveau de protection, et arriver à une fonctionnalité pleinement mature pourrait demander plusieurs mois.
« [Insertable Streams] est déjà disponible dans Chrome 83 avec un Feature Switch. Et nous l’avons testé », répond Bobby Beckman, le CTO de Lifesize, au MagIT. Conclusion de ce test ? « Bien qu’il puisse encore y avoir quelques changements d’interface (que nous pourrons facilement gérer), nous avons mis en œuvre le principe de base de ce chiffrement. Nous serons en mesure de sortir cette fonctionnalité de chiffrement de bout en bout dans notre application cliente, dès que nous serons prêts ». Au troisième trimestre donc.
Le mouvement est en tout cas lancé vers plus de sécurité et moins de faiblesses architecturales dans la visioconférence.
À plus long terme, l’évolution de la stack open source risque de poser un problème majeur aux éditeurs qui reposent sur d’autres technologies et/ou moins sur l’open source. Zoom, par exemple, s’est lancé dans une longue marche vers le chiffrement bout en bout, mais avec ses propres moyens (financiers et humains) et sans aucune date d’arrivée quand ses concurrents parlent en mois.
Les solutions qui s’appuient sur WebRTC voient de fait leurs fondations se renforcer très rapidement, grâce à l’effort collectif de sa communauté. « Nous avons fait le choix de Jitsi parce que nous voyons bien qu’il se passe énormément de choses [dans cette communauté] et que cela va dans le bon sens », nous confirme Alain Garnier, le PDG de Jamespot.
Pour Alain Garnier « [son] pari est que Jitsi va devenir le best of breed de la visio sans installation ». Pari en passe d’être gagné ? Un pari pris en tout cas par de plus en plus de monde et qui ne pourra, sur le long terme, que redistribuer les cartes.