leowolfert - Fotolia
Teams : pas de chiffrement bout en bout, Microsoft s’explique
Le directeur Technique et Sécurité de Microsoft France revient sur les différentes technologies de chiffrement de l’outil de communications unifiées maison qui repose sur WebRTC. Il justifie au MagIT l’absence de chiffrement bout en bout. Même si l’éditeur n’aurait pas encore totalement tranché la question.
L’utilisation massive des outils de communication pendant et après le confinement a levé une question critique : celle de la sécurité et de la confidentialité. Les deux étant liés au chiffrement des données. Chez Microsoft, Teams a dépassé les 75 millions d’utilisateurs actifs par jour. Le géant du cloud a bien compris l’engouement autour de son outil et a multiplié les annonces de nouvelles fonctionnalités.
Une telle popularité implique également la mise en place de mécanismes pour protéger les utilisateurs. Les polémiques autour de Zoom ont montré que les retours de bâton étaient rapides. Afin de mieux comprendre comment Microsoft gère le chiffrement des données de Microsoft Teams, Bernard Ourghanlian, directeur Technique et Sécurité chez Microsoft France, a accepté de répondre à nos questions.
Chiffrement en transit et au repos, point à point
Il suffit de consulter la documentation de Microsoft Teams et Office 365 pour comprendre que le géant du cloud se prête à l’exercice de la transparence. Il y est notamment écrit :
« Les données de Teams sont chiffrées pendant le transit et au repos. Microsoft utilise les technologies standard du secteur telles que TLS et SRTP pour chiffrer toutes les données en transit entre les appareils des utilisateurs et les centres de données Microsoft, ainsi qu’entre les centres de données Microsoft. Elles comprennent les messages, fichiers, réunions et d’autres contenus. Les données de l’entreprise sont également chiffrées au repos dans les centres de données de Microsoft ».
Les messages et les fichiers partagés sur les canaux de discussion communs sont stockés dans Sharepoint Online et Exchange Online, selon Bernard Ourghanlian. Les échanges de messages d’utilisateur à utilisateur sont stockés dans Onedrive, peut-on lire dans la documentation.
Microsoft Teams utilise également TLS et MTLS pour chiffrer les messages instantanés et gérer « l’activation des points de terminaison ».
« La racine de confiance pour la chaîne de certification TLS pour Microsoft Teams est un certificat RSA 2 048 bits SHA256 émis par Baltimore CyberTrust Root », indique le responsable français au MagIT. Tandis que « SharePoint Online et Exchange Online utilisent des clés de chiffrement AES 256 octets pour le chiffrement du stockage au repos ».
Les communications entre les différents centres de données sont eux protégés avec les protocoles TLS 1.2, AES 256 octets, et SRTP.
Bernard Ourghanlian évoque les méthodes de chiffrement gérées par Microsoft, mais le client peut-il gérer ses propres clés ? Dans certains cas particuliers, nous répond le directeur technique et sécurité. En effet, SharePoint et Exchange Online supportent cette fonctionnalité et donc il est possible qu’un client utilise une « clé maître client » (CMK) pour protéger ses données au repos.
Ces CMK demandent d’utiliser le service Azure Key Vault avec Microsoft Active Directory (comme pour chaque déploiement de Teams). Ces CMK fonctionnent comme des enveloppes qui protègent des clés de chiffrement de données et un fragment de fichiers stockés au repos.
Mais peut-on stocker les enregistrements des conversations en dehors du périmètre Azure ? La réponse de Bernard Ourghanlian est claire : « non ».
Une architecture de communication qui empêche le chiffrement de bout en bout
Teams est en partie développée à partir de WebRTC, tout comme Google Meet et Jitsi. Il n’est donc pas surprenant que Microsoft utilise le couple SRTP/TLS et des serveurs TURN pour déployer son outil de communication. La différence tient dans le fait que Microsoft utilise dans la plupart des cas un protocole de signalement propriétaire, MNP24, au lieu de SIP et les codecs médias SVC et VBCC tout droit tirés de Skype for Business.
Teams utilise un système Multipoint Control Unit pour supporter 250 (300 au maximum) participants dans une conversation vidéo ou audio. Pour les conférences jusqu’à 10 000 utilisateurs, l’architecture MCU est reproduite en cascade.
Ce modèle réseau implique que les données des flux vidéo soient déchiffrées en arrivant sur le serveur Microsoft (qui est lui-même embarqué dans un périmètre de sécurité) avant de repartir vers le client. C’est ce qui, dans le jargon, s’appelle le multiplexage/démultiplexage. Du côté du réseau du client, Microsoft recommande « la mise en place d’un Split Tunneling en cas d’utilisation d’un VPN ».
Avec ce choix d’architecture, il n’y a pas de chiffrement de bout en bout (E2EE) possible. « La capacité de multiplexer/démultiplexer des flux vidéo et audio chiffrés entre des centaines d’utilisateurs comme le permet Teams pour des réunions audio et/ou vidéo ou même des milliers lors des événements live n’est guère réaliste sur le plan technique avec le chiffrement de bout en bout », déclare Bernard Ourghanlian.
« Teams, quant à lui, prend en charge un chiffrement “point à point” et pas un chiffrement “de bout-en-bout”. Ce qui signifie qu’à chaque étape du traitement, l’information échangée est chiffrée, déchiffrée et rechiffrée : entre le terminal de l’utilisateur émetteur et l’infrastructure Teams, au sein de l’infrastructure Teams, puis entre cette infrastructure et le ou les terminaux des utilisateurs récepteurs. Et vice-versa », indique-t-il.
Une question pas encore totalement tranchée
Après les difficultés rencontrées, Zoom a décidé d’appliquer un chiffrement de bout en bout. Jitsi, et certains utilisateurs de cette technologie open source, s’apprêtent à utiliser le protocole « insertable stream » qui doit permettre de chiffrer (de brouiller même) les conversations audio et vidéo importe l’architecture WebRTC déployée.
Microsoft, lui, semble ne pas vouloir suivre de la tendance générale. Mais cela ne veut pas dire qu’il n’étudie pas la possibilité d’appliquer un jour la norme E2EE pour Teams.
« La question de la mise en œuvre de chiffrement de bout en bout pour Teams n’est pas encore tranchée. Le choix de la technologie pour le réaliser éventuellement non plus. Le chiffrement de bout en bout a des avantages en matière de respect de la vie privée, mais aussi des inconvénients en matière de sécurité et d’archivage », estime Bernard Ourghanlian.
Bernard OurghanlianDirecteur Technique et Sécurité, Microsoft France
Les « inconvénients en matière de sécurité » semblent faire référence à la nécessité de mettre en place des mécanismes de gestion des accès renforcés en prenant en compte que les clients respectent les recommandations de Microsoft.
Et pour les entreprises dont les activités sont considérées comme critiques ? Peuvent-elles s’équiper de Teams en toute confidentialité ?
« Certaines organisations comme celles que vous mentionnez (administrations, entreprises du CAC 40…) sont soumises à des réglementations spécifiques ; il leur appartient de déterminer le niveau de confidentialité approprié qui doit s’appliquer à leurs données et surtout de définir une stratégie de données globale. Une analyse des risques globale permet de déterminer une classification. Ensuite, pour chaque classe de donnée, les niveaux appropriés de protection et de labélisation doivent être définis », conseille Bernard Ourghanlian.
Toujours l’épée de Damoclès du droit américain
Par ailleurs le directeur technique estime que le déchiffrement des données sur les serveurs est « indispensable pour permettre la mise en place de dispositifs de type enquête numérique [N.D.R. : traduction de digital forensics analysis], recherche de contenu, conservation et audit ». Autant de fonctionnalités qui compliqueraient, voire rendraient impossible un chiffrement de bout en bout.
Microsoft entend donc bien respecter les lois qui régissent son activité, dont le CLOUD Act, mais assure dans le même temps conserver « le droit de s’opposer et de contester des requêtes lorsqu’elles seraient manifestement contraires à des lois locales. Depuis plusieurs années déjà, Microsoft met à disposition de ses clients un rapport sur l’ensemble de ces requêtes et continuera de le faire ».
« L’adoption du CLOUD Act a conforté les engagements de Microsoft vis-à-vis de ses clients : à réception d’une demande émanant des autorités et visant des données client, Microsoft continue à rediriger systématiquement la demande vers le client afin qu’il y réponde lui-même. Si la loi ne permet pas de rediriger cette demande vers le client, Microsoft vérifie que cette demande est légalement fondée au regard du droit applicable. Si et seulement si Microsoft n’est pas autorisée à rediriger cette demande vers le client et qu’elle est légalement fondée, alors Microsoft pourra communiquer des données client tout en informant le client concerné de cette communication – sauf interdiction légale. Par ailleurs, en aucun cas Microsoft n’accorde un quelconque accès général ou illimité aux autorités à des données client ni ne communique ses clés de chiffrement ni aucun moyen, permettant aux autorités de briser ou contourner ces chiffrements », ajoute Bernard Ourghanlian.
Cet équilibre complexe s’impose à tous les éditeurs américains. AWS répond à peu de choses près de la même manière.
Au crédit de Microsoft, l’éditeur avait rapidement plaidé en faveur de modifications des accords internationaux pour une plus grande transparence des demandes et une redirection automatique vers les clients concernés.