fizkes - stock.adobe.com

Les débuts du chiffrement de bout en bout dans Teams

Microsoft a lancé le chiffrement de bout en bout pour les appels individuels dans Teams, ajoutant ainsi une fonctionnalité déjà proposée par ses concurrents Zoom, Webex, ou encore Tixeo en France.

La semaine dernière, Microsoft a mis une capacité de chiffrement de bout en bout (End to End Encryption - E2EE) à la disposition des utilisateurs de Teams sur les ordinateurs Windows et Mac, permettant aux travailleurs de sécuriser les appels dits one-to-one, entre deux participants. Habituellement, l'outil de visioconférence encapsule les données par le biais du protocole Transport Layer Security (TLS), dans lequel les données peuvent être déchiffrées dans le cloud de Microsoft (côté serveur) avant d’être rechiffrées et envoyées au destinataire.

Dans le détail, le standard TLS doit assurer les échanges sécurisés des paquets contenant les données média (audio, vidéo) chiffrées via le protocole temps réel SRTP. Les messages écrits sont chiffrés en transit et au repos via les mécanismes en place dans Microsoft 365.

E2EE : Microsoft choisit le camp WebRTC

« SRTP utilise une clé de session créée par un générateur de nombres aléatoires sécurisé. Cette clé est échangée via le canal de signalisation TLS », précise la documentation de Microsoft. « Dans la plupart des cas, le trafic média de client à client est négocié par la signalisation de la connexion client-serveur et est chiffré à l’aide de SRTP lorsqu’il passe directement de client à client ». En clair, dans un appel standard, les clés de chiffrement sont connues du serveur.

« Dans un appel chiffré de bout en bout, le flux de signalisation est identique à celui d’un appel Teams normal de type one-to-one. Cependant, Teams s'appuie sur DTLS pour dériver une clé de chiffrement basée sur des certificats par appel, générée sur les deux terminaux clients ».

Originellement, le couple DTLS – SRTP est employé par les promoteurs de WebRTC. Microsoft dispose d’une infrastructure de visioconférence particulière, héritée de Skype. La firme utilise une architecture MCU et un protocole de signalement propriétaire MPN24, qui impliquent le multiplexage des flux vidéo sur un serveur central. La compatibilité de l’architecture MCU et le caractère modulaire du standard WebRTC octroient le recours aux protocoles SRTP et DTLS. Or ce couple est soupçonné de provoquer un point clair sur le serveur central. Ce ne serait pas le cas ici, selon Microsoft.

« Comme DTLS dérive la clé sur la base des certificats des clients, la clé est opaque pour Microsoft. Une fois que les deux clients sont d’accord sur la clé, le média commence à circuler en utilisant cette clé de chiffrement négociée par DTLS sur SRTP », indiquent les ingénieurs de Microsoft.

Des appels chiffrés, oui. Protégés ? Pas automatiquement

Si Microsoft ne connaît pas les clés partagées entre les deux ordinateurs des participants, le mécanisme de protection contre les attaques man-in-the-middle demeure rudimentaire.

« Pour se protéger contre une attaque de type “man-in-the-middle” entre l’appelant et l’appelé, Teams dérive un code de sécurité à 20 chiffres à partir des empreintes SHA-256 des certificats d’appel de l’appelant et de l’appelé (une des possibilités du session description protocol RFC 4566 NDLR). Les deux participants peuvent valider les codes de sécurité à 20 chiffres en les lisant l’un à l’autre pour voir s’ils correspondent », explique Mansoor Malik, program manager chez Microsoft, se présentant lui-même comme l’un des membres fondateurs de Teams. « Si les codes ne correspondent pas, la connexion entre l’appelant et l’appelé a été interceptée par une attaque de type “man-in-the-middle”. Si l’appel a été compromis, les utilisateurs peuvent y mettre fin manuellement. »

La vigilance humaine reste donc essentielle.

Attirer les entreprises hautement réglementées

Parce que le chiffrement de bout en bout empêche Microsoft d’accéder aux données des réunions, les employés des entreprises ne peuvent pas utiliser les services basés sur le cloud lorsqu’ils activent cette fonction. Le géant du cloud a indiqué que les employés ne peuvent pas enregistrer, capturer ou transcrire les réunions. Le transfert d’appels, la fusion d’appels, l’ajout d’un participant à une réunion et le déplacement d’appels sur un autre appareil ne sont pas non plus disponibles.

Les administrateurs en charge de Teams doivent déployer l’E2EE avant que les collaborateurs puissent l’utiliser. Cette procédure réclame de rentrer plusieurs commandes PowerShell. Une fois que l’IT configure sa politique de chiffrement, les employés doivent activer la fonction de sécurité dans leurs paramètres Teams. Selon Microsoft, le service IT conserve la possibilité de désactiver le chiffrement de bout en bout à tout moment.

La fonctionnalité est plus limitée que le chiffrement bout en bout proposé par les concurrents de Microsoft. Alors que les appels Teams E2EE sont limités à deux collaborateurs, Zoom, Webex, ou encore Tixeo permettent des réunions chiffrées avec plusieurs participants. « Nous nous efforcerons ultérieurement d’apporter des capacités de chiffrement de bout en bout aux réunions en ligne », anticipe Mansoor Malik.

À l’été 2020, Bernard Ourghanlian, directeur technique et sécurité chez Microsoft France, expliquait que le chiffrement de bout en bout pour des réunions ou des conférences avec plusieurs centaines d’utilisateurs était « guère réaliste sur le plan technique ». Aussi, les équipes de Microsoft n’avaient pas encore pris une décision définitive quant à l’architecture E2EE de l’application.

Pourquoi se lancer alors ? Le chiffrement de bout en bout doit rendre Teams plus attractif pour les clients dans des domaines hautement réglementés, comme l’Administration, le gouvernement, l’armée, la santé et la finance.

Tom Arbuthnot, architecte informatique chez l’intégrateur de systèmes Modality Systems, explique : « le chiffrement bout en bout est utilisé dans les cas où il est obligatoire de protéger les réunions. Il ajoute toutefois que la plupart des organisations n’utiliseront probablement pas l’E2EE pour les réunions habituelles. “Il s’agit vraiment d’une exigence de niche”.

Cette exigence de niche a fait ses preuves en complément d’une politique de gestion des rôles afin d’empêcher les intrusions volontaires ou involontaires dans les réunions Zoom. La réaction de l’architecte de Modality Systems reflète davantage une vision américaine. Aussi, l’approche E2EE devient une commodité et est embarquée dans plusieurs messageries.

Le chiffrement de bout en bout pour la visioconférence est devenu un sujet brûlant après que la pandémie ait popularisé Teams et Zoom. En 2020, des particuliers ont intenté un recours collectif contre Zoom, affirmant que l’entreprise ne fournissait pas la capacité E2EE promise. Zoom a réglé le procès et une plainte de la Federal Trade Commission concernant son marketing. Elle a ensuite ajouté la fonctionnalité à son service en octobre 2020, après le rachat de Keybase.

S’aligner sur la concurrence

Microsoft a également amélioré la recherche de son produit pour aider les utilisateurs à trouver les informations plus rapidement. Le moteur permet de cantonner la recherche à un message de chat, un fichier ou une personne au sein de l’entreprise. Les employés peuvent préciser la date et les personnes concernées et exclure les messages provenant d’applications et de robots.

« [La recherche dans Teams] n’était pas la meilleure, pour être honnête », avance Tom Arbuthnot. « Il y a tellement de données, donc retrouver la chose exacte dont vous avez besoin était un défi ».

Microsoft prévoit également d’améliorer son produit de salle de conférence Teams Rooms l’année prochaine pour combler le fossé entre les plateformes de réunion au bureau et à distance. Une nouvelle interface placera les travailleurs à distance au niveau des yeux et permettra aux personnes présentes dans la salle de voir le chat de la réunion et les participants qui ont levé la main pour prendre la parole. Microsoft prévoit de lancer cette fonctionnalité, appelée front row, en janvier 2022.

Zoom et Webex, de Cisco, ont introduit des fonctions visant à uniformiser les règles du jeu pour le travail hybride. La galerie intelligente de Zoom et le People Focus de Webex répartissent les participants d’une réunion physique dans leur propre vignette vidéo.

Selon Bob O’Donnell, fondateur de Technalysis Research, le problème le plus important de la vidéoconférence en 2022 sera d’offrir une expérience égale aux travailleurs à domicile et au bureau. Il a ajouté qu’il s’attend à ce qu’il faille un certain temps avant que les éditeurs ne règlent ce problème.

« L’expérience d’avoir certaines personnes à distance et d’autres dans la pièce est assez mauvaise actuellement », constate l’analyste.

De nombreux travailleurs se contenteront d’apporter leur ordinateur portable dans les salles de conférence et de participer individuellement aux réunions jusqu’à ce que les systèmes basés sur la salle offrent la parité, selon Bob O’Donnell.

Pour approfondir sur Outils collaboratifs (messagerie, visio, communication unifiée)