rocketclips - stock.adobe.com
RingCentral étend son chiffrement de bout en bout
L’éditeur de solutions UCaaS proposait déjà le chiffrement de bout en bout des appels vidéo. Il étend son dispositif aux messages et aux appels téléphoniques par VoIP à l’aide d’un seul protocole.
Après les déboires rencontrés par Zoom et les autres éditeurs de solutions de visioconférence, tout le marché s’est concentré sur l’ajout d’un véritable chiffrement bout en bout (End to End Encryption ou E2EE).
Avec un peu de retard sur son concurrent, RingCentral a racheté la startup israélienne Kindite en mars 2021. Kindite s’était spécialisée dans le développement d’une plateforme de protection de données « zero trust » embarquant « des technologies d’orchestration de chiffrement ».
En septembre 2021, RingCentral annonçait la disponibilité d’un système de chiffrement bout en bout pour protéger les flux audio, vidéo, les partages d’écran et les messages écrits lors d’une visioconférence depuis RingCentral MVP. Ce système est « dynamique ». L’organisateur d’un rendez-vous peut activer ou désactiver le chiffrement bout en bout au cours d’un rendez-vous.
Jusqu’alors, les éléments protégés par le E2EE de RingCentral correspondaient aux médias échangés lors d’une conversation vidéo.
Le 6 décembre 2022, RingCentral a annoncé l’extension prochaine de ce dispositif à la messagerie et à la téléphonie dans RingCentral MVP par le lancement, ce mois-ci, d’une bêta privée.
Pour ce faire, l’éditeur n’emploie pas seulement les méthodes de chiffrement TLS et SRTP. RingCentral mise sur le protocole MLS ou Message Layer Security. Ce projet est porté depuis 2016 par le groupe de travail réseau de l’Internet Engineering Task Force (IETF).
Le groupe de travail décrit une architecture type pour protéger des messages écrits des écoutes et de la falsification, même « en cas de compromission passée ou future d’un dispositif ». En clair, un tel protocole doit assurer le chiffrement des messages même si l’un des appareils utilisés lors d’une conversation a été piraté.
Selon le document, le protocole est pensé pour protéger des messages écrits, mais il est possible de l’adapter à la protection de flux audio issus d’un système VoIP.
Pour rappel, depuis sa publication en 2018, le protocole MLS est encore en développement et n’a pas encore été ratifié par l’IETF.
RingCentral applique le protocole MLS à la visio, la téléphonie et la messagerie
Dans le modèle de chiffrement vidéo de RingCentral, le contenu est chiffré au niveau du client émetteur et est déchiffré au niveau du client récepteur. Les données ne sont pas déchiffrées sur les serveurs de RingCentral et les clés privées résident sur les appareils des utilisateurs. Il en sera de même pour sa messagerie instantanée et son service de « soft phone ».
Pour ce faire, le protocole MLS s’appuie sur deux briques essentielles : un service d’authentification et un service de livraison. Le service d’authentification sert à lier l’application à la clé publique utilisée par un appareil, afin d’assurer l’authentification d’un utilisateur. Le service de livraison, lui, fait deux choses. Il distribue les messages ou le flux audio entre les participants d’une conversation, mais il distribue également les clés publiques pour que chaque client dans la conversation partage le même secret.
Plus précisément, le système authentifie les membres à l’aide de leurs clés publiques et génère un secret commun valable tant que les membres réunis sont présents dans la conversation.
Ce secret est donc renouvelé à chaque fois qu’un participant entre ou quitte une conversation. Dans le protocole MLS, ce changement d’état est appelé époque. L’enchaînement des époques dans un même rendez-vous est appelé historique.
En clair, quand un membre quitte une conversation, il n’a en principe plus accès à la discussion ni aux nouveaux messages. Un nouveau membre ne pourrait pas non plus accéder aux précédents messages.
RingCentral n’a pas utilisé le protocole Signal, car ce dernier ne permettrait pas de tenir des conversations avec un grand nombre de participants sans problème de performance. Selon les auteurs du protocole MLS, ce dernier peut supporter le chiffrement de conversations incluant des milliers d’utilisateurs. En bêta privée, RingCentral commence avec 50 participants pour la messagerie et les entretiens VoIP en tête-à-tête via le client mobile ou desktop. Les utilisateurs externes invités peuvent accéder aux conversations s’ils sont connectés depuis leur compte RingCentral. Là encore, il sera possible d’activer ou de désactiver la fonction E2EE en cours de conversation.
Comme souvent, ce modèle de chiffrement limite l’utilisation de certaines fonctionnalités (partage de documents, utilisation de GIF, enregistrements, utilisation d’applications tierces, etc.). En ce qui concerne la téléphonie, les appareils fixes ou systèmes PSTN utilisant le protocole SIP/H323 ne sont pas compatibles avec cette fonctionnalité.
Le chiffrement pour la messagerie et la téléphonie dans RingCentral MVP devrait entrer en disponibilité générale à plus large échelle au cours du premier semestre 2023.