Alternatives françaises et sécurisées de visioconférence : Jamespot
L’application de l’éditeur français Jamespot est une alternative de visioconférence motorisée par le framework open source Jitsi (qui repose sur WebRTC) et par l’infrastructure ultra-sécurisée d’Outscale (le IaaS de Dassault Systèmes).
Jamespot est un spécialiste français des réseaux sociaux d’entreprise (RSE), concurrent de Yammer et autres Workplace (Facebook). Il propose également une solution de « Digital Workplace », un portail qui centralise et gère les applications disponibles pour les employés d’une entreprise.
À la différence des applications entièrement « stand alone », sa visioconférence est accessible depuis cette Workplace. Elle vise les organisations qui cherchent à faire des réunions hautement sécurisées, segment que cible déjà son offre « Vault ».
La cible : OIV, secteur public et entreprises critiques
« [La seule visioconférence] est possible, mais elle l’est dans cette optique de Digital Workplace, c’est-à-dire encapsulée dans Jamespot – qui reste la solution maîtresse (pour la méta-administration des utilisateurs) », confirme Alain Garnier, le CEO de Jamespot.
Dans ce cas précis, le portail n’affichera alors qu’une seule app (celle la visio). « En général, nos clients en ont plusieurs. Mais l’Ordre des Médecins, par exemple, utilise Jamespot dans une logique de support des demandes en interne. Ils n’ont que cette app de support ».
Jamespot avait prévu de lancer sa visioconférence sécurisée dans la deuxième moitié de 2020. Contexte oblige, elle est disponible depuis début mai.
Alain Garnier explique au MagIT que ce projet est né d’un double constat : Jitsi est arrivé à maturité, et le besoin des utilisateurs français serait là (« y compris au plus haut niveau de certaines instances publiques »).
Par utilisateurs, le PDG entend les OIV, le secteur public, mais aussi les ETI et les PME de secteurs critiques ayant besoin d’une forte sécurité et d’assurer la confidentialité de leurs échanges.
Jitsi, le Zoom-killer open source
L’application repose sur le framework Jitsi (d’origine alsacienne qui s’appuie entre autres sur NGINX, Prosody et WebRTC). « Jitsi est open source. C’était fondamental parce que cela permet de toujours avoir la main sur le code », explique Frédéric Jaffrès, co-fondateur de Satelliz, la société partenaire de Jamespot qui a intégré le framework sur le cloud 3DS Outscale. La transparence est donc là. Les audits de code possibles.
Jamespot procède d’ailleurs à des audits internes et à des audits externes avec un tiers de confiance, BSSI, certifié par l’ANSSI.
L’autre point clef du choix de Jitsi est le dynamisme de la communauté autour du projet. À tel point que, pour Frédéric Jaffrès, « Jitsi est en train de bousculer le marché ».
Jusqu’ici par exemple, Jitsi gérait correctement jusqu’à 50 voire 60 participants. « Une nouvelle version permettra de tenir beaucoup plus de gens simultanément », se réjouit déjà Frédéric Jaffrès.
Mieux, alors que Jitsi ne permet pas le chiffrement de bout en bout (ce qui reste une faiblesse), la communauté travaille activement sur une solution dans un futur proche. « Il faut que les navigateurs progressent, mais la fonctionnalité Insertable Streams est déjà en bêta sur Chrome et permettra de le faire » prévoit l’expert.
« Ce sera comme si on avait un flux encapsulé dans un autre. Le premier flux est déchiffré et routé par le serveur, mais le deuxième, lui, restera chiffré ; avec les clés dans les mains des seuls utilisateurs ».
Jitsi est donc passé d’une alternative « mi-cuite » à un socle mature. Et demain, le framework open source pourrait bien dépasser les solutions propriétaires.
Alain GarnierJamespot
« Nous avons fait le choix de Jitsi parce que nous voyons bien qu’il se passe énormément de choses. On maîtrise ce qui se passe et cela va dans le bon sens », confirme Alain Garnier de Jamespot « On peut imaginer un Jitsi qui devienne le best of breed de la visio sans installation. C’est notre pari. ».
La grosse partie de la valeur ajoutée de Jamespot est d’encapsuler Jitsi et de l’opérer pour que l’expérience utilisateur soit (encore) plus agréable, le tout sur une infrastructure sécurisée (lire ci-après) et bien dimensionnée. « Et là, nous sommes compétitifs à la fois en fonctionnalités et en prix », assure le PDG de l’éditeur.
Jitsi à la sauce Jamespot n’aurait, d’après lui, pas à rougir ni en termes d’ergonomie face à un Zoom ni en termes de tarif face à un Cisco – même s’il ne cite pas ces concurrents.
« Il y a un intérêt [pour notre solution] sur la souveraineté et l’émancipation, mais il y a aussi cette raison du portefeuille », rigole-t-il. Même si, comme il l’admet lui-même, la sécurité a un coût additionnel. Notamment le choix du cloud d’Outscale.
Une infrastructure SecNumCloud
La visioconférence de Jamespot n’est pas (encore) chiffrée de bout en bout. Ceci étant, d’un point de vue souveraineté, ce point est moins problématique que pour des solutions américaines (ou hébergées sur des infrastructures américaines) qui sont soumises au Cloud Act et au Patriot Act.
L’éditeur a en effet choisi Outscale, le IaaS de Dassault Systèmes et première infrastructure à avoir été adoubée par l’ANSSI qui l’a labélisée « SecNumCloud » en décembre 2019.
« C’est un vrai gage de sécurité pour les OIV et pour l’État », insiste Alain Garnier. Les attaques sur les points clairs étant a priori plus difficiles sur un cloud de ce type.
Le fait d’être sur un cloud français réglerait aussi beaucoup de questions liées au RGPD et au déplacement des données hors d’Europe.
« La chaîne de confiance est un assemblage de tous les composants (infra, déploiement, code). [Sur 3DS Outscale], les disques sont chiffrés, l’accès [au datacenter] est sécurisé et limité à certaines personnes », confirme David Chassan, Directeur de la Stratégie de 3DS Outscale. « Pour les entreprises qui ont des activités stratégiques ou qui veulent faire des conférences de manière extrêmement confidentielle et sécurisée, elles ont désormais une option sur cette infrastructure ».
David ChassanOutscale
Du côté de Jamespot, ce label SecNumCloud de son partenaire lui permet « d’accélérer le processus de confiance », dixit Alain Garnier, c’est-à-dire qu’il évite à un RSSI de refaire l’audit de l’infrastructure sous-jacente de l’application de visioconférence « ce qui lui prendrait beaucoup de temps pour certifier que notre solution correspond bien à son niveau de sécurité ».
Au final, les exigences de l’application de Jamespot en font un bon candidat pour une certification par l’ANSSI. Mais « le processus est long ».
« C’est dans nos projets, mais on ne s’engage pas sur une date. Nous avons fait le choix de travailler avec des prestataires qui nous approchent de la certification de facto… en attendant d’avoir un jour le tampon », conclut son PDG.
Gestion des accès et enregistrements
Côté fonctionnalités, la visioconférence de Jamespot permet d’appeler directement au sein d’une entreprise, en cliquant sur la « bulle » d’un utilisateur via le portail.
Elle est également conçue pour inviter des personnes extérieures (prestataires, partenaires, clients, etc.) dans des « rooms » dont les ID « sont volontairement offusquées » et complexes, « pour que l’on ne puisse pas les trouver par force brute ».
Jamespot donne de surcroît la possibilité de les protéger par un mot de passe. « Mais dans ce cas, il faut l’envoyer par un autre canal », rappelle fort justement Alain Garnier pour qui la sécurité est un tout.
L’enregistrement des réunions, qui peut être une faiblesse dans ce type de solutions, n’est quant à lui pas activé. « Nous avons pris une option prudentielle. Cette fonctionnalité d'enregistrement existe dans Jitsi mais elle est n’est pas implémentée dans Jamespot, ce qui interdit de facto la ré-écoute par qui que ce soit ».
Conclusion
Jamespot propose une alternative intéressante pour les OIV et les OSE (Opérateurs de Services Essentiels) ainsi que pour les organisations qui cherchent une visioconférence à l’abri des lois américaines. Le tout prend encore plus de sens dans une optique de Digital Workplace sécurisé.
Pour les besoins moins critiques, Jamespot a par ailleurs passé un partenariat depuis plusieurs années avec les Bretons de Apizee.
« Ils font beaucoup de télémédecine et nous sommes agréés HDS, avec beaucoup de besoins autour de la santé » resitue Alain Garnier. « Nous travaillons aussi sur les verticaux parce que nous pensons qu’il y a la “visio de tous les jours” et celle adaptée à chaque métier. De mon point de vue, c’est l’avenir de ces outils ».
À lire aussi :
Pendant la crise sanitaire, une version 100 % française et clef en main de Jitsi est également disponible sur une autre infrastructure (gratuite, mais beaucoup moins sécurisée) : celle de Scaleways (ex-Online).