Slack permet aux clients payants de contrôler leurs clés de chiffrement en version entreprise
Avec la possibilité de les révoquer en cas de besoin

Slack, le service de communication et de collaboration d’entreprise, permet la messagerie individuelle, ainsi que les discussions de groupe et les salles plus structurées où les utilisateurs peuvent se joindre ou être invités à chatter. Il fournit une variété de fonctionnalités qui lui ont permis d’être populaire auprès de plusieurs clients gratuits et compte plus de trois millions de clients payants. Le service Slack se décline plusieurs versions : la version gratuite permet aux utilisateurs de rechercher un nombre limité de messages. Les versions payantes, tarifées par utilisateur, offrent une recherche illimitée, des appels de groupe et certains avantages en matière de sécurité. Enfin, les grandes entreprises, les ministères ou d'autres organisations peuvent opter pour une version d'entreprise dédiée, qui est conçue pour regrouper plusieurs espaces de travail Slack.

Slack, a annoncé le lancement d’un nouveau produit dédié à ses clients entreprises – le logiciel EKM (Enterprise Key Management) de Slack. Un nouvel outil qui permet aux clients de contrôler leurs clés de chiffrement dans la version entreprise de l’application de communication. Les clés sont gérées dans l'outil de gestion de clés AWS KMS. Ce nouveau produit répond aux besoins des clients payants de Slack qui ne sont pas très intéressés par le chiffrement de bout en bout, d’après un ancien employé de Slack et l'actuel directeur de la sécurité de l'information de l'entreprise, a rapporté Motherboad.

Nom : Slack.jpg
Affichages : 1216
Taille : 12,8 Ko

« Les marchés tels que les services financiers, les soins de santé et le gouvernement sont généralement mal desservis en termes d'outils de collaboration qu'ils peuvent utiliser, nous voulions donc concevoir une expérience qui réponde à leurs besoins particuliers en matière de sécurité », a déclaré Geoff Belknap, directeur de la sécurité chez Slack, qui dit que le nouvel outil devrait plaire aux clients à ces industries qui pourraient avoir besoin d'un contrôle plus strict sur la sécurité.

Les services de Slack permettent actuellement le chiffrement des données en transit et au repos, mais le nouvel outil pour les entreprises annoncé permet aux clients de mieux contrôler les clés de chiffrement utilisées par Slack pour chiffrer les messages et les fichiers partagés dans l'application. Ce qui permet la gestion granulaire du chiffrement en permettant par exemple de révoquer l’accès à un seul fichier, à un canal spécifique, à un espace de travail ou à un niveau d’organisation en cas de besoin.

« EKM est une exigence clé pour les entreprises en pleine croissance de toutes tailles, et était une fonctionnalité demandée par beaucoup de nos clients du service Entreprise Grid. Nous voulions donner à ces clients un contrôle total sur leurs clés de chiffrement, et quand ou s'ils veulent les révoquer », a déclaré M. Belknap.

Le chiffrement de bout en bout, où les clés sont stockées sur des dispositifs individuels par les utilisateurs, qui ne permet qu’aux seuls destinataires prévus de pouvoir lire le contenu des messages, continue à se répandre sur les plateformes de messagerie telles que Whatsapp, Signal et Telegram. Mais Slack n'est pas un programme de messagerie traditionnel comme ces derniers. Il est conçu pour les entreprises et les lieux de travail qui peuvent vouloir ou avoir besoin de lire les messages des employés, d’après Motherboard. Slack a donc décidé contre l'idée d'avoir un chiffrement de bout en bout en raison des priorités de ses clients payants (ceux qui utilisent une version gratuite peuvent toujours bénéficier du chiffrement de bout en bout).

« Ce n'était pas une priorité pour les cadres supérieurs, parce que ce n'était pas quelque chose qui intéressait les clients payants », a déclaré un ancien employé de Slack à Motherboard, avant d’ajouter que « Les clients payants veulent la gestion des clés d'entreprise, et non le chiffrement de bout en bout ». Cela signifie que le client contrôle ses propres clés en tant qu'organisation, peut-être pour des raisons telles que la conformité, les enquêtes internes ou la sécurisation de ses propres clés, plutôt que de laisser Slack s'en occuper lui-même ou les utilisateurs sur une base plus individuelle.

La gestion des clés de chiffrement par l’entreprise elle-même s’avère particulièrement importante, selon M. Belknap, lorsque les clients font appel à des personnes de l'extérieur de l'organisation, comme des entrepreneurs, des partenaires ou des fournisseurs, dans les communications de Slack. « L'un des grands avantages d'EKM est qu'en cas de menace pour la sécurité ou d'activité suspecte, votre équipe de sécurité peut couper l'accès au contenu à tout moment, si nécessaire », explique-t-il.

Nom : Slack1.png
Affichages : 1254
Taille : 41,1 Ko
Capture d'écran de Slack

La gestion des clés de chiffrement par l’entreprise peut également permettre aux clients obtenir une meilleure visibilité de l'activité à l'intérieur de Slack via l'API des journaux d'audit. « Les journaux d'activité détaillés indiquent aux clients exactement quand et où leurs données sont consultées, afin qu'ils puissent être avertis immédiatement des risques et des anomalies », a dit M. Belknap. De sorte que si un client découvre une activité suspecte, il peut bloquer l'accès.

Toutefois, le directeur de la sécurité chez Slack a dit également qu’il y a des options du logiciel Enterprise Key Management à la demande. « Il y a plusieurs alternatives, si le chiffrement de bout en bout est une fonctionnalité dont quelqu'un a explicitement besoin », écrit Belknap dans un tweet.

En effet, Slack, l'application de messagerie pour les équipes, est utilisée par plusieurs entreprises et organisations à l’échelle mondiale telle que la NASA, les salles de presse du monde entier, un grand nombre de groupes de défense des droits, etc. Ces organisations discutent certainement de questions sensibles et de secrets commerciaux sur leurs lieux de travail via le service de communication Slack. D’où, un piratage de Slack lui-même pourrait être potentiellement dévastateur tant sur le plan professionnel que personnel, même si, d’après Motherboard, si une organisation contrôlait ses propres clés, peut-être avec la gestion des clés de l'entreprise, un piratage contre Slack lui-même aurait probablement moins d'impact sur l'organisation.

Le lancement de ce nouvel outil qui permet aux clients de Slack de contrôler leurs clés de chiffrement dans la version entreprise sera certainement salué dans certains pays où le chiffrement de bout en bout est combattu, même si Slack n’est pas un outil traditionnel de messagerie à usage grand public comme Whatsapp et autres. Les journaux d'activité détaillés pourront faciliter des audits en cas de malveillance.

Source : Slack

Et vous ?

Qu’en pensez-vous ?
Avez-vous déjà utilisé Slack dans le cadre de votre travail ? Qu’en pensez-vous ?
Quelle est votre opinion du nouvel outil qui permet aux clients de contrôler leurs clés de chiffrement dans la version entreprise ?

Lire aussi

La demande en applications de chat d'équipe est en forte croissance, et les dépenses en logiciels de collaboration atteindront 45 Md$ US en 2019
Pour déverrouiller un smartphone Android, un attaquant n'a qu'à répondre à un appel via l'appli Skype, un correctif est disponible, mais ...
Slack lance son nouveau service Entreprise Grid, l'entreprise cherche désormais à cibler les grandes organisations
Slack : certains services premium permettent aux clients d'accéder discrètement aux conversations privées, des membres de leur espace de travail
La vague loi anti-chiffrement de l'Australie établit un terrible précédent mondial, et représente « un risque énorme pour notre sécurité numérique »