Le cabinet d’audit vient de mettre en place sa propre messagerie sécurisée, conçue à partir de la technologie européenne Wire, afin de sécuriser les échanges avec ses clients et ne plus dépendre de solutions américaines qui centralisent les clefs de chiffrement.

Par Marie Varandat

Dans le « monde d’avant », le cabinet spécialisé en audit, conseil, fiscalité et droit EY (anciennement Ernst & Young) avait déjà identifié le besoin des entreprises d’échanger de manière plus sécurisée. « Tout est parti de l’affaire Snowden, explique Yannick de Kerhor, Associé EY et responsable du projet MATLO Messenger. Elle a révélé au monde entier la réalité des outils que les entreprises utilisent tous les jours et provoqué une prise de conscience : même quand elles cryptent les échanges, toutes les plateformes de communication, majoritairement américaines, reposent sur un modèle de centralisation des clefs de chiffrement, avec le risque non négligeable de vol des clefs ou simplement de livraison au gouvernement américain ».

En réalité, il ne suffit pas d’un claquement de doigts des services secrets américains pour récupérer ces informations. Cloud Act compris, la procédure est soumise à des démarches juridiques et à un certain nombre de garde-fous.

Reprendre le contrôle

Yannick de Kerhor, Associé EY

Reste, comme le souligne Yannick de Kerhor que « le mail, massivement utilisé depuis 20 ans par les entreprises, est comme une carte postale par rapport à l’enveloppe cachetée : n’importe qui peut la lire. Et, à l’exception du téléphone, c’est le seul outil dont les entreprises disposent aujourd’hui pour échanger ».

Pour le responsable du projet Matlo Messenger, la problématique relève moins d’une souveraineté « étatique » sur les outils numériques que du modèle proposé par les éditeurs de WhatsApp, Facebook ou encore Teams. Hébergées sur les infrastructures d’éditeurs étrangers, ces solutions n’offrent pas de garanties suffisantes en termes de sécurité et de confidentialité des échanges parce qu’elles centralisent les clefs de chiffrement tout en étant assujetties à la réglementation américaine.

Une nouvelle génération de messagerie ‘cloud privé’ hautement sécurisée

Une messagerie conviviale

Un point de vue qu’il n’est à priori pas le seul à défendre puisqu’il a donné naissance à une nouvelle génération de messagerie focalisée sur la sécurisation des échanges : Signal, Wire ou encore plus récemment le français Olvid. Conçues au départ pour aller concurrencer WhatsApp, ces solutions ont un point commun : elles se sont recentrées sur l’entreprise avec une messagerie hautement sécurisée qui s’installe en interne et qui ne centralise pas les clefs de chiffrement.

Commissaire aux comptes, avocats, experts comptables… EY exerce des métiers très règlementés soumis à un secret professionnel strict. « Face à la pression croissante des pouvoirs publics à notre égard sur le fait d’être un peu moins américain dans nos systèmes de communication et dans la mesure où beaucoup d’informations sensibles transitent dans nos échanges avec nos clients, il nous a semblé important d’aller vers ce genre de solution, d’autant qu’il est aujourd’hui beaucoup plus facile de créer son propre cloud privé pour héberger ce type de messagerie », explique Yannick de Kerhor.

Wire, la messagerie conseillée par Snowden

Wire fonctionne sur Desktop et mobiles

Largement médiatisé par l’ex-contractuel de la NSA qui estime que Wire « utilise le meilleur chiffrement gratuit actuellement disponible », la technologie open source européenne conçue par les équipes qui ont inventé Skype est moins connue que sa concurrente Signal. C’est pourtant la messagerie retenue par EY et « pas parce qu’elle est conseillée par Snowden, précise Yannick de Kerhor en plaisantant. Wire est la technologie la plus robuste sur le plan de la sécurité et la plus conviviale en termes d’interface. De fait, les utilisateurs sont aujourd’hui trop habitués à WhatApps ou Facebook pour revenir en arrière. Si on ne leur offre pas le même niveau de qualité d’interface, ils n’adhèrent pas ».

Lancé il y a environ 18 mois, le projet de mise en œuvre de Wire, baptisé Matlo Messenger, a débuté par la création d’un cloud privé avec des serveurs sous Linux, enrichis d’une couche Kubernetes et d’un ensemble de briques logicielles open source dont notamment Cassandra (Base de données), Minio (Gestion de fichiers) ou encore Vormetric (Chiffrement base de données – Metadata).

Ajout de fonctionnalités pour renforcer la sécurité

Architecture de la plateforme MALTO Messenger

Pour déployer sa messagerie, EY a travaillé en collaboration avec Wire afin de renforcer certains aspects de la solution. « Typiquement, dans sa version grand public, Wire ne chiffrait pas les métadonnées. Nous avons développé cette fonctionnalité afin de renforcer la protection des échanges », précise Yannick de Kerhor.

Fort d’un premier pilote réussi, EY confronte ensuite sa solution à son processus de validation interne. « Il est très rigoureux, très normé et prévoit des tests très poussés, souligne le responsable du projet Matlo Messenger. Il a duré environ six mois au cours desquels nous avons dû encore renforcer certains détails pour nous conformer aux exigences de sécurité d’EY. Tous les ajouts ont été partagés avec Wire : ils sont disponibles sur le repository public GitHub et figurent désormais dans la version entreprise sous forme d’options ».

Parmi ces fonctions mises en place durant le processus de validation interne, on peut notamment citer l’obligation de s’identifier de nouveau après quelques minutes d’inactivité même avec une authentification SSO ou encore la possibilité d’effacer toute trace d’un échange, notamment lorsque celui-ci n’est pas pratiqué à partir de l’ordinateur habituel de l’utilisateur afin d’éviter tout risque de vols d’informations.

Un nouveau standard de communication ?

Destinée uniquement aux échanges d’EY avec ses clients, la plateforme mise en place par EY est disponible depuis avril dernier. Elle est accessible sur invitation uniquement.
« Nous n’excluons pas de faire profiter nos clients de notre expérience en leur permettant de réaliser un POC sur notre infrastructure, précise Yannick de Kerhor. Mais la vocation de Malto Messenger n’est pas de devenir une nouvelle messagerie disponible en SaaS. De fait, notre volonté a toujours été de reprendre le contrôle sur nos échanges avec nos clients avec un système de communication chiffré dont on tient les ficelles. Aujourd’hui, cette nouvelle génération d’outils est mature et à la portée d’un acteur ou d’un groupe d’acteurs qui ne voudrait plus faire reposer la confidentialité de ses informations sur des solutions américaines ou chinoises qu’il ne maitrise pas. Dit autrement, aujourd’hui, c’est enfin possible d’entrer dans un nouveau standard de communication avec des entreprises qui reprennent la maitrise sur leurs échanges », conclut Yannick de Kerhor.