[FIC 2017] Shadline transpose la recette Slack à la communication sécurisée

De nombreuses entreprises étaient présentes sur le stand du pôle d’excellence cybersécurité de Bretagne lors du FIC 2017. Parmi elles, Shadline se détachait tout particulièrement. Cette start-up rennaise, formée début 2016 par une équipe d'une dizaine de vétérans du conseil en informatique (dont François Enaud, l'ancien CEO de Steria), a créé une application de messagerie professionnelle collaborative sécurisée. Pour résumer, c'est un émule du populaire Slack mais qui place la sécurité des données au cœur de sa mission.

Un "Slack" pour les données confidentielles

"Au départ nous avons développé l'application pour répondre à nos propres besoins, confie Olivier Witterbroodt, directeur technique de Shadline. Nous voulions pouvoir discuter facilement de contrats prospectifs ou d'aspects techniques après des rendez-vous clients mais sans compromettre la sécurité et la confidentialité des informations." Ainsi est née Shadline, un outil de communication à plusieurs qui se veut plus souple et moderne que les traditionnelles messageries sécurisées. "Nous l'avons pensé dès le départ pour être le plus simple et 'user-friendly' possible", reprend Olivier Witterbroodt.

L'application s'articule autour de "lines", l'équivalent des "channels" de Slack (des salles de discussion). Celles-ci ne sont accessibles qu'à certains utilisateurs et ont une durée de vie prédéfinie. Les sessions utilisateurs ne peuvent par exemple pas dépasser 24 heures. Pour l'échange de fichiers, cela se fait via des liens uniques générés pour chaque utilisateur, et dont chaque téléchargement est comptabilisé. Toutes les données sont chiffrées en AES-256 et stockées dans le cloud sécurisé de Shadline. Pour simplifier la collaboration et l'échange de fichiers, Shadline utilisera par ailleurs des bots qui se connecteront à Microsoft Exchange et Skype for Business.

Une transparence totale

Ce cloud en question, hébergé en interne, utilise le système open source décentralisé Tahoe-LAFS. "Les données sont chiffrées, puis réparties entre différents serveurs, ce qui fait que même si l'un d'entre eux est compromis, l'attaquant n'obtient aucune donnée utilisable," explique Olivier Witterbroodt. Shadline effectue actuellement les démarches pour faire évaluer son logiciel par l'ANSSI, et veut se concentrer sur les cas d'usage "vraiment sensibles". "Nous voulons aller jusqu'aux informations classées Diffusion Restreinte", poursuit-il. Preuve suprême de la confiance de Shadline en sa solution : l'intégralité du code (qui est open source), sera auditable, en totale transparence.

L'application n'est disponible que via une interface web pour le moment, mais des versions mobiles arriveront d'ici 6 mois d'après Olivier Witterbroodt. D'autres fonctionnalités, comme la transmission de données via le réseau SMS, sont aussi en cours d'implémentation à la demande de potentiels clients. Le modèle de Shadline est encore une fois proche de celui de Slack. Il y a deux types d'utilisateurs : gratuit ou premium. Les comptes gratuits disposent de fonctionnalités limitées (cinq lines maximum par exemple). Une version "entreprise" capable de tourner au sein des serveurs de l'entreprise (on-premise) est aussi en préparation et sera lancée au deuxième semestre 2017.

Sélectionné pour vous

Vinted ciblé par des pirates informatiques, des centaines de comptes vidés

Cybersécurité : comment ces éditeurs français veulent tirer leur épingle du jeu dans le match de l'EDR

Cybersécurité industrielle : il est temps d'agir !