Communiquer avec vos collègues sur Slack est très amusant. L'outil de messagerie instantanée rassemble votre lieu de travail dans un portail de communication unique et élimine la dépendance aux fils de discussion interminables d'antan.
Mais une chose que Slack ne fait pas est de protéger vos messages. Malgré tous ses avantages incroyables, Slack ne propose malheureusement pas de cryptage intégré.
C'est là que l'outil de chiffrement Shhlack pour Slack Jetons un coup d'œil à Shhlack, de quoi il s'agit et comment vous pouvez l'utiliser pour vous protéger des regards indiscrets.
Shhlack est un service de chiffrement de messages pour Slack développé par Minded Security. Le développement d'un outil de chiffrement de messagerie a été motivé par deux choses :les modifications apportées à la politique de confidentialité de Slack et la conformité au RGPD.
Le 20 avril 2018, Slack a mis à jour sa politique de confidentialité. La nouvelle politique de confidentialité a apporté quelques ajouts et modifications qui permettent aux propriétaires de certains forfaits Slack d'accéder plus facilement aux données d'autres utilisateurs.
Par exemple, ceux qui ont un forfait Plus (12,50 $ par utilisateur et par mois) peuvent demander l'accès à un "outil d'exportation en libre-service" qui leur permet de télécharger "toutes les données de leur espace de travail", y compris "le contenu des canaux publics et privés et les messages directs".
Évidemment, c'est tout un changement. Mais il y a un autre changement, plus inquiétant pour les utilisateurs de Slack :
"Les notifications automatiques aux employés seront supprimées. L'employeur décidera désormais si les utilisateurs seront informés que leurs conversations sont exportées."
Avant la mise à jour de la politique de confidentialité, les utilisateurs de Slack recevaient une notification lorsque leurs messages privés étaient exportés. Mais désormais, l'intégralité de l'espace de travail Slack peut être téléchargé sans avertissement, à condition que le propriétaire de l'espace de travail ait préalablement informé ses utilisateurs de cette possibilité.
Dans un environnement d'entreprise, cela équivaut à une notification formelle indiquant que cela pourrait se produire à un moment donné, donc très probablement lorsque vous signez votre contrat.
De plus, Slack n'applique pas les mesures. Slack m'a confirmé qu'"il est de la responsabilité de chaque propriétaire d'espace de travail de s'assurer que les deux mesures sont en place" avant de procéder à l'exportation des données via l'outil d'exportation en libre-service.
Votre patron a une chance de lire vos messages Slack s'il a un forfait Slack Plus ou un forfait Enterprise Grid. Cela signifie qu'ils pourront lire toutes ces choses super gentilles que vous et vos collègues avez dites à leur sujet !
Cependant, cela ne s'applique pas complètement aux plans gratuits ou standard. Les propriétaires d'espaces de travail gratuits ou standard peuvent utiliser l'exportation standard pour "exporter uniquement le contenu des chaînes publiques". Les canaux et messages privés nécessitent une "procédure légale valide", le "consentement de tous les membres" ou la démonstration d'"une exigence ou d'un droit en vertu des lois applicables".
Avant Shhlack, si vous et votre équipe vouliez ou exigeiez la sécurité et la confidentialité de la messagerie cryptée, vous deviez utiliser un service différent. Ce n'est plus le cas, mais comment fonctionne Shhlack ?
Shhlack permet aux utilisateurs d'échanger des clés de chiffrement pour afficher les messages avec un chiffrement de bout en bout. Toute autre personne tentant de lire les messages reçoit une chaîne de caractères brouillés.
Shhlack utilise des clés pré-partagées (PSK). PSK signifie que si vous souhaitez que Shhlack chiffre vos messages, vous devez échanger vos clés sous la forme d'une phrase secrète. Seuls les autres utilisateurs disposant de la phrase secrète peuvent déchiffrer vos messages, et vice versa.
Fait intéressant, vous pouvez envoyer des messages en utilisant le cryptage Shhlack dans les discussions de groupe, mais les personnes sans la phrase secrète ne voient que le gobbledygook.
L'idée derrière Shhlack est pure. Slack devient rapidement l'outil de messagerie de choix sur le lieu de travail, des petites entreprises aux conglomérats mondiaux. La confidentialité des données est importante et les utilisateurs s'inquiètent de savoir qui peut regarder par-dessus leur épaule.
Mais Shhlack a quelques problèmes.
Tout d'abord, vous devez partager vos clés. Évidemment, vous ne pouvez pas partager vos clés avec Slack car quelqu'un pourrait exporter l'espace de travail, trouver vos clés et ouvrir vos messages en grand. C'est hors de question.
Au lieu de cela, vous devez envoyer vos clés via un messager sécurisé alternatif, tel que Signal ou Telegram, puis les saisir dans Shhlack. Mais si vous et le destinataire disposez tous les deux de Telegram ou d'une autre application de messagerie cryptée, pourquoi ne pas simplement l'utiliser pour vos messages ?
Deuxièmement, l'utilisateur de Reddit ScottContini souligne que "il y a un problème de sécurité avec l'implémentation [de Shhlack] en raison d'un problème de sécurité dans cryptojs."
Le problème provient de la façon dont CryptoJS convertit les mots de passe en clés et de la façon dont l'implémentation actuelle de Shhlack CryptoJS le fait de manière non sécurisée. Lisez le message lié ci-dessus pour plus d'informations sur ce problème (ainsi que d'autres liens qui détaillent le problème).
Avant l'installation, considérez que Shhlack est un travail en cours et peut ne pas protéger vos messages. En tant que tel, "utilisez-le avec un grain de sel !"
Cela dit, les développeurs de Minded Security vous ont facilité l'ajout d'un chiffrement à vos messages Slack. Shhlack est disponible pour :
Shhlack protégera uniquement les messages sur la plate-forme sur laquelle vous l'installez. Par exemple, si vous installez l'extension Chrome, les messages envoyés depuis votre navigateur sont sécurisés, mais ceux de votre application de bureau ne le sont pas. L'installation de Shhlack est simple. Utilisez les liens ci-dessus pour accéder à la boutique d'applications du navigateur de votre choix, puis suivez les instructions à l'écran pour l'ajouter à votre navigateur.
Vous pouvez également télécharger l'archive autonome, puis décompressez-la à l'aide de votre outil d'archivage préféré. L'archive autonome contient un certain nombre de fichiers. Localisez patch_slack.bat , puis faites un clic droit et sélectionnez Exécuter en tant qu'administrateur .
La première fois que vous utilisez Slack après avoir installé l'extension autonome ou de navigateur, une boîte de dialogue Shhlack s'affiche. (Si ce n'est pas le cas, cliquez sur l'icône du cadenas Shhlack à côté de la zone de saisie du message ou utilisez les touches Alt + S raccourci.)
Il comporte trois onglets :Envoyer un message, Gérer les phrases de passe et Clé principale. Ouvrez l'onglet Gérer les phrases secrètes et sélectionnez Ajouter une nouvelle phrase secrète . Ajouter un nom de phrase de passe , puis ajoutez votre phrase secrète pré-partagée . La phrase de passe pré-partagée est ce que vous devez partager avec le destinataire du message chiffré, sinon il ne verra que des caractères brouillés.
Ouvrez le panneau Envoyer un message, sélectionnez votre nom de phrase secrète dans le menu déroulant et saisissez votre message. Appuyez sur OK quand vous serez prêt.
Le message sera diffusé sur la chaîne Slack sur laquelle vous vous trouvez actuellement. Toute personne disposant de votre phrase secrète pré-partagée peut déverrouiller le message et lire le contenu. Ceux qui ne verront pas un méli-mélo de personnages.
Voici à quoi ressemble un message pour l'expéditeur :
Et voici comment il apparaît aux utilisateurs sans la phrase secrète :
Vous pouvez également envoyer un message à votre canal actuel en utilisant la phrase secrète précédemment sélectionnée en ajoutant le @@@@ préfixe à votre texte. Par exemple :
@@@@ J'adore MakeUseOf C'est aussi simple que cela, tout comme le service Slack principal. Et vraiment, Shhlack peut être juste un autre aspect de Slack que vous devez maîtriser.
Bien sûr, la configuration et l'utilisation de Shhlack ne sont pas idéales pour tout le monde. Pour certains, c'est trop fastidieux (même si cela vaut la peine d'être appris). Pour d'autres, cela pourrait directement enfreindre les politiques de votre lieu de travail.
Ne faites rien qui compromette votre sécurité d'emploi. Il existe d'autres services de messagerie qui utilisent le cryptage pour garder vos communications privées !