Communiquer avec vos collègues sur Slack est à la fois efficace et plaisant. Cet outil de messagerie instantanée centralise votre environnement de travail, éliminant les échanges interminables par e-mail.
Cependant, Slack ne propose pas de chiffrement intégré pour protéger vos messages. C'est là qu'intervient Shhlack, l'outil de chiffrement pour Slack. Découvrez ce qu'est Shhlack et comment l'utiliser pour sécuriser vos échanges contre les regards indiscrets.
Shhlack est un service de chiffrement des messages Slack développé par Minded Security. Son création répond à deux enjeux majeurs : les évolutions de la politique de confidentialité de Slack et la conformité au RGPD.
Le 20 avril 2018, Slack a modifié sa politique de confidentialité, facilitant l'accès aux données pour les propriétaires de certains forfaits. Par exemple, avec un forfait Plus (12,50 € par utilisateur/mois), ils peuvent utiliser un outil d'exportation en libre-service pour télécharger toutes les données de l'espace de travail, y compris les messages des canaux publics, privés et directs.
Un changement particulièrement préoccupant :
"Les notifications automatiques aux employés seront supprimées. L'employeur décidera désormais si les utilisateurs sont informés de l'exportation de leurs conversations."
Auparavant, les utilisateurs étaient notifiés lors d'exports de messages privés. Désormais, un espace de travail entier peut être exporté sans alerte préalable, si le propriétaire a informé ses utilisateurs au préalable (souvent via le contrat de travail).
Slack confirme que la responsabilité incombe aux propriétaires d'espaces de travail de respecter ces mesures avant toute exportation.
Oui, si votre organisation utilise un forfait Plus ou Enterprise Grid. Cela permet d'accéder à tous les messages, y compris les commentaires internes. Les forfaits gratuits ou Standard limitent l'export aux canaux publics, sauf en cas de procédure légale ou consentement explicite.
Shhlack apporte le chiffrement de bout en bout à Slack via des clés pré-partagées (PSK). Vous échangez une phrase secrète avec vos interlocuteurs ; seuls eux peuvent déchiffrer vos messages. Les autres ne voient qu'une chaîne illisible.
Il fonctionne même en discussions de groupe : les non-initiés voient du charabia.
Shhlack répond à un besoin réel de confidentialité dans les entreprises. Cependant, il présente des inconvénients :
1. Partage des clés : Les phrases secrètes doivent être échangées via un canal sécurisé externe (comme Signal ou Telegram), puis saisies dans Shhlack. Si vous avez déjà ces apps, pourquoi ne pas les utiliser directement ?
2. Vulnérabilité potentielle : Comme noté par l'utilisateur Reddit ScottContini, l'implémentation utilise CryptoJS de manière non optimale pour la conversion des mots de passe en clés, posant un risque sécuritaire. Consultez les discussions liées pour plus de détails.
Shhlack est en développement ; testez-le avec prudence. Il est disponible pour :
Shhlack ne protège que la plateforme installée (ex. : extension Chrome pour le navigateur uniquement).
Pour l'installer :
À la première utilisation Slack, la boîte Shhlack apparaît (sinon, cliquez l'icône cadenas ou Alt + S). Dans "Gérer les phrases secrètes", ajoutez un nom et votre phrase pré-partagée.
Dans "Envoyer un message", sélectionnez votre phrase secrète, saisissez le texte et cliquez OK. Le message s'affiche chiffré sur le canal Slack.
Vu par l'expéditeur :
Vu sans clé :
Ou préfixez par @@@@ pour un envoi rapide, ex. :
@@@@ J'adore MakeUseOfSimple et intégré à Slack.
Si Shhlack ne convient pas (contraintes d'entreprise ou complexité), optez pour des messageries chiffrées natives comme Mattermost, Rocket.Chat ou Signal pour Teams.
Protégez toujours votre emploi en respectant les politiques internes.
[]