Vieille PME française, Ercom s'est fixée comme cap de protéger les terminaux et données des entreprises françaises. Après un passé dans l'interception légale, elle revient avec nous sur son rôle de défense, s'associant à Orange pour fournir son chiffrement de bout en bout aux petites entreprises.
Fondée il y a plus de 30 ans, Ercom « a eu plusieurs vies » nous déclare Yannick Dupuch, son président, dans un entretien aux Assises de la sécurité de Monaco. L'une d'elles a été l'interception légale, dont elle souhaite se détacher autant qu'elle le peut désormais.
Elle insiste sur son activité de protection, qui représenterait l'essentiel de ses revenus (au montant inconnu) aujourd'hui. Certains services de la PME sont fournis à l'Élysée, au ministère des Affaires étrangères, au ministère de la Défense (pour 20 000 personnes) ou l'Imprimerie nationale.
Du smartphone au stockage en ligne, en passant par la messagerie instantanée, la société veut remplacer les outils habituels par du chiffrement de bout en bout, géré par l'entreprise. Elle fournit trois solutions : Cryptosmart (protection des terminaux et du réseau), Cryptopass (WhatsApp) et Cryptobox (équivalent chiffré de Dropbox). Cryptosmart est certifié par l'ANSSI, avec un agrément « diffusion restreinte » depuis 2015.
La sécurité sur mobile est son cheval de bataille. « Nous sommes partis du constat qu'avec le développement du mobile, nous serions amenés à faire davantage de choses sur un terminal et que, mécaniquement la concentration des attaques sur PC allait se reporter sur mobile... avec plus d'informations critiques » conte l'entreprise, qui s'appuie désormais sur des partenariats pour toucher les PME.
L'interception légale « n'est pas une activité pérenne aujourd'hui »
« Historiquement, la boite a une activité sur la partie lawful intercept, sur les systèmes classiques » retrace Yannick Dupuch. Fin 2014, L'Expansion affirmait qu'Ercom concevait un cheval de Troie capable d'enregistrer les frappes de clavier, la caméra ou le micro d'un PC, voire le micro d'un smartphone. Fin 2016, IntelligenceOnline relatait qu'une filiale de la société proposait Wifileaks, un outil d'interception Wi-Fi.
Sur son activité dédiée à l'interception, « il y a une habilitation, mais on n'est plus compétitifs aujourd'hui » lâche Yannick Dupuch. En fait, il est hors de question d'associer les produits actuels d'Ercom à l'interception légale, martèle Raphaël Basset, son directeur marketing. La société protège, sans obligation légale de fournir les données.
Pour le président de la PME, « avec l'arrivée de toutes ces messageries [type Signal ou WhatsApp], ces systèmes deviennent inopérants aujourd'hui. Après, il faut entrer dans un domaine plus sophistiqué avec du keylogger et ainsi de suite. C'est une usine à gaz, ce n'est pas une activité pérenne aujourd'hui, parce que les modèles économiques sont complètement défaillants ».
La cause ? Le besoin d'exploiter des vulnérabilités. « Des gens sont très bien placés dans le domaine, avec une approche qui ne nous plaît pas trop. À partir du moment où vous entrez dans le développement de ces failles et que vous les exploitez... Ce n'est pas du business » pointe Dupuch. Pourtant, « l'intrusion non consentie sur un appareil passe nécessairement par des failles », nous fait remarquer un bon connaisseur du domaine.
La PME change donc officiellement de vie, en misant sur Cryptosmart, une solution clés-en-main pour protéger les smartphones et communications d'une entreprise. « Cette histoire est venue d'un appel d'offres du ministère de la Défense il y a six, sept ans. Nous sommes rentrés dedans par cet appel d'offre puis c'est devenu le core business de l'entreprise » se souvient son président.
Cryptosmart, pour protéger les terminaux mobiles
Pour un programme de sécurité, le mobile est « un écosystème compliqué ». Concepteurs de systèmes, fabricants de terminaux, opérateurs, développeurs d'applications... Où la protection des données mobiles doit-elle se situer ?
« Les premières attaques consistent à récupérer la donnée. Il y a des attaques beaucoup plus sophistiquées qui piègent le matériel du téléphone, avec un keylogger, donnant un accès en temps réel à l'information affichée sur l'écran, au micro et au clavier » fait remarquer l'entreprise. Elle a donc décidé de partir du matériel, du gestionnaire de démarrage (bootloader) lui-même, donc contacter les fabricants.
Apple n'a pas répondu, Samsung si. Cryptosmart d'Ercom s'intègre à son système Knox, qui crée une zone protégée pour les applications professionnelles. Concrètement, la solution d'Ercom utilise une carte SD comme une enclave sécurisée, « dans laquelle on met nos secrets ». L'outil blinde aussi l'appareil contre les attaques physiques (USB), Bluetooth et les MMS.
Un VPN permanent route enfin toutes les communications vers une passerelle propre à l'entreprise. « Nous créons un réseau au-dessus des réseaux classiques » déclare Yannick Dupuch. Les appels et SMS sont, eux, chiffrés de bout en bout, l'échange de clé s'effectuant de téléphone à téléphone sans que la passerelle ne consulte le contenu.
Ercom aux Assises de la sécurité en 2015
Cryptosmart : gestion des clés et évolution
Les clés sont générées (en AES-256) à chaque communication et « enfouies » dans la carte mémoire. Si l'interlocuteur ne dispose pas de Cryptosmart, un appel sera chiffré jusqu'à la passerelle, puis renvoyé en clair sur le réseau mobile du correspondant. « Pour les gens qui font des affaires à l'étranger [appelant la France], pour un grand groupe, c'est très important » note Yannick Dupuch.
Un employé peut donc installer le service de son entreprise sur son smartphone. L'accès est protégé par un code, avec un outil d'effacement à distance en cas de perte. Notez tout de même une limitation : les communications passent via la data, et non par un réseau 2G comme c'est actuellement le cas ; les couvertures entre les deux ne sont pas du tout les mêmes.
À la fin de l'année, l'outil devrait être disponible pour les smartphones Samsung Galaxy supportant Knox, y compris ceux du commerce, soit les gammes A, J et S. « La solution de fin d'année permettra aussi d'utiliser la carte SIM pour gérer les clés via son secure element » nous promet l'entreprise. Enfin, chaque utilisateur pourra créer un espace personnel sur un smartphone fourni par son employeur.
Cryptobox, du Dropbox à la sauce chiffrement et blockchain
Cryptosmart reste un outil lourd, impossible à installer sur de nombreux appareils, iPhone en tête. La société conçoit donc deux applications destinées à combler ce vide : Cryptobox et Cryptopass, clones assumés de Dropbox et WhatsApp. Leur intérêt : du chiffrement de bout en bout et une gestion des permissions par l'entreprise.
Avec Cryptobox, une société doit garder le contrôle de ses données, en choisissant de l'héberger sur ses serveurs ou sur un service tiers. Tout le contenu et des métadonnées sont déchiffrés localement, l'administrateur ne voyant que l'espace de stockage occupé. Les documents sont stockés dans des espaces de travail, auxquels plusieurs personnes (dont extérieures à l'entreprise) peuvent accéder.
Les données sont notarisées sur une blockchain (publique ou privée). À chaque modification, une empreinte (hash) est générée à partir du contenu de l'espace de travail et envoyée. Une fonction qui intéresserait certains domaines sensibles, comme la banque. Pour leur part, les fichiers sont versionnés, comme sur la plupart des services du genre.
Cryptobox : coffres-forts à deux clés et simili-Slack
Le principal intérêt pour une société est pourtant ailleurs. Ercom mise sur la gestion des communautés par l'administrateur, qui a une vue des accès aux espaces de travail ; ce qu'il n'aurait pas sur un service grand public. La gestion des clés est aussi particulière.
Elle est séparée en deux : une partie sur le serveur de l'entreprise, l'autre sur le terminal. « C'est le principe du coffre à deux clés, j'ai besoin de ces deux clés qui se reconstituent pour ouvrir mon information, mon coffre-fort numérique ». Selon la société, cela permet de réduire le risque face à un smartphone ou PC perdu, mais cela ne change rien si un utilisateur se fait dérober son terminal alors qu'il est déjà connecté.
Enfin, un mécanisme de tiers de confiance (passant par une personne connectée à la même plateforme) permet de récupérer un mot de passe oublié.
Si Cryptobox est disponible sur les principaux systèmes (Android, iOS, Windows...), « nous n'avons pas toutes les fonctionnalités d'un Dropbox », reconnaît Yannick Dupuch. La principale limite est l'indexation, très difficile sur des données chiffrées. Le président d'Ercom évoque l'idée du chiffrement homomorphe, qui n'est pas encore en place.
En plus de l'hébergement de fichiers, la plateforme intègre des discussions de groupe calquées sur Slack, liées ou non à des espaces de travail. Les utilisateurs sont censés avoir peu de raisons de sortir de cet environnement. Pour la suite, un client de synchronisation est prévu pour macOS, quand les applications Cryptopass et Cryptosmart doivent permettre de sauvegarder les données dans un espace Cryptobox.
Face à WhatsApp et Telegram, Cryptopass
Aujourd'hui, la question la plus médiatique est celle des communications. Quand l'Élysée est dopé à Telegram, d'autres administrations communiquent par WhatsApp... Alors que l'État dispose déjà d'outils « sûrs » comme Citadel de Thales ou Prim'x. Cryptopass d'Ercom vient s'ajouter à cette liste, une première certification de l'ANSSI étant en cours (CSPN avant de candidater pour une EAL3+).
Pour Ercom, l'enjeu est de fournir un outil aussi simple d'utilisation que les solutions grand public, toujours chiffré de bout en bout, mais au périmètre contrôlé par la société. « C'est un problème pour toutes les entreprises. Il y a une problématique de confiance, notamment vis-à-vis des organismes étatiques » qui voudraient accéder aux données d'un acteur mondial, estime Yannick Dupuch.
« Ils ne maitrisent absolument rien sur WhatsApp et Telegram. Il n'y a pas de DLP [outil de prévention de la perte de données] qui va filtrer les documents, absolument rien. Notre enjeu est de proposer une alternative beaucoup plus professionnalisée, avec les mêmes fonctionnalités » ajoute le président d'Ercom, avec pour principale arme l'ergonomie.
S'ouvrir aux PME mais éviter le grand public (et les terroristes)
Fin septembre, la société annonçait tout de même un partenariat avec Orange Cyberdefense, qui propose ses outils aux PME. « Nous sommes confrontés à la problématique générale des gens qui se moquent de la sécurité. C'est un marché à éduquer » résume encore son président.
Le cœur de sa stratégie est donc de fournir des plateformes abordables, contrôlées par l'entreprise elle-même. Pourquoi passer par Orange ? Venant du monde de la défense, Ercom n'avait simplement pas de contact vers les petites et moyennes entreprises. Pour l'opérateur, l'option peut être proposée pour améliorer l'expérience client ou pour augmenter le revenu moyen par abonné (ARPU), de manière simple.
Pour le moment, Orange commercialise ces solutions en hébergeant les « secrets » sur une carte SD. Il est bientôt censé l'intégrer directement à ses cartes SIM, via Idemia (ex-Oberthur), qui gère entièrement la logistique.
Il n'est, par contre, pas question de fournir d'application grand public. « C'est de la cryptographie de très haut niveau. On ne peut pas mettre ça entre les mains de n'importe qui. C'est pour ça qu'on ne veut pas faire d'application gratuite. Les produits certifiés EAL3+, EAL4+... Je n'ai pas envie que cela se retrouve demain matin dans les mains d'un groupuscule terroriste et nous en soyons rendus responsables » nous répond Yannick Dupuch. Contrairement à Telegram (et d'autres) qui mène un contrôle actif des canaux qu'il héberge.
À noter :
Cet article a été rédigé dans le cadre de notre participation aux Assises de la sécurité de Monaco, du 11 au 13 octobre, où nous avons été conviés par les organisateurs. Ces derniers ont pris en charge nos billets d'avion, notre hébergement et la restauration sur place. Conformément à nos engagements déontologiques, cela s'est fait sans aucune obligation éditoriale de notre part, et sans ingérence de la part des organisateurs.