Avec Squareway, Vivaction protège les smartphones en toute simplicité
Créé en 1995, l'opérateur télécoms d'entreprise Vivaction s'attache a innover en permanence. « Tous les trois ans, nous finançons un nouveau projet », nous confie Richard Marry, le PDG de l'entreprise, croisé à l'occasion du Mobile World Congress 2017 de Barcelone. Le dernier en date est « une nouvelle offre alliant le monde applicatif des smartphones avec celui de la confidentialité et la sécurité orientée B2B ». Laquelle se concrétise par Squareway, une application de sécurisation du terminal mobile.
Une de plus?? Pas que. Aux dires du dirigeant, « Squareway allie sécurité, simplicité et multi environnements ». De fait, l'offre s'adresse aussi bien aux smartphones et tablettes sous Android (à partir de la version 4.4) qu'aux iPhone et iPad sous iOS (version 5 et plus). « L'entreprise n'est plus limitée à un seul type de terminal et les salariés peuvent conserver leurs téléphones personnels », fait remarquer Richard Marry qui pense à l'ultra-sécurisé et onéreux Teorem de Thales et autre Hoox d'Atos (Bull), voire les Samsung certifiés Ercom ou au principe du coffre-fort Knox du constructeur coréen.
VPN mobile
En matière de sécurité, Squareway n'aurait rien à envier aux solutions les plus fortes. « L'application assure la sécurisation des échanges et des connexions par un chiffrement des données à partir des technologies SSL pour réaliser ce qui s'apparente à du VPN mobile avec des cryptages AES 256, explique Cyrille Manente, directeur technique de Vivaction. Soit le niveau de chiffrement le plus poussé autorisé par la réglementation française. Seules les applications militaires ont droit au niveau supérieur. » De quoi garantir la confidentialité des échanges téléphoniques et de données (messagerie instantanée, e-mail, navigation, applications.) en 3G et 4G.
Plus précisément, Squareway installe sa solution de VoIP qui intègre son propre niveau de cryptage en SIP-TLS pour la voix et SRTP pour les flux médias. « A la manière du modèle de la poupée russe, on a deux niveaux de cryptage qui apportent une protection supplémentaire aux flux de téléphonie et de chat, notamment, au cas où le premier niveau serait cassé, ce qui est peu probable », assure Cyrille Manente.
Si le chiffrement se présente comme le pilier de l'offre, l'application assure la sécurité autour de deux autres services?: d'une part la vérification que le smartphone n'est pas rooté ou jailbreaké, « principal élément des failles pour l'installation de malware », insiste Richard Marry; et d'autre part les mécanismes d'authentification. « Ce qui permet de casser le chiffrement tient souvent dans l'interception des clés d'authentification », rappelle le directeur technique. Sur ce point, Vivaction a fait le choix d'utiliser du certificat client plutôt que du classique login/mot de passe. Les développeurs ont ainsi fait le choix d'installer les certificats dans les environnements sécurisés des terminaux. « C'est notre savoir-faire », considère Cyrille Manente. Il ajoute par ailleurs que ces clés de sécurité peuvent être mises à jour de manière périodique (à la fréquence souhaitée selon la politique de sécurité du client) en toute transparence pour l'utilisateur au travers du canal chiffré déjà installé.
Une installation 100% logicielle
Et c'est à travers l'installation de ce canal sécurisé sur le terminal que Squareway se différencie et apporte sa simplicité. Une installation 100% logicielle qui ne nécessite dont pas la monopolisation de l'appareil par une équipe technique. Après le téléchargement de l'application, l'utilisateur scanne un QRcode à usage unique qui actionne le déploiement des mécanismes de sécurité. Le QRcode détient la clé initiale de chiffrement. Il peut être envoyé par e-mail sur une messagerie chiffrée, voire par MMS. Mais la meilleure des sécurités reste l'envoi postal d'un QRcode imprimé. « De cette manière, on s'assure que la clé primaire ne circule pas sur le réseau », justifie le responsable technique.
C'est avec ce même principe de QRcode que l'utilisateur du service de Vivaction va pouvoir lancer des invitations par e-mails aux contacts avec lesquels il souhaite correspondre de manière confidentielle. Le correspondant installe l'application et peut alors démarrer immédiatement une conversation sécurisée. La création d'un groupe fermé d'utilisateurs Squareway peut s'effectuer en quelques minutes, que les différents membres appartiennent à la même entreprise ou pas. Par la suite, toutes les communications effectuées depuis Squareway sont automatiquement sécurisées (jusqu'à la révocation éventuelle d'un membre du moins). De la même manière, les flux des données des applications de l'entreprise sont également chiffrés garantissant ainsi la confidentialité des échanges qui transitent sur Internet. « On s'assure que Squareway va chiffrer les flux de l'application d'entreprise », confirme Cyrille Manente.
Certification Anssi
Pour convaincre le marché, Vivaction a fait une demande de certification de premier niveau (CSPN) auprès de l'Anssi (Agence nationale de la sécurité des systèmes d'information). Son résultat est attendu prochainement. Une certification stratégique pour le succès commercial de l'offre. « Le label Anssi règle la question de la sécurité et permet à l'application d'entrer dans le monde des services au sein de l'entreprise, estime Richard Marry selon qui les dirigeants des grands groupes effectuent aujourd'hui leurs communications depuis leurs mobiles personnels. C'est à nous de nous adapter aux habitudes de l'utilisateur, pas l'inverse. »
Cette composante sécurisation-service de VoIP crypté-simplicité d'installation en fait une offre relativement unique sur le marché. Tout comme son mode de diffusion où l'utilisateur principal, initiateur du groupe sécurisé, s'inscrit comme un pourvoyeur de la solution. Laquelle pourrait séduire un des correspondants sécurisés qui, à son tour, va créer son propre groupe sécurisé, et ainsi de suite. « Un principe d'invitation en temps réel qui génère une viralité vertueuse », considère Cyrille Manente. Le modèle économique est lui, plus traditionnel, et s'inspire du mode Saas avec un prix de départ de 30 euros par mois pour 10 invités et dégressif en volume. De quoi rester accessible face à des applications de messagerie gratuites de type WhatsApp ou Telegram « dont on ignore qui est sur le chemin du serveur », souligne Richard Marry. Qui ajoute que Squareway assure aussi un support 24/24 aux clients.
Lire aussi : PaaS et multicloud, une antinomie ?
A Barcelone, Vivaction présentait la version 2 de la solution. Laquelle est l'aboutissement de trois ans de développement d'une première version soumise à l'utilisation d'un boîtier dédié et qui se limitait aux seuls clients du réseau de l'opérateur télécoms. La v2 ouvre donc son accès à tous les utilisateurs intéressés, clients ou pas de Vivaction, sur tous les réseaux IP possibles (cellulaires, Wifi.). Une version 3 est déjà en préparation. Elle s'intéressera notamment à la convergence fixe-mobile. Quant à l'idée de sécuriser les communications vidéos, « cela reste un projet de R&D », confie Cyrille Manente. Squareway a donc un large potentiel de développement devant elle.
Lire également
La CIA n'a pas cassé le chiffrement de WhatsApp, Signal ou Telegram
Les smartphones 4G LTE sont facilement piratables
Le chiffrement des smartphones Android n'est pas incassable
Sur le même thème
Voir tous les articles Open source