Alors que l’e-mail régnait en maître comme principal moyen de communication dans les entreprises, Slack, offrant des salons de discussion permettant la discussion par groupe via des canaux (publiques ou privés) et de la messagerie instantanée entre deux personnes, a très rapidement bousculé la donne, en particulier dans le milieu des entreprises de l’IT.

Loin de s’arrêter à ces fonctionnalités connues et utilisées depuis le lancement de l’IRC fin des années 80, Slack autorise également l’envoi et le partage de fichiers mais aussi la citation de code, l’indexation et la recherche de tout ce qui transite via cette application. Slack est également très facilement extensible via de très nombreux connecteurs (plugins).

Fourni comme un service en ligne, gratuit dans sa version de base, puis payant en fonction des caractéristiques choisies, Slack s’est rapidement imposé auprès de la génération Github comme le nouveau moyen de communication d’entreprise par excellence.

Comme cela avait été le cas pour mon article Le danger Github, le but de cet article n’est pas de mettre en avant les qualités de Slack qui ont déjà été largement décrites en long et en travers dans un grand nombre d’articles, mais au contraire d’équilibrer cette vision jusqu’ici plutôt unilatérale en mettant en avant les graves risques qu’encourent les entreprises utilisatrices de ce service, des points complètement passés sous silence ou plus grave, volontairement ignorés au nom de l’idéologie du “Ça juste marche™” et sacrifiant au passage toute considération économique et sécuritaire, sans même parler du respect de la vie privée et des libertés individuelles. Tous ces points seront développés plus bas.

Toute la communication de votre entreprise depuis sa création

Quand une startup démarre et qu’elle fait le choix de Slack, la totalité de ses communications internes vont être confiées à Slack. Très naturellement dans l’utilisation de ce service, le simple fait d’échanger via cet outil entraîne le stockage au long terme des communications. On peut objecter que l’offre basique de Slack n’assure l’accessibilité qu’aux 10000 derniers messages. Mais il s’agit là d’un argument nul et non-avenu. Slack a enregistré tous les messages et tous les fichiers échangés et ce qu’il en fait est à sa discrétion. Nous verrons plus loin que ce comportement de l’application revêt une importance capitale dans le risque que Slack fait courir aux entreprises.

Et il en sera de même pour tous les autres types de sociétés qui feront le choix d’utiliser Slack à un moment de leur existence. Si elle remplace leurs canaux traditionnels de communication par ce service, Slack se retrouvera bientôt en possession de phénoménales données, pas seulement par leur volume, mais par l’importance qu’elles revêtent aux yeux de l’entreprise… ou de quelqu’un intéressé par la vie de cette entreprise.

Search your entire archive

L’un des arguments majeurs et une fonctionnalité très attrayante de Slack est “Search your entire archive”. On peut rechercher à peu près tout ce qu’on souhaite. Pourquoi ? Car tout est indexé. De la conversation que vous avez avec votre équipe aux documents plus ou moins confidentiels échangés avec la comptabilité, tout est indexé afin de rendre la fonctionnalité de recherche offerte par Slack la plus performante possible.

Il s’agit là d’une fonctionnalité extrêmement intéressante pour tous les membres de l’organisation, inutile de le nier. Mais elle est aussi extrêmement intéressante pour toute personne souhaitant se renseigner sur la vie de l’entreprise. Et elle est d’autant plus facile à utiliser qu’on recherche des informations sur un sujet en particulier.

Si Slack est utilisé comme outil principal de communication de votre entreprise, et si comme je l’ai constaté dans ma vie professionnelle, certaines équipes préfèrent communiquer via Slack plutôt que de se déplacer jusqu’au bureau d’en face ou qu’ils vous aient reproché de ne pas mettre certaines informations dans un canal dédié au sujet sur lequel vous et d’autres travaillez, on peut rapidement en déduire que – dans ce type d’organisation – rien n’échappe à Slack. Et l’indexation automatique et l’efficacité de la fonction de recherche qui en découlent sont des formidables outils pour faire ressortir toutes les informations possibles, quantitativement et qualitativement.

En bref il s’agit d’un formidable outil de social engineering pour toute personne y accédant, avec un historique aussi profond que la date de sa mise en place comme outil de communication pour l’entreprise.

Vers l’étranger… et au-delà !

Slack est un service web qui est propulsé, d’après les informations disponibles sur l’infrastructure de Slack, massivement par les services d’Amazon AWS et Cloudfront en particulier. Même sans avoir étudié complètement cette infrastructure, il est donc simple d’en conclure que les données d’un très grand nombre de sociétés innovantes mondiales et donc les sociétés françaises utilisatrices de e service – dont pour certaines la totalité de leur communications internes depuis leur création – sont hébergées aux États-Unis ou au moins contrôlées par une société américaine, soumise aux lois américaines, un état ayant pratiqué régulièrement l’espionnage industriel à large échelle comme l’a démontré le lanceur d’alertes Edward Snowden en 2013 et où l’accès aux données des entreprises ne subit aucun contrôle quand le Patriot Act est invoqué, comme le cas récent de Microsoft en 2014 où des données hébergées en Irlande par l’éditeur logiciel de Redmond ont été communiquées par cette société aux autorités américaines.

Et c’est en cela que l’indexation automatique et la fonction de recherche de Slack sont tout simplement du pain béni pour toute personne -service de renseignement ou hacker – accédant à cette fonction et jouissant de droits suffisants pour effectuer des recherches complètes.

Confier la totalité ou une grande partie des communications internes de l’entreprise à un tiers soumis à une réglementation différente de celle de votre entreprise, ou plus simplement à d’autres intérêts que les vôtres, représente un danger certain pour l’entreprise, que ce soit pour la sécurité de ses données ou plus largement pour sa compétitivité au niveau mondial, une fuite d’information au moment inopportun pouvant se révéler désastreuse. À quoi bon préparer la sortie d’un nouveau produit ou le rachat agressif d’un concurrent américain dans le plus grand secret si vos discussions Slack dans les derniers mois ont fuité, plans d’actions compris ?

Le piratage de Slack

Rappelons que le risque de piratage qui peut apparaître hypothétique ou un cas rare à un décideur pressé et mal informé, est loin d’être aussi hypothétique qu’il le croit (ou souhaite le croire).

Tout d’abord les piratages d’infrastructure sont monnaies courantes, suivre quelques jours l’actualité spécialisée via Hacker News ou des sites français comme Zataz ou le Journal du hacker vous en persuadera. Et plus précisément pour Slack, l’entreprise a déjà été piratée !

En février 2015 Slack subit un piratage durant 4 jours, piratage révélé par l’entreprise en mars. L’entreprise déclare que l’accès non-autorisé aurait été restreint à des informations des profils des utilisateurs… officiellement. Il est en effet impossible de connaître quoi et qui ont réellement été impactés par ce piratage. Citons l’exemple récent de Yahoo ayant annoncé le piratage de 500 millions de comptes (oui, 500 millions)… fin 2014 !

Encore officiellement, Slack déclarait que “No financial or payment information was accessed or compromised in this attack” (aucun information financière ni information relative au paiement n’a été accédé ou compromise dans cette attaque). Mais c’est de loin la moins intéressante des données stockées par Slack ! Avec les communications internes des entreprises – parfois complètes depuis la création – indexées et prêtes à être recherchées, Slack peut être la cible potentielle d’attaques ne visant pas les numéros de cartes bleues de ses clients mais bien des informations internes aux entreprises faciles à extraire. On peut imaginer que Slack communique sur une fuite massive de donnéees, fuite impossible à dissimuler. Mais qu’en sera-t-il d’une fuite ne concernant qu’un seul de ses clients ?

Le coût de Slack et la qualité de service associée

Au-delà de ces considérations sécuritaires et du risque réel de perte de compétitivité pour le sociétés innovantes, l’utilisation du service Slack a un coût. Si ce service sait très bien pénétrer les entreprises grâce à son offre de base offrant un premier accès limité mais gratuit au service offert par la société américaine, l’addition peut se révéler bien salée lorsqu’il est temps de passer à la caisse. À $8 par utilisateur par mois (ou $6,67 pour un paiement annuel) pour l’offre “Standard” pour une société de 10 personnes nous arrivons à $960 (ou $800,4 pour un paiement annuel).

Mais il en va bien autrement pour une société de 100 personnes, où le coût grimpe à $9600 (ou $8004 pour un paiement annuel). Pour ce coût et l’importance que Slack prend alors dans la vie de tous les jours de l’entreprise, il faut s’intéresser alors à la qualité de service offerte. Et c’est la surprise, pour cet élément critique dans la ligne de vie de l’entreprise, il faut monter à l’offre “Plus” pour bénéficier d’une garantie d’accès au service de 99,99% (4,38 heures d’arrêt par an) et d’un support 24/7 avec temps de réponse en 4h.

L’offre “Plus” est à $15 par utilisateur (ou $12,50 pour un paiement annuel), soit pour notre exemple d’une société de 10 personnes $1800 ($1500 pour un paiement annuel) et pour 100 personnes $18000 ($15000 pour un paiement annuel). Sans oublier que Slack n’est accessible que via Internet et que vos communications internes seront donc soumises au maintien constant de votre accès Internet.

On voit donc que le modèle de facturation de Slack est clairement plus intéressant pour les petites entreprises, pour lesquelles $960 ou même $1800 annuel reste un prix intéressant. Mais petite société deviendra grande et une fois Slack en place, dans les habitudes des employés et interconnecté à l’ensemble des services disponibles, il devient très compliqué d’envisager une migration vers une alternative alors que le prix de Slack pour les sociétés moyennes ou grandes devient clairement moins bon marché.

Les alternatives libres à Slack

Nous l’aurons compris, à l’étude des différents points vus ci-dessus, il s’avère nécessaire de trouver une alternative à Slack, que l’on puisse héberger soi-même afin de réduire les risques de diffusion des informations de votre entreprise, d’espionnage industriel, mais aussi réduire les coûts et votre dépendance à votre connectivité Internet. Heureusement pour nous le succès de Slack a fait apparaître de nombreux projets concurrents, dont certains sont aussi des logiciels libres.

Rocket.chat propose un logiciel très complet, avec bien sûr salons de discussion, messages directes et partage de fichiers, mais aussi vidéoconférence et partage d’écran, et d’autres fonctionnalités à découvrir sur leur page de fonctionnalités supportées. Rocket.chat propose pour vous faire une idée de son service une démo en ligne. Cerise pour le gâteau pour nos besoins insatiables, Rocket.chat propose un système d’extension simple et une API.

Mattermost est un autre acteur mettant quant à lui l’accent sur sa proximité et sa compatibilité avec Slack. Il propose de nombreuses fonctionnalités dont les principales offertes par ce type de logiciel. Il propose également un grand nombre d’applications clientes ainsi que de très nombreux plugins offrant d’interagir avec des forges logicielles, des services en ligne, des outils d’intégration continue, etc.

Ça juste marche™

Nous parlions en introduction du “Ça juste marche™” invoqué en général pour mettre au placard tous les arguments types confidentialité, protection des données et discrétion des échanges que nous avons décrits tout au long de cet article. En effet un développeur à son niveau peut se demander :”C’est vrai, pourquoi s’embêter avec tout cela si mon but est d’échanger avec mes collègues ou d’envoyer un fichier à tous rapidement et simplement ?”

Parce que la souscription au service Slack a un coût et entraîne un risque continu et à long terme pour l’entreprise. On peut objecter que cela n’est pas aux salariés de l’entreprise de mettre en avant ce risque, ces derniers devant avant tout trouver le moyen le plus efficace de réaliser les tâches qui leur sont confiées. D’un autre côté la direction de l’entreprise, en général non-technique, n’a peut-être pas conscience des risques que font courir à l’entreprise les choix techniques effectués. La direction technique des entreprises françaises a beau en général vouloir passer pour omniscient, personne n’est dupe.

Il faut donc soit une bonne question venant de la direction (mais où vont nos données et qui y accèdent ?) soit une recommandation technique venant des équipes techniques alliant efficacité et sûreté pour la vie de l’entreprise du choix technique. C’est à ce publique technique, pas toujours écouté par la direction certes, que s’adresse cet article pour qu’il soit – pour la partie qui le concerne – de bon conseil et que sa recommandation prenne l’ensemble des fonctionnalités et des risques associées en considération. Nous espérons que les différents points abordés dans cet article vous aideront à faire le bon choix.