Le chiffrement de bout en bout de Teams s’étend aux clients de bureau
Disponible depuis novembre 2021
Microsoft a déployé E2EE aux tenants d’Office 365 depuis novembre (MC259495, mis à jour le 23 septembre 2021).
La définition de Microsoft est la suivante : « Le cryptage de bout en bout est le cryptage des informations à leur origine et leur décryptage à leur destination prévue sans que les nœuds intermédiaires puissent décrypter ». Teams chiffre déjà son trafic VOIP pour les appels en utilisant le protocole TLS (Transport Layer Security). Ce qui change dans E2EE, c’est que les appareils impliqués dans l’appel chiffrent également les informations. Pour cela, les deux parties (même tenant ou pas) doivent être autorisées par la politique à utiliser E2EE. Les 2 parties doivent aussi activer l’option E2EE dans les paramètres de confidentialité du client Teams (Figure 1). E2EE est pris en charge par les clients de bureau Windows et Mac.
Lorsque tout est aligné, la négociation pour lancer un appel entre deux parties s’accorde sur une clé de cryptage. Cela permet aux deux parties de se comprendre. La couche supplémentaire de cryptage garantit une plus grande confidentialité des appels.
Appels verrouillés
Pendant un appel crypté, Teams affiche une icône de verrouillage dans le coin supérieur gauche de la fenêtre d’appel. Si les participants cliquent sur le verrou, ils verront un numéro qui doit être le même pour les deux parties.
Outre l’icône de verrouillage, l’interface utilisateur de la fenêtre d’appel est différente. Cela afin de supprimer les fonctions d’appel telles que les sous-titres,
- la transcription en direct,
- l’ajout de participants supplémentaires,
- le transfert d’appel,
- la consultation puis le transfert,
- la fusion d’appels,
- le parcage d’appels et l’enregistrement d’appels.
Ces fonctions ne sont pas disponibles lorsque le cryptage de bout en bout sécurise les appels.
Hormis la perte de fonctionnalités, je n’ai pas noté de perte de performance pour les appels chiffrés Teams. Il est toujours important de disposer d’une bande passante raisonnable et d’utiliser de bons casques. Les stations de travail effectuent un travail supplémentaire pour sécuriser les communications. Mais cela ne devrait pas être un problème pour le type de PC et de Mac disponibles aujourd’hui.
Les défis de l’E2EE
La complexité de la gestion des clés explique pourquoi Microsoft limite actuellement Teams E2EE aux appels individuels ou « ad hoc ». Toutefois, Microsoft a l’intention d’étendre E2EE aux réunions en ligne complètes à l’avenir.
La gestion des clés crée également d’autres défis en termes de fonctionnalités disponibles. Selon Microsoft, « les appels E2EE [dans la] première version ne prendront en charge que les fonctions d’appel de base et de nombreuses fonctions avancées telles que l’escalade, le transfert d’appel, l’enregistrement, les sous-titres, etc. ne seront pas disponibles… ». Le traitement de la voix n’est pas possible lorsque seuls les clients d’une communication partagent la clé de chiffrement. Par exemple, Teams peut générer des sous-titres en direct et des transcriptions de réunion. Mais avant que les agents d’IA puissent traiter le flux audio, ils doivent pouvoir accéder aux données. Il en va de même pour les enregistrements de réunions Teams. En effet ils dépendent d’un robot de capture de flux audio vidéo pour leur traitement ultérieur et stockage dans OneDrive. J’imagine que si vous organisez des appels super secrets, vous ne souhaiterez peut-être pas disposer de transcriptions et d’enregistrements. Donc cela n’a probablement pas une grande importance.
Le chat de réunion reste disponible pendant les appels E2EE mais n’a pas la protection E2EE. Au lieu de cela, les messages de chat sont comme les autres données de Teams. Ils sont protégés en transit et au repos par les capacités de cryptage normales.
Contrôle administratif
La politique de chiffrement contrôle si le paramètre de chiffrement de bout en bout est visible dans les appels. L’option supprime une quantité substantielle de fonctionnalités des appels Teams. Par conséquent, la valeur par défaut est « inactif ». Cela signifie que les utilisateurs ne voient pas le paramètre de chiffrement de bout en bout dans les paramètres Teams.
Si les administrateurs de tenants ne veulent pas que les gens utilisent E2EE, ils peuvent laisser la valeur par défaut. Ils peuvent ensuite créer une politique personnalisée pour activer la capacité et affecter cette politique aux comptes sélectionnés. Par exemple, cette commande permet aux utilisateurs d’activer E2EE dans les appels Teams.
Set-CsTeamsEnhancedEncryptionPolicy -Identity Global -CallingEndtoEndEncryptionEnabledType DisabledUserOverride
Comme pour toute modification de Teams, il peut s’écouler un certain temps avant que les changements ne soient effectifs. Microsoft prévoit d’ajouter la politique de chiffrement de bout en bout de Teams dans le centre d’administration de Teams.
Certains appels sont plus importants
Il ne fait aucun doute que certains appels sont plus importants et plus confidentiels que d’autres. Les gens ne se soucient probablement pas trop des communications cryptées pour leurs appels de contrôle habituels avec leurs collègues. Mais lorsque le moment est venu de discuter de secrets d’entreprise, il est bon de savoir que E2EE est disponible.
Appliquer des politiques de messagerie dans Teams avec PowerShell
Comment gérer les autorisations et les politiques de Teams Apps