La sécurité est au coeur de Twake
Lorsqu'il s'agit de l'efficacité d'une équipe, la collaboration et toutes les activités liées au travail d'équipe, telles que la messagerie de groupe, le partage et le stockage de documents, la gestion des tâches, le calendrier d'équipe, la vidéoconférence et le partage d'écran, sont des outils importants.
Twake fournit ces outils de travail d'équipe essentiels avec les normes les plus élevées de fiabilité, de confidentialité et de sécurité. Pour mieux répondre à ces besoins, Twake a créé une architecture ouverte et stable basée sur des technologies établies.
Chiffrement Bout-en-Bout
Bientôt disponible !
Afin de toujours améliorer notre sécurité, la prochaine version de Twake inclura un chiffrement complet de bout en bout des discussions.
Chiffrement Point-à-Point
Nous faisons tout ce qui est en notre pouvoir pour protéger vos données personnelles et professionnelles. Vos données sont chiffrées avant d'être envoyées à la base de données (chiffrement au repos) et nous utilisons TLS pour les communications (chiffrement en transit).
Basé en Europe
Tous les serveurs de Twake sont situés en France et vos données aussi. Nous utilisons OVH comme fournisseur principal.
Protocoles sécurisés
Nous utilisons HTTPS pour le chiffrement du trafic unidirectionnel et WSS pour le chiffrement du trafic bidirectionnel en temps réel. Les mots de passe sont hachés avec PBKDF2. Les fichiers sont chiffrés avec OpenSSL AES-256-CBC avec une clé composée de trois parties stockées dans la base de données, dans le code et dans la configuration du serveur.
Notre communication Web Socket est dotée d'une couche de sécurité supplémentaire grâce au chiffrement frontal AES avec des clés aléatoires rotatives. Et enfin, notre base de données est chiffrées avec OpenSSL AES-256-CBC.
Collaboration sécurisée en temps réel
Les Web Sockets sont utilisés pour la collaboration en temps réel. Ils sont utilisés pour dans la messagerie, mais aussi dans le drive, les calendars et les tâches. Nous utilisons l'architecture PubSub, ce qui signifie qu'un client peut s'abonner à une salle et recevra alors toutes les données publiées par d'autres clients dans cette même salle.
Afin de sécuriser les échanges de données par Web Sockets en gardant le serveur Web Sockets le plus simple possible, nous échangeons des données chiffrées uniquement avec une clé de chiffrement évolutive.
Seul le serveur vérifie les droits d'accès des clients et génère une nouvelle clé pour chacun. Comme la clé complète n'est jamais envoyée sur le serveur Web Sockets, la seule façon d'obtenir une clé de chiffrement correcte est de la demander au serveur.
Haute scalabilité et tolérance aux pannes
Twake est construit sur des technologies scalable et nous permet d'atteindre des millions d'utilisateurs mais aussi d'être tolérant aux pannes. Nous définissons deux types de réplication, la réplication matérielle et la réplication logicielle.
La réplication matérielle en cas de panne de disque dur ou de problème de réseau est gérée par notre fournisseur d'infrastructure OVH. OVH distribue les données au sein de clusters qui ont une triple réplication pour chaque objet. Ces répliques sont placées à la fois sur des disques et des serveurs différents, pour assurer leur longévité. Vous pouvez trouver plus d'informations sur la façon dont ils gèrent ces questions à travers les liens ci-dessous :
-
Servers :
https://www.ovhcloud.com/en/public-cloud -
Object storage and backups :
https://www.ovhcloud.com/en/public-cloud/object-storage/
La réplication du logiciel est effectuée par nos soins et nous avons ajouté une couche de sécurité supplémentaire. Chaque middleware et nœud utilisé par Twake est répliqué au moins trois fois. Dans le cas rare d'une défaillance d'un nœud, notre système nous alerte automatiquement et commence à utiliser les nœuds disponibles restant jusqu'à ce que nous intervenions et réparions le nœud défaillant.
Stockage sécurisé des fichiers
Twake stocke les fichiers binaires chiffrés dans un référentiel documenté. Dans la version SaaS, nous utilisons OVH Swift Object Storage pour stocker les fichiers chiffrés. Dans la version On-Premise, vous pouvez utiliser n'importe quel fournisseur S3 ou Swift Object Storage comme MinIO par exemple.
Les documents téléchargés sur le drive de Twake sont chiffrés en utilisant la norme AES-256 avec une clé construite à partir de trois chaînes :
- Un salt statique présent dans le code;
- Un salt défini lors de l'installation de Twake;
- Une clé aléatoire générée pour chaque document et stockée dans la base de données.
Ces trois chaînes sont nécessaires pour déchiffrer les documents binaires stockés dans le drive de Twake ou dans les pièces jointes des messages.
Les serveurs vérifient les droits du client avant chaque déchiffrage de documents.
Chiffrement des bases de données
Les données sont stockées dans des bases de données chiffrées ScyllaDB et les entités consultables seront stockées dans Elastic Search mais seuls les identifiants seront disponibles sur Elastic Search.
Toutes les données (à l'exception des données non sensibles comme les identifiants, les dates et les compteurs) stockées dans ScyllaDB sont chiffrées à l'aide d'OpenSSL AES-256-CBC.
Nous fournissons des fonctions de recherche avancées sur Twake en utilisant Elastic Search pour indexer nos entités. Les entités ne sont pas stockées dans Elastic Search et seuls les index seront disponibles si les serveurs d'Elastic Search sont compromis.
Jitsi
Jitsi
Nous utilisons Jitsi pour les vidéoconférences. Jitsi est un logiciel très simple qui prend les composants de l'URL pour générer le nom unique de la vidéoconférence. Chaque conférence générée dans Twake est essentiellement un jeton long utilisé comme nom unique de salle et n'est stocké nulle part ailleurs que dans notre base de données.
Dans la version SaaS, les serveurs Jitsi sont gérés par Twake lui-même. Dans la version On-Premise, Jitsi peut être désactivé s'il n'est pas utilisé, ou il peut être installé localement ou en utilisant directement les serveurs Jitsi.
ONLYOFFICE
ONLYOFFICE
Nous utilisons la suite bureautique ONLYOFFICE pour l'édition en temps réel de documents Microsoft Office et Open Office. ONLYOFFICE fournit une API, qui est utilisée pour communiquer avec notre serveur de stockage de documents via notre serveur.
Lorsqu'un utilisateur veut ouvrir un document Office, une demande est faite au serveur. Ce serveur vérifie les droits d'accès et génère un nouveau jeton aléatoire. Ce jeton est envoyé à l'utilisateur qui peut construire une nouvelle URL utilisée par ONLYOFFICE pour récupérer le document. Cette URL fait une requête au serveur qui vérifie le jeton donné dans cette même URL et renvoie le document demandé à ONLYOFFICE. ONLYOFFICE place ce document dans le cache pour une édition en temps réel et le détruit ensuite. Le même processus est répété lorsque le document est sauvegardé.
Dans la version SaaS, les serveurs ONLYOFFICE sont gérés par Twake. Dans la version On-Premise, ONLYOFFICE peut être désactivé s'il n'est pas utilisé, peut être installé localement, ou peut être utilisé sous l'offre ONLYOFFICE SaaS.
Génération aléatoire de token
Pour la génération de token aléatoires, nous utilisons la fonction intégrée random_bytes de PHP avec bin2hex si nécessaire du côté PHP. En plus de cela, nous utilisons la bibliothèque cryptographique avec randomBytes pour NodeJS et le côté frontal.
Stockage des mots de passe et authentification
Les mots de passe ne sont pas stockés en clair, seul un hash de celui-ci est stocké dans la base de données. Nous utilisons la méthode hash_pbkdf2 avec un salt généré aléatoirement pour chaque utilisateur.
Injection SQL
Chaque accès à la base de données utilise Doctrine ORM sanitization avant écriture ou lecture, nous n'utilisons jamais d'accès personnalisé à la base de données pour réduire les risques d'injection. Nous avons développé un middleware pour utiliser la base de données ScyllaDB, mais ce middleware fonctionne après Doctrine ORM sanitization.
Sur NodeJS, nous avons également implémenté un ORM pour tous les accès à la base de données afin de conserver ce niveau de sécurité.
Questions fréquemment posées
Où puis-je trouver le dernier document de sécurité de Twake ?
Pour obtenir la dernière version du document de sécurité, veuillez visiter twake.app. Le document de sécurité présente la manière dont Twake gère la sécurité des données. Comme nous améliorons constamment nos algorithmes de sécurité, certaines spécifications peuvent être actuellement déployées en production ou actuellement planifiées.
Comment pouvez-vous nous contacter ?
N'hésitez pas à nous contacter sur helpdesk@twake.app pour tout type de questions.
Comment gérez-vous les sauvegardes ?
Nous sauvegardons notre base de données chiffrée et vos documents chiffrés dans OVH Object Storage. Nous conservons une sauvegarde de chaque mois et une sauvegarde des sept derniers jours.
Comment gérez-vous la sécurité avec les applications et modules tiers ?
Nous ne pouvons pas garantir la sécurité des données que vous envoyez aux applications et modules tiers. Si vous travaillez avec une application externe comme Zapier ou Giphy, elle aura accès à certaines de vos informations. Vous pouvez voir le périmètre d'accès d'une application avant de l'ajouter à votre entreprise.
Que faire si je veux exporter toutes mes données ?
Nous ne fournissons pas de fonction d'exportation sur le logiciel lui-même. Mais nous pouvons exporter vos données à la demande en 2 jours ouvrables. Ceci, en fonction de la façon dont vous avez utilisé Twake et de la quantité de données que vous devez exporter (fichiers, calendriers, métadonnées, etc.). Nous n'avons pas d'accès direct à vos fichiers, mais vous pourrez les télécharger en utilisant les identifiants de fichiers générés dans les fichiers exportés et votre compte Twake.
Utilisez-le sur le Web et sur le bureau
Applications Web
Applications de bureau
Bientôt
Si vous avez des questions, veuillez nous-contacter sur Telegram.
