La sécurité est au coeur de Twake

Image de décoration

Lorsqu'il s'agit de l'efficacité d'une équipe, la collaboration et toutes les activités liées au travail d'équipe, telles que la messagerie de groupe, le partage et le stockage de documents, la gestion des tâches, le calendrier d'équipe, la vidéoconférence et le partage d'écran, sont des outils importants.

Image de décoration

Twake fournit ces outils de travail d'équipe essentiels avec les normes les plus élevées de fiabilité, de confidentialité et de sécurité. Pour mieux répondre à ces besoins, Twake a créé une architecture ouverte et stable basée sur des technologies établies.

icon-encrypted-data

Chiffrement Bout-en-Bout

Bientôt disponible !

Afin de toujours améliorer notre sécurité, la prochaine version de Twake inclura un chiffrement complet de bout en bout des discussions.

icon-on-premise-offers

Chiffrement Point-à-Point

Nous faisons tout ce qui est en notre pouvoir pour protéger vos données personnelles et professionnelles. Vos données sont chiffrées avant d'être envoyées à la base de données (chiffrement au repos) et nous utilisons TLS pour les communications (chiffrement en transit).

icon-located-in-europe

Basé en Europe

Tous les serveurs de Twake sont situés en France et vos données aussi. Nous utilisons OVH comme fournisseur principal.

icon-decure-transferts

Protocoles sécurisés

Nous utilisons HTTPS pour le chiffrement du trafic unidirectionnel et WSS pour le chiffrement du trafic bidirectionnel en temps réel. Les mots de passe sont hachés avec PBKDF2. Les fichiers sont chiffrés avec OpenSSL AES-256-CBC avec une clé composée de trois parties stockées dans la base de données, dans le code et dans la configuration du serveur.
Notre communication Web Socket est dotée d'une couche de sécurité supplémentaire grâce au chiffrement frontal AES avec des clés aléatoires rotatives. Et enfin, notre base de données est chiffrées avec OpenSSL AES-256-CBC.

Collaboration sécurisée en temps réel

image de collaboration

Les Web Sockets sont utilisés pour la collaboration en temps réel. Ils sont utilisés pour dans la messagerie, mais aussi dans le drive, les calendars et les tâches. Nous utilisons l'architecture PubSub, ce qui signifie qu'un client peut s'abonner à une salle et recevra alors toutes les données publiées par d'autres clients dans cette même salle.

Afin de sécuriser les échanges de données par Web Sockets en gardant le serveur Web Sockets le plus simple possible, nous échangeons des données chiffrées uniquement avec une clé de chiffrement évolutive.
Seul le serveur vérifie les droits d'accès des clients et génère une nouvelle clé pour chacun. Comme la clé complète n'est jamais envoyée sur le serveur Web Sockets, la seule façon d'obtenir une clé de chiffrement correcte est de la demander au serveur.

Haute scalabilité et tolérance aux pannes

Twake est construit sur des technologies scalable et nous permet d'atteindre des millions d'utilisateurs mais aussi d'être tolérant aux pannes. Nous définissons deux types de réplication, la réplication matérielle et la réplication logicielle.

Image de décoration ovhcloud

La réplication matérielle en cas de panne de disque dur ou de problème de réseau est gérée par notre fournisseur d'infrastructure OVH. OVH distribue les données au sein de clusters qui ont une triple réplication pour chaque objet. Ces répliques sont placées à la fois sur des disques et des serveurs différents, pour assurer leur longévité. Vous pouvez trouver plus d'informations sur la façon dont ils gèrent ces questions à travers les liens ci-dessous :

Image de décoration Twake

La réplication du logiciel est effectuée par nos soins et nous avons ajouté une couche de sécurité supplémentaire. Chaque middleware et nœud utilisé par Twake est répliqué au moins trois fois. Dans le cas rare d'une défaillance d'un nœud, notre système nous alerte automatiquement et commence à utiliser les nœuds disponibles restant jusqu'à ce que nous intervenions et réparions le nœud défaillant.

Stockage sécurisé des fichiers

Twake stocke les fichiers binaires chiffrés dans un référentiel documenté. Dans la version SaaS, nous utilisons OVH Swift Object Storage pour stocker les fichiers chiffrés. Dans la version On-Premise, vous pouvez utiliser n'importe quel fournisseur S3 ou Swift Object Storage comme MinIO par exemple.

Image

Les documents téléchargés sur le drive de Twake sont chiffrés en utilisant la norme AES-256 avec une clé construite à partir de trois chaînes :

  • check_circleUn salt statique présent dans le code;
  • check_circleUn salt défini lors de l'installation de Twake;
  • check_circleUne clé aléatoire générée pour chaque document et stockée dans la base de données.

Ces trois chaînes sont nécessaires pour déchiffrer les documents binaires stockés dans le drive de Twake ou dans les pièces jointes des messages.
Les serveurs vérifient les droits du client avant chaque déchiffrage de documents.

Chiffrement des bases de données

image de décoration ScyllaDB

Les données sont stockées dans des bases de données chiffrées ScyllaDB et les entités consultables seront stockées dans Elastic Search mais seuls les identifiants seront disponibles sur Elastic Search.

image de décoration OpenSSL

Toutes les données (à l'exception des données non sensibles comme les identifiants, les dates et les compteurs) stockées dans ScyllaDB sont chiffrées à l'aide d'OpenSSL AES-256-CBC.

image de décoration Elastic Search

Nous fournissons des fonctions de recherche avancées sur Twake en utilisant Elastic Search pour indexer nos entités. Les entités ne sont pas stockées dans Elastic Search et seuls les index seront disponibles si les serveurs d'Elastic Search sont compromis.

Jitsi

image de décoration Jitsi image de décoration Jitsi

Jitsi

Nous utilisons Jitsi pour les vidéoconférences. Jitsi est un logiciel très simple qui prend les composants de l'URL pour générer le nom unique de la vidéoconférence. Chaque conférence générée dans Twake est essentiellement un jeton long utilisé comme nom unique de salle et n'est stocké nulle part ailleurs que dans notre base de données.

Dans la version SaaS, les serveurs Jitsi sont gérés par Twake lui-même. Dans la version On-Premise, Jitsi peut être désactivé s'il n'est pas utilisé, ou il peut être installé localement ou en utilisant directement les serveurs Jitsi.

ONLYOFFICE

image de décoration ONLYOFFICE image de décoration ONLYOFFICE

ONLYOFFICE

Nous utilisons la suite bureautique ONLYOFFICE pour l'édition en temps réel de documents Microsoft Office et Open Office. ONLYOFFICE fournit une API, qui est utilisée pour communiquer avec notre serveur de stockage de documents via notre serveur.

Lorsqu'un utilisateur veut ouvrir un document Office, une demande est faite au serveur. Ce serveur vérifie les droits d'accès et génère un nouveau jeton aléatoire. Ce jeton est envoyé à l'utilisateur qui peut construire une nouvelle URL utilisée par ONLYOFFICE pour récupérer le document. Cette URL fait une requête au serveur qui vérifie le jeton donné dans cette même URL et renvoie le document demandé à ONLYOFFICE. ONLYOFFICE place ce document dans le cache pour une édition en temps réel et le détruit ensuite. Le même processus est répété lorsque le document est sauvegardé.

Dans la version SaaS, les serveurs ONLYOFFICE sont gérés par Twake. Dans la version On-Premise, ONLYOFFICE peut être désactivé s'il n'est pas utilisé, peut être installé localement, ou peut être utilisé sous l'offre ONLYOFFICE SaaS.

Génération aléatoire de token

image de décoration

Pour la génération de token aléatoires, nous utilisons la fonction intégrée random_bytes de PHP avec bin2hex si nécessaire du côté PHP. En plus de cela, nous utilisons la bibliothèque cryptographique avec randomBytes pour NodeJS et le côté frontal.

Stockage des mots de passe et authentification

image de décoration

Les mots de passe ne sont pas stockés en clair, seul un hash de celui-ci est stocké dans la base de données. Nous utilisons la méthode hash_pbkdf2 avec un salt généré aléatoirement pour chaque utilisateur.

Injection SQL

image de décoration

Chaque accès à la base de données utilise Doctrine ORM sanitization avant écriture ou lecture, nous n'utilisons jamais d'accès personnalisé à la base de données pour réduire les risques d'injection. Nous avons développé un middleware pour utiliser la base de données ScyllaDB, mais ce middleware fonctionne après Doctrine ORM sanitization.
Sur NodeJS, nous avons également implémenté un ORM pour tous les accès à la base de données afin de conserver ce niveau de sécurité.

Questions fréquemment posées

Où puis-je trouver le dernier document de sécurité de Twake ?

Pour obtenir la dernière version du document de sécurité, veuillez visiter twake.app. Le document de sécurité présente la manière dont Twake gère la sécurité des données. Comme nous améliorons constamment nos algorithmes de sécurité, certaines spécifications peuvent être actuellement déployées en production ou actuellement planifiées.

Comment pouvez-vous nous contacter ?

N'hésitez pas à nous contacter sur contact@twake.app pour tout type de questions.

Comment gérez-vous les sauvegardes ?

Nous sauvegardons notre base de données chiffrée et vos documents chiffrés dans OVH Object Storage. Nous conservons une sauvegarde de chaque mois et une sauvegarde des sept derniers jours.

Comment gérez-vous la sécurité avec les applications et modules tiers ?

Nous ne pouvons pas garantir la sécurité des données que vous envoyez aux applications et modules tiers. Si vous travaillez avec une application externe comme Zapier ou Giphy, elle aura accès à certaines de vos informations. Vous pouvez voir le périmètre d'accès d'une application avant de l'ajouter à votre entreprise.

Que faire si je veux exporter toutes mes données ?

Nous ne fournissons pas de fonction d'exportation sur le logiciel lui-même. Mais nous pouvons exporter vos données à la demande en 2 jours ouvrables. Ceci, en fonction de la façon dont vous avez utilisé Twake et de la quantité de données que vous devez exporter (fichiers, calendriers, métadonnées, etc.). Nous n'avons pas d'accès direct à vos fichiers, mais vous pourrez les télécharger en utilisant les identifiants de fichiers générés dans les fichiers exportés et votre compte Twake.

image de décoration image de décoration image de décoration

Commencez à travailler avec Twake

Essayer gratuitement

Disponible partout

logo-app-store logo-google-play

Bientôt

logo-chrome logo-safari logo-edge logo-firefox

Application Web

logo-apple logo-windows logo-linux

Application de bureau

logo Linagora

Twake est développé par Linagora

arrow up to top

UP