Le danger Slack

Alors que l’e-mail régnait en maître comme principal moyen de communication dans les entreprises, Slack, offrant des salons de discussion permettant la discussion par groupe via des canaux (publiques ou privés) et de la messagerie instantanée entre deux personnes, a très rapidement bousculé la donne, en particulier dans le milieu des entreprises de l’IT.

Loin de s’arrêter à ces fonctionnalités connues et utilisées depuis le lancement de l’IRC fin des années 80, Slack autorise également l’envoi et le partage de fichiers mais aussi la citation de code, l’indexation et la recherche de tout ce qui transite via cette application. Slack est également très facilement extensible via de très nombreux connecteurs (plugins).

slack-logo

Fourni comme un service en ligne, gratuit dans sa version de base, puis payant en fonction des caractéristiques choisies, Slack s’est rapidement imposé auprès de la génération Github comme le nouveau moyen de communication d’entreprise par excellence.

Comme cela avait été le cas pour mon article Le danger Github, le but de cet article n’est pas de mettre en avant les qualités de Slack qui ont déjà été largement décrites en long et en travers dans un grand nombre d’articles, mais au contraire d’équilibrer cette vision jusqu’ici plutôt unilatérale en mettant en avant les graves risques qu’encourent les entreprises utilisatrices de ce service, des points complètement passés sous silence ou plus grave, volontairement ignorés au nom de l’idéologie du « Ça juste marche™ » et sacrifiant au passage toute considération économique et sécuritaire, sans même parler du respect de la vie privée et des libertés individuelles. Tous ces points seront développés plus bas.

Github, une forge logicielle sous forme de service en ligne, avec tous les avantages mais aussi les inconvénients de ce modèle

Toute la communication de votre entreprise depuis sa création

Quand une startup démarre et qu’elle fait le choix de Slack, la totalité de ses communications internes vont être confiées à Slack. Très naturellement dans l’utilisation de ce service, le simple fait d’échanger via cet outil entraîne le stockage au long terme des communications. On peut objecter que l’offre basique de Slack n’assure l’accessibilité qu’aux 10000 derniers messages. Mais il s’agit là d’un argument nul et non-avenu. Slack a enregistré tous les messages et tous les fichiers échangés et ce qu’il en fait est à sa discrétion. Nous verrons plus loin que ce comportement de l’application revêt une importance capitale dans le risque que Slack fait courir aux entreprises.

Et il en sera de même pour tous les autres types de sociétés qui feront le choix d’utiliser Slack à un moment de leur existence. Si elle remplace leurs canaux traditionnels de communication par ce service, Slack se retrouvera bientôt en possession de phénoménales données, pas seulement par leur volume, mais par l’importance qu’elles revêtent aux yeux de l’entreprise… ou de quelqu’un intéressé par la vie de cette entreprise.

Search your entire archive

L’un des arguments majeurs et une fonctionnalité très attrayante de Slack est « Search your entire archive ». On peut rechercher à peu près tout ce qu’on souhaite. Pourquoi ? Car tout est indexé. De la conversation que vous avez avec votre équipe aux documents plus ou moins confidentiels échangés avec la comptabilité, tout est indexé afin de rendre la fonctionnalité de recherche offerte par Slack la plus performante possible.

barre-recherche-slack

La barre de recherche bien connue des utilisateurs de Slack

 

Il s’agit là d’une fonctionnalité extrêmement intéressante pour tous les membres de l’organisation, inutile de le nier. Mais elle est aussi extrêmement intéressante pour toute personne souhaitant se renseigner sur la vie de l’entreprise. Et elle est d’autant plus facile à utiliser qu’on recherche des informations sur un sujet en particulier.

Si Slack est utilisé comme outil principal de communication de votre entreprise, et si comme je l’ai constaté dans ma vie professionnelle, certaines équipes préfèrent communiquer via Slack plutôt que de se déplacer jusqu’au bureau d’en face ou qu’ils vous aient reproché de ne pas mettre certaines informations dans un canal dédié au sujet sur lequel vous et d’autres travaillez, on peut rapidement en déduire que – dans ce type d’organisation – rien n’échappe à Slack. Et l’indexation automatique et la l’efficacité de la fonction de recherche qui en découlent sont des formidables outils pour faire ressortir toutes les informations possibles, quantitativement et qualitativement.

En bref il s’agit d’un formidable outil de social engineering pour toute personne y accédant, avec un historique aussi profond que la date de sa mise en place comme outil de communication pour l’entreprise.

Vers l’étranger… et au-delà !

Slack est un service web qui est propulsé, d’après les informations disponibles sur l’infrastructure de Slack, massivement par les services d’Amazon AWS et Cloudfront en particulier. Même sans avoir étudié complètement cette infrastructure, il est donc simple d’en conclure que les données d’un très grand nombre de sociétés innovantes mondiales et donc les sociétés françaises utilisatrices de e service – dont pour certaines la totalité de leur communications internes depuis leur création – sont hébergées aux États-Unis ou au moins contrôlées par une société américaine, soumise aux lois américaines, un état ayant pratiqué régulièrement l’espionnage industriel à large échelle comme l’a démontré le lanceur d’alertes Edward Snowden en 2013 et où l’accès aux données des entreprises ne subit aucun contrôle quand le Patriot Act est invoqué,  comme le cas récent de Microsoft en 2014 où des données hébergées en Irlande par l’éditeur logiciel de Redmond ont été communiquées par cette société aux autorités américaines.

snowden

Edward Snowden, se battant pour les libertés individuelles, et celles des entreprises

Et c’est en cela que l’indexation automatique et la fonction de recherche de Slack sont tout simplement du pain béni pour toute personne -service de renseignement ou hacker – accédant à cette fonction et jouissant de droits suffisants pour effectuer des recherches complètes.

Confier la totalité ou une grande partie des communications internes de l’entreprise à un tiers soumis à une réglementation différente de celle de votre entreprise, ou plus simplement à d’autres intérêts que les vôtres, représente un danger certain pour l’entreprise, que ce soit pour la sécurité de ses données ou plus largement pour sa compétitivité au niveau mondial, une fuite d’information au moment inopportun pouvant se révéler désastreuse. À quoi bon préparer la sortie d’un nouveau produit ou le rachat agressif d’un concurrent américain dans le plus grand secret si vos discussions Slack dans les derniers mois ont fuité, plans d’actions compris ?

Le piratage de Slack

Rappelons que le risque de piratage qui peut apparaître hypothétique ou un cas rare à un décideur pressé et mal informé, est loin d’être aussi hypothétique qu’il le croit (ou souhaite le croire).

Tout d’abord les piratages d’infrastructure sont monnaies courantes, suivre quelques jours l’actualité spécialisée via Hacker News ou des sites français comme Zataz ou le Journal du hacker vous en persuadera. Et plus précisément pour Slack, l’entreprise a déjà été piratée !

En février 2015 Slack subit un piratage durant 4 jours, piratage révélé par l’entreprise en mars. L’entreprise déclare que l’accès non-autorisé aurait été restreint à des informations des profils des utilisateurs… officiellement. Il est en effet impossible de connaître quoi et qui ont réellement été impactés par ce piratage. Citons l’exemple récent de Yahoo ayant annoncé le piratage de 500 millions de comptes (oui, 500 millions)… fin 2014 !

Yahoo! la société victime du plus large piratage de l'histoire en nombre de comptes utilisateurs

Yahoo! la société victime du plus large piratage de l’histoire en nombre de comptes utilisateurs

Encore officiellement, Slack déclarait que « No financial or payment information was accessed or compromised in this attack » (aucun information financière ni information relative au paiement n’a été accédé ou compromise dans cette attaque). Mais c’est de loin la moins intéressante des données stockées par Slack ! Avec les communications internes des entreprises – parfois complètes depuis la création – indexées et prêtes à être recherchées, Slack peut être la cible potentielle d’attaques ne visant pas les numéros de cartes bleues de ses clients mais bien des informations internes aux entreprises faciles à extraire. On peut imaginer que Slack communique sur une fuite massive de donnéees, fuite impossible à dissimuler. Mais qu’en sera-t-il d’une fuite ne concernant qu’un seul de ses clients ?

Le coût de Slack et la qualité de service associée

Au-delà de ces considérations sécuritaires et du risque réel de perte de compétitivité pour le sociétés innovantes, l’utilisation du service Slack a un coût. Si ce service sait très bien pénétrer les entreprises grâce à son offre de base offrant un premier accès limité mais gratuit au service offert par la société américaine, l’addition peut se révéler bien salée lorsqu’il est temps de passer à la caisse. À $8 par utilisateur par mois (ou $6,67 pour un paiement annuel) pour l’offre « Standard » pour une société de 10 personnes nous arrivons à $960 (ou $800,4 pour un paiement annuel).

Mais il en va bien autrement pour une société de 100 personnes, où le coût grimpe à $9600 (ou $8004 pour un paiement annuel). Pour ce coût et l’importance que Slack prend alors dans la vie de tous les jours de l’entreprise, il faut s’intéresser alors à la qualité de service offerte. Et c’est la surprise, pour cet élément critique dans la ligne de vie de l’entreprise, il faut monter à l’offre « Plus » pour bénéficier d’une garantie d’accès au service de 99,99% (4,38 heures d’arrêt par an) et d’un support 24/7 avec temps de réponse en 4h.

L’offre « Plus » est à $15 par utilisateur (ou $12,50 pour un paiement annuel), soit pour notre exemple d’une société de 10 personnes  $1800 ($1500 pour un paiement annuel) et pour 100 personnes $18000 ($15000 pour un paiement annuel). Sans oublier que Slack n’est accessible que via Internet et que vos communications internes seront donc soumises au maintien constant de votre accès Internet.

Prix actuels des offres de service Slack

Prix actuels des offres de service Slack

 

On voit donc que le modèle de facturation de Slack est clairement plus intéressant pour les petites entreprises, pour lesquelles $960 ou même $1800 annuel reste un prix intéressant. Mais petite société deviendra grande et une fois Slack en place, dans les habitudes des employés et interconnecté à l’ensemble des services disponibles, il devient très compliqué d’envisager une migration vers une alternative alors que le prix de Slack pour les sociétés moyennes ou grandes devient clairement moins bon marché.

Les alternatives libres à Slack

Nous l’aurons compris, à l’étude des différents points vus ci-dessus, il s’avère nécessaire de trouver une alternative à Slack, que l’on puisse héberger soi-même afin de réduire les risques de diffusion des informations de votre entreprise, d’espionnage industriel, mais aussi réduire les coûts et votre dépendance à votre connectivité Internet. Heureusement pour nous le succès de Slack a fait apparaître de nombreux projets concurrents, dont certains sont aussi des logiciels libres.

Rocket.chat propose un logiciel très complet, avec bien sûr salons de discussion, messages directes et partage de fichiers, mais aussi  vidéoconférence et partage d’écran, et d’autres fonctionnalités à découvrir sur leur page de fonctionnalités supportées. Rocket.chat propose pour vous faire une idée de son service une démo en ligne. Cerise pour le gâteau pour nos besoins insatiables, Rocket.chat propose un système d’extension simple et une API.

rocket-chat-logo

Mattermost est un autre acteur mettant quant à lui l’accent sur sa proximité et sa compatibilité avec Slack. Il propose de nombreuses fonctionnalités dont les principales offertes par ce type de logiciel. Il propose également un grand nombre d’applications clientes ainsi que de très nombreux plugins offrant d’interagir avec des forges logicielles, des services en ligne, des outils d’intégration continue, etc.

mattermost-logo

Ça juste marche™

Nous parlions en introduction du « Ça juste marche™ » invoqué en général pour mettre au placard tous les arguments types confidentialité, protection des données et discrétion des échanges que nous avons décrits tout au long de cet article. En effet un développeur à son niveau peut se demander : »C’est vrai, pourquoi s’embêter avec tout cela si mon but est d’échanger avec mes collègues ou d’envoyer un fichier à tous rapidement et simplement ? »

Parce que la souscription au service Slack a un coût et entraîne un risque continu et à long terme pour l’entreprise. On peut objecter que cela n’est pas aux salariés de l’entreprise de mettre en avant ce risque, ces derniers devant avant tout trouver le moyen le plus efficace de réaliser les tâches qui leur sont confiées. D’un autre côté la direction de l’entreprise, en général non-technique, n’a peut-être pas conscience des risques que font courir à l’entreprise les choix techniques effectués. La direction technique des entreprises françaises a beau en général vouloir passer pour omniscient, personne n’est dupe.

Il faut donc soit une bonne question venant de la direction (mais où vont nos données et qui y accèdent ?) soit une recommandation technique venant des équipes techniques alliant efficacité et sûreté pour la vie de l’entreprise du choix technique. C’est à ce publique technique, pas toujours écouté par la direction certes, que s’adresse cet article pour qu’il soit – pour la partie qui le concerne – de bon conseil et que sa recommandation prenne l’ensemble des fonctionnalités et des risques associées en considération. Nous espérons que les différents points abordés dans cet article vous aideront à faire le bon choix.

13 thoughts on “Le danger Slack

  1. Mattermost est ce que Framasoft a utilisé pour Framateam par exemple, ça montre bien que c’est une alternative à Slack 🙂

    Sinon très bon billet, bien argumenté et complet qui vient bien compléter celui des dangers de Github.

  2. Après avoir lu cet excellent billet, j’ai installé RocketChat (sur mint 17.3 Xfce) à l’aide du .deb téléchargé sur le site officiel.
    Faut rajouter un lanceur dans le menu :
    Nom : RocketChat
    icône : /opt/rocketchat/icon.png
    Définition : Livechat+Video-Conférence+Partage de fichiers+Échange de formules mathématiques+Partage d’écran.
    Commande :/opt/rocketchat/rocketchat

    Ensuite il se lance et fonctionne bien.

    Ceci dit, je me disais qu’on serait très mal informés si les blogs tels que celui-ci ne nous donnaient pas ce genre d’info.
    D’autre part, je me demandais pourquoi ce type de solution n’était pas présente par défaut dans sa distribution préférée ?
    Comment la cause peut-elle vraiment progresser, si l’offre automatique de bonnes solutions n’est pas offerte dès l’installation ?

    Là il a fallu que le sujet du billet m’interpelle, que je fasse l’effort d’installer une application, que je trouve comment la lancer… et que même la très riche Documentation d’Ubuntu.fr ne la connaît pas (encore?).

  3. On utilise mattermost avec un grand bonheur. Je n’ai pas fait un comparatif entre Slack et Mattermost car l’aspect « caractère privé des données » empêchait d’envisager Slack. Il fallait à tout prix que cela reste chez nous

    • merci, ton retour m’est très précieux car les gens qui choisissent des alternatives comme rocket.chat et mattermost le font bien souvent principalement pour cette raison mais comme ils ne le disent jamais ou peu… d’où l’objet de ce billet 🙂

  4. Merci Carl pour cet article !
    Ce qui retient souvent à Slack, c’est qu’on peut avoir différents clients, prestas ou simplement interlocuteurs qui l’utilisent déjà. Ils n’auront pas forcement envie de se créer un compte sur autre chose.

    Dans ce sens, franchement, l’interopérabilité du mail fait quand même envie. T’imagines si Gmail communiquait pas avec Exchange ?

    Il faut au passage saluer l’initiative http://matrix.org/ qui vise justement à établir un protocole standard. Ce serait vraiment génial que je puisse discuter depuis mon Mattermost avec un type sur Slack et un autre sur Rocket.chat.

    Les deux ont d’ailleurs l’air de se valoir. Petit plus pour Rocket.chat qui possède un WebRTC intégré bien pratique pour faire une visio rapide avec un collègue par exemple (il ne me semble pas que Rocket possède ça pour l’instant du moins).

    Par ailleurs, Mattermost est intégré aux installs de Gitlab (si on passe par l’install Omnibus) https://docs.gitlab.com/omnibus/gitlab-mattermost/

    Au delà de leurs différences respectives, pour ceux qui veulent héberger eux-mêmes, la grosse différence selon moi est que Mattermost utilise SQL (MySQL ou Postgre) tandis que Rocket.chat utilise Mongo.

    Dans le cas d’un serveur avec des outils de cloud privé, par exemple Own/NextCloud, Gitlab ou Gogs etc, on a déjà du SQL, donc Mattermost pour moi !

    Prochain article, tu nous fais la même avec Trello 🙂

    • Merci beaucoup pour cet article honnête sur Slack, on entend que des éloges sur cet outil mais je ne l’ai personnellement pas trouvé si top que ça.
      Je fais partie d’une association de passionnés de startups qui a pour but d’accompagner les entrepreneurs en herbe et nous utilisons beaucoup Slack pour communiquer. Mais, par exemple, on ne reçoit jamais de notifications si un message est envoyé sur une conversation et quand on arrive plus tard il faut remonter lire tous les messages loupés.. et pour retrouver un document, il faut d’abord cliquer sur « tous les documents », puis filtrer par types, puis cliquer sur le document et enfin recliquer sur « voir le document » ! C’est une perte de temps incroyable. On a changé vers un autre outil plus pratique mais moins connu Hibox.co; il permet de gérer des tâches, les assigner à des gens, gérer un calendrier avec les objectifs à atteindre à court et long terme, faire des vidéoconférences… Nous sommes en tout très content d’être passé sur Hibox plutôt que Slack.

  5. D’après ce que je lis pour Mattermost, le single sign on de Gitlab est supporté. Je commence d’ailleurs à me servir du SSO Gitlab de plus en plus car il est de plus en plus supporté par de nouveaux services. Apparemment le SSO est une réflexion en cours chez rocket.chat mais pas encore abouti, ou alors je n’ai pas trouvé la bonne doc.

    Je suis d’accord avec ta réflexion qu’il est bien quand c’est possible de rationaliser son infrastructure derrière. Par contre ça ne doit pas être une limite aux besoins des utilisateurs. Si tu as besoin des fonctionnalités de rocket.chat (par exemple la visioconférence) et que ça t’oblige à installer Mongo, ben tant pis, tes utilisateurs en ont besoin. C’est mon point de vue.

    • Tout à fait d’accord avec toi. Et le SSO est vraiment très pratique.

      Pour la visio, je suis convaincu que s’il y a une réelle demande, Mattermost l’ajoutera également.

  6. J’ai un doute sur la pertinence de réécrire sans cesse le même article valable pour tout logiciel SaaS.

    Concernant cet article en particulier, le passage sur la facturation me semble absurde, le service serait « plus cher » pour les grandes entreprises car linéairement lié au nombre d’utilisateurs.

    Ton entreprise de 100 salariés dépense en salaires au bas mot 50 000 * 100 = 5 000 000 d’euros. Donc une boîte qui dépense 5 millions d’euros pour avoir des salariés qui travaillent ne pourrait pas dépenser 9 600 ou 18 000 euros pour qu’ils travaillent bien ensemble ??

    Ce sont des chiffres qui peuvent effrayer un particulier mal informé, mais personne de sérieux dans une entreprise.

    • En fait c’est même l’inverse, comme de synchroniser des personnes qui travaillent ensemble est quadratique et que le coût de Slack n’augmente que linéairement, plus la structure est grande plus Slack est avantageux.

    • Pourquoi ne serait-il pas pertinent de mettre en avant les problèmes liés à tout logiciel SaaS ? Et les incarner dans un article dédié à un SaaS à la mode me semble au contraire le meilleur moyen possible de faire passer le message à un utilisateur qui de but en blanc ne se pose pas suffisamment de questions sur ses pratiques quotidiennes. Je t’en fais un pour Gmail ? :p

      Pourquoi absurde ? Le passage à l’échelle des coûts est au contraire un point critique des entreprises, et en particulier bien sûr quand elles grossissent. On emploie même des gens exclusivement à la réduction des coûts dans les grandes entreprises. D’un point de vue entrepreunarial il est parfaitement inutile d’utiliser un service payant alors qu’on peut en utiliser un autre gratuit et non lié aux nombres de comptes créés. Slack ne propose plus aujourd’hui de véritables innovations, les autres solutions proposent les mêmes fonctionnalités. Ça passe quand tu as 10 utilisateurs, beaucoup moins quand tu en as 100 (et plus) et tu commences à regarder du côté des solutions alternatives.

      Je connais personnellement deux sociétés à +100 employés qui n’utilisent que l’offre gratuite de Slack (avec donc l’historique limité) car les coûts liés à la création de compte des employés (le modèle économique de Slack donc) n’ont pas été validés par la direction. Il faudrait qu’ils étudient l’adoption d’une solution alternative (et libre si possible), mais l’adhérence aux pratiques quotidiennes est maintenant forte à rompre. Ils sont donc dans une situation bâtarde où ils ne profitent pas à fond de leur SaaS pour des raisons de coût et où ils ont du mal à aller voir ailleurs à cause de l’historique.

      D’où les différentes mises en garde dans cet article.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *