Keybase lance sa messagerie chiffrée d’équipe, ses applications mobiles en déclaration à l’ANSSI
Keybase is not #IRC is not Slack
Keybase continue son évolution, lentement, mais sûrement. Alors que ses applications mobiles font l'objet d'une déclaration à l'ANSSI, une gestion par équipe est désormais disponible. Elle peut aussi être utilisée pour créer des salons de discussion communautaires.
Keybase est un service pensé au départ comme un annuaire de clés GPG, permettant de certifier la possession de comptes tiers à travers une preuve cryptographique. Il a depuis muté pour devenir une solution de communication plus globale (voir notre analyse) avec une même stratégie : la transparence technique et des solutions multiplateformes/open source.
Début 2016, il ajoutait une première brique : l'échange de données. Là aussi, le chiffrement était au cœur du dispositif avec une volonté de garder un fonctionnement assez simple et transparent pour l'utilisateur. Cette année, nous avons eu droit à la mise en place du chat (voir notre guide), puis à des extensions Chrome et Firefox pour faciliter un premier contact.
Les applications mobiles en cours de déclaration à l'ANSSI
La société, qui ne chôme décidemment pas, a publié il y a quelques mois des applications pour Android et iOS permettant d'échanger avec vos contacts depuis un appareil mobile. Mais elles ne sont malheureusement pas disponibles en France.
Comme d'autres avant elle, elle doit faire face à la procédure de déclaration à l'ANSSI (voir notre analyse) qui retarde le processus d'au moins un bon mois, ce qui n'est pas le cas dans d'autres pays. Le processus a été lancé en août, il devrait donc être bouclé d'ici quelques semaines, avant la fin de l'année dans le pire des cas.
Keybase Teams is not Slack
La prochaine étape paraît assez logique : proposer un fonctionnement par équipe. Une solution qui permettra de gagner le monde de l'entreprise, sans doute une avancée importante du modèle économique de la société qui mise, pour rappel, sur un accès gratuit pour tous (avec 10 Go) mais une facturation au niveau de l'espace de stockage utilisé (plus tard).
Les applications ont été mis à jour sur les différentes plateformes afin de mettre en place un embryon de cette fonctionnalité. Souvent présentée, à tort, comme un concurrent de Slack, elle n'en reprend que certains codes graphiques comme l'explique le billet d'annonce, qui évoque aussi le cas de Discord.
On retrouve en effet sur la partie gauche de l'application dédiée aux conversations une liste d'utilisateurs et d'équipes (Teams) pouvant contenir plusieurs canaux (Big Teams). Une manière de faire que l'on utilise au moins depuis... IRC. Il n'y a par contre aucune intégration de services tiers, le sujet n'étant pour le moment même pas évoqué.
Sur la partie droite, vous pourrez développer une zone comprenant la liste des membres d'une équipe, gérer les notifications (aucune, sur une mention, toujours) ou quitter le canal en cours.
Chiffrement E2E, rôles et chaîne de signature
Dans la pratique, comment cela fonctionne-t-il ? Pour le moment, c'est assez basique puisque toute la gestion passe en ligne de commandes à quelques exceptions près : la création d'équipe, de canaux et bien entendu les conversations.
Keybase précise en effet que l'idée est de vous permettre de réserver vos noms d'équipe et de commencer à goûter à la fonctionnalité qui va évoluer de manière constante dans les prochains mois. La situation actuelle devrait durer encore un mois ou deux, avec une mise à jour des applications prévue chaque semaine.
Ainsi, un nom d'équipe ne peut être utilisé qu'une fois. Les plus rapides auront sans doute déjà occupé le terrain, et il sera intéressant de voir comment la société compte gérer des cas où une entité viendrait revendiquer son nom ou sa marque, comme cela a pu être le cas avec Twitter les premières années.
Les prochaines évolutions de l'interface
Comme pour le reste de l'application, un chiffrement de bout en bout (E2E) est mis en place. Un espace de stockage partagé et chiffré est accessible à travers le répertoire team de votre lecteur créé par Keybase. Le nom d'une équipe peut être visible par tous, mais les détails sur sa composition et son contenu est accessible uniquement à ses membres.
L'ensemble se base sur une chaîne de signatures, chacun pouvant ajouter un tiers et lui attribuer un rôle s'il en a les droits. Il en existe cinq : owner, admin, implicit admin, writer et reader. Notez que la différence introduite par l'implicit admin est qu'il est administrateur pour une équipe, mais pas directement pour une sous-équipe qui en est dérivée (nous en reparlerons plus loin). Seul le propriétaire peut supprimer une équipe. Tous les détails se trouvent par ici.
Voici les commandes de base à utiliser :
keybase team create treehouse
keybase team add-member treehouse --user=barb --role=admin
keybase team add-member treehouse --user=carter --role=writer
keybase chat create-channel uber 'hr-issues'
keybase chat join-channel fyre 'festival2018'
keybase chat list-channels equifax # spoiler: none found
Sous-équipes et demande d'accès
En plus des Teams et des Big Teams qui contiennent plusieurs canaux, il est possible de créer des sous-équipes qui se distinguent par la présence d'un point dans leur nom (keybase.design, keybase.marketing, keybase.help, etc.) et qui peuvent être renommées. Chacune peut avoir ses propres utilisateurs et rôles, des fichiers isolés, etc.
Elles ont un autre intérêt particulier : elles sont invisibles pour ceux qui n'en sont pas membre. Il est aussi impossible pour un utilisateur qui n'est pas membre d'accéder à leurs données, même un admin implicite. Une solution dont on a hâte de voir comment elle se manifeste dans la pratique et notamment en entreprise.
Elles se distinguent donc des canaux qui peuvent, eux, être rejoints par n'importe qui. On se demande d'ailleurs pourquoi Keybase ne les présente pas comme des canaux privés plutôt que d'introduire une notion supplémentaire.
On voit d'ailleurs toute leur portée avec l'exemple donné par Keybase :
« Un nom d'équipe est visible par le monde entier, donc si vous créez l'équipe allez_virons_bob, le monde entier pourra la voir, ils ne pourront juste pas savoir qui en est membres avant d'en être membres eux-mêmes.
Les sous-équipes sont dérivée d'une équipe principale. [...] L'existence de chaque sous-équipe est cachée de tous ceux qui n'en sont pas membre. Ainsi, si vous voulez créer l'équipe allez_virons_bob.non_je_déconne_virons_bruce, alors Bruce n'aura aucun moyen de savoir ce qu'il se trame. »
Ambiance !
Notez au passage qu'un utilisateur peut être rajouté à une sous-équipe sans être membre de l'équipe principale. Leur utilité est donc avant tout la discrétion. N'importe qui peut effectuer une demande d'accès comme pour une équipe classique, l'application ne divulguera pas l'existence ou non de l'équipe/sous-équipe lors de cette procédure.
Les administrateurs seront pour le moment prévenus de la demande par e-mail. Notez enfin qu'un administrateur peut aussi ajouter un membre en passant par son adresse e-mail :
keybase team request-access treehouse
keybase team add-member treehouse [email protected] --role=writer
Et en cas de reset du compte ?
Si jamais vous avez le besoin de remettre votre compte à zéro, pour faire un peu de ménage ou encore parce que vous avez perdu l'accès à votre machine, vous serez éjecté de vos équipes. Les autres administrateurs seront notifiés de cette action et devront vous ajouter à nouveau.
Veillez donc à bien disposer d'au moins deux administrateurs au sein de vos équipes. Car si un seul est nommé et qu'il perd l'accès au compte, elles deviendront alors orphelines. Un choix assumé par l'équipe qui explique que s'il en était autrement « Keybase pourrait vous retirer d'une équipe, indiquer que vous avez demandé un reset et placer quelqu'un d'autre à votre place ». Comme toujours, la sécurité demandera donc un surcroit de vigilance.
Quid des métadonnées ?
Du côté de la gestion des données, les choses changent assez peu : chiffrement E2E oblige, Keybase ne peut accéder à aucune information détaillée ni à aucun fichier ou message, votre clef de chiffrement étant propre à votre appareil et stockée sur celui-ci. Le service sait néanmoins quel utilisateur est présent dans quelle équipe et leur rôle dans celles-ci.
Keybase veut aussi accueillir les communautés
Si la visée du monde de l'entreprise est assez claire dans l'annonce de Keybase, la société semble aussi continuer à vouloir miser sur l'aspect communautaire. Voulant sans doute devenir une sorte d'IRC chiffré, elle précise que les équipes peuvent aussi être créées autour de sujet plutôt que d'entité.
Un maximum de 1 000 personnes peut rejoindre une même équipe, un chiffre qu'il est déjà prévu d'étendre par la suite. Il n'y a pas de moteur de recherche d'équipe, et il faudra disposer de l'accord d'un administrateur pour rejoindre une équipe, ce qui peut être un frein. Surtout que cet ajout se fait pour le moment lui aussi en ligne de commande.
Le service semble attendre de voir comment cela s'organise dans la pratique et appelle ceux qui veulent constituer des communautés à les contacter afin de leur permettre de suivre l'avancée des choses. Il s'agit néanmoins d'une manière de faire de Keybase un outil que l'on utilise au quotidien, pour échanger entre amis ou dans un cadre plus professionnel.
Reste maintenant à voir si la société arrivera à atteindre cet objectif. Il faudra aussi qu'elle fasse évoluer son outil de manière plus général, le client ayant encore du mal sur certains points, notamment en cas de remise à zéro d'un compte.
Rejoignez l'équipe Next INpact !
Afin de vous permettre de tester la fonctionnalité, nous avons créé une équipe « nextinpact » que vous pouvez demander à rejoindre simplement afin de discuter entre vous ou avec les membres de l'équipe qui utilisent Keybase. Cela pourra prendre un peu de temps avant que votre accès soit validé puisque tout se fait manuellement.
Pour ce faire, rien de plus simple, il vous suffit d'installer Keybase et de vous y créer un compte ou de vous connecter puis de taper la commande suivante dans l'application Keybase Shell :
keybase team request-access nextinpact
Commentaires (30)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 20/09/2017 à 08h48
#1
Demande envoyée pour tester
Le 20/09/2017 à 09h11
#2
à tester aussi.
Ca fait un moment que je cherche un autre système que les mailing list pour travailler en groupe (les mails sont vraiment une plaie à gérer avec les antispam actuels, sans compter que les générations actuelles n’aiment pas du tout travailler avec …).
Mais bon tant que l’autohébergement ne sera pas possible, on fera sans.
Le 20/09/2017 à 09h26
#3
ferai ma demande aussi. ^^
Le 20/09/2017 à 09h29
#4
Ainsi, un nom d’équipe ne peut être utilisé qu’une fois. Les plus rapides auront sans doute déjà occupé le terrain, et il sera intéressant de voir comment la société compte gérer des cas où une entité viendrait revendiquer son nom ou sa marque, comme cela a pu être le cas avec Twitter les premières années.
Faut juste espérer pour eux qu’ils aient prévu une clause dans leurs cluf à ce niveau.
Le 20/09/2017 à 09h36
#5
Le 20/09/2017 à 09h39
#6
Le 20/09/2017 à 09h42
#7
Ce que font ces gens est absolument génial. Et en plus, la tourne que cela prends va plutôt dans le bon sens.
Le 20/09/2017 à 09h45
#8
un putain de scandale cette histoire.
Le 20/09/2017 à 11h45
#9
Pour cela: mattermost :) Ca s’autohéberge bien !
La différence que je vois c’est que keybase est orienté de base sur le chiffrement (mattermost ce sera via des plugins).
Le 20/09/2017 à 11h46
#10
hop demande envoyée.
Le 20/09/2017 à 12h16
#11
Le 20/09/2017 à 12h20
#12
Le projet est interessant, mais tout comme odoc, je regrette énormément cette course à la centralisation : le web a été créé avec entre autre un concept fort : la décentralisation. Ca permet entre autre d’assurer une bonne résistance du réseau, en évitant les points critiques (SPOF en bon anglais, pour Single Point Of Failure).
Un excellent exemple de ce principe est le mail : n’importe qui peut créer son propre serveur, qui pourra échanger des messages avec tous les autres serveurs.
Un autre très bon exemple est (était :-( ) Jabber / xmpp, utilisé entre autre par GoogleChat. Tout le monde pouvait monter un serveur de chat, soit privé, soit publique, avec encore une fois la possibilité d’échanger avec tous les autres serveurs publics.
Je pense que les deux principales raisons de cette tendance sont :
Ces deux raisons ne sont pas vraiment à l’avantage de l’utilisateur :-(.
Le 20/09/2017 à 12h21
#13
oui je connais, malheureusement il n’est pas possible de faire des sub-channel, du coup ça ne permet pas de remplacer un fonctionnement par mailing-list (en comparaison, une mailing-list serait un channel et chaque mail/groupe de mail un sub).
Un seul en autohébergement correspond (son nom m’échappe) mais il est basé sur nginx et pour le moment on a pas trop le temps et l’énergie de passer notre config apache sous nginx (et vu notre config, je sais meme pas si c’est possible en fait).
Le 20/09/2017 à 12h27
#14
Pour cela il y a le projet matrix.org: décentralisé, avec de l’encryption E2E
Le 20/09/2017 à 12h31
#15
Le 20/09/2017 à 12h33
#16
y’avait aussi le truc de Ladar Levinson (le gars de lavabit)… je sais pas où ça en est.
Le 20/09/2017 à 12h34
#17
Fais comme moi, passe à docker (via rancher). Ca permet de vite déployer et tester tout type de techno sans se prendre la tête. Je ne peux plus m’en passer (et j’ai un mix de nginx/apache qui se routent les traffics dans tout les sens)..
Le 20/09/2017 à 12h47
#18
C’est un peu différent, il y a des règles officielles concernant les noms de domaines. Ce n’est pas le cas de tous les services proposant d’obtenir un identifiant.
Le 20/09/2017 à 13h14
#19
Je suis d’accord Hellmut, bien que n’importe qui puisse théoriquement le faire, ca n’est pas a la portée de tout un chacun.
Mais le gros avantage, c’est que grâce à ça, tu peux avoir une offre variée, qui couvre tous les besoins :
- ProtonMail, mailfence, … pour ceux qui sont prêt a payer le service pour garantir leur vie privée
Bref, chacun peut y trouver son compte, et le choix d’un service ne te coupe pas du monde.
Sur la messagerie instantanée, a contrario, je n’ai aucune confiance en facebook au vu de leurs pratiques, donc je ne veux pas utiliser leurs services, donc je suis de fait interdit de discussion avec tous les utilisateurs de whatsapp, messenger, …
Le 20/09/2017 à 13h40
#20
oui oui on est bien d’accord que sur la messagerie instantanée c’est totalement enclavant.
Le 20/09/2017 à 14h13
#21
on a un peu peur de se lancer là dedans, d’autant qu’on est dans un cas de figure où les admin sont +/- dispo et présent (gestion asso) et que docker est encore en développement (donc y a moyen de tout péter lors d’une maj).
Sauf si depuis on peut considérer docker comme assez stable ? (après on a un petit serveur, donc pas sur qu’il puisse encaisser docker)
Le 20/09/2017 à 15h10
#22
Vous êtes à deux doigts d’inventer XMPP !
Le 20/09/2017 à 15h44
#23
on parlait justement de xmpp avant. ^^
concernant les messageries instantanées y’a des pages entières de discussions enflammées entre Moxie (Signal) et des pro-fédération (sur modèle xmpp).
de mon point de vue les deux visions ont leurs raisons.
Le 20/09/2017 à 16h39
#24
“If “nextinpact” exists, an email has been sent to its admins, notifying of your request for access.”
" />
Le 20/09/2017 à 17h12
#25
Le 20/09/2017 à 21h40
#26
on est 21 sur le chan, gros succès.
" />
Le 20/09/2017 à 22h56
#27
T’as piqué toutes les cacahuètes
" />
Le 21/09/2017 à 13h58
#28
Demande envoyée
Par contre la version mobile Android m’annonce que cette application n’est pas compatible avec mon téléphone Samsung galaxy S7 Edge sous 7.0.1
Suis je le seul ?
Le 22/09/2017 à 08h10
#29
Le 22/09/2017 à 08h37
#30