Les alternatives françaises et sécurisées de visioconférence : Tixeo

Avec le passage massif au télétravail, jamais autant de discussions n’auront transité sans être chiffrées de bout en bout sur des serveurs américains. Pourtant, des solutions européennes, ergonomiques et sécurisées, existent. À commencer par celle adoubée par l’ANSSI : Tixeo.

Tixeo est une solution française de visioconférence et de télétravail – donc non soumise au CLOUD Act et au Patriot Act américains – chiffrée de bout en bout, et sans possibilité pour l’éditeur basé à Montpellier d’avoir accès aux clefs, donc avec une confidentialité maximale pour les utilisateurs.

Fondée en 2003 avec un tournant prononcé vers la sécurité en 2013, Tixeo est membre d’Hexatrust, du CLUSIF, de l’Alliance pour la Confiance Numérique, et peut se targuer d’avoir la Certification de Sécurité de Premier Niveau (CSPN) de l’ANSSI et d’être labellisée France Cybersecurity.

Contrairement à ses grands concurrents américains qui disent être chiffrés de bout en bout (mais qui ne le sont pas et prennent une définition différente du « bout en bout »), Tixeo l’est vraiment grâce à une technologie qu’il a développée en interne depuis plus de cinq ans : le « SVC on Demand » (pour « Scalable Video Coding à la demande »).

« Le vrai bout en bout c’est quand tout est chiffré localement, sur la machine, et que le participant à distance le déchiffre, localement également, sans déchiffrement entre les deux », rappelle à juste titre Renaud GHIA (PDG et co-fondateur de Tixeo).

SVC on Demand

Pour arriver à ce vrai bout en bout qui est le seul à pouvoir réellement assurer la confidentialité des conférences, Tixeo ne repose ni sur du WebRTC (à part une brique d’annulation d’écho), ni sur du H323, ni sur du mesh (architecture décentralisée), mais entièrement sur son « SVC on Demand » maison.

« C’est important de comprendre cela. Faire du bout en bout entre deux points, sur le principe, c’est simple. On pourrait donc croire que faire du mesh avec plein de points à points est simple aussi. Sauf qu’une architecture de visioconférence en mesh ne peut pas fonctionner parce que je vais devoir envoyer mon flux audio et vidéo à autant de personnes qu’il y a de participants », explique Renaud GHIA dans un échange avec LeMagIT. « Si mon flux fait 1,5 Mb et que nous sommes dix, je vais devoir envoyer 15 Mb en up. Cela ne tient pas sur une ADSL ».

« Avec le protocole H323, les serveurs de visioconférence (MCU) [sont] complètement incompatibles avec le chiffrement de bout en bout. […] C'est clairement un point de faiblesse qui peut être exploité. »
Renaud GhiaTixeo

Les architectures traditionnelles centralisées – celles de Teams, Cisco et autres Zoom – permettent de régler ce problème de bande passante, mais au prix du chiffrement de bout en bout.

« De manière traditionnelle, avec le protocole H323, les serveurs de visioconférence (MCU) fonctionnent en mixant les flux. C’est-à-dire que tous les flux des participants (audio et vidéo) sont récupérés, puis mixés, puis renvoyés mixés. Un participant ne va donc recevoir qu’un seul flux (audio, vidéo, data) » explicite le cofondateur de Tixeo.
« Mais le fait de devoir mixer implique de déchiffrer et de transcoder. Cette architecture est complètement incompatible avec le chiffrement de bout en bout. […] C’est clairement un point de faiblesse qui peut être exploité » par un hacker ou dans un cadre légal (comme des demandes de la justice américaine).

Tixeo – qui n’est de toute façon pas soumis à ces demandes extraterritoriales – a donc imaginé un mode de fonctionnement qui allie les bénéfices du mesh (chiffrement total) et ceux d’une architecture centralisée (pour économiser la bande passante).

« Pour qu’une visioconférence soit viable, par expérience, il faut qu’il y ait un serveur, toujours », assure Renaud GHIA. « Mais avec Tixeo, le flux arrive chiffré sur notre serveur, qui le duplique tel qu’il est, en autant de flux qu’il y a de participants, et il leur envoie. Point. C’est chiffré de bout en bout et c’est comme cela que l’on réduit la bande passante. Il n’y a qu’un flux montant par participant. » Et autant de flux descendants que de participants.

C’est ensuite le client installé sur l’appareil de l’utilisateur (l’application est disponible sur Windows, Linux, Mac, iOS et Android) qui déchiffre les flux et les gère entièrement en local.

L'application Tixeo sur Mac

Le « SVC on demand » adapte également le flux vidéo en fonction de trois paramètres : le réseau, le CPU et la demande utilisateur (si un utilisateur met la vidéo en plein écran, il recevra un flux HD ; s’il la met en petite, il recevra une vignette). « Si vous avez trois écrans, vous pourrez même répartir les vidéos sur chaque écran. Chaque flux reste indépendant – contrairement aux solutions MCU traditionnelles où vous avez un layout vidéo qui est commun à tous ».

SaaS ou sur site, au choix

Autre atout, Tixeo est disponible en trois « parfums » : SaaS (cloud public), cloud privé et sur site.

En mode cloud public, les serveurs de Tixeo sont hébergés en France, à 90 % sur OVH (dans les datacenters de Graveline, de Roubaix et de Strasbourg), le reste chez Scaleway (ex-Online).

Dans le cas de réunions entièrement à l’étranger, dans une zone géographique donnée (Asie, Amérique, etc.), faire transiter les flux via la France peut avoir moins de sens. Il est alors possible de déployer des grappes de serveurs « où vous le voulez » (sic) pour des réunions qui restent dans d’autres zones que l’Europe.

Tixeo n’a pas accès aux clefs

En plus du chiffrement bout en bout, Tixeo n’a pas les clefs. En clair : l’éditeur ne peut pas faire d’écoutes.

« Les clefs sont dynamiques, volatiles, créées avec la réunion et échangées entre les seuls participants. Nous ne les possédons pas », insiste Renaud GHIA. « C’est important parce que si vous faites du bout en bout, mais que l’éditeur possède les clefs, cela ne sert à rien. Nous, nous sommes dans l’incapacité totale de déchiffrer quoi que ce soit ».

Enregistrement des réunions : oui, mais…

Comme pratiquement toutes les solutions de visioconférences, Tixeo propose l’enregistrement des réunions. Sauf que l’éditeur met en garde sur cette fonctionnalité.

« Nous sommes très clairs avec nos clients. Que ce soit une connexion à une réunion Tixeo par téléphone ou un enregistrement (où l’on invite un enregistreur SIP qui apparaît dans les participants), on ne peut plus garantir la confidentialité des échanges », avertit Renaud GHIA.

Techniquement, l’enregistrement passe en effet par un prestataire qui se connecte via la Tixeo Gateway.

« Cette gateway (ou passerelle) fait le pont entre notre technologie et les autres technologies de visioconférence (SIP, WebRTC, H323, téléphone, etc.). Dès que vous faites un appel vers l’extérieur à partir de cette gateway, nous n’assurons plus le chiffrement de bout en bout. Le bout en bout s’arrête à la Gateway », insiste bien Renaud GHIA.

Ceci étant, Tixeo travaille pour fournir cette fonctionnalité dans les déploiements sur site. À suivre donc.

L'équipe de Tixeo travaille à distance depuis plusieurs années

Gestion des accès et sécurité

Pour accéder à une réunion sur Tixeo, « il y a forcément un login et un mot de passe. C’est la base de la sécurité », tranche immédiatement le cofondateur de l’éditeur. « Si vous rejoignez une réunion avec un simple PIN, forcément, vous avez ce qui est arrivé avec le Zoom-bombing ».

Tixeo ne propose en revanche pas de salle d’attente. « C’est une fonctionnalité de webinar [or] nous sommes vraiment sur les réunions de travail, hautement interactives », assume Renaud GHIA.

C’est d’ailleurs le point où il peut y avoir une confusion. Tixeo n’a pas vocation à diffuser des flux à des centaines de personnes (la très forte confidentialité à ce niveau de participants a d’ailleurs moins de sens). « Notre solution n’est tout simplement pas conçue pour cela », assume à nouveau son cocréateur. La visioconférence de Tixeo revendique en revanche de fonctionner « parfaitement pour une quinzaine de personnes ».

Le co-PDG envisage néanmoins « peut-être, dans les prochaines versions [de proposer] un mode conférence/webinar », confie-t-il au MagIT. Autre point à suivre donc.

Côté sécurité du code, Tixeo a des audits du chiffrement pour la certification ANSSI et organise régulièrement des bugs bounty. « Faire des pentests, c’est une base qui nous permet de faire évoluer la solution de manière sécurisée », conclut Renaud GHIA.

Fusion et conclusion

Tixeo est donc une solution de visioconférence qui met un très gros accent sur la sécurité et la confidentialité. Idéale pour les top-managements, les décideurs et les conversations critiques. Idéale également pour toute entreprise qui souhaite ne pas jouer avec les risques du CLOUD Act et du Patriot Act.

La solution se veut résolument dédiée au télétravail plus qu’à la seule conférence (échange de documents, conversations croisées, etc.). L’éditeur montpelliérain ne propose donc pas (encore ?) de fonction webinar, mais dans cette optique d’équipes distribuées, il complète sa visio d’un mode appelé « Fusion ».

Fusion, l'open space virtuel de Tixeo

Fusion est un espace où l’on visualise les collaborateurs sous forme de bulles. Si deux personnes sont en communication, leurs bulles prennent la même couleur et se rapprochent. « C’est un open-space virtuel » compare Renaud GHIA. Mais un open space très sécurisé.

Depuis mars, Tixeo constate une progression de 2.500 % d’usage sur ses serveurs. Preuve que le marché prend conscience de l’intérêt d’une telle solution « alors qu’il y a cinq ans, on nous demandait même pourquoi il fallait sécuriser ces échanges ».

Pour approfondir sur Outils collaboratifs (messagerie, visio, communication unifiée)

Close