Dans le contexte: Slack, une plateforme de collaboration et de messagerie utilisée quotidiennement par des millions de personnes, présente un problème de sécurité bien connu. La société appartenant à Salesforce ne crypte pas le contenu du chat. Cela est devenu un facteur de risque important pour les militants, les journalistes et les communautés aux États-Unis et dans le monde.
Selon le Campagne Make Slack Safe, Slack a désespérément besoin d’une mise à niveau de sécurité urgente. Mercredi, un groupe de plus de 90 organisations organisé une manifestation à l’extérieur des bureaux de Slack à San Francisco et à Denver, montrant le slogan « Slack n’est pas sûr » sur des panneaux d’affichage et des t-shirts. Pendant ce temps, la société affirme que sa plate-forme de communication est suffisamment sécurisée, même sans E2EE.
Une lettre signée par Mozilla, Fight for Future, des militants numériques, des lobbyistes pro-avortement et des entreprises axées sur la sécurité décrit la situation actuelle avec Slack avant la manifestation. Des outils comme Slack sont essentiels pour connecter les gens en ligne, la lettre ditpour protéger les sources d’histoires sensibles sur lesquelles les journalistes travaillent, partager des idées et du contenu (c’est-à-dire dans des entreprises de création de jeux), et tout le reste.
Malgré son importance, poursuit la lettre, Slack met toutes ces communautés en danger en ne prenant pas les mesures nécessaires pour assurer une sécurité adéquate des utilisateurs. La sécurité devrait être une fonctionnalité intégrée de toutes les technologies, c’est pourquoi les manifestants demandent à Slack de protéger ses utilisateurs en offrant la possibilité d’activer le chiffrement de bout en bout des messages, d’ajouter des fonctionnalités de blocage, de désactivation et de signalement pour aider à protéger utilisateurs contre le harcèlement.
Lorsqu’il est correctement mis en œuvre, E2EE est un moyen efficace d’apporter une protection raisonnable de la vie privée aux services de communication et de partage de données en ligne. E2EE devrait (en théorie) empêcher quiconque, sauf ceux impliqués dans une conversation, de voir son contenu, laissant le fournisseur de la plate-forme ou des organisations tierces hors du chat.
L’E2EE est un sujet de plus en plus débattu parmi les entreprises technologiques et les organisations gouvernementales. Apple et Meta sont occupés à mettre en œuvre un cryptage total dans tous leurs services, tandis que le FBI (ainsi que les agences internationales d’application de la loi) tentent d’entraver cette mise à niveau de sécurité tant attendue.
Aux États-Unis et dans le monde entier, poursuit la lettre, les gouvernements utilisent les données et les communications numériques pour cibler les défenseurs des droits humains et les personnes qui dénoncent les violations des droits humains. Après l’annulation par la Cour suprême de l’affaire Roe c. Wade, la communication personnelle est devenue une cible pour la criminalisation des demandeurs d’avortement et des prestataires.
Slack, cependant, ne semble pas intéressé à fournir une quelconque forme d’E2EE sur sa plate-forme. L’entreprise a dit les données au repos et les données en transit sont chiffrées « par défaut » pour tous ses clients, tandis que les organisations peuvent utiliser les fonctionnalités Enterprise Key Management (EKM) pour gérer leurs propres clés de chiffrement via Amazon Key Management Service (KMS). Slack ne partagera pas les données des clients avec des entités gouvernementales ou des tiers « à moins que nous ne soyons légalement obligés de le faire », a confirmé un porte-parole de la société.