CryptPad, le logiciel libre de collaboration chiffré vient de sortir en version 3.3 avec une nouveauté importante permettant de créer des « équipes » et de partager un drive (partage de fichiers) et un chat chiffré avec un groupe d’utilisateurs. Cette fonctionnalité a été financée par le fonds PET (Privacy and Trust Enhancing Technologies) de NLNet pour la Communauté européenne.
Le logiciel CryptPad, permet d’éditer en temps réel et de partager des documents chiffrés de bout en bout, les administrateurs du serveur ne pouvant pas lire les contenus partagés.
Plusieurs types de documents peuvent être édités :
- texte riche ;
- code (en Markdown) ;
- présentation (en Markdown) ;
- kanban ;
- tableur (en bêta) ;
- mini‐sondage ;
- tableau blanc.
Le drive permet aussi de partager des images et fichiers non éditables. Le logiciel contient aussi un espace de discussion en ligne (chat) permettant d’échanger avec les utilisateurs d’un pad. L’ensemble des contenus et des échanges est chiffré de bout en bout afin de garantir la confidentialité.
La nouvelle fonctionnalité teams, permet aux utilisateurs authentifiés de créer une « équipe » ayant un drive et un chat associés. Tous les documents partagés dans le drive d’équipe sont alors accessibles à tous les membres de l’équipe.
CryptPad est sous licence AGPL (GNU Affero General Public License v3.0) et peut être utilisé sur https://cryptpad.fr.
Le projet est développé par XWiki SAS. Il est soutenu par NLNet et par plus de deux cents contributeurs d’Open Collective et abonnés de CryptPad.fr. Les finances du projet sont publiées sur OpenCollective et sur le Wiki.
Aller plus loin
- Code source de CryptPad (324 clics)
- CryptPad.fr (618 clics)
- Notes de version de CryptPad 3.3 (33 clics)
- CryptPad OpenCollective (46 clics)
- Finances du projet (29 clics)
- XWiki SAS (47 clics)
# Suivi des modifications ?
Posté par ploum (site web personnel, Mastodon) . Évalué à 8.
Est-ce que l'outil propose une bonne fonctionnalité de suivi des modifications/suggestions ? C'est le truc indispensable qui rend Google Drive incontournable pour moi :-(
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: Suivi des modifications ?
Posté par ldubost . Évalué à 9. Dernière modification le 13 octobre 2019 à 09:09.
Pour l'instant, il y a un historique permettant de revenir en arrière, mais il n'y a pas encore de présentation des différences.
# Compromission du JS
Posté par damiend . Évalué à 7.
Je suis toujours un peu étonné de voir des logiciels centralisés proposer du chiffrement point à point par navigateur. Si le serveur était compromis, l'attaquant pourrait ajouter une instruction au fichier JS pour envoyer la clef de déchiffrement. Ce qui signifie que la simple utilisation du logiciel (se connecter pour récupérer ses documents sur un serveur compromis) aboutirait à la fuite des données.
C'est quand même un peu différent d'un "client lourd" où une mise à jour (que l'on espère manuelle) serait nécessaire.
[^] # Re: Compromission du JS
Posté par ldubost . Évalué à 4.
Effectivement, le logiciel n'est actuellement pas encore sûr de ce point de vue la. Nous avons étudié un système de signature (
https://blog.cryptpad.fr/2018/06/15/Signing-CryptPad/ ) mais cela est encore compliqué. Le client lourd est une chose qu'on souhaite fournir mais cela aussi est du boulot. Il nous faut encore du temps.
Cependant:
1/ cryptpad peut être installé et self-hosté
2/ il y a une sacré différence entre laisser ses contenus dechiffrés chez quelqu'un et l'éventualité d'une attaque active sur un compte pour voler les clés
[^] # Re: Compromission du JS
Posté par damiend . Évalué à 6.
Idée : une extension navigateur. Il devrait être possible de réutiliser du code de l'IU existante. Et du coup ce serait signé.
[^] # Re: Compromission du JS
Posté par ldubost . Évalué à 5.
En terme de complexité, ça revient presque au même que de faire un client lourd. Le problème c'est qu'il n'est pas trivial de passer le code CryptPad en local pour l'instant. Il n'a pas été fait pour fonctionner en dehors d'un serveur. Nous avions demandé un financement (européen) pour modulariser fortement les différentes briques de CryptPad et permettre le développement d'autre type d'application, mais nous ne l'avons pas eu. Donc pour l'instant on modularise par petits bouts.
[^] # Re: Compromission du JS
Posté par foolke . Évalué à 3.
Est-ce qu'il ne serait pas utile de créer un service tiers de hash de script JS? Le navigateur irait interroger le service pour vérifier que le JS n'est pas corrompu avant de l'exécuter? Ainsi une compromission du serveur seul serait inoffensive et détectée rapidement.
Ca pourrait augmenter la sécurité de pas mal de site chiffré point à point, mais il faudrait évidement que ce service tiers soit de confiance pour ne pas revendre les informations privées au plus offrant. Mozilla?
[^] # Re: Compromission du JS
Posté par Firwen (site web personnel) . Évalué à 3.
Dans le modèle Web, le code exécuté par le client est fetché dynamiquement depuis un serveur dans tous les cas et à chaque connection. Tu remplacerais simplement un serveur à compromettre par un autre serveur à compromettre. La finalité serait la même.
Il est trés difficile (impossible) de distribué et de forcer la vérification d'une signature dans un navigateur Web sans passer par une extension de navigateur.
L'E2E encryption pour une utilisation en navigateur web a principalement deux utilisations :
# Nextcloud
Posté par JeLeB . Évalué à 2.
Ca peut s’intégrer dans un nextcloud a la place de "Collabora Online" ?
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.