Actions sur le document
Partage sécurisé de fichiers
Planète Juridique - admin, 25/11/2013
Je suis donc parti en quête d'une solution peu onéreuse, facile à mettre en place (pour moi) et à utiliser (pour mes clients), basée sur des technologies simples et efficaces. J'ai mis en place, pour l'instant, la solution que je vais vous présenter, et qui peut peut-être intéresser quelques uns d'entre vous, freelance ou pas.
Tout d'abord, je voudrais rappeler que je ne suis pas un spécialiste de la sécurité informatique, quoiqu'en pensent certains de mes lecteurs. Je suis un simple informaticien, qui se considère comme "généraliste" car curieux de tous les domaines et spécialisations informatiques. Merci donc aux spécialistes de la sécurité informatique d'être tolérants à mon égard.
Objectif: permettre à un client de mon entreprise de m'adresser un ou plusieurs documents de manière simple et suffisamment sécurisée. L'échange doit pouvoir avoir lieu dans les deux sens.
Contrainte: mes clients ne connaissent pas a priori l'informatique, même si certains peuvent être très à l'aise avec cet outil. Je dois donc m'adresser au moins technophile de mes clients: cela doit être facile à utiliser par Maître Michu et son assistant(e)...
Ma solution:
La contrainte posée écarte de fait l'échange d'emails chiffrés, que je trouve trop contraignant, trop complexe avec ses clefs privées/publiques.
Les différents outils proposés sur internet, du moins ceux que j'ai étudiés, m'ont paru compliqués à imposer: DropBox, SkyDrive, GoogleDrive ne s'installent pas sur tous les systèmes, demandent des droits administrateurs, etc.
L'interface qui me semble la plus universelle aujourd'hui est celle d'un navigateur internet. La solution doit reposer sur cette interface, avec aussi peu d'installation de plugins que possible.
Il existe plusieurs plates-formes web proposant le partage de documents. Mais toutes m'ont paru peu sures ou trop chères pour demander aux avocats avec lesquels je travaille d'y stocker des documents de travail confidentiels. La solution OPALEXE est sur-dimensionnée pour l'usage que je compte en faire (et pour mon chiffre d'affaires).
Plus je réfléchissais, et plus je comprenais qu'il fallait que les données restent chez moi, et que j'en maîtrise le plus possible la chaîne de responsabilité.
J'ai donc choisi de proposer un accès sécurisé à un serveur de stockage hébergé dans mon bureau et accessible à mes clients avocats via une interface web.
Je me suis tourné tout naturellement vers le système de stockage que je possède actuellement: un NAS Synology DS713+, mais je pense que ce qui va suivre doit pouvoir s'adapter facilement à un autre système de stockage, comme par exemple un NAS4Free. En tout cas, j'ai vérifié au boulot avec un NAS QNAP TS-559 Pro II, la procédure est très semblable.
Mise en place:
Etape 0: Choisir le bon protocole sur le système de stockage
L'HyperText Transfer Protocol Secure, plus connu sous l'abréviation HTTPS, est généralement utilisé pour sécuriser les transactions financières. C'est le petit cadenas rassurant que l'on trouve sur le navigateur lorsqu'on saisit dans un formulaire des informations qu'on ne voudrait pas voir diffusées à tous les vents.
Sur un NAS Synology, pour activer HTTPS, c'est assez simple, il suffit d'aller dans le panneau de configuration, Paramètres de DSM, onglet "Service HTTP" et de cocher "Activer la connexion HTTPS". J'en profite pour cocher également "Rediriger automatiquement les connexions HTTP vers le HTTPS". J'ai laissé les ports par défaut (http sur 5000 et https sur 5001).
Etape 1: Rendre son système de stockage accessible depuis internet.
J'ai la chance, comme beaucoup maintenant, de disposer d'une adresse IP fixe proposée par mon fournisseur d'accès internet. Sinon, je pense que j'aurais du utiliser les services du type noip.
Il me suffit donc d'aller dans l'interface d'administration de ma box pour créer une redirection de port du type {IP FIXE BOX}:443 vers {IP LAN du NAS}:5001.
Je teste avec mon téléphone portable et vérifie que l'URL https://IpFixe fonctionne bien et affiche le portail d'accès aux fichiers de mon NAS. A ce stade, j'ai un message d'avertissement de mon navigateur qui m'indique que ce site n'est pas sur. Sous Firefox, c'est assez flippant: "Cette connexion n'est pas certifiée" avec un bouton "Sortir d'ici !".
De quoi faire fuir tout(e) secrétaire d'un cabinet d'avocat. Voyons comment éviter cela.
Etape 2: Remplacer l'adresse IP par un nom de domaine.
Je gère tous mes noms de domaine chez Gandi depuis de nombreuses années. J'aime bien leur état d'esprit et leurs prix sont tout à fait corrects.
Je me rends donc dans l'interface d'administration Gandi du nom de domaine que j'ai choisi pour mon activité d'expertise privée. J'ajoute dans les informations DNS un champ "A" avec l'adresse IP FIXE BOX fournie par mon FAI et le petit nom que je souhaite lui donner. Dans mon cas, j'ai choisi "cabinet.shrdlu.fr".
Je vérifie que le serveur est accessible cette fois avec l'URL https://cabinet.shrdlu.fr
Ça marche, mais la connexion n'est toujours pas certifiée...
Etape 3: Certifier la connexion internet.
C'est la partie la plus technique. Mais elle s'avère simple grâce à tous les HOWTO disponibles sur internet. J'ai choisi de suivre celui-là (en anglais).
Je résume les commandes ici:
Sur le NAS Synology:
cd /usr/synoSur l'interface Gandi de création d'un certificat (gratuit quand on dispose d'un nom de domaine chez eux):
mkdir ssl
cd ssl
wget http://123adm.free.fr/home/pages/documents/syno-cert_fichiers/openssl.cnf
cd
openssl genrsa -des3 -out cabinet.key 2048
openssl rsa -in cabinet.key -out cabinet.nopass.key
openssl req -nodes -new -key cabinet.key -out cabinet.csr
- copier/coller le contenu du fichier cabinet.csr
- demander la génération du certificat
- récupérer le certificat et le coller dans un fichier cabinet.certif
- récupérer le certificat intermédiaire et le coller dans un fichier cabinet.interm
Sur le NAS Synology:
Dans "Panneau de configuration/Paramètres de DSM/Certificat", cliquer sur "importer le certificat", et fournir les fichiers suivants:
- clé privée: cabinet.nopass.key
- certificat: cabinet.certif
- certificat intermédiaire: cabinet.interm
Rebootez votre NAS et, là, miracle, l'URL:
https://cabinet.shrdlu.fr
est accessible par tous les navigateurs sans avertissement de sécurité.
Etape 4: Créer un compte client.
Les échanges avec Maître Michu se passent toujours par email. Cela commence par une prise de contact avec explications du contexte du dossier. Je demande ensuite, pour établir mon devis, un exemplaire du (pré)rapport d'expertise que j'ai à analyser. Je propose alors que ce document soit déposé électroniquement de manière sécurisée sur le serveur de stockage mis en place.
Je crée donc un compte sur mon NAS Synology, avec mot de passe adhoc, et j'adresse les informations de connexion par téléphone. J'en profite pour assister le secrétariat lors de la première connexion et lui faire faire quelques pas avec l'interface particulière du système d'accès aux fichiers Synology.
Les lecteurs intéressés par une démo proche du résultat que j'obtiens peuvent aller sur cette page. Attention, il faut penser à désactiver provisoirement AdBlock pour faire fonctionner l'accès à "File Station".
L'échange de fichiers entre le NAS distant et le poste de travail est très simple puisque l'application "File Station" interfère via Java avec le système d'exploitation.
Le client peut me transférer toutes les pièces du dossier qu'il souhaite me soumettre. Je peux également lui déposer des documents qu'il récupérera par le même moyen.
Inconvénients:
- Je suis conscient que la procédure n'est pas si "simple" que cela pour le client. C'est un point à améliorer. Cela devrait être aussi simple que d'envoyer un email.
- La bonne intégration avec le système d'exploitation du client nécessite la présence de Java (et la réponse à des messages d'alerte potentiellement anxiogènes). Les tests effectués auprès de plusieurs cabinets d'avocat ont montré qu'au moins une fois Java n'était pas installé. C'est un problème.
Mais dans l'ensemble, pour l'instant, le système fonctionne bien avec les cabinets qui l'ont testé.
Bien entendu, je suis preneur de toutes suggestions de simplification, ou pour un retour d'expérience sur une solution différente. Les commentaires sont là pour cela ;-)
Je suis donc parti en quête d'une solution peu onéreuse, facile à mettre en place (pour moi) et à utiliser (pour mes clients), basée sur des technologies simples et efficaces. J'ai mis en place, pour l'instant, la solution que je vais vous présenter, et qui peut peut-être intéresser quelques uns d'entre vous, freelance ou pas.
Tout d'abord, je voudrais rappeler que je ne suis pas un spécialiste de la sécurité informatique, quoiqu'en pensent certains de mes lecteurs. Je suis un simple informaticien, qui se considère comme "généraliste" car curieux de tous les domaines et spécialisations informatiques. Merci donc aux spécialistes de la sécurité informatique d'être tolérants à mon égard.
Objectif: permettre à un client de mon entreprise de m'adresser un ou plusieurs documents de manière simple et suffisamment sécurisée. L'échange doit pouvoir avoir lieu dans les deux sens.
Contrainte: mes clients ne connaissent pas a priori l'informatique, même si certains peuvent être très à l'aise avec cet outil. Je dois donc m'adresser au moins technophile de mes clients: cela doit être facile à utiliser par Maître Michu et son assistant(e)...
Ma solution:
La contrainte posée écarte de fait l'échange d'emails chiffrés, que je trouve trop contraignant, trop complexe avec ses clefs privées/publiques.
Les différents outils proposés sur internet, du moins ceux que j'ai étudiés, m'ont paru compliqués à imposer: DropBox, SkyDrive, GoogleDrive ne s'installent pas sur tous les systèmes, demandent des droits administrateurs, etc.
L'interface qui me semble la plus universelle aujourd'hui est celle d'un navigateur internet. La solution doit reposer sur cette interface, avec aussi peu d'installation de plugins que possible.
Il existe plusieurs plates-formes web proposant le partage de documents. Mais toutes m'ont paru peu sures ou trop chères pour demander aux avocats avec lesquels je travaille d'y stocker des documents de travail confidentiels. La solution OPALEXE est sur-dimensionnée pour l'usage que je compte en faire (et pour mon chiffre d'affaires).
Plus je réfléchissais, et plus je comprenais qu'il fallait que les données restent chez moi, et que j'en maîtrise le plus possible la chaîne de responsabilité.
J'ai donc choisi de proposer un accès sécurisé à un serveur de stockage hébergé dans mon bureau et accessible à mes clients avocats via une interface web.
Je me suis tourné tout naturellement vers le système de stockage que je possède actuellement: un NAS Synology DS713+, mais je pense que ce qui va suivre doit pouvoir s'adapter facilement à un autre système de stockage, comme par exemple un NAS4Free. En tout cas, j'ai vérifié au boulot avec un NAS QNAP TS-559 Pro II, la procédure est très semblable.
Mise en place:
Etape 0: Choisir le bon protocole sur le système de stockage
L'HyperText Transfer Protocol Secure, plus connu sous l'abréviation HTTPS, est généralement utilisé pour sécuriser les transactions financières. C'est le petit cadenas rassurant que l'on trouve sur le navigateur lorsqu'on saisit dans un formulaire des informations qu'on ne voudrait pas voir diffusées à tous les vents.
Sur un NAS Synology, pour activer HTTPS, c'est assez simple, il suffit d'aller dans le panneau de configuration, Paramètres de DSM, onglet "Service HTTP" et de cocher "Activer la connexion HTTPS". J'en profite pour cocher également "Rediriger automatiquement les connexions HTTP vers le HTTPS". J'ai laissé les ports par défaut (http sur 5000 et https sur 5001).
Etape 1: Rendre son système de stockage accessible depuis internet.
J'ai la chance, comme beaucoup maintenant, de disposer d'une adresse IP fixe proposée par mon fournisseur d'accès internet. Sinon, je pense que j'aurais du utiliser les services du type noip.
Il me suffit donc d'aller dans l'interface d'administration de ma box pour créer une redirection de port du type {IP FIXE BOX}:443 vers {IP LAN du NAS}:5001.
Je teste avec mon téléphone portable et vérifie que l'URL https://IpFixe fonctionne bien et affiche le portail d'accès aux fichiers de mon NAS. A ce stade, j'ai un message d'avertissement de mon navigateur qui m'indique que ce site n'est pas sur. Sous Firefox, c'est assez flippant: "Cette connexion n'est pas certifiée" avec un bouton "Sortir d'ici !".
De quoi faire fuir tout(e) secrétaire d'un cabinet d'avocat. Voyons comment éviter cela.
Etape 2: Remplacer l'adresse IP par un nom de domaine.
Je gère tous mes noms de domaine chez Gandi depuis de nombreuses années. J'aime bien leur état d'esprit et leurs prix sont tout à fait corrects.
Je me rends donc dans l'interface d'administration Gandi du nom de domaine que j'ai choisi pour mon activité d'expertise privée. J'ajoute dans les informations DNS un champ "A" avec l'adresse IP FIXE BOX fournie par mon FAI et le petit nom que je souhaite lui donner. Dans mon cas, j'ai choisi "cabinet.shrdlu.fr".
Je vérifie que le serveur est accessible cette fois avec l'URL https://cabinet.shrdlu.fr
Ça marche, mais la connexion n'est toujours pas certifiée...
Etape 3: Certifier la connexion internet.
C'est la partie la plus technique. Mais elle s'avère simple grâce à tous les HOWTO disponibles sur internet. J'ai choisi de suivre celui-là (en anglais).
Je résume les commandes ici:
Sur le NAS Synology:
cd /usr/synoSur l'interface Gandi de création d'un certificat (gratuit quand on dispose d'un nom de domaine chez eux):
mkdir ssl
cd ssl
wget http://123adm.free.fr/home/pages/documents/syno-cert_fichiers/openssl.cnf
cd
openssl genrsa -des3 -out cabinet.key 2048
openssl rsa -in cabinet.key -out cabinet.nopass.key
openssl req -nodes -new -key cabinet.key -out cabinet.csr
- copier/coller le contenu du fichier cabinet.csr
- demander la génération du certificat
- récupérer le certificat et le coller dans un fichier cabinet.certif
- récupérer le certificat intermédiaire et le coller dans un fichier cabinet.interm
Sur le NAS Synology:
Dans "Panneau de configuration/Paramètres de DSM/Certificat", cliquer sur "importer le certificat", et fournir les fichiers suivants:
- clé privée: cabinet.nopass.key
- certificat: cabinet.certif
- certificat intermédiaire: cabinet.interm
Rebootez votre NAS et, là, miracle, l'URL:
https://cabinet.shrdlu.fr
est accessible par tous les navigateurs sans avertissement de sécurité.
Etape 4: Créer un compte client.
Les échanges avec Maître Michu se passent toujours par email. Cela commence par une prise de contact avec explications du contexte du dossier. Je demande ensuite, pour établir mon devis, un exemplaire du (pré)rapport d'expertise que j'ai à analyser. Je propose alors que ce document soit déposé électroniquement de manière sécurisée sur le serveur de stockage mis en place.
Je crée donc un compte sur mon NAS Synology, avec mot de passe adhoc, et j'adresse les informations de connexion par téléphone. J'en profite pour assister le secrétariat lors de la première connexion et lui faire faire quelques pas avec l'interface particulière du système d'accès aux fichiers Synology.
Les lecteurs intéressés par une démo proche du résultat que j'obtiens peuvent aller sur cette page. Attention, il faut penser à désactiver provisoirement AdBlock pour faire fonctionner l'accès à "File Station".
L'échange de fichiers entre le NAS distant et le poste de travail est très simple puisque l'application "File Station" interfère via Java avec le système d'exploitation.
Le client peut me transférer toutes les pièces du dossier qu'il souhaite me soumettre. Je peux également lui déposer des documents qu'il récupérera par le même moyen.
Inconvénients:
- Je suis conscient que la procédure n'est pas si "simple" que cela pour le client. C'est un point à améliorer. Cela devrait être aussi simple que d'envoyer un email.
- La bonne intégration avec le système d'exploitation du client nécessite la présence de Java (et la réponse à des messages d'alerte potentiellement anxiogènes). Les tests effectués auprès de plusieurs cabinets d'avocat ont montré qu'au moins une fois Java n'était pas installé. C'est un problème.
Mais dans l'ensemble, pour l'instant, le système fonctionne bien avec les cabinets qui l'ont testé.
Bien entendu, je suis preneur de toutes suggestions de simplification, ou pour un retour d'expérience sur une solution différente. Les commentaires sont là pour cela ;-)