Comment sont sécurisées vos données avec ONLYOFFICE Docs ?
Sommaire
I. Présentation
Éditée par la société lettonne Ascensio System SIA, ONLYOFFICE est une suite bureautique en ligne qui est présente sur le marché depuis 2009 et qui est régulièrement mise à jour. Il s'agit d'une valeur sûre qui représente une alternative à d'autres solutions comme Google Docs, les applications en ligne de Microsoft Office ou encore Zoho Docs. Sur son site, ONLYOFFICE indique que la solution est utilisée par plus de 7 millions de personnes dans le monde entier.
La solution de bureautique ONLYOFFICE Docs est proposée au travers de plusieurs formules, notamment une formule gratuite au travers de l'édition communautaire (Community Edition), et deux éditions payantes (Enterprise Edition et Developer Edition). Cette suite bureautique s'utilise en mode Cloud mais elle peut aussi être auto-hébergée. D'ailleurs, ONLYOFFICE présente l'avantage de s'intégrer avec de nombreuses solutions populaires comme NextCloud, ownCloud, Confluence, Moodle et plus récemment WordPress.
Pour être plus précis sur l'auto-hébergement, voici un exemple : si vous installez l'application NextCloud sur votre NAS (ou un Raspberry Pi, un NUC, etc...), vous pouvez intégrer ONLYOFFICE afin de disposer de votre propre suite bureautique en ligne, avec les données hébergées sur votre matériel.
Regardons de plus près les fonctionnalités d'ONLYOFFICE orientée sécurité et qui sont disponibles autant dans la version gratuite que les versions payantes. Je vais également parler RGPD.
II. ONLYOFFICE Docs et la sécurité
A. Conformité au RGPD
Même si la conformité au RGPD n'est pas une fonctionnalité en soi, cela me semble indispensable d'en parler. Alors, oui, ONLYOFFICE est en conformité avec le RGPD et une page est dédiée à ce sujet sur le site officiel (voir ici). On peut également lire ceci sur une autre page : "ONLYOFFICE s’en tient au minimalisme des données et nous informons les utilisateurs de la manière dont les données sont collectées, stockées et traitées. ONLYOFFICE donne la liberté d’accéder, de copier, de supprimer, de restreindre ou de déplacer toute donnée personnelle. Si votre organisation agit en tant que contrôleur de données et fournit ONLYOFFICE aux clients finaux, vous obtenez un accès complet aux procédures par lesquelles ils peuvent exercer leurs droits légaux liés à leurs données personnelles.".
Quant à l'hébergement de la version Cloud, ONLYOFFICE Docs s'appuie sur les services Cloud d'Amazon, au travers d'AWS, ce qui ne plaira pas forcément. Néanmoins, comme je le disais en introduction, il est tout à fait possible d'auto-héberger ONLYOFFICE Docs, ce qui est un gros point fort. Ainsi, vous maîtrisez l'hébergement et donc par extension, vous maîtrisez aussi vos données et ce qui en est fait : un point très important vis-à-vis du RGPD.
Pour les entreprises qui souhaitent une suite bureautique en ligne, aboutie et complète, l'auto-hébergement sera apprécié d'autant plus s'il y a des données sensibles à gérer. Au sujet de l'auto-hébergement, ONLYOFFICE précise : "Nous fournissons une assistance technique complète pour le déploiement sur site et nous publions régulièrement des mises à jour logicielles."
J'en profite pour préciser que ONLYOFFICE est en conformité avec la loi américaine HIPAA, relative aux traitements des données liées à la santé.
B. Le chiffrement des données
Tout d'abord, ONLYOFFICE intègre ce que l'on appelle le chiffrement au repos, c'est-à-dire que les données stockées dans votre instance ONLYOFFICE et présentent sur le disque sont chiffrées. Pour réaliser ce chiffrement, la suite bureautique prend en charge le chiffrement de type Encrypt-then-MAC (AES-256-CBC + HMAC-SHA256).
Ensuite, ONLYOFFICE intègre la notion de salles privées. Alors, qu'est-ce qu'une salle privée ? Et bien, en fait, c'est un espace de stockage isolé qui est utilisable pour stocker, modifier et partager des documents sous une forme toujours chiffrée grâce à du chiffrement de bout en bout. Chaque document présent dans une salle privée sera chiffré avec une clé AES-256 générée aléatoirement, et accessible par les différents utilisateurs qui ont l'autorisation d'accéder à cette salle privée, afin de protéger au maximum les documents.
Un document stocké dans une salle privée ne quittera pas cet emplacement, car il ne peut pas être copié, redistribué ou déchiffré. Très utile pour gérer des fichiers confidentiels. Il est à noter que les codes sources de toute la solution et de l’outil « Salles privées » sont listés dans le dépôt officiel du projet sur GitHub.
ONLYOFFICE prend en charge les applications de génération de code à usage unique comme Google Authenticator, Microsoft Authenticator, FreeOTP, Authy, etc... Mais également le SMS comme second facteur d'authentification, avec la prise en charge de différents services d'envoi de SMS comme Clickatell, SMSC et Twilio. À ce jour, ONLYOFFICE ne semble pas prendre en charge les clés physiques, comme celles répondant à la norme FIDO. A noter également la prise en charge du SSO, car ONLYOFFICE supporte trois fournisseurs d'authentification actuellement : ADFS de Microsoft, Shibboleth et OneLogin.
Remarque : certaines de ces fonctionnalités requièrent une intégration avec ONLYOFFICE Workspace (voir cet article).
C. Protection des données avec HTTPS, JWT et la gestion de droits
L'utilisation de la suite bureautique en ligne s'effectue au travers du protocole HTTPS, ce qui assure que le trafic entre votre ordinateur et le serveur ONLYOFFICE est chiffré. Aujourd'hui, c'est impensable d'utiliser une solution en ligne sans s'appuyer sur le protocole HTTPS donc ce n'est pas une surprise.
Par ailleurs, ONLYOFFICE intègre la technologie JWT, correspondante à JSON Web Token dont l'objectif est de protéger les documents contre les accès non autorisés. Ce mécanisme de protection participe à la sécurisation des données dans le sens où il permet de s'assurer qu'un utilisateur interne ou externe accède uniquement aux documents pour lesquels il dispose des autorisations. Ce système de jeton intègre une signature chiffrée qui est requise par les différents éditeurs en ligne d'ONLYOFFICE dans le but de contrôler si l'utilisateur a le droit d'accéder au document.
La solution ONLYOFFICE en elle-même intègre un système de gestion des droits qui va plus loin que de simples autorisations comme la lecture, l'écriture et le contrôle total. En effet, il y a des autorisations plus précises et adaptées à l'édition de documents, notamment des autorisations pour commenter, réviser ou remplir un document, mais aussi pour restreindre le téléchargement, la copie ou l'impression d'un document.
D. Protections par mots de passe
ONLYOFFICE intègre une fonctionnalité qui permet de protéger l'accès à un document par un mot de passe. Cela implique que l'utilisateur doit connaître le mot de passe pour accéder au document et commencer à l'éditer. Le mot de passe est protégé et ces mesures de sécurité font que, dans le cas où il est perdu, il ne peut pas être restauré. La protection par mot de passe sur un fichier peut être temporaire car il est possible de la retirer à tout moment, à condition de connaître le mot de passe bien entendu. Cette option est disponible pour les documents texte, feuilles de calcul et présentations.
En ce qui concerne les feuilles de calcul en elle-même, elles bénéficient également de la protection par mot de passe aux différents niveaux. Les utilisateurs peuvent protéger la structure du classeur afin que personne ne puisse supprimer, masquer, renommer les feuilles ou changer leur ordre. L’option de la protection d’une feuille de calcul permet de protéger une feuille d’un classeur, tandis que les autres restent ouvertes à toutes modifications.
Dans le cas où l'on souhaite autoriser quelqu’un à apporter des modifications au contenu d'une ou plusieurs cellules (une plage de cellules) dans une feuille protégée, on peut bloquer certaines fonctionnalités internes uniquement (par exemple : insérer des colonnes, insérer des lignes, etc...) afin de verrouiller la structure du document.
E. Filigranes
Dans le cas où vous autorisez à ce qu'un document soit exporté, vous pouvez faire en sorte qu'un filigrane soit automatiquement ajouté sur l'exemplaire téléchargé par l'utilisateur. Le filigrane peut être un texte ou une image placé sous le calque de texte principal.
Les filigranes de texte permettent d’indiquer l’état de votre document (par exemple, confidentiel, brouillon, etc.). ONLYOFFICE prend en charge les langues suivantes pour le filigrane: Anglais, Français, Allemand, Espagnol, Italien, Japonais et d'autres. Pour le français, les textes de filigrane suivants sont disponibles : BROUILLON, CONFID, COPIE, DOCUMENT INTERNE, EXEMPLE, HAUTEMENT CONFIDENTIEL, IMPORTANT, NE PAS DIFFUSER.
Les filigranes d’image permettent d’ajouter une image, par exemple le logo de votre entreprise.
Pour conclure, sachez que l'éditeur ONLYOFFICE a mis en place son programme de bug bounty sur HackerOne depuis le 17 février 2022. Ce tour d'horizon des principales fonctionnalités d'ONLYOFFICE liées à la sécurité est dès à présent terminé !
Maintenant c'est à vous de jouer :
