Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

docTrackr réinvente le DRM et ça change tout

auteur de l'article Jerome Saiz , dans la rubrique Produits & Technologies

Commentaires Commentaires fermés sur docTrackr réinvente le DRM et ça change tout

DRM_empreinte

On pourrait appeler ça l’effet Apple : prendre des technologies existantes qui peinent à décoller faute de simplicité dans leur mise en oeuvre et les fondre en un produit qui semble soudain très naturel à utiliser (« it just works » clamait la Pomme en son temps).

Bien sûr cela demande, outre un certain talent, une couche de développement propriétaire capable d’orchestrer l’ensemble de manière transparente. Et c’est précisément ce qu’a réalisé la startup docTrackr pour les technologies de gestion des droits documentaires (DRM). C’est bien exécuté, c’est terriblement séduisant et cela lui a déjà valu d’être récompensée en décrochant le Prix de l’Innovation 2013 des Assises de la Sécurité, à Monaco.

docTrackr permet de contrôler totalement, de manière transparente et en tout lieu (lire : y compris en dehors de l’entreprise) l’ensemble des documents créés par la suite Office de Microsoft, les documents PDF d’Adobe et bientôt les courriers électroniques dans Gmail. Et tout cela sans installer d’agent, de manière individuelle (un document peut être partagé et contrôlé en quelques secondes vers n’importe quel destinataire, y compris en dehors de l’entreprise) ou globale en s’intégrant à Sharepoint. Dans ce cas les politiques Sharepoint s’appliquent alors automatiquement aux documents sans intervention de l’administrateur. Et cerise sur le gâteau : la même intégration est également disponible avec les documents hébergés sur un compte Box (alias « le Sharepoint des PME »…).

Ce dernier point mérite d’ailleurs d’être souligné car il illustre parfaitement tout l’intérêt d’une solution de DRM dans un monde connecté : en temps normal un document partagé dans Box et réservé à un utilisateur en particulier (identifié par son compte Box), pourra en réalité être distribué librement si l’utilisateur autorisé le télécharge d’abord et le distribue ensuite en dehors du périmètre du service de stockage. N’importe qui pourra alors l’ouvrir à sa guise, n’importe où.

Tandis que si la solution de docTrackr est déployée, elle permettra de restreindre la consultation aux seuls utilisateurs autorisés via la console d’administration standard de Box, et cela même si les documents sont copiés et distribués à l’extérieur. Dans ce cas, à l’ouverture il sera demandé d’entrer l’adresse email et le mot de passe associé au compte Box autorisé afin d’y avoir accès. Et de son côté le propriétaire pourra suivre les différentes ouvertures de son document (heure, localisation, adresses IP…). Il sera également en mesure de le révoquer à distance s’il devient clair qu’une fuite a eu lieu.

A l’usage le contrôle offert sur les documents partagés est impressionnant : à l’aide d’un tableau de bord en ligne l’auteur peut évidemment décider de qui pourra consulter son document. Mais il peut aussi placer des restrictions d’usage (modifications, impression, partage…) et en suivre la diffusion et l’utilisation en temps réel, jusqu’à savoir s’il a bien été ouvert et combien de temps il a été consulté !
Cerise sur le gâteau : il est également possible de le modifier à distance ! A la prochaine ouverture, toutes les versions du document dispersées dans la nature seront alors mises à jour.

A l’usage les deux atouts majeurs de la solution de docTrackr sont clairement sa transparence et sa souplesse / simplicité d’utilisation :

La transparence, docTrackr la doit à Microsoft et à Adobe. Car la solution s’appuie sur les technologies de chiffrement et de contrôle des documents intégrées à la suite Office et à Adobe Reader. C’est plutôt malin : autant Microsoft qu’Adobe disposent de leur propre solution de DRM et ils ont donc soigné leurs clients, dont docTrackr exploite les capacités natives. Seule limitation : plus la version installée du Reader d’Adobe ou des logiciels Office sera récente, plus docTrackr pourra les contrôler finement (et plus le niveau de sécurité sera élevé : les versions récentes d’Adobe Reader se protègent ainsi mieux contre un hook malveillant destiné à intercepter les clés au moment de l’ouverture du document).
Pour le reste c’est véritablement transparent à l’usage. Ainsi à l’ouverture d’un document PDF ou Office protégé, une fenêtre de saisie de nom d’utilisateur et de mot de passe apparaît (y compris sous Mac avec Aperçu, qui indique alors proprement que le document est protégé et doit être ouvert avec Adobe Reader). L’identifiant nécessaire peut être déterminé à la création du document via l’interface d’administration de docTrackr (docTrackr devient alors le référentiel d’accès pour un fonctionnement entièrement autonome) ou être lié à un référentiel d’entreprise. Pour l’heure la solution reconnaît LDAP, ADFS, SAML (de quoi l’intégrer à vos identités fédérées ou à votre PKI maison), ainsi que les services d’identités Okta et prochainement Ping Identity.

La transparence s’illustre aussi parfaitement avec l’intégration à Sharepoint : les documents sont chiffrés automatiquement dès qu’ils quittent le serveur de l’entreprise. Les droits d’accès sont alors « mappés » automatiquement depuis le modèle Sharepoint vers des droits d’usage du document : chacun embarque la politique de sécurité définie par l’administrateur dans Sharepoint sans nécessiter de configuration spécifique dans l’interface de docTrackr. Mieux : les droits sont lus en temps réel et bénéficient ainsi toujours de la dernière version du modèle d’autorisation. Et lorsque ce dernier est modifié dans Sharepoint tous les documents distribués dans la nature en hériteront à leur prochaine ouverture, où qu’ils se trouvent (ce qui peut avoir pour conséquence, par exemple, que certains d’entre eux se retrouvent interdits de consultation du jour au lendemain).

Bien entendu la solution ne fonctionne qu’en ligne : une connexion du client est obligatoire afin de vérifier les droits d’accès au document, gérer l’authentification et récupérer les clés pour en déchiffrer le contenu. Mais l’administrateur peut malgré tout définir une période de grâce pour autoriser l’ouverture des documents en mode off-line, ou décider de ne pas autoriser leur consultation non-connecté dans le cas des informations les plus sensibles.

La souplesse, docTrackr la doit pour beaucoup à son modèle web. Dans sa version 100% Cloud le service est entièrement délivré à distance : les documents originaux sont stockés dans le nuage, ainsi que les versions chiffrées (AES 256), les clés de déchiffrement et les droits associés. Une version hybride permet de conserver les documents chez le client (dans une appliance) tout en laissant la gestion des clés et des autorisations dans le nuage, tandis qu’une version entièrement locale héberge tout chez le client.

Mais dans tous les cas l’essentiel des interactions se fera à travers une interface web claire et unifiée quelle que soit la nature du document (Microsoft Office, PDF et bientôt email via Gmail). L’auteur du document pourra notamment être alerté des différents événements associés à ses documents en temps réel sur l’interface, par mail ou encore via l’API du service.

Et c’est là le dernier point majeur du service : son interface ouverte.

Celle-ci est une API complète, répondant en JSON et supportant oAuth (grâce à ce dernier on peut imaginer un déploiement de docTrackr pour contrôler la diffusion de documents dans un contexte marchand pour lequel il n’existe pas de référentiel unique… Et l’on pense ici par exemple à quelques vendeurs de documents à forte valeur ajoutée tel Gartner, voire même en B2C à des éditeurs de jeux de rôle indépendants au format PDF, qui en rêvent certainement déjà !). Cette API permet d’imaginer non seulement toute sorte d’intégrations avec les applications documentaires de l’entreprise au prix d’un développement maison, mais aussi, et surtout, elle laisse espérer que le service docTrackr soit à l’avenir intégré aux services de stockage, de partage ou même de création de documents en ligne. Et c’est là essentiel, car le véritable défi auquel sont confrontées les entreprises aujourd’hui est celui de l’usage des documents via les solutions personnelles ou semi-professionnelles accessibles librement en mode SaaS.

Les démonstrations du produit que nous avons pu suivre ont montré toute la simplicité et l’utilité de la solution proposée par docTrackr. Et ce n’était pourtant pas gagné d’avance : jusqu’à présent le marché du DRM souffrait à la fois de la complexité de mise en oeuvre des solutions existantes et de sa proximité avec le DLP, un voisin certes complémentaire mais bien encombrant. Mais en se révélant extrêmement simple de déploiement et d’utilisation docTrackr corrige de manière élégante ce premier handicap, tandis que la présence d’une API ouverte pourrait, à terme, contribuer à rapprocher les deux mondes du DRM et du DLP (nous avions enquêté sur le sujet dès 2009, retrouvez nos articles iciici et ici).

En tout cas, le défilé de prospects de (très) grands comptes français sur le stand de la startup durant les deux heures que nous y avons passé ne ment pas : l’intérêt est bien réel et docTrackr semble avoir trouvé la formule magique du DRM.

Une histoire américaine

docTrackr a failli être une entreprise française. Failli, seulement : après un an de recherche de financement (et des montagnes de documents administratifs) Clément Cazalot, son fondateur et CEO, décide de franchir l’Atlantique, juste pour voir. Un mois et demi plus tard il signait avec de grands noms du capital risque américain (Atlas Ventures et Polaris Partners). Mais les investisseurs avaient une exigence : la société devait être américaine et son CEO résider aux Etats-Unis. Dont acte. Clément Cazalot vit désormais à Boston et la fameuse « culture entrepreneuriale française que le monde entier nous envie » a perdu l’un de ses représentant. C’est d’autant plus dommage que Clément Cazalot et son associé, Alex Negrea, avaient tout pour rester en France : ils se sont rencontrés chez Gemalto, sont passés par l’INRIA et ont été soutenus par le Camping de Silicon Sentier. Le début de l’aventure était ainsi solidement ancré en France. Mais pas les fonds… ou du moins pas assez ! Car très vite, pourtant, des fonds français étaient là : les fondateurs de Clubic ont investi 150 000 euros et la SNCF a accompagné la startup comme premier client en version alpha, avec un premier chèque à la clé (lire l’article de Presse Citron).


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Outils gratuits

SSL Labs

SSL Labs

Testez votre implémentation de SSL.

Freescan

FreeScan

Scannez votre réseau pour détecter les vulnérabilités et les malwares.

BrowserCheck

BrowserCheck Business Edition

Evaluez la sécurité des navigateurs au sein de votre entreprise.

Malware Detection

Malware Detection

Scannez vos sites web pour détecter les malwares et les menaces web

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.