Solution technique et sécurité

Protection de vos données

La gestion des informations personnelles est strictement respectée selon les directives européennes du RGPD. Treebal ne loue pas ou ne vend pas les données de ses utilisateurs, contrairement à d’autres solutions.

Sur le plan fonctionnel, Treebal utilise une seule donnée, le numéro de téléphone, pour connecter les utilisateurs entre eux et à leur demande uniquement. L'utilisateur peut indiquer son nom, prénom et une photo pour personnaliser l'interface utilisateur. Treebal n'affiche pas votre numéro dans vos groupes de discussion, vous pouvez donc être invité dans un groupe à discuter avec une personne sans avoir son numéro.

L’autonomie numérique au cœur de la mission de Treebal

L’Union Européenne affiche des intentions de réglementer le secteur. Pour l’instant face à Signal, WhatsApp et Telegram, Treebal est la seule solution de messagerie développée en Europe écoresponsable et sécurisée pour le grand public et les entreprises et collectivités, implémentant des standards ouverts et décentralisés tels que Matrix. Treebal est d'ores déjà engagée avec l'ANSSI pour obtenir la certification CSPN (Certification de Sécurité de Premier Niveau).

Notre solution est hébergée au sein de l’UE à Bruxelles sur l'infrastructure Google Cloud Platform. Pour apporter rapidement au marché une alternative européenne, Treebal s’est appuyée sur cette technologie, afin de se concentrer sur des usages répondant aux attentes RSE des entreprises et citoyens.

L’infrastructure IaaS Google Cloud Platform est incontournable pour une performance mondiale haute disponibilité répondant à nos exigences de qualité et de sécurité. Treebal est agnostique au datacenter et a été conçue pour être décentralisée afin de minimiser son impact environnemental et d'augmenter la résilience de la plateforme. Notre ambition est d’implémenter notre infrastructure la plus efficiente, au plus près des usages et de fédérer de multiples instances en Europe et dans le monde, afin de contribuer à notre autonomie stratégique avec des partenaires industriels européens, tout en bonifiant encore notre ACV.

Treebal propose aussi à ses clients professionnels un hébergement hybride sur l’ infrastructure de leur choix.

Renforcée par le chiffrement de bout en bout et l’authentication forte, Treebal est une plateforme de confiance Zero Trust hautement sécurisée. La R&D de Treebal expérimente, en collaboration avec des hébergeurs Français, les alternatives européennes sécurisées et eco-responsables, qui devront répondre à toutes nos exigences.

Une architecture sécurisée by design

En termes d’architecture de la solution, Treebal intègre la sécurité par Design depuis la conception de la solution, tout comme la sobriété numérique et l’UX Design écoresponsable afin de garantir une démarche d’ingénierie rigoureuse et scalable. Les experts R&D sont rompus aux architectures distribuées sécurisées et étanches sur la base de Kubernetes, Docker et Keycloak. Keycloak est le référentiel d’authentification open source utilisé. Il permet d'instaurer une méthode d'authentification unique par identité et par accès. Keycloak est reconnu dans la communauté technique internationale, Red Hat l'utilise en amont de sa solution RH-SSO.

En complément, l’architecture de la solution Treebal est décentralisée afin d’augmenter encore son niveau de sécurité (Signal est par exemple centralisée). Cette exigence de décentralisation est motivée depuis la conception de Treebal pour des raisons de sécurité et également pour permettre de réduire l’impact environnemental, en délivrant le contenu des messages au plus près des utilisateurs et ainsi minimiser les flux réseaux.

Une solution éprouvée

L’ANSSI a autorisé le moyen de cryptologie utilisé par Treebal pour la gestion des messages échangés entre utilisateurs : Treebal héberge dans son infrastructure applicative sécurisée la solution open source Matrix.org, éprouvée et reconnue par la communauté cyber. Treebal n’a pas connaissance des messages chiffrés et n'a aucun moyen de les déchiffrer. La solution implémente un chiffrement fort E2EE (ou End-to-end encryption) et est basée sur l’algorithme Double Ratchet Algorithm. Double Ratchet Algorithm est un algorithme diffusé initialement par Signal, et qui a été étendu ensuite pour prendre en charge le chiffrement de discussions contenant plusieurs milliers d’appareils. L’algorithme mathématique est expliqué ici.

Matrix.org est un projet open source à but non lucratif, définissant de nouvelles normes pragmatiques pour créer un écosystème de messagerie IP/VoIP ouvert et décentralisé pour Internet. Lors de la comparaison de Signal vs Matrix, la communauté technique recommande Matrix majoritairement, pour son standard ouvert définissant des API HTTP simples pour développer facilement ses propres clients, chatbots, ponts ou serveurs. Vous n'êtes pas enfermés dans un ensemble spécifique d'implémentations imposées, comme d’autres solutions dominantes du marché qui tentent de monopoliser les datas.

Une solution testée en Bug Bounty

Nous sommes accompagnés par des partenaires tiers pour auditer notre solution, à la fois sur la sobriété numérique et sur le niveau de sécurité de Treebal. Notre solution a été ainsi testée, et continue d'être testée en permanence par des experts externes en cyber sécurité de la société YesWeHack par un programme de Bug Bounty. Nous avons bénéficié au travers du Bug Bounty privé des meilleurs experts pour tester notre solution, pour garantir en toute transparence la sécurisation de notre solution. En ouvrant le programme Bug Bounty au public, nous souhaitons élargir encore la communauté d’experts pouvant participer à la sécurité de la solution dans la durée.

Communauté Treebal

La culture technique de l’équipe Treebal est imprégnée de valeurs éthiques et environnementales, en faveur de l’open source et de la capitalisation des écosystèmes numériques. Notre ambition est d’ouvrir à terme l’ensemble de la solution en open source. Contribuer au travers d'un bug Bounty à la communauté cyber est apparu ainsi comme une évidence. « C’est en écoutant les conseils de Clément DOMINGO, un hacker professionnel, il y a quelques années que j’ai été convaincu par ce type d’approche. », indique Samuel Le Port. Clément, alias SaxX (contact@saxx.fr), est surtout aujourd’hui un « bug Bounty hunter », qui participe à des compétitions de cyber sécurité à travers le monde et a pu affronter les meilleurs hackers dans leur domaine.