Protocole de partage

Nous présentons ici le protocole de partage du point de vue fonctionnel, c'est-à-dire sans entrer dans les considérations techniques. Le paradigme SWYSWYK se veut agnostique à la plateforme de Cloud personnel. L‘implémentation spécifique du protocole de partage dans Cozy et les choix technologiques qui en découlent sont discutés dans la section suivante. A noter qu‘il ne s‘agit pas d‘un protocole à proprement parler, mais plus d‘un ensemble de spécifications qui décrivent les échanges et actions devant avoir lieu pour permettre un partage sécurisé et synchronisé entre différents tiers. Nous utilisons néanmoins ici le terme « protocole » par abus de langage.

124 Afin de ne pas alourdir ce document, nous ne détaillons pas toutes les étapes du protocole ici, mais les diagrammes de séquences complets sont disponibles en annexes. Nous discutons ici des principes généraux dans un partage entre un émetteur « Alice » et un destinataire « Bob ».

Différents éléments sont volontairement laissés libres pour permettre différentes implémentations coexistant sur différentes plateformes de Cloud personnel. Les choix d‘implémentation spécifiques à la plateforme Cozy sont décrits dans la section 5.3.

5.2.1 Création d’un partage

Pour créer un partage, Alice spécifie les documents et les destinataires via une règle de partage, activable par une interface dédiée. Elle indique aussi le type de synchronisation souhaité. Trois modes sont possibles :

 One-Shot : partage sans synchronisation. Alice envoie les documents une seule fois à Bob et aucune modification ultérieure ne sera propagée.

 Master-Slave : synchronisation unilatérale des documents. Tout nouveau document qui rentre dans la règle de partage ou toute mise à jour d‘un document partagé sera propagé chez Bob.

 Master-Master : synchronisation bilatérale des documents. Les modifications et ajouts chez Bob sont également propagés chez Alice.

A noter un cas particulier lié au cas master-master : si des documents sont déjà partagés dans ce mode, on préfère bloquer un nouveau partage les concernant afin d‘éviter un phénomène de propagation transitive entre destinataires. Supposons qu‘un même document

D1 soit partagé avec les sujets S1 et S2, respectivement via les partages P1 et P2. Si S1

modifie D1, cela sera propagé chez l‘émetteur et synchronisé avec S2 via le partage P2. Ainsi, S1 et S2 se synchronisent entre eux, bien qu‘ils n‘aient pas conscience l‘un de l‘autre.

Cela casse le principe d’empowerment éclairé de SWYSWYK ; nous préférons donc

125 Le propriétaire peut générer des règlesbasiques ou réflexives. La section 5.4 présente trois cas d‘usages, qui implémentent deux exemples de règles basiques et un cas de règle réflexive.

Une fois le partage créé chez Alice, une demande de partage est envoyée à Bob afin qu‘il puisse l‘accepter dans son Cloud personnel.

5.2.2 Notification et réponse des destinataires

Afin que Bob soit notifié du partage, la plateforme d‘Alice doit générer une demande de partage et la lui envoyer. Cette demande contient une description du partage, ainsi que toutes les permissions requises. En effet, comme les documents sont envoyés dans le Cloud personnel du destinataire, ce dernier doit accorder à minima un droit d‘écriture afin de pouvoir les recevoir. Si le destinataire accepte le partage, un échange d‘authentifiant se met en place afin que les différentes parties puissent se reconnaître et s‘assurer que les requêtes sont légitimes. Dans le cas d‘un partage de type master-master, la liste de tous les destinataires doit être envoyée dans la demande de partage, vu que chaque destinataire peut impacter et être impacté par les autres acteurs et doit donc être conscient des autres, cela toujours conformément au principe d’empowerment éclairé.

Le protocole ne fait pas d‘hypothèse sur le moyen de notifier le destinataire. Cela peut être fait via l‘envoi d‘un e-mail, SMS, ou tout moyen de communication spécifique à la plateforme de Cloud personnel utilisée. Dans tous les cas, il faut que le destinataire soit capable de visualiser la description du partage, l‘émetteur, et les permissions associées.

Si le destinataire accepte le partage, il doit envoyer une réponse à l‘émetteur, ce qui peut se faire en cliquant sur un bouton d‘interface, par une réponse à un e-mail, etc. Un échange d‘authentifiant doit se mettre en place pour s‘assurer que tous les futurs échanges entre Alice et Bob soient bien réalisés par leur plateforme respective. Le protocole d‘authentification utilisé est laissé libre. Nous détaillons le choix fait dans notre implémentation en 5.3, qui utilise le système OAuth.

126 A noter que l‘authenticité de la notification et de la réponse doit également être vérifiée, pour s‘assurer que la demande de partage provient bien d‘Alice et que l‘acceptation a bien été faite par Bob. Là encore, la façon de faire n‘est pas imposée, car elle dépend du moyen de communication utilisé.

5.2.3 Partage des documents

Une fois la réponse de Bob reçue chez Alice, le Cloud personnel de cette dernière vérifie sa validité. Si le partage est refusé, Bob est supprimé de la liste des destinataires et le partage révoqué s‘il en était le seul destinataire. Si le partage est accepté, le Cloud personnel d‘Alice récupère les documents concernés par le partage et les envoie à Bob, en utilisant la méthode d‘authentification spécifiée, par exemple en incluant un token dans chaque message échangé.

Si le partage est de type one-shot, il est révoqué chez Alice et Bob une fois les documents partagés, afin de supprimer tous les accès qui n‘ont plus lieu d‘être. En revanche, s‘il s‘agit d‘un partage master-*, la plateforme doit être capable de gérer un système d‘évènements afin de pouvoir détecter toute nouveauté sur des documents qui entreraient dans le périmètre du partage, afin de les propager.

Nous ne faisons pas d‘hypothèse sur le système utilisé pour transmettre et synchroniser les documents entre les pairs. Il peut s‘agir d‘un protocole sur une couche de transport dédiée, comme XMPP [Saint-Andre 2011], ou via HTTP, par exemple le protocole de réplication CouchDB [CouchDB Replication Protocol 2017]. Quel qu‘il soit, le système doit être capable de supporter une authentification entre les pairs, le chiffrement des documents échangés et leur synchronisation : toute nouveauté sur des documents qui entreraient dans le périmètre du partage doit être propagée.

Bien que le système d‘authentification soit laissé libre, nous imposons l‘utilisation de jetons d‘authentification, ou tokens : la façon de générer et vérifier ces jetons est laissée libre à la plateforme. Imposer l‘utilisation de token est suffisamment générique pour permettre l‘utilisation de différents protocoles d‘authentification. Néanmoins, il est à préciser que le protocole utilisé doit être capable d‘associer un token à un ensemble de permissions. Ainsi, chaque requête authentifiée doit pouvoir être associée à une action accordée par les

127 permissions du token. Là encore, nous détaillerons les choix inhérents à la plateforme Cozy dans la section suivante.

5.2.4 Révocation

La révocation implique la suppression des accès pour un partage donné. Plus aucune action précédemment accordée dans le contexte du partage n‘est alors possible.

Trois scénarios de révocation sont supportés : 1. Révocation d‘un destinataire par l‘émetteur. 2. Révocation d‘un partage par l‘émetteur. 3. Révocation d‘un partage par un destinataire.

Dans le 1^er scénario, le Cloud personnel de l‘émetteur indique que le destinataire est révoqué pour un partage donné, afin qu‘il ne soit plus pris en compte dans le système de synchronisation. Il notifie également la plateforme du destinataire pour que ses accès liés à ce partage, devenus caduques, soient supprimés. S‘il s‘agit d‘un partage master-master, les actions sont symétriques pour l‘émetteur et le destinataire.

Le 2^ème scénario est similaire au premier, à la différence que tous les destinataires sont notifiés pour qu‘ils entreprennent les actions nécessaires.

Pour le 3^ème scénario, le destinataire supprime les accès de l‘émetteur et notifie ce dernier afin qu‘il le considère comme révoqué et le supprime du système de synchronisation. Là encore, un partage master-master implique des actions supplémentaires pour que le destinataire supprime la synchronisation et que l‘émetteur supprime les accès.

Enfin, il est à noter que dans le cas d‘un partage one-shot, une révocation automatique du partage par l‘émetteur a lieu lorsque tous les documents ont été partagés.

Dans tous les cas de figure, une révocation n‘entraîne pas la suppression des documents partagés. Cela serait difficile à justifier du point de vue de l‘expérience utilisateur, avec des destinataires qui pourraient voir des documents qu‘ils considèrent comme acquis soudainement disparaître, ce qui serait particulièrement dommageable s‘ils avaient

eux-128 mêmes ajouté ou modifié des documents. L‘émetteur doit donc être conscient que tout en restant le propriétaire du partage, les destinataires obtiennent un droit sur ses données qui ne pourra être totalement révoqué. Cela n‘impacte pas réellement la sécurité de l‘approche car quel que soit le paradigme du partage utilisé, un sujet est toujours capable de procéder à une copie des données accédées, bien que des travaux autour du contrôle d‘usage explorent des pistes pour l‘empêcher ou au moins le complexifier [Katsouraki 2016].

Nous avons détaillé ici le protocole de partage du point de vue fonctionnel, avec les actions et échanges à effectuer pour permettre la création d‘un partage sécurisé dans le Cloud personnel, qui s‘inscrit dans la logique SWYSWYK. De nombreux aspects sont laissés suffisamment libres afin de permettre à différentes implémentations de cohabiter, plutôt que d‘imposer des choix technologiques potentiellement incompatibles avec des plateformes de Cloud personnel déjà existantes. Dans la section suivante, nous détaillons les choix effectués pour l‘implémentation de ce protocole dans la plateforme Cozy.