Sécurité et confidentialité des données
Zoho Vault utilise la technique de protection par l'hôte (ou « host-proof hosting »), un mécanisme sécurisé et éprouvé qui a fait l'unanimité après avoir été soumis à des tests menés par des experts de la sécurité. La protection par l'hôte repose sur l'idée d'héberger des données sensibles sous une forme chiffrée pour garantir que les clients peuvent uniquement accéder à leurs données et les gérer à l'aide d'un mot de passe principal qui n'est jamais transmis au serveur. Le serveur se contente de récupérer et de conserver les données chiffrées que le navigateur lui retransmet, et n'accède jamais aux données sensibles sous leur forme brute. Tous les processus de chiffrement et de déchiffrement ont lieu côté client (navigateur).
Tous les mots de passe et autres données sensibles que les utilisateurs stockent dans Zoho Vault restent totalement privés et ne peuvent être visualisés que par l'utilisateur concerné. Toutes les données utilisateur sont chiffrées et déchiffrées dans le navigateur avec le mot de passe principal Zoho Vault de l'utilisateur, et seules les données chiffrées sont stockées dans les serveurs de Zoho. Le mot de passe principal de l'utilisateur n'est jamais stocké par Zoho Vault, ce qui signifie que même Zoho ne peut jamais accéder à vos données.
Connexion sécurisée
Comme mentionné précédemment, seules les données chiffrées (AES 256 bits) sont envoyées sur Internet. Nous exigeons aussi que toutes les connexions à nos serveurs utilisent le mode de chiffrement Transport Layer Security (TLS 1.2/1.3) avec des critères de chiffrement draconiens.
Vulnérabilités testées
- Zoho Vault a été soumis à des tests de vulnérabilité complets (cross-site scripting (XSS), injection SQL, etc.).
- Toutes les données entrées sont validées.
Partage sécurisé des mots de passe
Zoho Vault vous permet de partager en toute sécurité des mots de passe avec les membres de confiance de votre entreprise. Le processus de partage a été conçu pour être en parfaite adéquation avec les normes les plus élevées en matière de sécurité et de confidentialité des données.
Le processus de partage s'appuie sur un mécanisme de protection par l'hôte et un chiffrement RSA. Les clés publiques et privées RSA sont générées pour chaque utilisateur de votre entreprise. L'administrateur et les utilisateurs de l'entreprise « concluent un accord » au cours d'un processus unique pour initier le processus de partage. Lors de cet accord, les clés sont partagées entre l'administrateur et les utilisateurs. L'ensemble du processus a lieu en arrière-plan, sans aucune intervention manuelle. Vous trouverez ci-dessous des détails sur l'ensemble du processus, si vous êtes intéressé par l'aspect technique.
Étape 1
Lorsque l'administrateur de l'entreprise se connecte à Zoho Vault, une paire de clés publique et privée RSA est générée pour lui, ainsi qu'une clé « Org Key ». Cette « Org Key » est une clé AES 256 bits propre à chaque entreprise. La clé privée de l'administrateur de l'entreprise est chiffrée à l'aide de son mot de passe principal et stockée dans la base de données de Zoho Vault. De même, la clé « Org Key » est également chiffrée à l'aide de la clé publique RSA de l'administrateur de l'entreprise et stockée dans la base de données. Zoho Vault stocke uniquement les clés chiffrées « Org Admin's Private Key » et « Org Key ». Conformément au modèle de protection par l'hôte, le mot de passe principal de l'administrateur de l'entreprise n'est stocké nulle part sur le serveur. Il est conservé uniquement par l'administrateur de l'entreprise.
Étape 2
Lorsque les utilisateurs de l'entreprise se connectent à Zoho Vault, une paire de clés publique-privée RSA est générée pour chacun d'entre eux. La clé privée des utilisateurs est chiffrée à l'aide de leur mot de passe principal et stockée dans la base de données de Zoho Vault.
Étape 3
Une fois « l'accord conclu » entre l'administrateur et les utilisateurs, la clé « Org Key » chiffrée stockée dans la base de données est récupérée, puis déchiffrée à l'aide de la clé privée de l'administrateur de l'entreprise. La clé « Org Key » est ensuite chiffrée à l'aide de la clé publique RSA des utilisateurs, puis cette nouvelle clé « Org Key » chiffrée est partagée avec les utilisateurs et stockée dans leur espace de la base de données. Ce processus intervient pour chaque utilisateur de Zoho Vault.
Étape 4
Lorsque l'utilisateur tente de partager un mot de passe, sa clé privée, stockée sous forme chiffrée dans la base de données, est récupérée, puis déchiffrée à l'aide du mot de passe principal de cet utilisateur. La clé « Org Key » chiffrée que l'administrateur a partagée avec l'utilisateur est ensuite récupérée. La clé « Org Key » chiffrée est déchiffrée à l'aide de la clé privée de l'utilisateur. Le mot de passe à partager est désormais chiffré à l'aide de la clé « Org Key ».
Partage de mots de passe - Différentes étapes
Prenons un exemple. Supposons qu'un utilisateur, « Jean », soit l'administrateur de l'entreprise et qu'il souhaite partager un de ses mots de passe existants avec cinq autres utilisateurs de l'entreprise : Marie, Jacques, Tina, Roger et Amandine.
- Comme le mot de passe partagé appartient à Jean, il est stocké dans Zoho Vault après avoir été chiffré à l'aide du mot de passe principal de Jean
- Une fois le partage initié, le mot de passe est déchiffré à l'aide du mot de passe principal de Jean.
- Le mot de passe est désormais chiffré à l'aide de la clé « Org Key » et stocké dans la base de données
- Jean partage maintenant ce mot de passe avec les cinq utilisateurs. En interne, ce mot de passe, qui a été chiffré à l'aide de la clé « Org Key », est associé à Marie, Jacques, Tina, Roger et Amandine.
Comment les utilisateurs récupèrent-ils ce mot de passe ?
- Les utilisateurs déchiffrent leurs clés privées RSA respectives à l'aide de leurs mots de passe principaux respectifs
- Les utilisateurs déchiffrent ensuite la clé « Org Key » chiffrée à l'aide de leurs clés privées RSA respectives (obtenues à l'étape précédente)
- L'utilisateur récupère le mot de passe à l'aide de la clé « Org Key ».
Que se passe-t-il en cas de modification d'un mot de passe partagé ?
Supposons que Marie modifie le mot de passe partagé.
- Le mot de passe partagé est déchiffré à l'aide de la clé « Org Key » et affiché.
- Le nouveau mot de passe est chiffré à l'aide de la clé « Org Key » et mis à jour dans la base de données
Remarque importante :
La clé « Org Key » utilisée pour chiffrer et déchiffrer les mots de passe partagés réside dans le navigateur lorsque les mots de passe sont partagés dans l'entreprise. Un utilisateur expérimenté peut récupérer la clé « Org Key » lorsqu'il est connecté à Zoho Vault. Cependant, cette clé ne peut être exploitée que lorsque son détenteur accède à la base de données de Zoho Vault. Dans la mesure où les centres de données de Zoho se conforment aux protocoles de sécurité les plus récents, une telle opération relève de l'exploit. Zoho Vault utilise la technique de protection par l'hôte. Dès lors, il est impossible, même pour Zoho, d'accéder à la clé « Org Key ».
Politique de sécurité de Zoho
millions d'utilisateurs font confiance aux applications Zoho
Avec près de millions d'utilisateurs qui accèdent aux services Zoho à travers le monde, les particuliers et les entreprises peuvent compter sur la sécurité et la protection des données de Zoho pour satisfaire leurs besoins. Nous prenons la sécurité très au sérieux. Aussi, nous avons développé un ensemble complet de pratiques, de technologies et de stratégies pour sécuriser vos données. Vous pouvez vous reporter à la Politique de sécurité de Zoho pour obtenir des informations détaillées sur notre stratégie de sécurité.
Bénéficiez d'une sécurité totale pour vos mots de passe
Zoho Vault est une solution de gestion sécurisée des mots de passe pour les entreprises et les particuliers