Matrix ne garantit pas la protection des données personnelles dans l'UE

Matrix a longtemps été présenté comme l'avenir de la communication sécurisée et décentralisée. Soutenue par un protocole ouvert, une communauté de développeurs dynamique et des passerelles vers les systèmes existants, elle promet l'interopérabilité et l'absence de verrouillage des fournisseurs. Cependant, si on l'examine sous l'angle de la législation européenne en matière de protection des données, Matrix et son champion commercial, Element, présentent des risques importants et sous-estimés.

Pour les organisations du secteur public, les infrastructures critiques et les entreprises soucieuses de la protection de la vie privée dans l'UE, la question n'est pas seulement de savoir si Matrix est fonctionnel ou innovant, mais aussi s'il est conforme au GDPR, s'il résiste à la surveillance étrangère et s'il vous permet de garder le contrôle.

Malheureusement, la réponse est claire : Matrix n'est pas sûr pour la confidentialité des données dans l'UE.

Le problème de juridiction : le droit britannique n'est pas le droit européen

Bien que Matrix soit un protocole ouvert, le client le plus utilisé (Element), la plupart des services hébergés (EMS) et les principaux outils d'infrastructure (comme la passerelle Secure Border Gateway) sont développés et gérés par Element Technologies Ltd, une société basée au Royaume-Uni.

C'est important. Après le Brexit, le Royaume-Uni ne fait plus partie du cadre juridique de l'UE et a adopté des lois de surveillance radicales comme l'Investigatory Powers Act (IPA). Cette législation permet :

• Des avis de capacité technique secrets qui peuvent contraindre les fournisseurs à insérer des portes dérobées.
• l'interception de données en masse et l'interférence des équipements
• des ordonnances de bâillonnement qui empêchent la divulgation publique de ces mandats.

Si votre déploiement Matrix repose sur l'hébergement d'Element ou utilise un logiciel conçu par Element, vous êtes exposé à ces risques. Même si votre serveur est hébergé dans l'UE, les mises à jour de logiciels ou les dépendances provenant d'une entité britannique peuvent introduire une exposition juridictionnelle incompatible avec Schrems II et les articles 44 à 46 du GDPR.

Le cryptage ne suffit pas : Olm et Megolm laissent filtrer des métadonnées

Matrix vante son utilisation du chiffrement de bout en bout (E2EE), mais les protocoles sous-jacents - Olm pour les chats 1:1 et Megolm pour la messagerie de groupe - présentent de sérieuses limitations en matière de confidentialité.

Voici pourquoi :

• Olm/Megolm sont des protocoles basés sur des sessions qui n'offrent pas de secret de transmission pour la messagerie de groupe (Megolm).
• Les métadonnées des messages - telles que l'expéditeur, le destinataire, l'identifiant de l'appareil et l'horodatage - ne sont pas cryptées au niveau de la couche de transport et, dans de nombreux cas, restent visibles pour le serveur domestique.
• Contrairement aux protocoles modernes tels que Messaging Layer Security (MLS), Olm/Megolm ne dissimulent pas de manière native qui participe à une conversation, quels appareils sont impliqués ou la structure du graphe de communication.
• L'activité de la fédération - qui parle à qui et quand - est exposée en clair entre les serveurs domestiques, ce qui permet une analyse et une surveillance potentielles, même si le contenu du message est crypté.

En bref : les protocoles de chiffrement hérités de Matrix offrent la confidentialité du contenu, mais laissent filtrer d'importantes métadonnées structurelles - exactement le type de données que la législation européenne sur la protection de la vie privée cherche à protéger.

Fédération : Une surface d'attaque ouverte

Le modèle de fédération ouvert de Matrix permet à n'importe quel serveur domestique de communiquer avec n'importe quel autre. Bien que cela favorise la décentralisation, cela introduit un risque substantiel:

• Des acteurs malveillants peuvent créer de faux homeservers et interagir avec des homeservers légitimes
• L'usurpation d'identité, le spam et la collecte de métadonnées sont fréquents, comme l'ont montré les récentes vagues de spam à l'échelle de Matrix.
• Le trafic de la fédération n'étant généralement pas crypté au niveau du transport, les métadonnées restent visibles et potentiellement exportables vers des juridictions non européennes.

Ceci est particulièrement problématique dans le cadre du GDPR, qui traite les métadonnées comme des données personnelles. Si votre serveur domestique partage le trafic avec un homologue étranger ou malveillant, même brièvement, vous risquez d'exporter illégalement des données à caractère personnel sans garanties appropriées.

Secure Border Gateway d'Element : Le respect de la vie privée en tant que fonctionnalité payante

Element reconnaît les risques de la fédération ouverte et propose une solution : la passerelle Secure Border Gateway (SBG).

Cette passerelle commerciale à code source fermé filtre le trafic entre votre serveur domestique et le réseau Matrix au sens large. Elle vous permet de limiter la fédération à des pairs de confiance, de contrôler les fuites de métadonnées et d'atténuer l'usurpation d'identité ou le spam.

Mais cela pose de nouveaux problèmes :

• Il n'est pas open source: Vous ne pouvez pas vérifier ce qu'il fait, ce qui rend plus difficile de prouver la conformité au GDPR.
• Il n'est disponible que dans le cadre de l'abonnement Sovereign d'Element, ce qui crée un mur payant autour du contrôle de base de la fédération.
• Il sape la confiance: Les régulateurs de l'UE et les acheteurs du secteur public ne peuvent pas vérifier de manière indépendante comment les restrictions de la fédération sont mises en œuvre - ou si les métadonnées sont réellement protégées.

Pire encore, le déploiement d'un SBG peut compliquer la conformité à la norme ISA/IEC 62443 ou à d'autres cadres de certification de la cybersécurité, qui exigent la transparence et l'auditabilité de tous les composants du système, ce qu'une passerelle frontalière propriétaire ne peut pas offrir.

Capture de la gouvernance : L'illusion d'indépendance de Matrix

La Matrix Foundation existe pour gérer le protocole, mais son indépendance a fait l'objet d'un examen minutieux.

Comme l'indique l'article largement diffusé "Matrix Is Cooked", Element Technologies Ltd a de plus en plus pris le contrôle opérationnel de l'écosystème, qu'il s'agisse des décisions relatives à l'octroi de licences ou des priorités de développement. En 2023-2024, Element a transféré d'importantes bases de code vers de nouveaux dépôts AGPL sans consulter la Fondation, écartant les contributeurs et concentrant le pouvoir dans son entité commerciale.

Cela fait de Matrix - malgré toute sa rhétorique sur la décentralisation - une entreprise britannique unique qui la contrôle effectivement. Il en résulte un dangereux mélange de

• juridiction britannique
• Verrouillage commercial
• opacité de la gouvernance

Une alternative plus sûre : Wire

Si votre organisation a besoin de communications sécurisées qui respectent la souveraineté de l'UE, Wire est un choix plus fiable.

• Basé en Suisse et opérant en Allemagne, Wire est soumis à certains des régimes de protection des données les plus stricts au monde et n'est pas soumis aux lois de surveillance britanniques ou américaines telles que l'IPA ou la FISA 702.
• Offre une souplesse de déploiement totale : sur site, en nuage privé ou SaaS réservé à l'UE.
• Adopte une fédération fermée, éliminant les risques de spam et de surveillance du modèle ouvert de Matrix.
• prend en charge un cryptage puissant de bout en bout avec minimisation des métadonnées, et a entièrement mis en œuvre le Messaging Layer Security (MLS), le protocole de messagerie sécurisée le plus avancé qui soit.

Contrairement à Matrix, Wire a été conçu dès le départ en tenant compte de la conformité réglementaire, de la sécurité d'entreprise et de la souveraineté européenne.

Conclusion : Ne jouez pas la protection de la vie privée de l'UE avec Matrix

Le chiffrement seul ne garantit pas la protection de la vie privée, en particulier lorsque les métadonnées sont exposées, que la fédération est ouverte et que votre plateforme est soumise à des régimes de surveillance étrangers.

Matrix, tel qu'il est mis en œuvre et commercialisé par Element, ne satisfait pas au test de l'UE sur plusieurs fronts :

• Risque juridictionnel lié aux lois de surveillance britanniques
• Fuite de métadonnées due aux protocoles de cryptage existants
• Contrôles opaques de la fédération enfermés dans un logiciel propriétaire
• Lacapture des fournisseurs qui compromet la gouvernance et la transparence

Si votre organisation est soumise aux normes GDPR, Schrems II, NIS2 ou BSI, Matrix est un risque et non une protection.

Il est temps pour les organisations de l'UE d'exiger une véritable confidentialité, une véritable souveraineté et une confiance vérifiable, et pas seulement des messages cryptés sur une surface fédérée.