L'Agence Nationale de Sécurité des Systèmes d'Information (ANSSI) a publié jeudi des recommandations destinées principalement aux entreprises, concernant les méthodes à mettre en oeuvre pour déchiffrer les flux HTTPS qui masquent les contenus envoyés ou reçus par le réseau.

La sécurité c'est bien, mais ce n'est pas toujours sécurisant. C'est ce qu'explique l'Agence Nationale de Sécurité des Systèmes d'Information (ANSSI), qui a publié cette semaine des recommandations sur les méthodes à employer pour déchiffrer des contenus censés être protégés par le protocole HTTPS grâce à un serveur TLS. "L'analyse d'un contenu (web par exemple) sécurisé à l’aide de TLS peut se justifier afin de s’assurer que les données provenant d’un réseau non maîtrisé (Internet par exemple) ne représentent pas une menace pour le système d’information interne", consent ainsi l'agence chargée d'assurer la sécurité des systèmes informatiques français, au sens large. Il s'agit non seulement de s'assurer que les systèmes ne soient pas attaquables par des tiers, mais aussi de se prémunir des espionnages industriels ou autres fuites de données par des taupes en interne.

Dans son document (.pdf), l'ANSSI détaille deux méthodes de déchiffrement des flux HTTPS, qui permettent d'inspecter le contenu des communications.

La première consiste, pour une administration, une entreprise ou une organisation quelconque, à faire passer tout le trafic sortant par un serveur proxy, qui négocie lui-même l'échange des clés cryptographiques. Ayant ainsi connaissance des clés, le proxy peut lire et analyser le contenu en clair, sans que l'utilisateur final ait conscience qu'il n'utilise pas une solution sécurisée de bout en bout.

"Il est possible de contrôler le contenu des données échangées entre le client et le serveur afin de  s’assurer que les flux HTTPS ne sont pas utilisés pour faire sortir du système d’information des  données confidentielles", vante l'Agence, parmi plusieurs avantages listés. En revanche, reconnaît-elle, la méthode n'est pas pleinement fonctionnelle. "Les sites qui requièrent une authentification par certificat (présent sur le poste client et non sur le proxy, ndlr) doivent être placés dans une liste blanche pour laquelle le déchiffrement n’est pas effectué".  De plus si le proxy est lui-même piraté, "des informations sensibles peuvent être exposées". L'ANSSI fournit donc une série de recommandations pour mettre en place un tel proxy avec un niveau de sécurité et de performances aussi élevé que possible.

Concilier l'obligation de sécurité et l'obligation de confidentialité

La deuxième méthode utilise un proxy inverse pour déchiffrer les flux HTTPS qui parviennent d'Internet vers un serveur web en interne. Là aussi la négociation des clés se fait par le proxy, qui sert d'interface entre l'architecture réseau interne et Internet. Mais là encore, "des données normalement chiffrées jusqu’au serveur web sont présentes en clair au niveau du  reverse proxy", prévient l'ANNSI. Et le serveur proxy inversé connaît l'ensemble des clés de l'ensemble des serveurs qui s'en servent comme interface, ce qui renforce sa "criticité". 

Néanmoins, "si le déchiffrement des flux HTTPS au niveau d’un reverse proxy présente quelques  inconvénients, ce choix d’architecture est particulierement pertinent pour exercer un contrôle des données échangées avec l’extérieur", analyse l'ANSSI, qui livre aussi ses conseils de mise en oeuvre.

En tout état de cause, l'ANSSI recommande dans une annexe liées aux questions juridiques d'encadrer strictement la mise en place de telles solutions de déchiffrement au sein d'une entreprise. Tout en rappelant que l'employeur est légalement responsable de l'utilisation faite du réseau qu'il fournit, ce qui doit l'inciter à vérifier ce qui en est fait, l'ANSSI prévient les entreprises que "le déchiffrement d’un flux chiffré peut porter atteinte aux libertés individuelles et engager la responsabilité de l’employeur qui n’aurait pas prévu les mesures destinées à préserver celles-ci.".

"Le déchiffrement ne doit pas être mis en place sans avoir satisfait à des formalités légales et sans avoir anticipé sa mise en place pour assurer son opposabilité aux salariés de l’entité". Notamment, il est rappelé que les salariés doivent être informés des mesures mises en place, que leur consentement doit avoir été recueilli, que les mesures doivent être proportionnées à l'objectif de sécurisation, ou que les salariés doivent être "dûment appelés" si un contrôle nécessite la lecture de contenus personnels.


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !