L'ANSSI explique comment déchiffrer le trafic HTTPS des salariés
L'Agence Nationale de Sécurité des Systèmes d'Information (ANSSI) a publié jeudi des recommandations destinées principalement aux entreprises, concernant les méthodes à mettre en oeuvre pour déchiffrer les flux HTTPS qui masquent les contenus envoyés ou reçus par le réseau.
La sécurité c'est bien, mais ce n'est pas toujours sécurisant.
Dans son document (.pdf), l'ANSSI détaille deux méthodes de déchiffrement des flux HTTPS, qui permettent d'inspecter le contenu des communications.
La première consiste, pour une administration, une entreprise ou une organisation quelconque, à faire passer tout le trafic sortant par un serveur proxy, qui négocie lui-même l'échange des clés cryptographiques. Ayant ainsi connaissance des clés, le proxy peut lire et analyser le contenu en clair, sans que l'utilisateur final ait conscience qu'il n'utilise pas une solution sécurisée de bout en bout.
"Il est possible de contrôler le contenu des données échangées entre le client et le serveur afin de s’assurer que les flux HTTPS ne sont pas utilisés pour faire sortir du système d’information des données confidentielles", vante l'Agence, parmi plusieurs avantages listés. En revanche, reconnaît-elle, la méthode n'est pas pleinement fonctionnelle. "Les sites qui requièrent une authentification par certificat (présent sur le poste client et non sur le proxy, ndlr) doivent être placés dans une liste blanche pour laquelle le déchiffrement n’est pas effectué". De plus si le proxy est lui-même piraté, "des informations sensibles peuvent être exposées". L'ANSSI fournit donc une série de recommandations pour mettre en place un tel proxy avec un niveau de sécurité et de performances aussi élevé que possible.
Concilier l'obligation de sécurité et l'obligation de confidentialité
La deuxième méthode utilise un proxy inverse pour déchiffrer les flux HTTPS qui parviennent d'Internet vers un serveur web en interne. Là aussi la négociation des clés se fait par le proxy, qui sert d'interface entre l'architecture réseau interne et Internet. Mais là encore, "des données normalement chiffrées jusqu’au serveur web sont présentes en clair au niveau du reverse proxy", prévient l'ANNSI. Et le serveur proxy inversé connaît l'ensemble des clés de l'ensemble des serveurs qui s'en servent comme interface, ce qui renforce sa "criticité".
Néanmoins, "si le déchiffrement des flux HTTPS au niveau d’un reverse proxy présente quelques inconvénients, ce choix d’architecture est particulierement pertinent pour exercer un contrôle des données échangées avec l’extérieur", analyse l'ANSSI, qui livre aussi ses conseils de mise en oeuvre.
En tout état de cause, l'ANSSI recommande dans une annexe liées aux questions juridiques d'encadrer strictement la mise en place de telles solutions de déchiffrement au sein d'une entreprise. Tout en rappelant que l'employeur est légalement responsable de l'utilisation faite du réseau qu'il fournit, ce qui doit l'inciter à vérifier ce qui en est fait, l'ANSSI prévient les entreprises que "le déchiffrement d’un flux chiffré peut porter atteinte aux libertés individuelles et engager la responsabilité de l’employeur qui n’aurait pas prévu les mesures destinées à préserver celles-ci.".
"Le déchiffrement ne doit pas être mis en place sans avoir satisfait à des formalités légales et sans avoir anticipé sa mise en place pour assurer son opposabilité aux salariés de l’entité". Notamment, il est rappelé que les salariés doivent être informés des mesures mises en place, que leur consentement doit avoir été recueilli, que les mesures doivent être proportionnées à l'objectif de sécurisation, ou que les salariés doivent être "dûment appelés" si un contrôle nécessite la lecture de contenus personnels.