La CNIL favorable à l’analyse des flux HTTPS, sous conditions

La CNIL favorable à l’analyse des flux HTTPS, sous conditions

HTTPS ou Canal Satellite

Avatar de l'auteur
Xavier Berne

Publié dans

Droit

01/04/2015 3 minutes
16

La CNIL favorable à l’analyse des flux HTTPS, sous conditions

La Commission nationale de l’informatique et des libertés (CNIL) vient de présenter une série de recommandations à destination des employeurs souhaitant analyser les flux HTTPS, qui sont normalement chiffrés à l’aide de certificats. Une pratique jugée « légitime » mais dont la légalité n'est pas certaine selon l'autorité administrative.

Souvent présenté comme un moyen efficace de sécuriser les échanges, notamment lors de transactions bancaires, le HTTPS est aujourd’hui utilisé par de nombreux sites de e-commerce, de célèbres webmails, etc. Sauf que ce protocole peut parfois présenter un inconvénient : il devient extrêmement difficile pour les responsables de systèmes d’information de surveiller les données qui l'utilisent. Ce qui peut être particulièrement épineux dans le cas d’un employeur qui voudrait par exemple vérifier que son personnel ne lui dérobe pas certaines informations sensibles ou ne cherchent à introduire de codes malveillants...

Encadrement d’un déchiffrement parfois « légitime »

En octobre dernier, l’Agence nationale de sécurité des systèmes d'information (ANSSI) a présenté des « recommandations de sécurité concernant l'analyse des flux HTTPS » (PDF), afin de guider les informaticiens qui souhaiteraient malgré tout déchiffrer ces fameux flux pour les analyser, avant de les chiffrer une nouvelle fois en vue de leur envoi vers leur destination finale. Si la CNIL estime que la mise en œuvre de tels procédés « est légitime du fait que l'employeur doit assurer la sécurité de son système d'information », l’institution a cependant dévoilé hier les grands principes à respecter pour ne pas sortir du cadre législatif fixé par la loi Informatique et Libertés.

La Commission recommande en particulier aux employeurs :

  • De donner aux salariés concernés, par exemple dans la charte d’utilisation des moyens informatiques de l’employeur, une « information précise » portant sur « les catégories de personnes impactées par la solution, la nature de l'analyse réalisée, les données conservées, les modalités d'investigation, les sites faisant l'objet d'une liste blanche, l'existence de dispositifs permettant une utilisation personnelle qui ne serait pas soumis à l'analyse des flux », ainsi que sur « les raisons de cette mesure (identification de logiciels malveillants, protection du patrimoine informationnel, détection de flux sortants anormaux) ».
  • Qu’une « gestion stricte des droits d'accès des administrateurs aux courriers électroniques » soit prévue.
  • Que les données d'alertes extraites de l'analyse soient correctement protégées, par « chiffrement, stockage en dehors de l'environnement de production et durée de conservation de 6 mois maximum ».

Quid des atteintes aux STAD ?

La CNIL avance toutefois avec prudence sur ce terrain, puisqu’elle reconnaît en conclusion avoir des doutes sur la légalité de telles pratiques au regard du Code pénal. Il est en effet interdit « d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données », comme d’y accéder ou de s’y maintenir « frauduleusement ».

« Cette question est particulièrement importante dès lors que le déchiffrement met potentiellement en cause la sécurité des communications initiées par un tiers et la confidentialité des données qu'il transmet », fait valoir l’autorité administrative. Tout en expliquant que cette interrogation relève de la compétence du juge, la Commission affirme que « le recours au déchiffrement de flux https pourrait donc nécessiter une base légale justifiant qu'il puisse être porté atteinte aux mesures techniques déployées par des tiers pour garantir la confidentialité de leurs échanges ».

16

Écrit par Xavier Berne

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Encadrement d’un déchiffrement parfois « légitime »

Quid des atteintes aux STAD ?

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (16)


rien que pour les sous-titres, ça devrait être le premier avril tous les jours&nbsp;<img data-src=" />


Euh pourquoi légitime ..



Non ,je ne suis pas d’accord..; c’est un acte “gestapo” rien d’autres…



Enfin pour le fond , après ce poisson faut bien le griller


Ça fait curieux de lire les mots juge et code pénal aujourd’hui…


Un petit coup de MITM ?


Ben légitime dans le cadre de la sécurisation du système d’info : pour s’assurer de la sécurité, il faut pouvoir s’assurer que rien de ce qui circule au sein de ton SI ne le fait de manière frauduleuse.

&nbsp;

Je trouve ça un peu tiré par les cheveux aussi, mais je peux le concevoir, le raisonnement se tient à peu près.

&nbsp;

Le plus surprenant c’est que le discours vienne comme ça de la CNIL. Parce que finalement, le côté “argument sécuritaire pour mettre en place une surveillance”, c’est tendance au Parlement mais ça fait justement moyen plaisir à la CNIL.



Bon, là, ça vient avec les recommandations et pincettes de rigueur, mais bon, ça vient quand même ajouter à la tendance globale.



Au nom de cette sacro-sainte sécurité, l’État va te fliquer, ton employeur aussi, mais t’inquiète, PERSONNE n’en lira le contenu sauf si c’est illégal. ^__^


Le pire c’est qu’avec toutes les déviances de nos gouvernements actuels, je ne peux pas dire si c’est un poisson ou pas <img data-src=" />


Le doc en PDF fait par l’ANSSI date d’octobre 2014, si ça peut répondre à ta question. ^^’


Tiens en parlant de surveillance j’ai regardé le début de spectacle de Dieudo : Mahmoud, donc j’en profites pour glisser une petite quenelle de 80 aux experts en sécurité du Forum :



http://www.macbidouille.com/news/2015/04/01/apple-watch-ce-sont-la-cia-et-la-nsa…



<img data-src=" />

ca marche pas ? …. zut. <img data-src=" />


c’est grâce à cette méthode que le filtrage internet est possible pour les sites https.

Attention, car dans ce genre de cas, il existe une option paramétrée d’origine afin de ne pas déchiffrer/re-chiffrer les données pour des catégories de sites comme les webmails, sites bancaires,…


Obligé, la méthode étant que l’entreprise fait passer le flux internet par un proxyn où elle change le certificat pour mettre le sien. Ca se voit avec les addons de Firefox type CertPatrol, tu es prévenu que le certificat a été usurpé.

Sebsauvage en parlait il y a quelque temps:

http://sebsauvage.net/rhaa/?2010/11/08/19/54/41-je-suis-content-d-utiliser-certp…


Sois pas blaze, beaucoup des lecteurs de ce site ont un cerveau, et n’agissent pas de façon kikoolol !&nbsp;<img data-src=" />


Gestapo… Bah voyons. Quand la quantité de traffic sous https devient plus importante que sans et que tu veux tassurer que personne ne télécharge un bon gros trojan de merde ou autre saloperie qui mettra ton entreprise en péril, il nest plus question de bisounours.

Donc oui le https est a surveiller et si ca vous va pas bah on peut aussi le couper tout simplement et tu enverra ton mail a Tati gigi de chez toi.


Cela me fait bien rire …



Déjà former vos employées … au lieu de laisser le réseau de votre entreprise sans un vrai responsable réseau / info sécu …



Personne ne veut mettre des ronds sauf dans les grandes entreprises qui sous traitent cette partie …(la sécu est pour moi totu aussi douteuse…) .

Tout le monde pleure ou accuse le stagiaire mais se remettre en cause …y a plus personne alors qu’un bon firewall configuré correctement et un routeur qui fait son boulot sous la main d’un vrai ingé réseau ….



mais non, crions sur des employés qui vont sur des sites https et surveillons les plus sous l’excuse d’un dl douteux … ^^”








timhor a écrit :



Gestapo… Bah voyons. Quand la quantité de traffic sous https devient plus importante que sans et que tu veux tassurer que personne ne télécharge un bon gros trojan de merde ou autre saloperie qui mettra ton entreprise en péril, il nest plus question de bisounours.

Donc oui le https est a surveiller et si ca vous va pas bah on peut aussi le couper tout simplement et tu enverra ton mail a Tati gigi de chez toi.





+1 &nbsp;et merci