Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

La CNIL favorable à l’analyse des flux HTTPS, sous conditions

HTTPS ou Canal Satellite
Droit 3 min
La CNIL favorable à l’analyse des flux HTTPS, sous conditions

La Commission nationale de l’informatique et des libertés (CNIL) vient de présenter une série de recommandations à destination des employeurs souhaitant analyser les flux HTTPS, qui sont normalement chiffrés à l’aide de certificats. Une pratique jugée « légitime » mais dont la légalité n'est pas certaine selon l'autorité administrative.

Souvent présenté comme un moyen efficace de sécuriser les échanges, notamment lors de transactions bancaires, le HTTPS est aujourd’hui utilisé par de nombreux sites de e-commerce, de célèbres webmails, etc. Sauf que ce protocole peut parfois présenter un inconvénient : il devient extrêmement difficile pour les responsables de systèmes d’information de surveiller les données qui l'utilisent. Ce qui peut être particulièrement épineux dans le cas d’un employeur qui voudrait par exemple vérifier que son personnel ne lui dérobe pas certaines informations sensibles ou ne cherchent à introduire de codes malveillants...

Encadrement d’un déchiffrement parfois « légitime »

En octobre dernier, l’Agence nationale de sécurité des systèmes d'information (ANSSI) a présenté des « recommandations de sécurité concernant l'analyse des flux HTTPS » (PDF), afin de guider les informaticiens qui souhaiteraient malgré tout déchiffrer ces fameux flux pour les analyser, avant de les chiffrer une nouvelle fois en vue de leur envoi vers leur destination finale. Si la CNIL estime que la mise en œuvre de tels procédés « est légitime du fait que l'employeur doit assurer la sécurité de son système d'information », l’institution a cependant dévoilé hier les grands principes à respecter pour ne pas sortir du cadre législatif fixé par la loi Informatique et Libertés.

La Commission recommande en particulier aux employeurs :

  • De donner aux salariés concernés, par exemple dans la charte d’utilisation des moyens informatiques de l’employeur, une « information précise » portant sur « les catégories de personnes impactées par la solution, la nature de l'analyse réalisée, les données conservées, les modalités d'investigation, les sites faisant l'objet d'une liste blanche, l'existence de dispositifs permettant une utilisation personnelle qui ne serait pas soumis à l'analyse des flux », ainsi que sur « les raisons de cette mesure (identification de logiciels malveillants, protection du patrimoine informationnel, détection de flux sortants anormaux) ».
  • Qu’une « gestion stricte des droits d'accès des administrateurs aux courriers électroniques » soit prévue.
  • Que les données d'alertes extraites de l'analyse soient correctement protégées, par « chiffrement, stockage en dehors de l'environnement de production et durée de conservation de 6 mois maximum ».

Quid des atteintes aux STAD ?

La CNIL avance toutefois avec prudence sur ce terrain, puisqu’elle reconnaît en conclusion avoir des doutes sur la légalité de telles pratiques au regard du Code pénal. Il est en effet interdit « d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données », comme d’y accéder ou de s’y maintenir « frauduleusement ».

« Cette question est particulièrement importante dès lors que le déchiffrement met potentiellement en cause la sécurité des communications initiées par un tiers et la confidentialité des données qu'il transmet », fait valoir l’autorité administrative. Tout en expliquant que cette interrogation relève de la compétence du juge, la Commission affirme que « le recours au déchiffrement de flux https pourrait donc nécessiter une base légale justifiant qu'il puisse être porté atteinte aux mesures techniques déployées par des tiers pour garantir la confidentialité de leurs échanges ».

16 commentaires
Avatar de LordZurp Abonné
Avatar de LordZurpLordZurp- 01/04/15 à 13:47:13

rien que pour les sous-titres, ça devrait être le premier avril tous les jours :neuf:

Avatar de anonyme_69736061fe834a059975aa425bebeb6d INpactien

Euh pourquoi légitime ..

Non ,je ne suis pas d'accord..; c'est un acte "gestapo" rien d'autres...

Enfin pour le fond , après ce poisson faut bien le griller

Édité par Papa Panda le 01/04/2015 à 13:52
Avatar de francois-battail INpactien
Avatar de francois-battailfrancois-battail- 01/04/15 à 13:49:15

Ça fait curieux de lire les mots juge et code pénal aujourd'hui...

Avatar de labs Abonné
Avatar de labslabs- 01/04/15 à 13:57:59

Un petit coup de MITM ?

Avatar de sam_ INpactien
Avatar de sam_sam_- 01/04/15 à 14:08:02

Ben légitime dans le cadre de la sécurisation du système d'info : pour s'assurer de la sécurité, il faut pouvoir s'assurer que rien de ce qui circule au sein de ton SI ne le fait de manière frauduleuse.
 
Je trouve ça un peu tiré par les cheveux aussi, mais je peux le concevoir, le raisonnement se tient à peu près.
 
Le plus surprenant c'est que le discours vienne comme ça de la CNIL. Parce que finalement, le côté "argument sécuritaire pour mettre en place une surveillance", c'est tendance au Parlement mais ça fait justement moyen plaisir à la CNIL.

Bon, là, ça vient avec les recommandations et pincettes de rigueur, mais bon, ça vient quand même ajouter à la tendance globale.

Au nom de cette sacro-sainte sécurité, l'État va te fliquer, ton employeur aussi, mais t'inquiète, PERSONNE n'en lira le contenu sauf si c'est illégal. ^__^

Avatar de Cypus34 Abonné
Avatar de Cypus34Cypus34- 01/04/15 à 14:09:58

Le pire c'est qu'avec toutes les déviances de nos gouvernements actuels, je ne peux pas dire si c'est un poisson ou pas :craint:

Édité par Cypus34 le 01/04/2015 à 14:10
Avatar de sam_ INpactien
Avatar de sam_sam_- 01/04/15 à 14:18:12

Le doc en PDF fait par l'ANSSI date d'octobre 2014, si ça peut répondre à ta question. ^^'

Avatar de anonyme_97254becd5c5b064755d6772703ed968 INpactien

Tiens en parlant de surveillance j'ai regardé le début de spectacle de Dieudo : Mahmoud, donc j'en profites pour glisser une petite quenelle de 80 aux experts en sécurité du Forum :

http://www.macbidouille.com/news/2015/04/01/apple-watch-ce-sont-la-cia-et-la-nsa...

Avatar de Nikodym INpactien
Avatar de NikodymNikodym- 01/04/15 à 15:18:53

:mdr:

Avatar de anonyme_97254becd5c5b064755d6772703ed968 INpactien

:non:
ca marche pas ? .... zut. :mdr:

Il n'est plus possible de commenter cette actualité.
Page 1 / 2