La Commission nationale de l’informatique et des libertés (CNIL) vient de présenter une série de recommandations à destination des employeurs souhaitant analyser les flux HTTPS, qui sont normalement chiffrés à l’aide de certificats. Une pratique jugée « légitime » mais dont la légalité n'est pas certaine selon l'autorité administrative.
Souvent présenté comme un moyen efficace de sécuriser les échanges, notamment lors de transactions bancaires, le HTTPS est aujourd’hui utilisé par de nombreux sites de e-commerce, de célèbres webmails, etc. Sauf que ce protocole peut parfois présenter un inconvénient : il devient extrêmement difficile pour les responsables de systèmes d’information de surveiller les données qui l'utilisent. Ce qui peut être particulièrement épineux dans le cas d’un employeur qui voudrait par exemple vérifier que son personnel ne lui dérobe pas certaines informations sensibles ou ne cherchent à introduire de codes malveillants...
Encadrement d’un déchiffrement parfois « légitime »
En octobre dernier, l’Agence nationale de sécurité des systèmes d'information (ANSSI) a présenté des « recommandations de sécurité concernant l'analyse des flux HTTPS » (PDF), afin de guider les informaticiens qui souhaiteraient malgré tout déchiffrer ces fameux flux pour les analyser, avant de les chiffrer une nouvelle fois en vue de leur envoi vers leur destination finale. Si la CNIL estime que la mise en œuvre de tels procédés « est légitime du fait que l'employeur doit assurer la sécurité de son système d'information », l’institution a cependant dévoilé hier les grands principes à respecter pour ne pas sortir du cadre législatif fixé par la loi Informatique et Libertés.
La Commission recommande en particulier aux employeurs :
- De donner aux salariés concernés, par exemple dans la charte d’utilisation des moyens informatiques de l’employeur, une « information précise » portant sur « les catégories de personnes impactées par la solution, la nature de l'analyse réalisée, les données conservées, les modalités d'investigation, les sites faisant l'objet d'une liste blanche, l'existence de dispositifs permettant une utilisation personnelle qui ne serait pas soumis à l'analyse des flux », ainsi que sur « les raisons de cette mesure (identification de logiciels malveillants, protection du patrimoine informationnel, détection de flux sortants anormaux) ».
- Qu’une « gestion stricte des droits d'accès des administrateurs aux courriers électroniques » soit prévue.
- Que les données d'alertes extraites de l'analyse soient correctement protégées, par « chiffrement, stockage en dehors de l'environnement de production et durée de conservation de 6 mois maximum ».
Quid des atteintes aux STAD ?
La CNIL avance toutefois avec prudence sur ce terrain, puisqu’elle reconnaît en conclusion avoir des doutes sur la légalité de telles pratiques au regard du Code pénal. Il est en effet interdit « d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données », comme d’y accéder ou de s’y maintenir « frauduleusement ».
« Cette question est particulièrement importante dès lors que le déchiffrement met potentiellement en cause la sécurité des communications initiées par un tiers et la confidentialité des données qu'il transmet », fait valoir l’autorité administrative. Tout en expliquant que cette interrogation relève de la compétence du juge, la Commission affirme que « le recours au déchiffrement de flux https pourrait donc nécessiter une base légale justifiant qu'il puisse être porté atteinte aux mesures techniques déployées par des tiers pour garantir la confidentialité de leurs échanges ».
