La CNIL favorable à l’analyse des flux HTTPS, sous conditions
HTTPS ou Canal Satellite
Le 01 avril 2015 à 13h45
3 min
Droit
Droit
La Commission nationale de l’informatique et des libertés (CNIL) vient de présenter une série de recommandations à destination des employeurs souhaitant analyser les flux HTTPS, qui sont normalement chiffrés à l’aide de certificats. Une pratique jugée « légitime » mais dont la légalité n'est pas certaine selon l'autorité administrative.
Souvent présenté comme un moyen efficace de sécuriser les échanges, notamment lors de transactions bancaires, le HTTPS est aujourd’hui utilisé par de nombreux sites de e-commerce, de célèbres webmails, etc. Sauf que ce protocole peut parfois présenter un inconvénient : il devient extrêmement difficile pour les responsables de systèmes d’information de surveiller les données qui l'utilisent. Ce qui peut être particulièrement épineux dans le cas d’un employeur qui voudrait par exemple vérifier que son personnel ne lui dérobe pas certaines informations sensibles ou ne cherchent à introduire de codes malveillants...
Encadrement d’un déchiffrement parfois « légitime »
En octobre dernier, l’Agence nationale de sécurité des systèmes d'information (ANSSI) a présenté des « recommandations de sécurité concernant l'analyse des flux HTTPS » (PDF), afin de guider les informaticiens qui souhaiteraient malgré tout déchiffrer ces fameux flux pour les analyser, avant de les chiffrer une nouvelle fois en vue de leur envoi vers leur destination finale. Si la CNIL estime que la mise en œuvre de tels procédés « est légitime du fait que l'employeur doit assurer la sécurité de son système d'information », l’institution a cependant dévoilé hier les grands principes à respecter pour ne pas sortir du cadre législatif fixé par la loi Informatique et Libertés.
La Commission recommande en particulier aux employeurs :
- De donner aux salariés concernés, par exemple dans la charte d’utilisation des moyens informatiques de l’employeur, une « information précise » portant sur « les catégories de personnes impactées par la solution, la nature de l'analyse réalisée, les données conservées, les modalités d'investigation, les sites faisant l'objet d'une liste blanche, l'existence de dispositifs permettant une utilisation personnelle qui ne serait pas soumis à l'analyse des flux », ainsi que sur « les raisons de cette mesure (identification de logiciels malveillants, protection du patrimoine informationnel, détection de flux sortants anormaux) ».
- Qu’une « gestion stricte des droits d'accès des administrateurs aux courriers électroniques » soit prévue.
- Que les données d'alertes extraites de l'analyse soient correctement protégées, par « chiffrement, stockage en dehors de l'environnement de production et durée de conservation de 6 mois maximum ».
Quid des atteintes aux STAD ?
La CNIL avance toutefois avec prudence sur ce terrain, puisqu’elle reconnaît en conclusion avoir des doutes sur la légalité de telles pratiques au regard du Code pénal. Il est en effet interdit « d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données », comme d’y accéder ou de s’y maintenir « frauduleusement ».
« Cette question est particulièrement importante dès lors que le déchiffrement met potentiellement en cause la sécurité des communications initiées par un tiers et la confidentialité des données qu'il transmet », fait valoir l’autorité administrative. Tout en expliquant que cette interrogation relève de la compétence du juge, la Commission affirme que « le recours au déchiffrement de flux https pourrait donc nécessiter une base légale justifiant qu'il puisse être porté atteinte aux mesures techniques déployées par des tiers pour garantir la confidentialité de leurs échanges ».
La CNIL favorable à l’analyse des flux HTTPS, sous conditions
-
Encadrement d’un déchiffrement parfois « légitime »
-
Quid des atteintes aux STAD ?
Commentaires (16)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 01/04/2015 à 13h47
rien que pour les sous-titres, ça devrait être le premier avril tous les jours " />
Le 01/04/2015 à 13h47
Euh pourquoi légitime ..
Non ,je ne suis pas d’accord..; c’est un acte “gestapo” rien d’autres…
Enfin pour le fond , après ce poisson faut bien le griller
Le 01/04/2015 à 13h49
Ça fait curieux de lire les mots juge et code pénal aujourd’hui…
Le 01/04/2015 à 13h57
Un petit coup de MITM ?
Le 01/04/2015 à 14h08
Ben légitime dans le cadre de la sécurisation du système d’info : pour s’assurer de la sécurité, il faut pouvoir s’assurer que rien de ce qui circule au sein de ton SI ne le fait de manière frauduleuse.
Je trouve ça un peu tiré par les cheveux aussi, mais je peux le concevoir, le raisonnement se tient à peu près.
Le plus surprenant c’est que le discours vienne comme ça de la CNIL. Parce que finalement, le côté “argument sécuritaire pour mettre en place une surveillance”, c’est tendance au Parlement mais ça fait justement moyen plaisir à la CNIL.
Bon, là, ça vient avec les recommandations et pincettes de rigueur, mais bon, ça vient quand même ajouter à la tendance globale.
Au nom de cette sacro-sainte sécurité, l’État va te fliquer, ton employeur aussi, mais t’inquiète, PERSONNE n’en lira le contenu sauf si c’est illégal. ^__^
Le 01/04/2015 à 14h09
Le pire c’est qu’avec toutes les déviances de nos gouvernements actuels, je ne peux pas dire si c’est un poisson ou pas " />
Le 01/04/2015 à 14h18
Le doc en PDF fait par l’ANSSI date d’octobre 2014, si ça peut répondre à ta question. ^^’
Le 01/04/2015 à 14h25
Tiens en parlant de surveillance j’ai regardé le début de spectacle de Dieudo : Mahmoud, donc j’en profites pour glisser une petite quenelle de 80 aux experts en sécurité du Forum :
http://www.macbidouille.com/news/2015/04/01/apple-watch-ce-sont-la-cia-et-la-nsa…
Le 01/04/2015 à 15h18
" />
Le 01/04/2015 à 15h31
" />
ca marche pas ? …. zut. " />
Le 01/04/2015 à 15h53
c’est grâce à cette méthode que le filtrage internet est possible pour les sites https.
Attention, car dans ce genre de cas, il existe une option paramétrée d’origine afin de ne pas déchiffrer/re-chiffrer les données pour des catégories de sites comme les webmails, sites bancaires,…
Le 01/04/2015 à 16h40
Obligé, la méthode étant que l’entreprise fait passer le flux internet par un proxyn où elle change le certificat pour mettre le sien. Ca se voit avec les addons de Firefox type CertPatrol, tu es prévenu que le certificat a été usurpé.
Sebsauvage en parlait il y a quelque temps:
http://sebsauvage.net/rhaa/?2010/11/08/19/54/41-je-suis-content-d-utiliser-certp…
Le 01/04/2015 à 16h59
Sois pas blaze, beaucoup des lecteurs de ce site ont un cerveau, et n’agissent pas de façon kikoolol ! " />
Le 02/04/2015 à 08h17
Gestapo… Bah voyons. Quand la quantité de traffic sous https devient plus importante que sans et que tu veux tassurer que personne ne télécharge un bon gros trojan de merde ou autre saloperie qui mettra ton entreprise en péril, il nest plus question de bisounours.
Donc oui le https est a surveiller et si ca vous va pas bah on peut aussi le couper tout simplement et tu enverra ton mail a Tati gigi de chez toi.
Le 02/04/2015 à 20h53
Cela me fait bien rire …
Déjà former vos employées … au lieu de laisser le réseau de votre entreprise sans un vrai responsable réseau / info sécu …
Personne ne veut mettre des ronds sauf dans les grandes entreprises qui sous traitent cette partie …(la sécu est pour moi totu aussi douteuse…) .
Tout le monde pleure ou accuse le stagiaire mais se remettre en cause …y a plus personne alors qu’un bon firewall configuré correctement et un routeur qui fait son boulot sous la main d’un vrai ingé réseau ….
mais non, crions sur des employés qui vont sur des sites https et surveillons les plus sous l’excuse d’un dl douteux … ^^”
Le 03/04/2015 à 20h37