Академический Документы
Профессиональный Документы
Культура Документы
PREMIER MINISTRE
Note technique
Public vis:
Dveloppeur X
Administrateur X
RSSI X
DSI X
Utilisateur
Informations
Avertissement
Ces recommandations sont livres en ltat et adaptes aux menaces au jour de leur pub-
lication. Au regard de la diversit des systmes dinformation, lANSSI ne peut garantir que
ces informations puissent tre reprises sans adaptation sur les systmes dinformation cibles.
Dans tous les cas, la pertinence de limplmentation des lments proposs par lANSSI doit
tre soumise, au pralable, la validation de ladministrateur du systme et/ou des personnes
en charge de la scurit des systmes dinformation.
volutions du document :
2 Gnralits 4
2.1 Rappels sur TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
2.2 Implmentation de TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.3 Rfrentiel Gnral de Scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.4 Protection des cls prives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.5 Validit des certificats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Annexes 26
A Aspects juridiques 26
La protection de bout en bout quapporte TLS est a priori incompatible avec dautres exigences
de scurit complmentaires visant inspecter le contenu des changes. Lanalyse dun contenu (web
par exemple) scuris laide de TLS, peut toutefois se justifier afin de sassurer que les donnes
provenant dun rseau non matris (Internet par exemple) ne reprsentent pas une menace pour le
systme dinformation interne. Les architectures visant dchiffrer les flux TLS, pour permettre leur
analyse, tordent donc le modle pour lequel ce protocole est conu.
Pour pouvoir mettre en uvre le dchiffrement de flux TLS de faon matrise, il est ncessaire
de disposer, entre autres, dun niveau de connaissance suffisant dans les deux domaines spcifiques et
volutifs que sont les IGC 3 et la cryptographie. Quel que soit le contexte, la mise en place de
mcanismes de dchiffrement HTTPS prsente des risques dans la mesure o cette opra-
tion entrane la rupture dun canal scuris et expose des donnes en clair au niveau
de lquipement en charge de lopration. Lorsquun tel dchiffrement est ncessaire, sa
mise en uvre doit saccompagner de beaucoup de prcautions et se faire uniquement
aprs validation de la direction des systmes dinformation voire dune autorit de niveau
suprieur.
Cette note prsente donc les recommandations dordre technique suivre lorsque lanalyse des flux
HTTPS changs entre un systme dinformation matris et des rseaux externes est indispensable.
Deux scnarios sont prsents. Le premier, en thorie plus rare, dtaille le cas o les flux HTTPS
sont dchiffrs aprs avoir t initis par des clients prsents sur le systme dinformation en direction
des sites web externes. Le second, plus frquent, prsente le cas o des clients externes souhaitent se
connecter laide du protocole HTTPS des sites web hbergs au sein dun systme dinformation
matris. Ce document na pas pour objectif de dcrire nouveau en dtail le fonctionnement du
protocole TLS ; la publication intitule SSL/TLS : tat des lieux et recommandations 4 disponible
sur le site de lANSSI prsente ce protocole et les problmatiques associes. Par contre, certains aspects
juridiques relatifs au dchiffrement de flux HTTPS sont abords la fin de ce document.
1. le client initie une requte en direction du serveur en envoyant un message de type Client Hello.
Ce message contient en particulier les lments suivants :
les suites cryptographiques (ciphersuite) supportes par le client ;
la version la plus leve de SSL/TLS quil supporte ;
les algorithmes de compression quil supporte ;
optionnellement, les informations relatives aux extensions quil utilise 6 .
2. le serveur rpond par un message de type Server Hello.
Ce message contient en particulier les lments suivants :
5. Cest--dire sans authentification du client, et en utilisant un mcanisme dchange de cls par chiffrement RSA.
6. Par exemple SNI (Server Name Indication).
Attention : La squence dtablissement prsente pose problme car la confidentialit des cls de
session utilises pour protger les communications TLS dpend de la cl prive du serveur TLS. En
effet, si cette dernire est compromise par un attaquant, qui aurait galement captur le trafic TLS, il
sera en mesure dobtenir le Pre-master Secret, le Master Secret ainsi que lensemble des cls de session.
Pour viter ce problme, le mcanisme dchange de cls utilis lors de ltablissement de la session
TLS doit permettre la PFS (Perfect Forward Secrecy). Cette proprit permet de gnrer des cls de
session sans que la confidentialit de celles-ci ne dpende de la cl prive du serveur, cette dernire nest
alors utilise que pour authentifier le serveur vis--vis des clients. Dans cette configuration, la compro-
mission de la cl prive du serveur ne permet donc pas le dchiffrement de sessions TLS enregistres au
pralable, mais la cl peut nanmoins tre utilise pour usurper lidentit du serveur (attaque active
dite de lhomme du milieu ) dans le but de dchiffrer le trafic futur. Les suites cryptographiques qui
permettent la PFS reposent sur un change de cls de type Diffie-Hellman phmre (DHE ou ECDHE
figure dans le nom de la suite au format IANA 7 ) et utilisent un autre algorithme de signature (RSA
par exemple) pour raliser lauthentification des parties.
R1
Il est impratif dappliquer rapidement les correctifs de scurit associs une bi-
bliothque ou un applicatif TLS ds lors quils corrigent des vulnrabilits juges
importantes.
R2
Les cls prives associes aux certificats doivent tre correctement protges.
La solution la plus scurise consiste stocker les donnes cryptographiques dans un composant
matriel de type HSM 11 pouvant dialoguer de faon scurise ( laide de lAPI PKCS#11 par exemple)
avec lquipement qui termine les tunnels TLS.
8. http://www.ssi.gouv.fr/fr/reglementation-ssi/referentiel-general-de-securite/.
9. http://www.ssi.gouv.fr/IMG/pdf/RGS_v-2-0_B1.pdf.
10. http://www.ssi.gouv.fr/IMG/pdf/RGS_v-2-0_A4.pdf.
11. Hardware Security Module. La liste des HSM certifis par lANSSI est disponible ladresse :
http://www.ssi.gouv.fr/fr/produits-et-prestataires/.
R3
Quel que soit le contexte de mise en uvre de TLS, des mcanismes de vrification
automatiques doivent tre mis en place afin de sassurer que les certificats employs
sont bien valides.
Dautres solutions plus rcentes existent, elles visent essentiellement amliorer lefficacit de ces
deux mcanismes, cest le cas notamment de OCSP Stapling 16 ou de CRLSets (initiative de Google).
3.1 Architecture
Lusage de serveurs mandataires (ou proxy) HTTP est une bonne pratique darchitecture permet-
tant de sassurer que lensemble des clients dun systme dinformation passent par un point de contrle
unique pour pouvoir accder des sites web hbergs sur dautres rseaux. Cest gnralement au niveau
de ce type dquipement que sont analyss les flux HTTPS sortants, si la solution de proxy employe
dispose des fonctionnalits permettant lanalyse de ce type de flux. Un proxy web peut tre positionn
de plusieurs faons vis--vis de ses clients ; la description des architectures les plus rpandues dpasse
le cadre de ce document.
La possibilit de disposer du trafic HTTP en clair au niveau dun proxy web procure plusieurs avan-
tages :
il est possible danalyser le trafic HTTP afin de protger le client de menaces manant du serveur
web cible : contenus inappropris, fichiers malveillants, etc. ;
il est possible de contrler le contenu des donnes changes entre le client et le serveur afin de
sassurer que les flux HTTPS ne sont pas utiliss pour faire sortir du systme dinformation des
donnes confidentielles. Lanalyse doit tre ralise en limitant autant que possible lexposition
des donnes caractre personnel des clients (se reporter au 3.2.2.3) ;
il est possible dappliquer la mme politique de journalisation que celle mise en uvre pour les
flux HTTP non scuriss. La journalisation doit tre ralise en accord avec le respect de la vie
prive des clients (se reporter au 3.2.2.3) ;
le proxy a la possibilit de mettre en cache du contenu quil peut resservir plusieurs clients qui
souhaitent accder au mme serveur cible.
En rsum, si le dchiffrement des flux HTTPS permet un meilleur contrle des donnes changes
entre un systme dinformation et le monde extrieur, ce processus complexifie larchitecture daccs
Internet et dporte la scurisation du canal de communication avec lextrieur sur le proxy. Ce type
dquipement devient ainsi trs critique. Sa mise en uvre doit donc tre ralise en respectant les
recommandations mentionnes dans la suite de ce document.
R4
Seule une AC non publique (dont la confiance nest pas reconnue au del du systme
dinformation) doit tre utilise pour signer les certificats que le proxy prsente ses
clients.
Si cette rgle nest pas respecte, cela peut conduire la gnration de certificats valides publique-
ment (hors du systme dinformation) mais qui ne sont pas lgitimes vis--vis des sites web auxquels ils
sont associs. Le vol des cls prives associes ces certificats pourrait permettre une personne mal
intentionne de dchiffrer le trafic HTTPS de clients prsents sur Internet sans que ceux-ci ne puissent
sen apercevoir (puisque leur navigateur validerait le certificat sans provoquer derreur). Afin de dtecter
ces certificats illgitimes , les versions rcentes des navigateurs (les plus rpandus) implmentent des
fonctionnalits spcifiques permettant des vrifications avances. Chrome et Firefox intgrent le Cer-
tificate Pinning 17 . Internet Explorer dispose de SmartScreen Filter 18 . Ces fonctionnalits permettent
de vrifier que le certificat prsent par un site web est sign par lAC publique quil a dclare comme
tant celle lgitime pour signer son certificat. Si lAC qui a sign le certificat prsent au client par le
site web ne correspond pas celle dont le navigateur a connaissance pour ce site web, le navigateur peut
alerter lutilisateur, voire lui interdire laccs au site (possibilit dattaque active dite de lhomme
du milieu ). Lalerte peut mme tre remonte automatiquement la socit qui dite le navigateur
afin que celle-ci soit informe du mauvais usage dune AC dont la confiance est reconnue publiquement.
noter quil existe dautres mcanismes permettant certains navigateurs de vrifier la lgitimit
des certificats serveurs, cest par exemple le cas du projet Certificate Transparency 19 initi par Google.
R5
La chane de confiance associe au certificat de lAC interne qui a sign les certificats
prsents par le proxy ses clients doit tre place dans le magasin des autorits de
confiance utilis par le navigateur des clients. La confiance accorde cette chane
par le navigateur doit tre limite lauthentification des sites web (si lAC interne
nest utilise que pour signer des certificats serveurs).
17. Littralement : pinglage de certificats . Cette fonctionnalit est dcrite dans une RFC (brouillon) :
http://tools.ietf.org/html/draft-ietf-websec-key-pinning.
18. Cest partir de la version 11 dInternet Explorer que SmartScreen Filter vrifie les informations prsentes dans
les certificats. Pour plus dinformations : http://blogs.technet.com/b/pki/ (publication du 21 fvrier 2014).
19. http://www.certificate-transparency.org.
Pour assurer un fonctionnement transparent et sans alerte, la chane de confiance associe lAC
interne doit donc tre place au pralable dans le magasin de certificats par une personne disposant
des droits dadministration sur lapplication cliente ou le systme.
Cas des EV Certificates 20 : Lutilisation dune AC interne pour signer les certificats de sites web pu-
blics pose problme au niveau du navigateur du client lorsque celui-ci accde des sites qui disposent
normalement de certificats de type Extented Validation Certificate (ou EV Certificate). Pour rappel,
ce type de certificat, dun niveau de confiance lev, peut tre dlivr par une AC uniquement si elle
respecte une procdure prcise 21 . Une entit qui fait une demande dEV Certificate une AC au-
torise en dlivrer doit par exemple apporter la preuve de son existence physique et lgale. Lorsquun
navigateur accde un site qui lui prsente un EV Certificate sa barre dadresse se teinte en vert ;
celle-ci peut galement afficher (en fonction des navigateurs) des informations relatives lentit qui
dtient lEV certificate. Cela permet dindiquer lutilisateur quil accde un site web qui dispose
dun niveau de confiance important ; cest--dire qui prsente un certificat qui a t sign par une AC
spcifique qui dispose du droit de signer des EV Certificates. Les versions rcentes des navigateurs
sont en mesure deffectuer cette vrification car ils embarquent directement dans leur code source, de
faon statique, les informations relatives aux AC publiques qui ont lautorisation dmettre des EV
Certificates 22 . Lorsquun proxy dchiffre les flux HTTPS, il prsente lutilisateur un certificat sign
par une AC interne qui nest pas reconnue par le navigateur comme tant une autorit en mesure de
dlivrer des EV Certificate. Le certificat prsent est bien valide, le navigateur naffiche pas dalerte
de scurit, mais il ne teinte pas sa barre dadresse en vert. Lutilisateur est ainsi priv dindications
visuelles prvues lorigine pour renforcer le crdit quil accorde certains sites web.
Figure 4 Barre dadresse du navigateur Firefox lorsquun EV Certificate lui est prsent.
20. Extented Validation Certificate : littralement certificat validation tendue .
21. Procdure intitule EV SSL Certificate Guidelines publie par le CA/Browser Forum :
https://cabforum.org/extended-validation/.
22. Internet Explorer est le seul navigateur qui permet de passer outre la liste des autorits reconnues publiquement
aptes dlivrer des EV Certificate. Il permet ladministrateur dajouter des AC internes comme tant lgitimes pour
mettre des EV Certificate. Pour plus dinformations : http://technet.microsoft.com/en-us/library/dd759060.aspx.
R6
Une AC intermdiaire interne (sous-AC) doit tre ddie la signature des certificats
prsents par le proxy ses clients.
R7
Si la solution de proxy intgre nativement une AC (pr-configure en amont par
lditeur ou initialise linstallation), celle-ci ne doit pas tre utilise pour signer
de certificats. Lusage de ce type dAC prsente des risques : autorit identique sur
diffrents quipements, utilisation de gabarits non appropris, etc.
R8
Les cls prives associes aux certificats prsents par le proxy ses clients doivent
tre protges par des mcanismes adapts (se reporter au 2.4).
R9
Les certificats prsents par le proxy ses clients doivent tre gnrs en utilisant
des gabarits qui respectent les recommandations mentionnes dans les annexes du
RGS (se reporter au 2.3).
Voici quelques recommandations visant renforcer la scurit TLS entre les clients et le proxy.
R10
Le proxy ne doit permettre ltablissement de tunnels TLS quen utilisant les versions
de TLS les plus rcentes supportes par les navigateurs web des clients.
Lusage de TLS v1.1 (et versions suprieures) permet dviter dexposer les tunnels HTTPS
des attaques rcentes (BEAST 23 par exemple). Lensemble des versions de SSL (v2.0 et v3.0) doit
tre dsactiv au niveau du serveur TLS du proxy car les navigateurs rcents supportent a minima
TLS v1.0.
R11
Le proxy ne doit offrir ses clients que des suites cryptographiques robustes (se
reporter lannexe B de ce document).
Il est ncessaire de vrifier la compatibilit des suites retenues avec celles que supporte les na-
vigateurs web utiliss par les clients. La suite slectionne par le proxy pour tablir le tunnel TLS
avec le client doit tre la plus robuste parmi celles proposes par son navigateur (cette suite nest pas
ncessairement celle qui a la prfrence du client).
R12
Les suites cryptographiques les plus robustes offertes par le proxy doivent permettre
la PFS.
R13
La compression TLS doit tre dsactive au niveau du serveur TLS du proxy.
R14
Si le proxy supporte la reprise des sessions TLS, il est ncessaire de vrifier quels
mcanismes il implmente et comment ces derniers fonctionnent.
23. Browser Exploit Against SSL/TLS : Cette attaque publie en 2011 concerne les versions de TLS infrieures 1.1.
Elle est rfrence sous la CVE 2011-3389 (http://www.cvedetails.com/cve/CVE-2011-3389).
24. Compression Ratio Info-leak Made Easy : Cette attaque a t publie en 2012, elle est rfrence sous les
CVE 2012-4929 (http://www.cvedetails.com/cve/CVE-2012-4929) et 2012-4930 (http://www.cvedetails.com/cve/
CVE-2012-4930).
Voici quelques recommandations visant renforcer la scurit TLS entre le proxy et le serveur web
cible :
R15
Le comportement du proxy en tant que client TLS doit tre vrifi afin de sassurer
que celui-ci nintroduise pas de faiblesses lors de ltablissement des tunnels TLS. Il
est par exemple ncessaire de valider le fonctionnement du proxy lorsquun serveur
lui prsente un certificat qui nest plus valide.
Certaines solutions de proxy ne vrifient pas correctement les caractristiques des certificats prsen-
ts par les serveurs web (dure de validit, chane de certification, etc.), ce qui expose par transitivit
les clients 27 . Le fonctionnement des mcanismes de rvocation supports par le proxy doivent tre
tests afin de dterminer le comportement exact du proxy lorsque celui-ci reoit un certificat rvoqu.
R16
Le client TLS du proxy doit supporter TLS v1.1 et v1.2 afin de disposer du meilleur
niveau de scurit lorsque les sites web visits supportent ces versions rcentes du
protocole.
R17
Les suites cryptographiques supportes par le proxy doivent tre proposes au serveur
web selon un ordre pr-tabli. Les suites les plus robustes (incluant la PFS ) doivent
tre prfres.
R18
Si le client du proxy supporte la rengociation TLS, celle-ci doit tre scurise 28 .
Si un serveur web retient une suite cryptographique trop faible, cela signifie quelle fait partie
de celles proposes par le proxy. Ce dernier peut tre amen supporter des suites cryptographiques
qui ne sont pas robustes (au sens RGS du terme) pour des questions de compatibilit. Cependant, le
proxy peut tre configur pour interdire lusage de ces suites lorsque le site web demand par le client
appartient une catgorie qui exige un niveau de scurit lev (compatible avec les exigences du RGS
par exemple).
R20
La compression TLS doit tre dsactive au niveau du client TLS du proxy.
R21
La liste des AC publiques de confiance intgres la solution de proxy doit tre
vrifie linstallation et doit tre revue de faon rgulire.
Les AC publiques intgres la solution de proxy ont t juges de confiance par lditeur. Il
a donc choisi dintgrer les chanes de confiance associes dans le magasin de ses proxys. Cette liste
nest pas ncessairement la mme que celle prsente dans le magasin des navigateurs web des clients
du proxy. Il est possible que lquipement accorde sa confiance des autorits qui ont t retires du
magasin des versions rcentes des navigateurs, par exemple suite des incidents de scurit rendus
publics. Cest la raison pour laquelle le magasin du proxy doit tre vrifi et maintenu jour par les
personnes en charge de son exploitation. Il est possible que ce magasin soit modifi lors des mises jour
logicielles du proxy (les notes de version doivent tre consultes pour le vrifier) ou par lintermdiaire
dun mcanisme automatique spcifique la solution de proxy employe.
R22
Ne pas procder au dchiffrement de certains types de sites web identifis comme
tant destins un usage strictement personnel (certains sites bancaires par exem-
ple).
La dcision de ne pas dchiffrer le trafic HTTPS chang avec certains sites web doit tre prise
par le proxy avant ltablissement complet du tunnel TLS. Plusieurs possibilits existent mais elles
dpendent de la solution de proxy employe. Elles sont dtailles dans le paragraphe 3.3. Le dchiffre-
ment slectif prsente galement lavantage de diminuer la consommation de ressources au niveau du
proxy.
R24
Si le proxy transmet dautres quipements le contenu dchiffr des flux HTTPS,
les liens sur lesquels transitent ces informations doivent tre protgs logiquement et
physiquement pour viter tout accs illgitime aux donnes.
Le proxy peut par exemple transmettre le contenu dchiffr dautres quipements laide du
protocole ICAP 30 qui nest pas ncessairement scuris. Des proxys peuvent galement schanger des
donnes issues du traffic dchiffr lorsquils sont dploys en grappe.
Sans procder au dchiffrement du trafic HTTPS, il nest pas possible dinspecter le contenu des
changes HTTP. Cependant, il peut tre envisageable de raliser un filtrage lmentaire en procdant
lanalyse du contenu de certains flux transmis en clair avant ltablissement du tunnel TLS.
Il est par exemple possible danalyser le contenu de la demande de connexion HTTPS initiale
pour obtenir des informations concernant le site web demand. Lorsque les clients accdent un proxy
HTTP configur en mode explicite, la premire requte HTTPS utilise la mthode HTTP CONNECT
et contient en argument le FQDN 31 associ la premire URL demande par le client.
Lanalyse de la squence de ngociation TLS, qui dbute une fois le client connect au serveur,
permet galement dobtenir des informations concernant le site web demand quel que soit le mode
dans lequel le proxy est configur.
Voici les lments qui circulent en clair et quil est possible danalyser pour obtenir le domaine ou le
FQDN du site :
30. Internet Content Adaptation Protocol.
31. Full Qualified Domain Name ou nom dhte pleinnement qualifi (ex : www.ssi.gouv.fr).
4.1 Architecture
Lusage de serveurs mandataires inverses HTTP (ou reverse proxy HTTP) est une bonne pratique
darchitecture permettant de sassurer que lensemble des clients passent par un point de contrle unique
pour pouvoir accder des sites web hbergs sur des rseaux matriss. Cest donc au niveau du reverse
proxy que sont gnralement analyss les flux HTTPS entrants, si celui-ci dispose des fonctionnalits
permettant lanalyse de ce type de flux.
Remarque : Il nest pas recommand de procder lanalyse des flux HTTPS entrants laide dquipe-
ments qui ne se positionnent pas en coupure des sessions TLS (ex : sonde passive ). En effet, dans
ce type darchitecture, lquipement en charge de lanalyse ne peut procder au dchiffrement des flux
HTTPS que si les deux conditions suivantes sont remplies :
1. lquipement dispose dune copie des cls prives des sites web ;
2. les suites cryptographiques proposes par les serveurs web ne permettent pas la PFS. En effet,
lquipement en charge du dchiffrement doit tre en mesure de dterminer les cls de session
en utilisant uniquement les cls prives des serveurs web, ce qui nest pas possible avec la PFS.
Cette contrainte dgrade ainsi fortement le niveau de scurit des tunnels TLS tablis entre les
clients et les serveurs.
Ces architectures spcifiques ne seront pas traites dans la suite de ce document, nous considrerons
que le traitement des flux HTTPS est ralis par un quipement positionn en coupure des sessions
TLS et qui assure la fonction de reverse proxy.
Le fait de terminer les tunnels TLS au niveau du reverse proxy procure plusieurs avantages :
il est possible danalyser le contenu HTTP afin de protger les serveurs web internes contre des
menaces manant des clients : attaque au niveau applicatif, envoi de fichiers malveillants, etc. ;
il est possible dagir sur le contenu HTTP dlivr : mise en cache, rcriture, etc. ;
il est possible de configurer de faon homogne et centralise la politique de journalisation des
accs aux sites web, au mme titre que pour les flux HTTP non scuriss ;
la centralisation des configurations TLS de lensemble des sites web accessibles publiquement
permet dassurer une cohrence et une homognit au niveau du paramtrage TLS de chacun
dentre eux ;
la protection des cls prives associes aux certificats publics peut tre homogne et peut tre
plus facilement renforce (usage de HSM par exemple). Celle-ci ne dpend plus des mcanismes
de protection mis en uvre par les serveurs qui hbergent les sites web internes ;
il est possible de dcharger les serveurs web internes. Lorsque ces derniers sont accds laide
du protocole HTTP par le reverse proxy (se rfrer au 4.2.2.3), ils nont pas excuter les
oprations cryptographiques ncessaires ltablissement et au maintien de tunnels TLS.
En rsum, si le dchiffrement des flux HTTPS au niveau dun reverse proxy prsente quelques
inconvnients, ce choix darchitecture est particulierement pertinent pour exercer un contrle des don-
nes changes avec lextrieur. Ce type darchitecture permet galement dassurer lhomognit dun
ensemble dlments de configuration contribuant renforcer la scurit des tunnels TLS tablis avec
des clients non matriss.
Les PSCE qualifis par lANSSI sont rfrencs sur le site web du LSTI 33 . Certaines recomman-
dations mentionnes dans le guide ANSSI relatif lexternalisation 34 peuvent galement aider la
slection dun PSCE.
R25
Utiliser une AC opre sur le territoire national.
R26
Utiliser une AC qui propose des certificats compatibles avec les exigences formules
par le RGS.
R27
Utiliser une AC reconnue comme tant de confiance par une large majorit des na-
vigateurs web du march.
R28
Choisir un prestataire qui est en mesure dapporter des lments prouvant son
srieux : accs scuris au service client, engagements du support technique, cer-
tification 35 , dlivrance dEV Certificate, etc.
32. Prestataire de Service de Certification lectronique.
33. LSTI : Laboratoire en Sciences et Technologies de lInformation. La liste des PSCE qualifis est dtaille ladresse
http://www.lsti-certification.fr/images/liste_entreprise/ListePSCe.pdf.
34. http://www.ssi.gouv.fr/IMG/pdf/2010-12-03_Guide_externalisation.pdf.
35. Certification WebTrust For CA par exemple : http://www.webtrust.org.
Les recommandations suivantes visent renforcer la scurit TLS entre le reverse proxy et Inter-
net :
R29
Le reverse proxy ne doit permettre ltablissement de tunnels TLS quen utilisant les
versions rcentes de ce protocole.
Lusage de TLS v1.1 (et versions suprieures) permet dviter dexposer les tunnels HTTPS
des attaques rcentes (BEAST par exemple). Lensemble des versions de SSL (v2.0 et v3.0) doit tre
dsactiv. Par contre, pour des questions de compatibilit, il est encore ncessaire de supporter TLS
v1.0. Nanmoins, si cette version est active, il est ncessaire de vrifier que la solution de reverse
proxy employe implmente correctement les contre mesures corrigeant certaines vulnrabilits propres
cette version du protocole.
R30
Le reverse proxy ne doit proposer que des suites cryptographiques dont le niveau de
scurit est acceptable (se reporter lannexe B de ce document). Il doit slectionner
en priorit les suites les plus robustes (incluant la PFS ) parmi celles proposes par
le client.
R31
Seule une rengociation scurise peut tre autorise par le reverse proxy.
R32
Si le reverse proxy supporte la reprise de sessions TLS, il est ncessaire de dterminer
quels mcanismes il implmente et comment ces derniers fonctionnent.
La reprise de sessions TLS peut seffectuer en utilisant des identifiants de session (session ID)
ou des tickets de session (session ticket). Dans les deux cas, les informations sensibles relatives ltat
des sessions en cours sont manipules par le serveur TLS. Si ces donnes venaient tre compromises,
les sessions TLS pourraient tre dchiffres (mme si la PFS est active). Il est donc ncessaire de
sassurer que ces informations ne sont pas conserves abusivement par le reverse proxy. Idalement
ces donnes ne doivent tre stockes quen mmoire et durant un laps de temps dfini, de prfrence
configurable.
R33
La compression TLS doit tre dsactive au niveau du reverse proxy.
Lajout dinformations dans les en-ttes HTTP par un reverse proxy nest pas un mcanisme utilis
exclusivement pour propager des informations didentification, il peut par exemple tre employ pour
transmettre au serveur web cible ladresse IP originelle du client (en-tte X-Forwarded-For ).
Quel que soit le cas dusage, lajout dinformations dans les en-ttes HTTP peut prsenter un risque
si les clients sont en mesure de forger ces en-ttes en amont dans le but de tromper le serveur cible.
Pour viter cela, le reverse proxy doit vrifier au pralable les en-ttes des requtes HTTP quil reoit
des clients et doit procder leur nettoyage si ncessaire.
La mise en uvre de ce type darchitecture ne prsente pas de rel intrt dans la mesure o elle ne
permet pas au reverse proxy daccder au contenu HTTP. Ce dernier peut simplement sassurer que les
serveurs web internes tablissent les tunnels TLS en respectant les exigences de scurit auxquelles ils
sont normalement assujettis (suites cryptographiques, version de TLS, etc.). Ce type de configuration
oblige galement les serveurs web hberger leurs cls prives accompagnes de leurs certificats signs
par une AC dont la confiance est reconnue publiquement.
Voici une liste non exhaustive de bonnes pratiques de scurisation qui viennent en complment
de lusage du protocole HTTPS. Ces recommandations sont applicables directement au niveau de la
configuration des sites web hbergs.
R34
Ne pas activer le protocole de compression HTTP nomm SPDY 36 lorsquun site
web est accessible laide du protocole HTTPS.
Cette mesure est ncessaire afin de se prmunir contre lattaque CRIME mentionne prcdem-
ment. Cette dernire fonctionne non seulement lorsque la compression TLS est active mais galement
36. SPDY (se prononce speedy ) : Protocole de compression permettant lacclration du chargement du contenu
HTTP.
R35
Ne pas inclure de liens HTTP dans une page web accessible laide du protocole
HTTPS (problme dit de mixed content 37 ) .
Le fait dinclure du contenu non scuris dans une page accessible laide du protocole HTTPS
rend vulnrable le site web des attaques actives dites de lhomme du milieu ralises laide
de scripts malveillants. Certains navigateurs alertent lutilisateur lorsque des contenus de diffrentes
natures sont prsents dans une page web.
R36
Renforcer la scurit des cookies laide des attributs Secure et HttpOnly.
Lattribut Secure indique que le cookie ne peut tre transmis par le serveur que par lintermdiaire du
protocole HTTPS. Cela vite son envoi sans protection. Lattribut HttpOnly interdit laccs au cookie
par des scripts excuts par le navigateur du client. Cela rduit le risque dattaques de type XSS 38 .
R37
Utiliser les en-ttes HTTP HSTS 39 et CSP 40 pour renforcer la scurit de laccs et
du contenu des sites web.
Len-tte HSTS indique au navigateur du client (sil est compatible) que le site web doit tre ac-
cd uniquement laide du protocole HTTPS. Len-tte CSP permet de restreindre lorigine des
contenus (image, script, etc.) inclus dans une page. Cela permet de se prmunir contre les attaques
de type XSS en restreignant les domaines de provenance des contenus tiers prsents dans une page web.
La note technique ANSSI intitule Recommandations pour la scurisation des sites web 41 d-
taille plus largement les mesures de scurisation dun site web, quil soit accessible laide du protocole
HTTPS ou non.
37. https://developer.mozilla.org/en-US/docs/Security/MixedContent.
38. Cross-site scripting ou injection de code indirecte .
39. HTTP Strict Transport Security.
40. Content Security Policy.
41. http://www.ssi.gouv.fr/IMG/pdf/NP_Securite_Web_NoteTech.pdf.
Voici quelques exemples doutils 42 permettant de tester le paramtrage dun serveur TLS :
client OpenSSL : OpenSSL 43 est une implmentation de SSL/TLS en source ouverte. Cette bote
outils inclut en particulier un client SSL/TLS en ligne de commande : openssl s_client. Cet
outil offre des fonctionnalits tendues permettant dinterroger un serveur TLS et dinvestiguer
en dtail dventuels problmes de configuration. TLS v1.2 nest support qu partir de la version
1.0.1 dOpenSSL ;
SSLScan : cet outil repose sur OpenSSL. Il permet de tester un service SSL/TLS et offre en
particulier la possibilit de lister les suites cryptographiques supportes par le serveur. noter
que TLS v1.1 et v1.2 ne sont supports qu partir de la version 1.10.0 44 de SSLScan ;
SSLyze : cet outil est galement un scanner SSL/TLS qui repose aussi sur OpenSSL. TLS v1.2
nest support qu partir de la version 0.4 de SSLyze 45 .
Pour les services en ligne, le site https ://www.ssllabs.com (qui appartient lditeur de solutions
de scurit Qualys) met disposition gratuitement de nombreuses ressources concernant TLS (bonnes
pratiques, tableaux de bord, etc.). Il fournit en particulier des services permettant dvaluer en ligne
la configuration TLS dun client ou dun serveur.
42. Les outils et services sont donns titre indicatif sans garantie de lANSSI sur la confiance leur accorder.
43. http://www.openssl.org.
44. https://github.com/dinotools/sslscan.
45. https://github.com/isecpartners/sslyze.
Le chiffrement tant reli une technologie laquelle peuvent correspondre plusieurs usages, la prsente
note se limite au fait quil rpond au seul besoin de garantir la confidentialit des changes de donnes
lectroniques, lexclusion du chiffrement usage de signature ou dauthentification.
En tout tat de cause, le lecteur qui souhaite obtenir des informations plus dtailles est invit
se faire assister par un conseil.
La mise en place doutils de chiffrement est soumise des dispositions lgales relatives
la cryptologie dont la violation peut tre sanctionne sur le plan administratif, civil et
pnal 48 .
46. Loi n 2004-575 du 21 juin 2004 pour la confiance dans lconomie numrique (LCEN), art. 30 ; dcret n 2007-663
du 2 mai 2007 pris pour lapplication des articles 30,31 et 36 de la loi n 2004-575 du 21 juin 2004 pour la confiance dans
lconomie numrique et relatif aux moyens et aux prestations de cryptologie.
47. Informations complmentaires disponibles sur : http ://www.ssi.gouv.fr/fr/reglementation-ssi/cryptologie/ . Con-
tact : controle [at] ssi.gouv.fr.
48. En cas de non-respect de ces dispositions, des sanctions administratives telles linterdiction de mise en circulation
du moyen de cryptologie (art. 34 LCEN), des sanctions pnale assorties, le cas chant, de peines complmentaires telles
En consquence, lemployeur est lgitime dchiffrer les contenus de flux chiffrs transi-
tant sur les postes de travail de ses salaris, mais uniquement de faon encadre en raison
des risques juridiques lis au dchiffrement.
la confiscation, la fermeture dtablissement et lexclusion des marchs publics peuvent tre appliques. Dans ce dernier
cas, les articles 35, 36 et 37 de la LCEN prvoient notamment un an demprisonnement et 15.000 euros damende en cas
de non dclaration ou de communication dinformations et jusqu deux ans demprisonnement et 30.000 euros damende
en cas de non obtention dautorisation.
49. CA Paris, 4 mai 2007 : il est en outre impossible de se prvaloir de la faute contractuelle du cocontractant du fait
des comportements fautifs de ses propres salaris.
50. TGI Marseille, 11 juin 2003, D. 2003, le TGI avait jug solidairement responsable une socit qui avait fourni un
accs internet lun de ses salaris qui avait diffus des contenus prjudiciables sur internet par lintermdiaire de pages
personnelles.
51. Cass. Ass.pln., 19 mai 1988, n87682.654 et CA Versailles 5me ch. du 31 mars 2011 Michal P.C./Mireille B.-P.
illustrent la validation du licenciement pour faute grave dun salari ayant tlcharg illgalement des fichiers musicaux
sur son poste de travail.
52. Un arrt de la Cour dappel de Paris du 4 fvrier 2005 a pu jeter le doute sur lapplication du rgime juridique des
FAI aux employeurs mettant disposition de leurs salaris un accs Internet.
53. Cette interprtation est prsente de manire dtaille dans la note technique Recomman-
dations de scurit pour la mise en ouvre dun systme de journalisation rdige par lANSSI :
http ://www.ssi.gouv.fr/IMG/pdf/NP_Journalisation_NoteTech.pdf
54. Articles 34 et 34 bis de la loi n78-17 du 6 janvier 1978 relative linformatique, aux fichiers et aux liberts.
En dehors de ces hypothses, le dchiffrement dun flux chiffr, en particulier lorsquil concerne la
sphre personnelle, sur le lieu de travail pourrait notamment porter atteinte :
au secret des correspondances prives 56 ;
la protection des donnes caractre personnel 57 ;
la vie prive 58 des utilisateurs en dehors et dans le cadre du travail ;
la sensibilit des informations (dchiffrement de donnes protges par le secret professionnel,
par une rglementation telle la rglementation relative la protection du patrimoine scientifique
et technique de la nation 59 ou le secret de la dfense nationale 60 ).
Le dchiffrement soulve galement des risques juridiques dans le cadre de lintervention de tiers sur les
systmes dinformation (sous-traitance, audit des systmes dcouvrant des vulnrabilits contenant des
donnes caractre personnel, etc.). Afin de prvenir ces risques, il est primordial dencadrer juridique-
ment cette possibilit dans le contrat dexternalisation, notamment en soumettant le sous-traitant
des obligations identiques celles auxquelles se soumet lemployeur pour prserver sa responsabilit 61 .
Le dchiffrement dun flux chiffr peut porter atteinte aux liberts individuelles et engager
la responsabilit de lemployeur qui naurait pas prvu les mesures destines prserver
celles-ci.
55. Larticle 434-15-2 du code pnal prvoit galement trois ans demprisonnement et 45.000 euros damende si le dten-
teur des cls de dchiffrement de donnes chiffres ne les fournit pas lautorit judiciaire et aux services dinvestigation
qui peuvent en avoir besoin dans le cadre dune enqute pnale.
56. Article 226-15 du code pnal.
57. Articles 226-16 226-24 du code pnal.
58. Articles 226-1 226-7 du code pnal.
59. La protection du potentiel scientifique et technique de la nation est dfinie par le dcret n2011-1425 du 2 novembre
2011 portant application de larticle 413-7 du code pnal et relatif la protection du potentiel scientifique et technique de
la nation et par larrt du Premier ministre du 3 juillet 2012 relatif la protection du potentiel scientifique et technique
de la nation.
60. Instruction gnrale interministrielle n1300/SGDSN/PSE/PSD du 30 novembre 2011 sur la protection du secret
de la dfense nationale.
61. titre dexemple, T. Corr Nanterre, 10 novembre 2011 : la responsabilit pnale de lentreprise est retenue du fait
des infractions commises par son sous-traitant sur le systme dinformations dune autre entit. Il est donc primordial
dencadrer le contenu des contrats des sous-traitants et surtout le primtre de leurs interventions pour ne pas risquer
de contrevenir aux lgislations prcises dans la note. En outre, la mise en place de procdures de contrle internes
pour viter toute ingrence dun sous-traitant est recommande (sous-traitant en charge de dchiffrer les contenus, par
exemple, qui devra respecter les obligations mises la charge dun administrateur.).
Le dchiffrement ne doit pas tre mis en place sans avoir satisfait des formalits lgales et
sans avoir anticip sa mise en place pour assurer son opposabilit aux salaris de lentit.
Selon la jurisprudence 65 , ladministrateur peut, dans le cadre de ses fonctions et en particulier pour
garantir la scurit du rseau, de manire intentionnelle ou non, avoir accs des informations relevant
de la vie prive et des correspondances prives des utilisateurs. Laccs de telles donnes ne peut tre
justifi que dans les cas o le bon fonctionnement et le maintien en condition de scurit du rseau des
systmes informatiques ne peuvent tre assurs par dautres moyens moins intrusifs. Lutilisateur doit
tre prsent, ou dment appel 66 , en cas de lecture de contenus identifis comme personnels ou
privs 67 .
62. Ces principes gnraux sont les principes retenus dans les jurisprudences relatives au droit du travail et dont
lapprciation du respect reste soumise lapprciation souveraine des juges.
63. Article 2323-32 du code du travail.
64. Article 1121-1 du code du travail.
65. CA de Paris, 11me chambre, 17 dcembre 2001 : [i]l est dans la fonction des administrateurs de rseaux dassurer
le fonctionnement normal de ceux-ci ainsi que leur scurit ce qui entrane entre autre, quils aient accs aux messageries
et leur contenu [. . . ]. Par contre, la divulgation du contenu des messages, et notamment du dernier qui concernait le
conflit latent dont le laboratoire tait le cadre, ne relevait pas de cet objectif .
66. Cass, Soc., 17 juin 2009, n pourvoi 08-40274.
67. Cass, Soc., 17 mai 2005, n pourvoi 03-40017.
Ladministrateur peut dans le cadre de ses missions dchiffrer des donnes tout en restant
soumis une obligation de confidentialit.
En conclusion, la mise en place dun dispositif de dchiffrement par lentit doit tre
encadre juridiquement :
par la charte dutilisation des moyens informatiques et de communications lectroniques
rdige par lemployeur et annexe au rglement intrieur de lentit, aprs consultation
des instances reprsentatives du personnel. Celle-ci devra prvoir, notamment, les rgles
dutilisation des moyens mis disposition par lemployeur, les modalits daccs aux
donnes et aux quipements, lhypothse, les sanctions en cas de non-respect, etc. ;
par la mise en place dun administrateur expressment autoris accder aux contenus
dchiffrs moyennant le respect dune obligation de confidentialit qui le lie, y compris
lgard de lemployeur ;
par la politique de scurit des systmes dinformation de lentit qui devra envisager
cette hypothse, et ventuellement le cas des sous-traitants ;
par les dclarations adaptes la CNIL en considrant avec soin les finalits pour
lesquelles le dchiffrement est envisag.
Cl_[Auth]_Sym_Hach
Il est souvent trs difficile de restreindre la liste des suites cryptographiques en se basant uniquement
sur les exigences listes dans le RGS. Cela conduit en effet la dfinition dune liste trs rduite ne
permettant pas dassurer une compatibilit suffisante pour pouvoir tre utilise dans un environnement
de production htrogne. Cependant les suites privilgier doivent permettre la PFS et doivent em-
ployer des algorithmes et des tailles de cls robustes au sens RGS du terme.
Les suites cryptographiques quil est possible de considrer comme acceptables 70 , pour TLS unique-
ment (v1.0, 1.1 et 1.2), doivent respecter les recommandations suivantes :
lusage de suites dont lune des composantes est NULL est proscrire ;
lusage de suites permettant une authentification anonyme (anon) est proscrire ;
moins quelles ne soient explicitement souhaites, les suites reposant sur lun des mcanismes
dchange de cls suivant sont proscrire : PSK, SRP, KRB5 ;
lusage de suites utilisant MD5 comme fonction de hachage est proscrire ;
lusage de suites utilisant un des algorithmes de chiffrement symtrique suivant est proscrire :
DES, RC2, RC4 ;
lusage de suites utilisant un mcanisme dchange de cls bas sur DSS est proscrire ;
lusage de suites utilisant SHA1 comme fonction de hachage est tolr, mais il est conseill de
privilgier des fonctions plus robustes telles que SHA256 ;
lusage de suites utilisant 3DES comme algorithme de chiffrement symtrique est tolr en dernier
recours, mais il est conseill dutiliser des algorithmes robustes tels que AES128 ;
si TLS v1.0 est activ, il est ncessaire de sassurer que limplmentation du composant utilis
(client ou serveur TLS) inclut les contre mesures permettant de rendre inoprante lattaque
BEAST sur le mode CBC des algorithmes concerns (CVE 2011-3389 71 ).