Discussion :

[Stéphane le calme]

La CNIL autorise l'analyse du flux https des salariés par leur employeur,
sous réserve qu'elle soit encadrée

Le 31 mars dernier, la CNIL (Commission Nationale Informatique et Libertés) a publié un article traitant de l’analyse de flux https, qui permet de protéger la confidentialité des échanges pour les services en ligne. Tout d’abord la CNIL a vivement recommandé l’utilisation de ce protocole car il réduit considérablement les risques liés à l'interception de communications, que ce soit pour les écouter ou pour les modifier. Cependant, elle note que cette mesure peut également constituer une vulnérabilité pour la sécurité des systèmes d'information d'un organisme, puisqu'elle rend impossible la surveillance des données entrantes et sortantes. Ainsi, volontairement ou non, des salariés peuvent faire sortir des informations du réseau interne, ou faire entrer des codes malveillants, à leur insu comme à celui de leur employeur.

C’est dans ce contexte que la CNIL a évoqué des règles à respecter pour pouvoir déchiffrer et analyser ces flux. Une mesure qui va venir rassurer les employeurs qui déchiffrent déjà les flux https de leurs salariés lorsqu’ils naviguent sur internet puisque la CNIL explique que « du point de vue " informatique et libertés ", ce déchiffrement est légitime du fait que l'employeur doit assurer la sécurité de son système d'information ».

La CNIL a tout de même défini le contexte dans lequel le recours au déchiffrement pourra être réalisé en proposant les mesures suivantes :

• une information précise des salariés (sur les catégories de personnes impactées par la solution, la nature de l'analyse réalisée, les données conservées, les modalités d'investigation, les sites faisant l'objet d'une liste blanche, l'existence de dispositifs permettant une utilisation personnelle qui ne serait pas soumis à l'analyse des flux), par exemple dans la charte d'utilisation des moyens informatiques. L'information doit aussi préciser les raisons de cette mesure (identification de logiciels malveillants, protection du patrimoine informationnel, détection de flux sortants anormaux) ;
  
• une gestion stricte des droits d'accès des administrateurs aux courriers électroniques, lesquels sont présumés avoir un caractère professionnel sauf s'ils sont identifiés comme étant personnels ;
  
• une minimisation des traces conservées (ex : fichier malveillant, source, destination, et non identifiants et mots de passe) ;
  
• une protection des données d'alertes extraite de l'analyse (ex : chiffrement, stockage en dehors de l'environnement de production et durée de conservation de 6 mois maximum).

Cependant, l’article 323-1 alinéa 1 du Code pénal incrimine « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende ». L’article 323-7 du même code incrimine la tentative. La CNIL estime que cette question est particulièrement importante dès lors que le déchiffrement met potentiellement en cause la sécurité des communications initiées par un tiers et la confidentialité des données qu'il transmet.

La CNIL se dédouane en expliquant que cette question relève de la compétence du juge, « la CNIL n'étant pas compétente pour apprécier une éventuelle infraction au code pénal sur ce point ». Aussi, le recours au déchiffrement de flux https pourrait donc nécessiter une base légale justifiant qu'il puisse être porté atteinte aux mesures techniques déployées par des tiers pour garantir la confidentialité de leurs échanges.

Source : CNIL

Et vous ?

Qu'en pensez-vous ?

[foreme1]

La CNIL autorise l'analyse du flux https ... mais à quoi bon puisque c'est encrypté ?
Je veux bien admettre que la NSA puisse décrypter le https dû à des backdoors, mais la NSA c'est un monde à part. Une entreprise NE peut PAS (en théorie) tirer aucune information des flux https, à part la destination des paquets.

L'autorisation de la CNIL est purement hypocrite non?
Corrigez-moi si je n'ai rien compris au https SVP

[7ider5]

@foreme1

Il se peut que le certificat utilisé soit délivré par ton entreprise plutôt que par une instance publique, ton patron est donc en mesure de déchiffrer les flux.

Voir la note technique de l'ANSSI : http://www.ssi.gouv.fr/uploads/IMG/p...S_NoteTech.pdf

[quicky2000]

je confirme ce que dit 7ider5. Dans mon entreprise il y a un proxy qui t envoie un faux certificat HTTPS et fait un Man-in-the-midlle resultat tu es connecte encrypte sur le proxy qui decrypte le flux et se connecte en https sur le site que tu visais.
Firefox te previent qu il y a un truc de bizarre avec le certificat donc tu t en rends compte par contre IE ne dit absolument rien ( du moins la version qu on a et qui est assez ancienne).
Avec firefox si le site web n a pas active le HSTS tu peux mettre une exception de securite pour passer outre sinon tu es coince et tu n as plus qu a utiliser IE qui te laisse croire que tout est OK

[devyg]

Pour préciser la réponse déjà donnée :
— Tu te connectes à un site HTTPS en passant par le proxy MITM de ton entreprise.
— Le proxy se connecte lui-même au site voulu en jouant le rôle du client ; la négociation de sécurité se fait donc entre le proxy et le site cible. Tout comme un navigateur ordinaire, le proxy reçoit donc la page en clair, le transfert de données entre le proxy et le serveur cible restant cependant sécurisé.
— Le proxy doit maintenant retourner le résultat au navigateur, qui l’a demandé en HTTPS. Il joue alors le rôle d’un serveur et, comme tout serveur HTTPS, négocie la sécurité avec le navigateur, en s’appuyant sur un certificat, généré à la volée pour avoir l’air d’appartenir au site cible.
— Le navigateur vérifie systématiquement que le certificat qu’on lui présente a bien été généré par le domaine web qu’il prétend représenter. Pour cela, le certificat est en principe signé par une autorité de confiance. Dans le cas présent, le certificat a été généré à la volée et l’autorité de confiance est l’entreprise elle-même, dont un navigateur lambda n’a aucune connaissance.

L’astuce, c’est que, dans ces entreprise qui pratique le MITM, le navigateur est en principe fourni à l’employé, que ce soit IE ou Firefox. Et dans ce navigateur « maison », un certificat d’autorité de confiance appartenant à l’entreprise a été ajouté.
Dans ce scénario, tous les sites HTTPS ont l’air d’avoir fait signer leurs certificats par une unique autorité de confiance : ton entreprise. Le navigateur connaît cette autorité ; il est content.

Mais si tu te ramènes avec ton FirefoxPortable, ou ChromePortable, ou simplement que tu installes toi-même un navigateur alternatif sur ton PC, tout à coup, l’autorité de confiance n’est pas reconnue et tu as une alerte sur tous les sites HTTPS ! Tu peux enregistrer le certificat comme autorité de confiance et l’alerte disparaît.

Dans tous les cas, navigateur de l’entreprise avec magasin de certificats pré-modifié, ou navigateur perso, ton entreprise peut tout analyser en clair.

[NB. Ça serait bien de corriger la prise en charge de l’UTF-8. Les espaces insécables qui deviennent des étoiles, c’est moyen…]

[quicky2000]

L’astuce, c’est que, dans ces entreprise qui pratique le MITM, le navigateur est en principe fourni à l’employé, que ce soit IE ou Firefox. Et dans ce navigateur « maison », un certificat d’autorité de confiance appartenant à l’entreprise a été ajouté.
Dans ce scénario, tous les sites HTTPS ont l’air d’avoir fait signer leurs certificats par une unique autorité de confiance : ton entreprise. Le navigateur connaît cette autorité ; il est content.

Mais si tu te ramènes avec ton FirefoxPortable, ou ChromePortable, ou simplement que tu installes toi-même un navigateur alternatif sur ton PC, tout à coup, l’autorité de confiance n’est pas reconnue et tu as une alerte sur tous les sites HTTPS ! Tu peux enregistrer le certificat comme autorité de confiance et l’alerte disparaît.

Dans tous les cas, navigateur de l’entreprise avec magasin de certificats pré-modifié, ou navigateur perso, ton entreprise peut tout analyser en clair.

Tout a fait. Dans mon cas le navigateur coporate est IE et ils ont effectivement ajoute l autorite de confiance.
Firefox je l ai installe moi meme et je n ai volontairement pas ajoute l autorite afin d etre bien conscient des sites sur lesquels il y avait le MITM. Au depart c etait tous les sites HTTPS y compris les sites des banques !
Depuis les banques ont ete mises sur liste blanche.
Le pire reste quand meme le MITM sur le site qui est utilise pour faire les demandes de depot de brevet alors que la boite qui fournit le service MITM est une boite americaine soumise entre autre au patriot act. Vive les possibilites d espionnage economique...

[expertsecu]

Cela me parait très douteux légalement :

1) la fabrication d'un faux certificat ressemble à "faux et usage de faux"

2) il y a un problème de contrefaçon de marque "Google" est un nom déposé, qu'on ne peut pas apposer sur un certificat qui n'appartient pas à Google

3) il y a un accès non autorisé à un système d'information (crime informatique aux USA)

Il doit y avoir d'autres problèmes auxquels je ne pense pas.

Sans parler des graves problèmes de sécurité que ça pose.

[quicky2000]

Cela me parait très douteux légalement :

C est aussi ce que nous avions fait valoir mais on nous avait répondu que le département légal de l entreprise avait valide que c était conforme au droit français. je crois que les syndicats avaient demande une contre-expertise mais que ça n avait débouché sur rien

1) la fabrication d'un faux certificat ressemble à "faux et usage de faux"

On voit bien que c est un certificat signé d une autre autorité de certification. Quand firefox te lève l exception de sécurité et que tu demandes a voir le certificat c est écrit en toute lettre que c est un certificat emit la boite qui fournit la solution MITM

2) il y a un problème de contrefaçon de marque "Google" est un nom déposé, qu'on ne peut pas apposer sur un certificat qui n'appartient pas à Google

Cf ma réponse précédente

3) il y a un accès non autorisé à un système d'information (crime informatique aux USA)

Dans notre cas pour accéder au web il faut accepter la charte de bon usage des systèmes informatiques et c est clairement écrit dedans qu ils ont accès au contenu des flux https donc tu autorises l accès si tu acceptes la charte...

Il doit y avoir d'autres problèmes auxquels je ne pense pas.

Sans parler des graves problèmes de sécurité que ça pose.

tout a fait

[Flaburgan]

Voici une des boites qui proposent ce genre de solutions : https://www.zscaler.com/

[Invité]

Il y a cette affaire très récente de faux certificat GOOGLE :

Google rejette en bloc les certificats de sécurité du chinois CNNIC

La semaine dernière, une autorité de certification avait produit au moins un certificat au nom de Google pour une utilisation que la firme de Mountain View était loin d’accepter. La conséquence est radicale : Google vient de bannir l’ensemble des certificats produits par CNNIC, au risque de provoquer toute une série de problèmes chez les utilisateurs. Mozilla se prépare de son côté à une action plus nuancée.

Un certificat généré au nom de Google, sans son autorisation

Rappel des faits. MCS Holdings, une autorité intermédiaire de certification opérant pour le compte de l’entreprise chinoise CNNIC (China Internet Network Information Center) a généré un certificat estampillé Google. Ce dernier a été utilisé dans un proxy agissant comme un « homme au milieu », capable de lire les transmissions de données sécurisées. Il s’agissait a priori pour CNNIC de mettre en place un équipement qui permettrait de vérifier ce qui entrait et sortait de son entreprise, donc de vérifier l’activité des employés et les échanges avec les clients. Un point sensible actuellement, comme l’ont montré en France les recommandations de la CNIL très récemment.

Le problème est que le certificat de sécurité a été généré au nom de Google sans aucune autorisation. La colère de l’entreprise ne s’est pas fait attendre : si toutes les autorités de certification se mettaient à créer de fausses preuves d’identité, comment être sûr finalement qu’un site est bien ce qu’il prétend être. En fait, comme nous l’indiquait justement Stéphane Bortzmeyer de l’Afnic la semaine dernière, les autorités sont des entreprises, donc gouvernées par des impératifs commerciaux. Si l’une d’entre elles refuse de délivrer un certificat, le client peut très bien s’adresser à un autre.

[Invité]

je confirme ce que dit 7ider5. Dans mon entreprise il y a un proxy qui t envoie un faux certificat HTTPS et fait un Man-in-the-midlle resultat tu es connecte encrypte sur le proxy qui decrypte le flux et se connecte en https sur le site que tu visais.
Firefox te previent qu il y a un truc de bizarre avec le certificat donc tu t en rends compte par contre IE ne dit absolument rien ( du moins la version qu on a et qui est assez ancienne).
Avec firefox si le site web n a pas active le HSTS tu peux mettre une exception de securite pour passer outre sinon tu es coince et tu n as plus qu a utiliser IE qui te laisse croire que tout est OK

En résumé "mon entreprise" me fait croire que je suis connecté à "ma banque" alors que que je suis connecté au proxy de "mon entreprise" : il y a bien falsification d'identité pour moi. La moindre faille dans ce merdier, et merci les problèmes et la détermination des responsabilités. Autant interdire l'internet au boulot alors. Au moins, les risques sont proches de zéro...

[linfo78]

Si personne n'a encore compris que l'internet personnel est un danger pour l'entreprise ...
Mais il y a d'autres solutions.
Mettre en place dans l'entreprise une connexion internet et des ordinateurs dédiés aux communications privées.
Bien sûr, les ordis proposés n'ont aucune possibilité de connexion locale : usb, firewire, cd-dvd.
Et les mobiles privés se connectent uniquement à ce(s) point(s) d'accès.
Ca existe depuis des années et tout le monde est content.

Et puis, se "détendre" avec internet ... faut vite voir un psy !

[quicky2000]

Si personne n'a encore compris que l'internet personnel est un danger pour l'entreprise ...
Mais il y a d'autres solutions.
Mettre en place dans l'entreprise une connexion internet et des ordinateurs dédiés aux communications privées.
Bien sûr, les ordis proposés n'ont aucune possibilité de connexion locale : usb, firewire, cd-dvd.
Et les mobiles privés se connectent uniquement à ce(s) point(s) d'accès.
Ca existe depuis des années et tout le monde est content.

Oui c est une solution mais t as des boites pour qui c est inenvisageable de mettre en place des moyens dédiés pour quelque chose qui n est pas professionnel et qui préféreront investir dans des solutions a la zscaler pour s assurer que la connection n est utilisée qu a usage professionnel