La CNIL encadre le déchiffrement des flux HTTPS

Destiné à assurer la confidentialité et l’intégrité des communications de bout en bout entre un client et un serveur, l’usage du protocole HTTPS peut « poser un problème de sécurité au sein des organismes », qui ont par là même légitimité à déchiffrer les flux ainsi protégés pour les analyser. Telle est la position de la CNIL (Commission nationale de l’informatique et des libertés).

L’autorité administrative indépendante reconnaît que le chiffrement des canaux de communication en HTTPS – déclinaison sécurisée de HTTP encapsulé à l’aide du protocole TLS – est « de plus en plus préconisé et mis en œuvre » (banque en ligne, webmails, téléservices…). Elle recommande d’ailleurs son utilisation pour réduire les risques liés à l’interception de données, que ce soit pour les écouter et les modifier.

Problème : ce mécanisme est a priori incompatible avec d’autres exigences de sécurité complémentaires visant à inspecter le contenu des échanges. Le chiffrement rend effectivement impossible la surveillance des données entrantes et sortantes. Ce qui expose les entreprises à des fuites de données (volontaires ou accidentelles) et à des attaques extérieures.

A cet égard, la CNIL estime que l’analyse d’un contenu sécurisé à l’aide de TLS peut se justifier, afin de s’assurer que les données provenant d’un réseau non maîtrisé (Internet par exemple) ne représentent pas une menace pour le SI interne.

Il appartient néanmoins aux responsables de la sécurité des systèmes d’information (RSSI) de respecter certaines recommandations d’ordre technique, formulées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) dans un document du 9 octobre 2014 (PDF, 34 pages).

Une information nécessaire et encadrée

Deux scénarios sont abordés dans cette note d’information : d’une part, le déchiffrement des flux HTTPS de client présents sur le SI en direction de sites Web externes ; de l’autre, la connexion de clients externes à des sites Web hébergés au sein d’un SI maîtrisé.

Pour l’ANSSI, la mise en œuvre du déchiffrement requiert un niveau de connaissance suffisant dans les IGC (infrastructures de gestion des clés) et dans la cryptographie. D’autant plus qu’une telle mesure présente des risques, car elle entraîne la rupture momentanée d’un canal sécurisé.

Au-delà des considérations techniques s’imposent les aspects réglementaires, constate ITespresso. Du point de vue « informatique et libertés », le déchiffrement est légitime du fait que l’employeur doit assurer la sécurité de son SI. Il lui appartient toutefois d’informer précisément ses salariés : catégories de personnes impactées, nature de l’analyse réalisée, modalités d’investigation…

Ces éléments pourront figurer dans la charte d’utilisation des moyens informatiques, au même titre que les raisons de ce déchiffrement, qu’il s’agisse d’identifier des logiciels malveillants, de protéger le patrimoine informationnel ou encore de détecter des flux sortants anormaux.

La CNIL suggère par ailleurs d’imposer une gestion stricte des droits d’accès des administrateurs aux courriers électroniques, lesquels sont présumés avoir un caractère professionnel sauf s’ils sont identifiés comme étant personnels.

Autres recommandations : minimiser les traces conservées (pas d’identifiant, ni de mot de passe) et protéger les données d’alertes extraites de l’analyse (chiffrement, stockage en dehors de l’environnement de production, durée de conservation de 6 mois maximum).

Chiffrement : la NSA plaide pour un cadre légal d’accès aux communications