Analyse de flux https : bonnes pratiques et questions
Protéger les canaux de communication à l'aide d'https devient courant ...
En effet, le chiffrement des canaux de communication à l'aide du protocole https est de plus en plus préconisé et mis en œuvre (par exemple sur les sites de banque en ligne, sur les messageries électroniques, pour les téléservices, etc.). La CNIL recommande d'ailleurs son utilisation pour protéger les flux de données circulant via Internet entre le poste d'un internaute et le site web, car il réduit considérablement les risques liés à l'interception de communications, que ce soit pour les écouter ou pour les modifier.
... mais la protection apportée peut également poser un problème de sécurité au sein des organismes
Cette mesure peut également constituer une vulnérabilité pour la sécurité des systèmes d'information d'un organisme, puisqu'elle rend impossible la surveillance des données entrantes et sortantes. Ainsi, volontairement ou non, des salariés peuvent faire sortir des informations du réseau interne, ou faire entrer des codes malveillants, à leur insu comme à celui de leur employeur.
Certains employeurs souhaitent donc déchiffrer les flux https pour les analyser
De nombreux responsables de la sécurité des systèmes d'information (RSSI) souhaiteraient pouvoir déchiffrer le flux de données, pour analyser automatiquement son contenu avec des outils de sécurité ad-hoc, avant de re-chiffrer le flux et de le renvoyer vers sa destination. Techniquement, les bonnes pratiques pour réaliser cette action sont décrites par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) dans ses " Recommandations de sécurité concernant l'analyse des flux https ".
Du point de vue " informatique et libertés " : une mesure légitime, mais qui doit être encadrée
Du point de vue " informatique et libertés ", ce déchiffrement est légitime du fait que l'employeur doit assurer la sécurité de son système d'information. Pour ce faire, il peut fixer les conditions et limites de l'utilisation des outils informatiques. Toutefois, le recours au déchiffrement doit être encadré et peut faire l'objet des mesures suivantes :
- une information précise des salariés (sur les catégories de personnes impactées par la solution, la nature de l'analyse réalisée, les données conservées, les modalités d'investigation, les sites faisant l'objet d'une liste blanche, l'existence de dispositifs permettant une utilisation personnelle qui ne serait pas soumis à l'analyse des flux), par exemple dans la charte d'utilisation des moyens informatiques. L'information doit aussi préciser les raisons de cette mesure (identification de logiciels malveillants, protection du patrimoine informationnel, détection de flux sortants anormaux) ;
- une gestion stricte des droits d'accès des administrateurs aux courriers électroniques, lesquels sont présumés avoir un caractère professionnel sauf s'ils sont identifiés comme étant personnels ;
- une minimisation des traces conservées (ex : fichier malveillant, source, destination, et non identifiants et mots de passe) ;
- une protection des données d'alertes extraite de l'analyse (ex : chiffrement, stockage en dehors de l'environnement de production et durée de conservation de 6 mois maximum).
Une question en suspens : le déchiffrement porte-t-il d'une atteinte aux systèmes de traitements automatisés de données (STAD) ?
Les dispositions figurant aux articles 323-1 à 323-7 du code pénal interdisent notamment " d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un STAD " et " d'entraver ou de fausser le fonctionnement d'un STAD ". Cette question est particulièrement importante dès lors que le déchiffrement met potentiellement en cause la sécurité des communications initiées par un tiers et la confidentialité des données qu'il transmet. Elle relève de la compétence du juge, la CNIL n'étant pas compétente pour apprécier une éventuelle infraction au code pénal sur ce point. Le recours au déchiffrement de flux https pourrait donc nécessiter une base légale justifiant qu'il puisse être porté atteinte aux mesures techniques déployées par des tiers pour garantir la confidentialité de leurs échanges.