Pour gérer vos consentements :

Sécurité IT : quand les entreprises cassent le chiffrement

Destiné à assurer la confidentialité et l’intégrité des communications de bout en bout entre un client et un serveur, l’usage du protocole HTTPS peut « poser un problème de sécurité au sein des organismes », qui ont par là même légitimité à déchiffrer les flux ainsi protégés pour les analyser.

Telle est la position de la CNIL (Commission nationale de l’informatique et des libertés).

L’autorité administrative indépendante reconnaît que le chiffrement des canaux de communication en HTTPS – déclinaison sécurisée de HTTP encapsulé à l’aide du protocole TLS – est « de plus en plus préconisé et mis en oeuvre » (banque en ligne, webmails, téléservices…). Elle recommande d’ailleurs son utilisation pour réduire les risques liés à l’interception de données, que ce soit pour les écouter et les modifier.

Problème : ce mécanisme est a priori incompatible avec d’autres exigences de sécurité complémentaires visant à inspecter le contenu des échanges. Le chiffrement rend effectivement impossible la surveillance des données entrantes et sortantes. Ce qui expose les entreprises à des fuites de données (volontaires ou accidentelles) et à des attaques extérieures.

A cet égard, la CNIL estime que l’analyse d’un contenu sécurisé à l’aide de TLS peut se justifier, afin de s’assurer que les données provenant d’un réseau non maîtrisé (Internet par exemple) ne représentent pas une menace pour le SI interne.

Il appartient néanmoins aux responsables de la sécurité des systèmes d’information (RSSI) de respecter certaines recommandations d’ordre technique, formulées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) dans un document du 9 octobre 2014 (PDF, 34 pages).

Avec des pincettes

Deux scénarios sont abordés dans cette note d’information : d’une part, le déchiffrement des flux HTTPS de client présents sur le SI en direction de sites Web externes ; de l’autre, la connexion de clients externes à des sites Web hébergés au sein d’un SI maîtrisé.

Pour l’ANSSI, la mise en oeuvre du déchiffrement requiert un niveau de connaissance suffisant dans les IGC (infrastructures de gestion des clés) et dans la cryptographie. D’autant plus qu’une telle mesure présente des risques, car elle entraîne le rupture momentanée d’un canal sécurisé.

Au-delà des considérations techniques s’imposent les aspects réglementaires. Du point de vue « informatique et libertés », le déchiffrement est légitime du fait que l’employeur doit assurer la sécurité de son SI. Il lui appartient toutefois d’informer précisément ses salariés : catégories de personnes impactées, nature de l’analyse réalisée, modalités d’investigation…

Ces éléments pourront figurer dans la charte d’utilisation des moyens informatiques, au même titre que les raisons de ce déchiffrement, qu’il s’agisse d’identifier des logiciels malveillants, de protéger le patrimoine informationnel ou encore de détecter des flux sortants anormaux.

La CNIL suggère par ailleurs d’imposer une gestion stricte des droits d’accès des administrateurs aux courriers électroniques, lesquels sont présumés avoir un caractère professionnel sauf s’ils sont identifiés comme étant personnels.

Autres recommandations : minimiser les traces conservées (pas d’identifiant, ni de mot de passe) et protéger les données d’alertes extraites de l’analyse (chiffrement, stockage eh dehors de l’environnement de production, durée de conservation de 6 mois maximum).

Crédit photo : barkas – Shutterstock.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago