En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookie.
J'accepte. En savoir plus, paramétrer et ou s'opposer à ces cookies.

Les enjeux juridiques et techniques du déchiffrement des flux https par les entreprises

L’utilisation du protocole https pour sécuriser les communications électroniques est de plus en plus fréquente.
Mais le recours à ce type de protection pose également des problèmes aux entreprises. Celles-ci doivent pouvoir être en mesure de contrôler les flux qui entrent et qui sortent de leur système d’information. Sans cela, elles courent le risque de transmission volontaire ou non de données sensibles, d’intrusion de logiciels malveillants…

Les enjeux juridiques et techniques du déchiffrement des flux https par les entreprises

L’utilisation du protocole https pour sécuriser les communications électroniques est de plus en plus fréquente. Elle permet de sécuriser les échanges en veillant à la fois à leur intégrité et à leur confidentialité. Elle est d’ailleurs préconisée par la CNIL afin de réduire les risques d’interception des communications. Elle est également en train de devenir une des bonnes pratiques exigées par Google à l’encontre des sites web qu’il indexe. En effet, l’algorithme du moteur de recherche prend en compte ce critère pour le référencement des sites.
Mais le recours à ce type de protection pose également des problèmes aux entreprises. Celles-ci doivent pouvoir être en mesure de contrôler les flux qui entrent et qui sortent de leur système d’information. Sans cela, elles courent le risque de transmission volontaire ou non de données sensibles, d’intrusion de logiciels malveillants… Elles ont donc besoin de déchiffrer les flux entrants et sortants, ce qui peut entrer en conflit avec le respect de la vie privée des employés. La position de la CNIL sur ce sujet est claire : la volonté des DSI de déchiffrer les flux https est légitime mais la pratique doit être encadrée afin d’éviter toute dérive. Elle préconise de suivre les consignes présentes dans la note technique de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) : "Recommandations de sécurité concernant l’analyse des flux https".

Le déchiffrement des flux sortants

La solution la plus commune pour le déchiffrement des flux sortants est la mise en place d’un proxy entre le système d’information sécurisé de l’entreprise et les serveurs des sites web consultés. Ce proxy aura également le rôle de serveur TLS (c’est ce protocole qui permet de sécuriser les flux http en flux https).
Concrètement, un flux https a lieu entre un client TLS et un serveur TLS. Le client est l’entité qui émet la demande, qui envoie le flux. Le serveur est l’entité qui reçoit le flux. En l’absence de proxy, lorsqu’un employé va accéder à un site web, il va directement envoyer des données vers le site cible par l’intermédiaire d’un unique tunnel TLS. La présence d’un proxy va servir de garde-fous pour pouvoir contrôler les données envoyées. Le proxy va s’interposer dans la relation entre le client et le serveur et la scinder en deux étapes. Le client (l’employé) envoie un flux vers le proxy qui joue alors le rôle de serveur TLS. Puis, dans un second temps, le proxy jouera le rôle de client TLS pour envoyer les données vers le serveur TLS du site cible. Entre l’établissement de ces deux tunnels TLS, les données seront présentes en clair au sein du proxy.
Le déchiffrement des flux sortants permettra notamment d’analyser le trafic et de se prémunir contre des menaces extérieures. Les données échangées seront contrôlées afin d’éviter la fuite intentionnelle ou non d’éléments sensibles.

Le déchiffrement des flux entrants

Le déchiffrement des flux entrants se fait selon le même schéma que celui expliqué ci-dessus. La différence est que l’on a alors besoin d’un reverse proxy qui, là aussi, s’interposera dans la relation entre le client (qui sera alors l’internaute ou le site web tiers) et le serveur (qui sera alors le système d’information de l’entreprise).

Les risques liés au déchiffrement des flux https

Le déchiffrement des flux n’est pas sans risques. Il peut avoir des conséquences à la fois techniques et juridiques que l’entreprise doit avoir en tête afin de sécuriser au maximum cette opération.

Les risques techniques

Lors du déchiffrement des flux, des données qui sont normalement chiffrées vont être en clair au sein du proxy. Si celui-ci est compromis, la sécurité des données n’est plus garantie.
De même, un proxy ne présente pas toujours les mêmes critères de sécurité qu’un navigateur web. En effet, un navigateur est régulièrement mis à jour afin de répondre aux nouvelles problématiques rapidement. Il peut donc être plus sévère sur la qualité des certificats demandés aux sites cibles pour l’établissement d’un tunnel TLS qu’un proxy.
Par ailleurs, le site cible ne discute plus avec le client mais avec le proxy. C’est donc à ce dernier qu’il va demander les certificats nécessaires à certaines connexions nécessitant une authentification. Or cela ne sera pas toujours possible. Cet inconvénient peut être contré en inscrivant ces sites dans une liste blanche qui ne sera pas soumise au déchiffrement.
Enfin, le proxy devra présenter des certificats à ses clients pour l’établissement du tunnel TLS. Il devra donc les demander auprès d’une autorité de certification interne.

Les risques juridiques

Les risques juridiques liés au déchiffrement des flux par une entreprise concernent principalement la relation employeur-employé et l’externalisation de tâches relatives au système d’information.
Accéder en clair aux données émises par les employés peut porter atteinte à leurs libertés individuelles et plus précisément à leurs droits relatifs au secret des correspondances privées, à la protection des données à caractère personnel et tout simplement au respect de leur vie privée en dehors et dans le cadre du travail.
Certaines informations transmises peuvent également être soumises au secret professionnel ou à des réglementations spécifiques encadrant leur divulgation.
Enfin, lorsque l’entreprise mandate des tiers pour un audit du système d’information ou sous-traite certaines tâches, il est important qu’elle fasse figurer dans le contrat une disposition contraignant le ou les prestataires à suivre les mêmes obligations et les mêmes normes que celles en vigueur dans l’entreprise.

Les recommandations à respecter

Afin d’accompagner au mieux les entreprises dans leur besoin de déchiffrer les flux entrants et sortants, l’ANSSI a émis quelques recommandations afin de réduire au minimum les risques techniques et juridiques.

Les recommandations techniques

Le but n’est pas ici de lister l’ensemble des recommandations techniques émises par l’ANSSI. Elles sont disponibles sur internet. Mais il est important de s’arrêter sur certaines d’entre elles et de bien expliquer la logique qui les préside.
La plupart des recommandations visent à systématiser les opérations de contrôle à la fois du proxy et des certificats. C’est en effet cet élément qui est au cœur de l’opération de déchiffrement. S’il est compromis, c’est toute la sécurité du système qui l’est. Elles insistent également sur la qualité des tunnels TLS établis par le proxy. C’est en fait un même souci de sécurisation du système qui nourrit chacune des recommandations. Il ne suffit pas d’installer le proxy. Il doit être soumis à des contrôles systématiques. Il doit être mis à jour afin d’intégrer les nouvelles exigences et les nouvelles règles en matière de sécurité.
Les recommandations visent également à encourager les entreprises à se tenir informées des dernières nouveautés en matière de sécurisation afin de n’accepter que les certificats qui y répondent ou de ne recourir qu’à une autorité de certification de confiance.

Les recommandations juridiques

Les risques juridiques existent également lors des opérations de déchiffrement. Mais ils peuvent être limités si l’entreprise agit de bonne foi. Il est important qu’elle informe ses employés de l’existence de cette procédure de déchiffrement et donc du contrôle des données qui sont émises et reçues. Cela peut se faire par l’intermédiaire d’une charte informatique qui doit être signée. Elle précisera également la finalité de ces contrôles. Les outils et les méthodes employées doivent être proportionnels à cette dernière.
Les traitements de données qui pourraient être faits à l’issue des opérations de déchiffrement doivent être déclarés auprès de la CNIL.
Pour limiter les risques d’atteinte à la vie privée, il est possible d’inscrire certains sites sur une liste blanche afin qu’ils échappent au déchiffrement. Ça peut être le cas des sites bancaires car on suppose que si un employé consulte un tel site, c’est pour vérifier ses comptes personnels.
Il est important de limiter l’accès aux outils de déchiffrement pour éviter que des personnes malintentionnées s’en servent. Il est également conseillé de noter tous les accès aux clés de déchiffrement.
La nomination d’un administrateur réseau peut être un plus. Il sera habilité à accéder à certaines informations confidentielles et pourra contrôler des données présentes dans la messagerie ou l’ordinateur d’un employé en respectant les conditions établies par la jurisprudence : s’il s’agit de données identifiées comme personnelles, la présence de l’employé est exigée (au minimum, il doit être convoqué et avoir reçu la convocation). La présence de cet administrateur réseau qui sera le seul habilité à consulter les messages électroniques répond à la demande de la CNIL de limiter les droits d’accès aux boites mails.
Enfin, certains aspects techniques peuvent avoir des conséquences juridiques. Par exemple, lors du passage dans le second tunnel TLS, le proxy va devoir émettre des certificats à l’attention du serveur pour établir la connexion. Or il ne peut pas reprendre ceux qui ont été émis par le véritable client car cela serait de l’usurpation d’identité de sites web. Les certificats générés par le proxy doivent donc provenir d’une autorité de certification interne.