La Commission nationale de l’informatique et des libertés (CNIL) vient de présenter une série de recommandations à destination des employeurs souhaitant analyser les flux HTTPS, qui sont normalement chiffrés à l’aide de certificats. Une pratique jugée « légitime » mais dont la légalité n’est pas certaine selon l’autorité administrative.
Souvent présenté comme un moyen efficace de sécuriser les échanges, notamment lors de transactions bancaires, le HTTPS est aujourd’hui utilisé par de nombreux sites de e-commerce, de célèbres webmails, etc. Sauf que ce protocole peut parfois présenter un inconvénient : il devient extrêmement difficile pour les responsables de systèmes d’information de surveiller les données qui l’utilisent. Ce qui peut être particulièrement épineux dans le cas d’un employeur qui voudrait par exemple vérifier que son personnel ne lui dérobe pas certaines informations sensibles ou ne cherchent à introduire de codes malveillants…
Encadrement d’un déchiffrement parfois « légitime »
En octobre dernier, l’Agence nationale de sécurité des systèmes d’information (ANSSI) a présenté des « recommandations de sécurité concernant l’analyse des flux HTTPS » (PDF), afin de guider les informaticiens qui souhaiteraient malgré tout déchiffrer ces fameux flux pour les analyser, avant de les chiffrer une nouvelle fois en vue de leur envoi vers leur destination finale. Si la CNIL estime que la mise en œuvre de tels procédés « est légitime du fait que l’employeur doit assurer la sécurité de son système d’information », l’institution a cependant dévoilé hier les grands principes à respecter pour ne pas sortir du cadre législatif fixé par la loi Informatique et Libertés.
La Commission recommande en particulier aux employeurs :