Analyse des flux https : sortir de l’impasse (Par Pierre-David VIGNOLLE et Martine RICOUART-MAILLET, BRM Avocats)

Le protocole TLS (flux https) est utilisé sur Internet pour sécuriser de bout en bout la confidentialité et l’intégrité des communications entre un Client et un Serveur. Il est utilisé par les sites de services en ligne, les banques bien entendu, les messageries électroniques, mais aussi par d’autres sites, alors même qu’il ne s’agit pas de communications sensibles à l’instar d’une connexion sur Wikipedia ou sur le site de la Cnil.

Les entreprises sont nombreuses aujourd’hui à vouloir analyser les flux https entrant sur leurs systèmes d’information. Les raisons tiennent à la sécurité des systèmes d’information, car l’absence de contrôle de ces flux chiffrés laisse la porte ouverte à des attaques variées : des virus ou des malwares peuvent être introduits dans les systèmes, mais des attaques telles que l’exfiltration et la divulgation de données deviennent aussi possibles. Ces attaques sont de nature à porter atteinte au patrimoine informationnel de l’entreprise, à la confidentialité et au secret des affaires, mais également aux données à caractère personnel que l’entreprise détient sur ses clients et ses salariés.

En parallèle, on note une croissance très forte de l’utilisation du protocole TLS. Il résulte de tout cela que les entreprises constatent que le flux https représente plus de 50% du flux Internet transitant sur leurs systèmes d’information, générant par là une source de vulnérabilité qui devient non négligeable et un véritable enjeu de sécurité.

La Cnil s’est donc emparée de la question d’autant plus qu’elle met à jour ce « privacy paradox » où elle recommande fortement l’utilisation du protocole TLS car il sécurise les communications en évitant leurs interceptions, alors même qu’il est susceptible de corrompre un système d’information contenant des données à caractère personnel. Pour ne pas rester dans l’attentisme et répondre aux demandes de plus en plus pressantes des entreprises, la Cnil a donc émis une note le 31 mars 2015 dans laquelle elle détaille les conditions dans lesquelles le « déchiffrement » des flux https peut être opéré par les entreprises.

La Cnil considère qu’au regard de la Loi « informatique et libertés », le « déchiffrement » des flux https par un responsable de traitement est « légitime ». Le vocabulaire utilisé par l’autorité semble volontairement imprécis. En effet, il faut comprendre que l’analyse du flux sous protocole TLS est légale au seul titre de la Loi « informatique et libertés ». D’une part, car la finalité d’assurer la sécurité d’un système d’information est légitime car elle correspond à une prescription légale de la Loi « informatique et libertés ». D’autre part, car l’analyse du flux sous protocole TLS est proportionnée, au regard de la Loi « informatique et libertés », pour réaliser cette finalité, sous réserve qu’il soit encadré. Et ce notamment en précisant et déterminant les finalités du traitement, en assurant l’information des salariés, en assurant une gestion stricte des droits d’accès des administrateurs aux courriers électroniques, en minimisant les traces conservées, et en protégeant les données d’alertes extraites de l’analyse du flux https.

Ce ne sont là que des prescriptions données à titre d’exemple, et la Cnil n’indique pas les conditions précises et exhaustives pour que l’analyse des flux https par un responsable de traitement puisse s’opérer en toute légalité. Ainsi, par exemple, la Cnil ne précise pas si la formalité préalable est bien celle de la déclaration, et si dans la liste des conditions qu’elle dresse certaines sont incontournables ou si certaines peuvent être aménagées. Les modalités techniques du déchiffrement ne sont pas précisées non plus.

À cette situation confuse, la Cnil ajoute une autre source d’inquiétude de nature à réduire à néant la légalité du traitement d’analyse du flux TLS – et c’est bien pour cela qu’elle ne parle que de traitement « légitime » et non de traitement « légal » : le déchiffrement pourrait constituer une ou plusieurs infractions pénales relatives à l’atteinte aux systèmes de traitement automatisés de données (STAD). En effet, les articles 323-1 à 323-7 du Code pénal incriminent le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un STAD ou d’en entraver ou d’en fausser le fonctionnement. L’échelle des peines de ces infractions a de quoi réfréner les velléités des plus téméraires : de deux à cinq d’emprisonnement, et de 300 000 euros à 1 500 000 euros d’amende pour les personnes morales. Le Code pénal prévoit par ailleurs des peines complémentaires qui, bien que rarement prononcées, doivent être mentionnées et consistent notamment dans l’interdiction d’exercice de son activité pendant cinq ans, la fermeture de l’un ou plusieurs établissements ayant servi à commettre l’infraction ou la publicité de la décision.

La Cnil relève justement son incompétence pour juger de cette question qui relève de l’appréciation des juges. Pour autant, la Cnil estime que le déchiffrement met potentiellement en cause la sécurité des communications initiées par un tiers et la confidentialité des données qu’il transmet. De plus, pour la Cnil, le recours au déchiffrement pourrait nécessiter une base légale justifiant qu’il puisse être porté atteinte aux mesures techniques déployées par des tiers pour garantir la confidentialité de leurs échanges. Autant dire que si la Cnil précise son incompétence pour qualifier un comportement de pénalement répréhensible, elle ne se prive pas d’émettre sa position quant à la matérialité de l’infraction qu’elle estime constituée.

Au final, le responsable de traitement souhaitant mettre en œuvre l’analyse de flux https n’est pas avancé et sa confusion s’est même accrue : il comprend qu’il a l’obligation d’assurer la sécurité de son système d’information et que le déchiffrement en est un moyen légitime qu’il peut mettre en œuvre, mais à ses risques et périls pénaux.

Il est indispensable d’aider les responsables de traitement à sortir de l’impasse et leur apporter une réponse claire et concise.

La première étape consiste sans aucun doute à bien détailler le traitement dont nous parlons. La Cnil évoque alternativement le vocabulaire d’ « analyse » des flux https et de « déchiffrement ». Or, nous pensons que le terme de « déchiffrement » n’est pas approprié ici et qu’il faut davantage parler d’ « analyse » des flux https. En effet, que se passe-t-il dans les faits ? L’établissement d’un tunnel TLS se déroule de façon classique entre un Client et un Serveur. Le Client initie une requête en direction du Serveur en lui envoyant un message. Le Serveur lui répond. Le Client et le Serveur s’échangent des clés de chiffrement qui indiquent que les données qu’ils vont s’échanger et pouvoir lire seront protégées par chiffrement. Le protocole TLS instaure bien un échange de données protégées entre un Client et un Serveur qui se sont reconnus mutuellement.

Le traitement d’analyse des flux https consiste en ce que le Client ne soit pas le navigateur Web de l’utilisateur, mais le proxy http du responsable de traitement. Ainsi, la requête initiale du navigateur Web de l’utilisateur est relayée par le proxy http du responsable de traitement, de sorte que le Serveur autorise effectivement le dialogue avec le proxy http du responsable de traitement. De cette manière, dès lors que l’utilisateur initial habilite le proxy http du responsable de traitement à réceptionner le flux https, il n’y a pas d’infraction constituée au titre des articles 323-1 à 323-7 du Code pénal car l’accès aux données ne s’est pas fait de manière frauduleuse mais sur autorisation de l’utilisateur final mais aussi du Serveur.

La responsabilité du proxy http, et donc du responsable de traitement, est celle qui lui revient par essence au titre de la Loi « informatique et libertés ». Tout d’abord de s’assurer qu’il ne va pas avoir accès à des données « sensibles » et que l’utilisation du traitement se limitera à des vérifications de sécurité. Ensuite, le responsable de traitement devra informer les personnes, recueillir leur consentement le cas échéant, et s’assurer de la sécurité des données qu’il manipule. Il lui appartient donc de mettre en œuvre ce traitement en l’entourant de précautions de nature à supprimer le risque supplémentaire qu’il crée, ou à tout le moins de le contourner ou de le réduire.

La mise en œuvre de l’analyse des flux https devient alors possible. Mais pour qu’elle s’effectue en toute légalité, la mise en œuvre du traitement doit être précisément circonscrite sur les plans légaux et techniques, à défaut de quoi l’infraction pénale pourrait être constituée. À cet égard, il n’est pas conseillé de se limiter aux seules prescriptions de la Cnil contenues dans sa note du 31 mars 2015. La note technique de l’ANSSI portant recommandations de sécurité sur ce traitement doit également être utilisée. Il faut insister sur le fait que, même si la Cnil reconnaît le caractère légitime du traitement, et que l’ANSSI ait émis des recommandations quant à la mise en œuvre de ce traitement, ces circonstances ne sauraient constituer des faits justificatifs éliminant le caractère infractionnel au regard de la loi pénale.