Skip to content

ANSSI : Recommandations pour le déploiement sécurisé de Mozilla Firefox

L’ANSSI, depuis sa création, diffuse régulièrement des documentations relatives à la sécurité des systèmes d’information. Le dernier en date concerne les recommandations pour le déploiement sécurisé du navigateur Mozilla Firefox sous Windows.

Ce document, publié le 15 janvier 2015, expose quelques règles de sécurité qu’il est conseillé de respecter pour un déploiement sécurisé de Firefox sur Windows en entreprise.

Le document commence par rappeler pourquoi un navigateur web est un élément sensible du système d’information en terme de sécurité. En effet, le navigateur web est probablement l’outil le plus utilisé, mais aussi le plus exposé, car il ouvre une porte quasi directe sur le net. C’est bien souvent par là que passent les malwares (suivi de très près par les mails, probablement). Sans parler des webmails qui combinent les vulnérabilités des navigateurs web et des mails. Bref.ANSSI

L’ANSSI rappelle à ce titre que bien que les accès au réseau soient sécurisés par différents moyens, le navigateur web est intéressant en tant que cible pour un attaquant, car il permet de contourner les mesures de sécurité liées à l’architecture réseau et aux différentes passerelles de filtrage.

L’ANSSI présente ensuite une version ESR de Firefox, version dont j’ignorais encore l’existence jusque là, mais qui s’avère être effectivement pratique en théorie dans l’entreprise. La version ESR (Extended Support Release) est une version stable de Firefox, mais qui ne se met pas à jour automatiquement. Cela permet d’éviter d’être embêté par tous les problèmes de compatibilité sur les applications web métier par exemple quand le navigateur se met à jour. Notons que les mises à jour de sécurité sont elles toujours appliquées. Cela permet donc de déployer Firefox en entreprise tout en évitant la gestion des mises à jour (nombreuses sous Firefox) et en gardant une sécurité à jour.

Ensuite, plusieurs conseils sont donnés par l’ANSSI concernant le paramétrage de Firefox sur les postes utilisateurs, par exemple la gestion des plug-ins, qui doivent être aussi peu nombreux que possible. Les plug-ins offrent en effet une porte d’entrée souvent utilisée pour les attaquants au niveau du navigateur web, car ils sont souvent exécutés avec les droits de l’utilisateur courant. Les plug-ins doivent donc être installés que s’ils sont réellement nécessaires aux besoins métier.

L’ANSSI parle également du stockage des mots de passe et des certificats dans Firefox dont la sécurité peut et doit être durcie. Également l’ANSSI s’intéresse en fin de documentation à la stratégie du double navigateur. Pour certaines applications métiers ou Intranet, les navigateurs doivent avoir des restrictions moins poussées pour permettre par exemple l’exécution de Java, permissions qui ne sont pas du tout recommandées pour un usage sur Internet. Il est alors conseillé de mettre en place deux navigateurs.

  • Un premier navigateur dédié à l’Internet, fortement sécurisé et avec une surface d’attaque réduite, de par la bonne gestion des plug-ins, la mise en place d’une configuration durcie, etc.
  • Un deuxième navigateur, à utiliser uniquement pour la navigation sur l’Intranet, avec des paramètres de sécurité plus souple pour permettre une utilisation optimale des applications métiers internes.
recommandations-anssi-firefox
Images extraites de la documentation ANSSI exposant les scénarios lors d’une stratégie double navigateur

Notons que cette stratégie nécessite une bonne formation des utilisateurs, qu’ils sachent quand utiliser un navigateur ou l’autre.

On trouve également des recommandations quant au mode de déploiement de Firefox en entreprise, l’ANSSI recommande en effet d’utiliser le télé-déploiement, ce qui permet une gestion centralisée et unifiée du parc informatique.

Suite à la partie « théorique », on peut trouver plusieurs dizaines de pages d’annexes qui exposent plus techniquement les configurations à mettre en place.

Beaucoup d’autres notions sont vues dans ce document qui est très instructif et intéressant à lire, pour les intéressés c’est ici que cela se passe : Recommandations pour le déploiement sécurisé du navigateur Mozilla Firefox sous Windows

Partager :
Published inNon classé

Be First to Comment

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *