NP NavigateurSecurise FireFox

Public viseacuteDeacuteveloppeurAdministrateur XRSSI XDSI XUtilisateur X

P R E M I E R M I N I S T R E

Secreacutetariat geacuteneacuteral Paris le 15 janvier 2015de la deacutefenseet de la seacutecuriteacute nationale No DAT-NT-20ANSSISDENP

Agence nationale de la seacutecuriteacute Nombre de pages du documentdes systegravemes drsquoinformation (y compris cette page) 41

Note technique

Recommandations pour le deacuteploiement seacutecuriseacute dunavigateur Mozilla Firefox sous Windows

Informations

Avertissement

Ce document reacutedigeacute par lrsquoANSSI preacutesente les laquo Recommandations pour le deacuteploiementseacutecuriseacute du navigateur Mozilla Firefox sous Windows raquo Il est teacuteleacutechargeable sur le sitewwwssigouvfr Il constitue une production originale de lrsquoANSSI Il est agrave ce titre placeacute sous lereacutegime de la laquo Licence ouverte raquo publieacutee par la mission Etalab (wwwetalabgouvfr) Il estpar conseacutequent diffusable sans restriction

Ces recommandations sont livreacutees en lrsquoeacutetat et adapteacutees aux menaces au jour de leurpublication Au regard de la diversiteacute des systegravemes drsquoinformation lrsquoANSSI ne peut garantir queces informations puissent ecirctre reprises sans adaptation sur les systegravemes drsquoinformation ciblesDans tous les cas la pertinence de lrsquoimpleacutementation des eacuteleacutements proposeacutes par lrsquoANSSI doitecirctre soumise au preacutealable agrave la validation de lrsquoadministrateur du systegraveme etou des personnesen charge de la seacutecuriteacute des systegravemes drsquoinformation

Personnes ayant contribueacute agrave la reacutedaction de ce document

Contributeurs Reacutedigeacute par Approuveacute par Date

BSS SIS LRP BSS SDE 15 janvier 2015

Eacutevolutions du document

Version Date Nature des modifications

10 15 janvier 2015 Version initiale

Pour toute remarque

Contact Adresse meacutel Teacuteleacutephone

Bureau Communicationde lrsquoANSSI

51 bd de LaTour-Maubourg75700 Paris Cedex

communicationssigouvfr 01 71 75 84 04

No DAT-NT-20ANSSISDENP du 15 janvier 2015 Page 1 sur 40

Table des matiegraveres

1 Preacuteambule 3

2 Enjeux de seacutecuriteacute drsquoun navigateur Web 3

3 Firefox versus Firefox ESR 3

4 Maicirctrise du navigateur 4

41 Choix des plugins 542 Choix des extensions 5

421 SSLTLS et certificats 6422 Gestionnaire de mots de passe 7423 Confidentialiteacute 8424 Moteur de recherche par deacutefaut 9425 Filtrage de contenu 9426 Page(s) drsquoaccueil 9427 Serveur mandataire 10428 Authentification HTTP 10429 Peacuterimegravetre de navigation 104210 Administration systegraveme et maintenance 11

43 Teacuteleacute-deacuteploiement initial 1144 Gestion des mises agrave jour 11

5 Strateacutegie de double navigateur 12

Annexe I Strateacutegies de seacutecurisation de Firefox 16

Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP 32

Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox 36

Annexe IV Teacuteleacute-deacuteploiement drsquoun module de recherche personnaliseacute par GPO 40

1 PreacuteambuleFirefox est le navigateur web en sources ouvertes eacutediteacute par la fondation Mozilla et dont la premiegravere

version stable date de 2004 Rapidement devenu lrsquoun des navigateurs les plus utiliseacutes par les inter-nautes 1 il est aujourdrsquohui soutenu par une importante communauteacute de deacuteveloppeurs du monde libre

Firefox dispose drsquoun meacutecanisme de mise agrave jour automatique et peut ecirctre configureacute de maniegraverecentraliseacutee Il se precircte bien agrave une utilisation professionnelle De par son haut degreacute de parameacutetrage etson code en sources ouvertes il peut eacutegalement srsquoadapter agrave des environnements au sein desquels lescontraintes techniques sont importantes

Cette note technique vise agrave sensibiliser le lecteur aux enjeux de seacutecuriteacute drsquoun navigateur Web etdoit le guider dans la mise en œuvre drsquoune strateacutegie de seacutecurisation speacutecifique agrave Firefox dans le cadredrsquoune configuration centraliseacutee et seacutecuriseacutee en environnement Active Directory

2 Enjeux de seacutecuriteacute drsquoun navigateur Web

Comme tout composant logiciel utiliseacute pour acceacuteder agrave Internet les navigateurs sont une cibleprivileacutegieacutee des attaquants du fait des vulneacuterabiliteacutes qursquoils preacutesentent et de leur utilisation reacuteguliegravere surInternet Viennent eacutegalement srsquoajouter les vulneacuterabiliteacutes propres aux diffeacuterents modules compleacutemen-taires inteacutegreacutes aux navigateurs et dont les processus de mise agrave jour sont geacuteneacuteralement indeacutependants deceux du navigateur

Lrsquoatteinte en inteacutegriteacute drsquoun poste de travail par le biais de son navigateur Web est inteacuteressante dupoint de vue drsquoun attaquant eacutetant donneacute qursquoelle lui permet le plus souvent de contourner les mesuresde seacutecuriteacute lieacutees agrave lrsquoarchitecture reacuteseau et aux diffeacuterentes passerelles de filtrage Lrsquoattaque reacuteussie drsquounposte utilisateur suffit geacuteneacuteralement agrave lrsquoeacutetablissement drsquoun canal de controcircle distant qui permettra parla suite de rebondir au sein du systegraveme drsquoinformation pour atteindre les biens essentiels de lrsquoentiteacute Lanavigation Web est donc logiquement devenue un des principaux vecteurs drsquoattaque utiliseacutes et pluslargement un problegraveme pour la seacutecuriteacute des systegravemes drsquoinformation

Du point de vue de la seacutecuriteacute Firefox pacirctit de lrsquoabsence de meacutecanisme de bac agrave sable (sandbox 2)et drsquoarchitecture multi-processus une vulneacuterabiliteacute peut alors avoir un impact important Comme tousles navigateurs il fait reacuteguliegraverement lrsquoobjet de vulneacuterabiliteacutes critiques 3

3 Firefox versus Firefox ESR

Mozilla publie une version ESR (Extended Support Release) 4 de Firefox Chaque version de FirefoxESR est maintenue pendant environ 1 an et nrsquoa pour seules mises agrave jour que les correctifs de seacutecuriteacuteCette version de Firefox est destineacutee aux entiteacutes qui neacutecessitent un support eacutetendu pour un deacuteploiementen masse eacutevitant ainsi drsquoavoir agrave geacuterer des eacutevolutions freacutequentes du navigateur

1 Sources wwwatinternetcom et wwww3schoolscom2 Environnement drsquoexeacutecution controcircleacute et restreint3 Les multiples avis de seacutecuriteacute et bulletins drsquoactualiteacute relatifs aux principaux navigateurs peuvent ecirctre consulteacutes sur

le site du CERT-FR (wwwcertssigouvfr)4 Pour plus drsquoinformations httpmozillaorgen-USfirefoxorganizations

Le tableau comparatif suivant preacutesente les avantages et inconveacutenients de chaque version

Version Avantages Inconveacutenients

Versionstandard

Le navigateur eacutevolue reacuteguliegraverement etles utilisateurs disposent ainsi rapidementdes nouvelles fonctionnaliteacutes qui font leurapparition

Les eacutequipes informatiques doiventreacuteguliegraverement deacuteployer les nouvellesversions de Firefox pour le maintenir enconditions de seacutecuriteacute Ces deacuteploiementsengendrent une charge de travail nonneacutegligeable puisqursquoil est neacutecessairede veacuterifier la compatibiliteacute avec lesapplications Web internes compleacuteter laconfiguration centraliseacutee vis-agrave-vis desnouvelles fonctionnaliteacutes etc

VersionESR

Les eacutequipes informatiques nrsquoont pas agrave sesoucier des eacutevolutions fonctionnelles dunavigateur Une fois la derniegravere versionmajeure de Firefox ESR deacuteployeacutee elles secontentent de son maintien en conditionsde seacutecuriteacute en deacuteployant les correctifs deseacutecuriteacute publieacutes par Mozilla Les cyclesde vie des versions de Firefox ESR eacutetantdrsquoenviron un an les correctifs de seacutecuriteacutesont publieacutes pendant toute cette dureacutee devie

ESR ne dispose pas des nouvellesfonctionnaliteacutes qui apparaissent dans lesversions successives de Firefox standardle navigateur peut alors paraicirctre pauvreen fonctionnaliteacutes du point de vue desutilisateurs

Au sein drsquoun systegraveme drsquoinformation administreacute de maniegravere centraliseacutee il est donc plutocirct conseilleacutede deacuteployer la version ESR de Firefox La preacutesente note technique srsquoappuie sur le deacuteploiement et laconfiguration de Firefox ESR dans sa version 31

4 Maicirctrise du navigateur

Les principaux enjeux drsquoun deacuteploiement de navigateur au sein drsquoun systegraveme drsquoinformation sont saseacutecuriteacute et sa maicirctrise Pour cela il est neacutecessaire de pouvoir controcircler sa configuration de maniegraverecentraliseacutee tout en proceacutedant agrave des deacuteploiements et agrave des mises agrave jour (automatiques ou non) selon lapolitique de mise agrave jour de lrsquoentiteacute et sans intervention de lrsquoutilisateur

Firefox ne prend pas nativement en charge la configuration par strateacutegies de groupes (GPO) enenvironnement Active Directory Il est pour cela neacutecessaire de recourir agrave des extensions tierces Il esten revanche possible de parameacutetrer le navigateur agrave lrsquoaide de fichiers de configuration agrave deacuteployer surles postes des utilisateurs Cette meacutethode preacutesente lrsquointeacuterecirct drsquoecirctre utilisable simplement dans nom-breux contextes et aussi bien sous Linux que Windows sans distinction Ces fichiers de configurationpermettent eacutegalement drsquoimposer des paramegravetres verrouilleacutes et non modifiables par les utilisateurs

R1 Avant tout deacuteploiement de Firefox au sein drsquoun systegraveme drsquoinformation il est primordial dedeacutefinir preacuteciseacutement une strateacutegie de parameacutetrage qui garantira lrsquoutilisation du navigateurdans une configuration durcie et verrouilleacutee

Il est important de commencer par clarifier les termes utiliseacutes par Mozilla et ce qursquoils deacutesignent Leterme de laquo module raquo (Add-on) ou de laquo module compleacutementaire raquo inclut

ndash les plugins ou greffons qui sont des composants compileacutes ndash les extensions (qui sont des composants en langage interpreacuteteacute comme XUL ou JavaScript) ndash les thegravemes (qui ne font lrsquoobjet drsquoaucune recommandation de seacutecuriteacute) ndash les modules de moteur de recherche

Les recommandations de parameacutetrage figurant dans ce document sont donneacutees agrave titre indicatifdans lrsquooptique drsquoune configuration durcie Elles doivent donc ecirctre moduleacutees selon les besoins propres agravechaque entiteacute et bien entendu selon le peacuterimegravetre drsquoutilisation du navigateur (Internet Intranet etc)Leur application ne doit pas se faire sans validation preacutealable

Lrsquoannexe I de ce document preacutecise les paramegravetres de configuration permettant drsquoappliquer toutesles recommandations de configuration de Firefox indiqueacutees dans ce document En environnementprofessionnel il est par ailleurs conseilleacute de deacuteployer une telle configuration par GPP de maniegraverecentraliseacutee comme expliqueacute en annexe II

41 Choix des plugins

Les plugins Firefox ne peuvent ecirctre deacuteveloppeacutes qursquoagrave partir de lrsquointerface de programmation NPAPI(Netscape Plugin Application Programming Interface) Cette architecture qui date de Netscape nrsquoestpas seacutecuriseacutee et exeacutecute les plugins avec le niveau de privilegravege de lrsquoutilisateur Bien qursquoil soit possibledrsquoexeacutecuter certains plugins dans un processus seacutepareacute (le plugin-container) cette seacuteparation ne protegravegeque le processus du navigateur drsquoun eacuteventuel arrecirct brusque de fonctionnement drsquoun plugin Unevulneacuterabiliteacute affectant un plugin permet en revanche de compromettre la session ou le systegraveme Leplugin Flash Player fait toutefois exception en inteacutegrant un meacutecanisme de bac agrave sable qui lui est propre(laquo Mode Proteacutegeacute de Flash Player pour Firefox raquo 5) Le processus Flash Player exeacutecuteacute dans le plugin-container ne sert alors qursquoagrave instancier des processus enfants auxquels srsquoappliquent des restrictions deseacutecuriteacute plus importantes Le plugin Flash continue toutefois de faire lrsquoobjet de vulneacuterabiliteacutes critiques 6

R2 Tout plugin ajouteacute agrave Firefox fait courir un risque de seacutecuriteacute suppleacutementaire il est alorsimportant de les limiter au strict neacutecessaire

Note Le risque induit par lrsquoutilisation du plugin Flash Player peut ecirctre toleacutereacute degraves lors que la lecturedes contenus Flash constitue un besoin incontournable Compleacuteteacute par la visionneuse PDF inteacutegreacutee agraveFirefox (eacutecrite en JavaScript) la prise en charge de ces deux types de contenus devrait suffire pour laplupart des usages

Lrsquoajout la mise agrave jour et la suppression de plugins pour Firefox de maniegravere centraliseacutee peut sefaire simplement par base de registre 7et par GPP (Group Policy Preferences)

42 Choix des extensions

Le meacutecanisme drsquoextension rend possible lrsquoeacutecriture de programmes (extensions) en langage interpreacuteteacute(XUL ou JavaScript entre autres) permettant lrsquoajout de fonctionnaliteacutes ou la personnalisation dunavigateur Contrairement aux plugins qui sont des programmes compileacutes les extensions srsquoexeacutecutentdans le processus du navigateur et sans systegraveme de permission permettant de restreindre les liberteacutes

5 httpblogsadobecomsecurity201206inside-flash-player-protected-mode-for-firefoxhtml6 Les multiples avis de seacutecuriteacute peuvent ecirctre consulteacutes sur le site du CERT-FR (wwwcertssigouvfr)7 Un article de Mozilla explique lrsquoajout la mise agrave jour et la suppression drsquoextensions et de plugins pour Firefox par

base de registre httpsdevelopermozillaorgen-USdocsAdding_Extensions_using_the_Windows_Registry

qui leur sont accordeacutees Il convient donc drsquoecirctre particuliegraverement vigilant eacutetant donneacute les risques deseacutecuriteacute non neacutegligeables qursquoelles introduisent

Ainsi une extension malveillante pourrait acceacuteder agrave des informations sensibles concernant la naviga-tion de lrsquoutilisateur puis les envoyer agrave un serveur illeacutegitime sur Internet Une extension peut eacutegalementintroduire de nouveaux comportements indeacutesirables suite agrave une mise agrave jour Rien ne laisse preacutesagerqursquoune extension aujourdrsquohui non malveillante ne le sera pas demain

En parallegravele de nombreuses extensions preacutesentent des vulneacuterabiliteacutes qui peuvent ecirctre exploiteacutees(par le contenu des pages visiteacutees ou encore par courriels speacutecifiquement forgeacutes et consulteacutes parwebmail) Ces extensions vulneacuterables peuvent eacutegalement servir agrave exploiter par rebond les vulneacuterabiliteacutesdrsquoeacuteventuels plugins activeacutes et ainsi obtenir un accegraves complet au systegraveme

R3 Ne deacuteployer que des extensions de confiance et neacutecessaires aux besoins meacutetiers

Note Dans le cas drsquoextensions deacuteveloppeacutees en interne il convient de precircter une attention particuliegravereagrave la seacutecuriteacute de leur code 8

Lrsquoajout la mise agrave jour et la suppression drsquoextensions pour Firefox de maniegravere centraliseacutee peut sefaire simplement dans la base de registre et par GPP (Group Policy Preferences)

421 SSLTLS et certificats

Firefox a comme particulariteacute drsquoutiliser ses propres bibliothegraveques de gestion des eacutechanges seacutecuriseacutesclientserveur deacuteveloppeacutees par la fondation Mozilla (bibliothegraveques NSS Network Security Services) cequi lui permet de disposer par exemple de son propre magasin de certificats et de sa propre liste deCRL (listes de reacutevocations de certificats) Il est ainsi possible drsquoappliquer des restrictions speacutecifiquesau navigateur sur certains certificats sans que cela ne srsquoapplique au systegraveme drsquoexploitation dans sonensemble ce qui le diffeacuterencie drsquoautres navigateurs Il est eacutegalement possible de restreindre simplementles versions de protocoles SSLTLS ainsi que les suites cryptographiques utiliseacutees Cette indeacutependancevis-agrave-vis du meacutecanisme fourni par le systegraveme drsquoexploitation lui confegravere une plus grande portabiliteacute etune souplesse dans sa configuration SSLTLS mais se traduit en contrepartie par une deacutemarche deseacutecurisation plus complexe

R4 Deacutesactiver lrsquoutilisation de SSL et nrsquoautoriser que les protocoles TLS v11 et supeacuterieures(la v10 eacutetant vulneacuterable) Pour aller plus loin il est eacutegalement possible de restreindreles suites cryptographiques utilisables en deacutesactivant celles reposant sur des algorithmesobsolegravetes comme RC4

Note Pour plus drsquoinformations le lecteur est inviteacute agrave se reacutefeacuterer agrave la section correspondante delrsquoannexe I ainsi qursquoaux publications de lrsquoANSSI 9 Par ailleurs les suites nrsquoutilisant pas de meacutecanismesde PFS (Perfect Forward Secrecy) devraient ideacutealement ecirctre deacutesactiveacutees elles aussi mais des difficulteacutesde navigation seraient agrave preacutevoir sur Internet du fait de lrsquo incompatibiliteacute avec de nombreux serveursWeb

8 Lrsquoarticle Security best practices in extensions expose certains fondamentaux agrave respecter pour le deacuteveloppementdrsquoextension seacutecuriseacutees httpsdevelopermozillaorgen-USAdd-onsSecurity_best_practices_in_extensions

9 La note laquo Recommandations de seacutecuriteacute concernant lrsquoanalyse des flux HTTPS raquo est disponible agrave lrsquoadresse httpswwwssigouvfrfrguides-et-bonnes-pratiquesrecommandations-et-guidesauthentification-et-mecanismes-cryptographiquesrecommandations-de-securite-concernant-l-analyse-des-flux-httpshtmlLrsquoarticle laquo SSLTLS eacutetat des lieux et recommandations raquo est disponible agrave lrsquoadresse httpswwwssigouvfrfranssipublicationspublications-scientifiquesarticles-de-conferencesssl-tls-etat-des-lieux-et-recommandationshtml

Chaque utilisateur drsquoun poste de travail dispose de son propre profil Firefox Les informations deseacutecuriteacute relatives aux certificats sont stockeacutees pour chaque profil firefox dans 3 fichiers

ndash cert8db (objets accessibles publiquement certificats CRLs enregistrements SMIME) ndash key3db (cleacutes priveacutees mots de passe) ndash secmoddb (informations de configuration des modules de seacutecuriteacute)

Lrsquoaccegraves aux fichiers key3db et cert8db non chiffreacutes drsquoun profil Firefox permet la reacutecupeacuterationet la reacuteutilisation des certificats utilisateurs qursquoils contiennent Tout compte disposant de droits admi-nistrateurs sur un ordinateur a la possibiliteacute de reacutecupeacuterer lrsquoensemble des fichiers key3db et cert8dbqui y sont stockeacutes (voire tout utilisateur non privileacutegieacute dans le cas drsquoun systegraveme de fichiers FAT32) Laconfidentialiteacute des donneacutees utilisateurs nrsquoest donc pas assureacutee degraves lors que ces fichiers ne sont pas chiffreacutesLa deacutefinition drsquoun mot de passe principal deacuteclenche le chiffrement du fichier key3db par algorithme3DES-CBC avec une cleacute deacuteriveacutee de ce mot de passe La seacutecuriteacute apporteacutee par une telle mesure restemodeacutereacutee des outils performants permettent de rapidement retrouver ce mot de passe maicirctre par forcebrute Le stockage du profil Firefox dans un conteneur chiffreacute par une solution qualifieacutee par lrsquoANSSIpeut ecirctre dans certains cas la solution agrave privileacutegier

R5 Degraves lors que des certificats utilisateurs sont stockeacutes dans les magasins de certificats deFirefox il est recommandeacute drsquoassurer la seacutecuriteacute de leurs conteneurs de cleacutes priveacutees (fichierskey3db) par chiffrement

Tout utilisateur de Firefox peut aussi ajouter des certificats serveurs et des autoriteacutes de confiancedans son propre magasin de certificats Selon le contexte drsquoutilisation du navigateur il peut doncecirctre important de mettre en œuvre des mesures techniques permettant de maicirctriser les magasins decertificats des profils Firefox et de srsquoassurer de leur conformiteacute vis agrave vis de la strateacutegie de lrsquoentiteacute

R6 Maicirctriser les magasins de certificats des profils Firefox et notamment les autoriteacutes decertification racines de confiance et les certificats serveurs qui y sont configureacutes

Note lrsquoapplication de cette recommandation est simple degraves lors que les utilisateurs ne stockent pasde certificats utilisateurs dans leurs magasins de certificats Firefox mais cela devient plus compliqueacutedans le cas contraire La probleacutematique est abordeacutee plus en deacutetail en annexe III

Il agrave noter eacutegalement que depuis sa version 24 Firefox se deacutetourne de lrsquousage classique des CRLsen ligne au profit drsquoune liste de reacutevocations mise agrave jour reacuteguliegraverement pour consultation locale Lesbibliothegraveques NSS supportent toujours la gestion des CRLs classiques (modifiables par lrsquooutil crlutilet non plus par interface graphique) mais il est preacutevu qursquoelles ne soient plus utiliseacutees dans un avenirproche Les autoriteacutes de certification sont drsquoailleurs inviteacutees agrave envoyer leurs certificats reacutevoqueacutes agrave Mozillapour ecirctre inteacutegreacutes agrave la liste de reacutevocation maintenue par Mozilla 10

422 Gestionnaire de mots de passe

Le gestionnaire de mots de passe de Firefox permet de meacutemoriser les mots de passe saisis dansles formulaires Web Tout comme pour les magasins de certificats lrsquoutilisation drsquoun laquo mot de passeprincipal raquo 11 permet de chiffrer les mots de passe stockeacutes par un algorithme 3DES-CBC avec une cleacutedeacuteriveacutee du mot de passe principal La seacutecuriteacute apporteacutee par une telle mesure reste modeacutereacutee des outilsperformants permettent de rapidement retrouver ce mot de passe maicirctre par force brute Lrsquoutilisation

10 Le Wiki de Mozilla deacutetaille la probleacutematique de reacutevocation de certificats au sein de Firefox httpswikimozillaorgCAImprovingRevocation11 httpssupportmozillaorgfrkbutiliser-mot-passe-principal-proteger-identifiants

drsquoun gestionnaire de mots de passe alternatif seacutecuriseacute est donc conseilleacute

R7 Il est conseilleacute de deacutesactiver le gestionnaire de mots de passe pour imposer la saisiesysteacutematique de ces derniers Lrsquoapplication drsquoun tel durcissement est leacutegitime sur un reacuteseauameneacute agrave traiter des donneacutees sensibles ou confidentielles mais peut toutefois ecirctre difficileagrave imposer aux utilisateurs sur des reacuteseaux moins sensibles Sa deacutesactivation pourrait alorssrsquoaccompagner du deacuteploiement drsquoun gestionnaire de mots de passe alternatif et seacutecuriseacute 12

423 Confidentialiteacute

Le lecteur est inviteacute agrave prendre connaissance de la laquo deacuteclaration de confidentialiteacute de Firefox raquo 13Selon les fonctionnaliteacutes activeacutees diverses informations sont susceptibles drsquoecirctre envoyeacutees agrave Mozilla Laplupart sont en rapport avec

ndash les informations lieacutees aux modules compleacutementaires installeacutes et le blocage automatique desmodules en liste noire

ndash les rapports de plantage ndash le service de mise agrave jour automatique ndash le service de protection contre les sites malveillants ndash le service de synchronisation Firefox Sync

Il est donc important de deacutesactiver certaines de ces fonctionnaliteacutes pour limiter les donneacutees envoyeacuteesagrave Mozilla

R8 Deacutesactiver les divers rapports disponibles de plantage de performance etc

R9 Deacutesactiver le service de synchronisation Firefox Sync

R10 La fonctionnaliteacute de blocage des sites contrefaits envoie agrave des fournisseurs tiers de Mozillales adresses Web des sites visiteacutes pour veacuterifier qursquoils ne soient pas connus comme eacutetantmalveillants et en bloquer lrsquoaccegraves si neacutecessaire Bien qursquoil soit conseilleacute de laisser ce filtreactiveacute pour des raisons de seacutecuriteacute une entiteacute pourra juger suffisamment confidentielles lesadresses des pages Web visiteacutees pour qursquoune deacutesactivation de ce meacutecanisme srsquoimpose

La navigation priveacutee ainsi que la protection contre le pistage (Do Not Track) sont des fonction-naliteacutes inteacuteressantes du point de vue du respect de la vie priveacutee lors de la navigation sur Internet etqui pourraient ecirctre deacutesactiveacutees pour de la navigation en Intranet La strateacutegie de configuration desparamegravetres de confidentialiteacute deacutependra donc du peacuterimegravetre drsquoutilisation du navigateur Degraves lors que lenavigateur Firefox dispose drsquoune connectiviteacute agrave Internet les recommandations suivantes srsquoappliquent

R11 Activer les fonctionnaliteacutes de protection de la confidentialiteacute (anti pistage navigationpriveacutee suppression des donneacutees priveacutees etc) lorsque le navigateur nrsquoest pas deacutedieacute agrave unenavigation Intranet

Note Le nouveau standard de protection contre le-pistage (Do Not Track) nrsquoest qursquoune sollicitation du

12 KeePass est un exemple de solution disposant drsquoun certificat de seacutecuriteacute de premier niveau (CSPN) deacutelivreacute parlrsquoANSSI qui peut ecirctre utiliseacutee avec Firefox13 Deacuteclaration disponible en anglais agrave lrsquoadresse

httpwwwmozillaorgen-USlegalprivacyfirefoxhtml

client Sa prise en compte par les serveurs Web ne deacutepend donc que de leurs pratiques de confidentialiteacuterespectives et nrsquoapporte aucune garantie au client

R12 Interdire les fonctions de geacuteolocalisation

R13 Degraves lors que la confidentialiteacute des recherches est jugeacutee primordiale il conviendra drsquoimposerun moteur de recherche de confiance et de deacutesactiver les fonctionnaliteacutes de rechercheinstantaneacutee ou de suggestion de recherche

424 Moteur de recherche par deacutefaut

Imposer un moteur de recherche et certains paramegravetres de recherche peut avoir un sens dans certainscontextes Crsquoest le cas principalement lorsque le navigateur se trouve deacutedieacute agrave lrsquoIntranet Lrsquoentiteacute pourraalors imposer et configurer le moteur de recherche de lrsquoIntranet Ces regravegles de configuration peuventeacutegalement avoir une utiliteacute pour la recherche sur Internet si par exemple lrsquoentiteacute veut imposer unmoteur de recherche franccedilais qui srsquoappuie sur une connexion chiffreacutee En parallegravele lrsquoentiteacute peut alorsbloquer lrsquoaccegraves aux adresses des moteurs de recherche qursquoelle souhaite interdire

R14 Pour des questions de respect de la vie priveacutee il est conseilleacute drsquoimposer un moteur derecherche srsquoappuyant sur une connexion chiffreacutee (HTTPS)

Note Cela nrsquoempecircche pas lrsquointerception des donneacutees par le moteur de recherche ce dernier eacutetant danstous les cas destinataire des donneacutees de recherche en clair

425 Filtrage de contenu

Le filtrage du contenu participe agrave renforcer la seacutecuriteacute de la navigation en bloquant les contenuspotentiellement malveillants Certains meacutecanismes de filtrage peuvent toutefois avoir une incidence surla faculteacute des utilisateurs agrave naviguer sur certains sites

R15 Activer les fonctionnaliteacutes de filtrage de contenu telles que la navigation seacutecuriseacutee(protection contre le hameccedilonnage et les logiciels malveillants) ou la Content SecurityPolicy 14

R16 Interdire ou a minima restreindre les scripts les contenus mixtes actifs 15 les cookies tiersetc

La section correspondante de lrsquoannexe I liste en deacutetail le parameacutetrage recommandeacute pour ces types decontenus

426 Page(s) drsquoaccueil

Si le navigateur est configureacute pour restaurer la session preacuteceacutedente les donneacutees ainsi que les cookiesde session seront sauvegardeacutes puis restaureacutes au prochain deacutemarrage du navigateur (sauf en mode de

14 Cette couche de seacutecuriteacute qui permet de se preacutemunir contre certains types drsquoattaques est deacutetailleacutee dans un article duMozilla Developer Network httpsdevelopermozillaorgen-USdocsWebSecurityCSPIntroducing_Content_Security_Policy15 httpsdevelopermozillaorgen-USdocsSecurityMixedContent

navigation priveacutee) Il est alors possible de reacutecupeacuterer ces cookies sauvegardeacutes pour srsquoauthentifier agrave laplace de lrsquoutilisateur sans mot de passe voire de reacutecupeacuterer une session HTTPS preacutealablement initieacutee

R17 Il est preacutefeacuterable que le navigateur nrsquoenregistre pas les sessions de navigation Lors dudeacutemarrage du navigateur (apregraves un arrecirct normal ou brusque) il est en effet conseilleacutede ne pas restaurer la session preacuteceacutedente de lrsquoutilisateur mais drsquoafficher une(des) page(s)connue(s) et de confiance

427 Serveur mandataire

Il est primordial de controcircler les flux non seulement en entreacutee mais eacutegalement en sortie Lorsqursquounindividu malveillant atteint en inteacutegriteacute un poste de travail il peut ensuite proceacuteder agrave lrsquoeacutetablissementdrsquoun canal de controcircle depuis le poste de travail vers un serveur situeacute sur Internet Lrsquoutilisation deserveurs mandataires avec authentification peut donc bloquer des connexions sortantes malveillantesIl srsquoavegravere alors judicieux drsquoimposer lrsquoutilisation du serveur mandataire (proxy) par configuration cen-traliseacutee sur les postes utilisateurs

R18 Privileacutegier lrsquoutilisation de serveurs mandataires avec authentification

Note Cette recommandation peut ecirctre renforceacutee par des regravegles de filtrage de pare-feu

428 Authentification HTTP

Il est possible de durcir la seacutecuriteacute des authentifications utilisant NTLM 16 ou SPNEGO 17 surFirefox degraves lors que lrsquoune drsquoentre elles est utiliseacutee par lrsquoentiteacute qui le deacuteploie Il est par exemplerecommandeacute de speacutecifier la liste des serveurs autoriseacutes agrave engager une authentification SPNEGO ouune authentification NTLM automatique

R19 Speacutecifier la liste des serveurs autoriseacutes agrave engager une authentification SPNEGO ou uneauthentification NTLM automatique

Note Lrsquoutilisation de NTLM nrsquoest pas conseilleacutee Kerberos eacutetant le protocole drsquoauthentification agraveprivileacutegier

429 Peacuterimegravetre de navigation

Il est recommandeacute de restreindre le peacuterimegravetre de navigation en interdisant certains scheacutemas drsquoadressesavec les protocol-handlers

R20 Interdire a minima le scheacutema drsquoadresses file pour un navigateur deacutedieacute agrave la navigationsur Internet de maniegravere agrave eacuteviter des accegraves arbitraires au systegraveme de fichiers Le scheacutemaftp pourrait eacutegalement ecirctre interdit au profit de lrsquoutilisation drsquoun client FTP tiers

Note Lrsquoutilisation du navigateur Firefox ne sera alors plus possible pour afficher des pages htmldirectement depuis un systegraveme de fichiers (CD-ROM disque local ou distant via un partage reacuteseauetc)

Ces listes preacutesentent eacutegalement un inteacuterecirct particulier dans le cadre drsquoune strateacutegie de doublenavigateur Ce sujet est deacutetailleacute en section laquo Strateacutegie de double navigateur raquo

16 NTLM (NT Lan Manager) est une suite de protocoles drsquoauthentification de Microsoft qui ne supporte pas lesmeacutethodes cryptographiques reacutecentes comme AES ou SHA-25617 SPNEGO (Simple and Protected GSSAPI Negociation Mechanism) est un standard qui permet de neacutegocier de

lrsquoauthentification Kerberos NTLM ainsi que drsquoautres protocoles supporteacutes pour le systegraveme SPNEGO est eacutegalementconnu sous le nom du protocole drsquoauthentification laquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication

4210 Administration systegraveme et maintenance

Divers paramegravetres de Firefox relegravevent de sa maintenance et certaines preacutecautions doivent ecirctreprises pour eacuteviter des problegravemes de compatibiliteacute de confidentialiteacute des donneacutees utilisateurs voire dedisponibiliteacute des postes de travail La liste complegravete de ces paramegravetres figure en annexe I

43 Teacuteleacute-deacuteploiement initial

Firefox au mecircme titre que les autres logiciels devrait ideacutealement ecirctre installeacute sur les postes detravail par teacuteleacute-deacuteploiement Une telle meacutethode de deacuteploiement est un des fondamentaux drsquoun systegravemedrsquoinformation controcircleacute et maicirctriseacute En effet il permet de maicirctriser les installations drsquohomogeacuteneacuteiser lesversions et configurations mais aussi de proceacuteder aux mises agrave jour de maniegravere reacuteactive et efficace

Le teacuteleacute-deacuteploiement de logiciel peut se faire de plusieurs maniegraveres ndash au format MSI par GPO (strateacutegies de groupe pour la gestion centraliseacutee) dans un domaine

Microsoft Active Directory Attention toutefois puisque Mozilla ne fournit Firefox qursquoau formatexeacutecutable il sera donc neacutecessaire de construire un package Firefox au format MSI Des eacutediteurstiers proposent de tels paquets mais ces eacutediteurs nrsquooffrent pas de garantie forte de lrsquointeacutegriteacute deslogiciels qursquoils fournissent Il est par conseacutequent preacutefeacuterable que lrsquoorganisation utilisatrice geacutenegravereses propres fichiers MSI

ndash au format exeacutecutable agrave lrsquoaide drsquoun outil de gestion de parc ou de tout autre produit tiers preacutevuagrave cet effet

44 Gestion des mises agrave jour

La mise agrave jour reacuteactive du navigateur est primordiale pour se preacutemunir des vulneacuterabiliteacutes reacuteguliegravere-ment deacutetecteacutees et corrigeacutees Lrsquoutilisation drsquoun navigateur preacutesentant des vulneacuterabiliteacutes connues par despersonnes malveillantes expose le poste de travail agrave une attaque Deux strateacutegies diffeacuterentes de mise agravejour de Firefox peuvent alors ecirctre envisageacutees

ndash la premiegravere consiste agrave simplement laisser la configuration par deacutefaut le navigateur va alorsautomatiquement teacuteleacutecharger les mises agrave jour aupregraves des serveurs de Mozilla Il convient dans cecas de srsquoassurer que les postes de travail sont en mesure drsquoacceacuteder aux serveurs de mise agrave jour deMozilla sur Internet ideacutealement au travers du proxy drsquoentreprise qui pourra notamment mettreen cache les binaires

ndash la configuration alternative consiste agrave remplacer lrsquoURL de mise agrave jour (agrave lrsquoaide du paramegravetre deconfiguration appupdateurloverride) 18 par une URL locale qui mettra les mises agrave jour agravedisposition des postes de travail

18 Pour plus drsquoinformations sur la mise en œuvre drsquoun serveur de mises agrave jour local httpsdevelopermozillaorgen-USdocsMozillaSetting_an_update_server

Le tableau suivant syntheacutetise les avantages et inconveacutenients des deux meacutethodes

Meacutethode Avantages Inconveacutenientsclassique par deacutefautles navigateurs se mettentagrave jour automatiquementaupregraves des serveurs deMozilla par Internet

- mise en œuvre aiseacutee par les servicesinformatiques - haut taux de disponibiliteacute desserveurs de mise agrave jour de Mozilla

- ne permet pas aux ser-vices informatiques de testeret valider les mises agrave jouravant leur deacuteploiement no-tamment lors de lrsquoutilisationdrsquoapplications Web meacutetier peureacutepandues - peu adapteacute pour un naviga-teur deacutedieacute agrave lrsquoIntranet

controcircleacutee la mise agrave jourautomatique de Firefox estdeacutesactiveacutee et les servicesinformatiques mettent lesmises agrave jour agrave dispositiondes postes de travail depuisun serveur local

- permet de tester et valider les misesagrave jour avant deacuteploiement - permet drsquoadapter les configu-rations centraliseacutees du navigateurpour tenir compte des eacuteventuellesnouvelles fonctionnaliteacutes avant deacute-ploiement - permet de bloquer tout le trafic agravedestination des serveurs de Mozilla

- freine la reacuteactiviteacute des misesagrave jour - neacutecessite des moyens hu-mains importants

Il sera nettement moins risqueacute (du point de la compatibiliteacute) de retenir le mode classique (automa-tique) pour les versions ESR de Firefox eacutetant donneacute que les mises agrave jour concernent des correctifs deseacutecuriteacute agrave haut risque et nrsquoapportent aucune nouvelle fonctionnaliteacute En revanche les versions standardsde Firefox peuvent recevoir des mises agrave jour fonctionnelles importantes qursquoil serait plus pertinent decontrocircler preacutealablement

La probleacutematique des mises agrave jour concerne eacutegalement les extensions Bien qursquoil soit recommandeacutede les interdire dans le cadre drsquoune configuration durcie une entiteacute peut vouloir en deacuteployer certainespour de bonnes raisons La mise agrave jour des extensions est indeacutependante du meacutecanisme de mise agravejour du navigateur Elles peuvent ecirctre mises agrave jour automatiquement (comportement par deacutefaut) oumanuellement quelle que soit la strateacutegie de mise agrave jour choisie pour le navigateur

Le maintien en conditions de seacutecuriteacute des plugins devra par ailleurs ecirctre geacutereacute indeacutependamment dunavigateur chaque plugin ayant ses speacutecificiteacutes quant aux meacutecanismes de mise agrave jour utiliseacutes

Concernant le service Mozilla Maintenance Service (service chargeacute des mises agrave jour de Firefox) cedernier srsquoexeacutecute avec les droits qui lui sont propres pour la mise agrave jour du navigateur et ce quels quesoient les droits de lrsquoutilisateur

5 Strateacutegie de double navigateur

La seacutecuriteacute des systegravemes drsquoinformation impose souvent un navigateur qui doit ecirctre durci pourlrsquoaccegraves agrave Internet mais plus permissif pour lrsquoaccegraves aux applications internes Lorsque certains serveursWeb internes utilisent des appliquettes Java par exemple neacutecessitant le deacuteploiement de modulescompleacutementaires Java le navigateur finit par avoir une surface drsquoattaque tregraves importante et exposeainsi lrsquoentiteacute agrave un des vecteurs drsquoattaque les plus critiques et massivement exploiteacutes 19

19 Voir les recommandations de seacutecuriteacute publieacutees par lrsquoANSSI relatives aux environnements drsquoexeacute-cution Java sur les postes de travail Microsoft Windows agrave lrsquoadresse httpwwwssigouvfrfr

Pour traiter cette probleacutematique lorsqursquoelles disposent des ressources neacutecessaires en particulierpour en assurer le maintien en conditions de seacutecuriteacute de plus en plus drsquoentiteacutes srsquoorientent vers lrsquousagede deux navigateurs diffeacuterents Il devient alors possible

ndash drsquoen deacutedier un agrave la navigation sur Internet De par sa configuration durcie sa surface drsquoattaqueest reacuteduite au maximum Il est maintenu en conditions de seacutecuriteacute avec la plus grande attentionLes eacutequipes de veille scrutent la moindre vulneacuterabiliteacute dont le navigateur Internet fait lrsquoobjetLes eacutequipements de filtrage et drsquoanalyse du trafic sont utiliseacutes pour repeacuterer tout comportementsuspect de navigation sur Internet

ndash drsquoen deacutedier un deuxiegraveme agrave lrsquoaccegraves aux serveurs internes neacutecessitant par exemple un module com-pleacutementaire qui peut faire lrsquoobjet de vulneacuterabiliteacutes freacutequentes ou qui neacutecessite une configurationplus permissive Il est alors possible de le configurer pour permettre uniquement lrsquoaccegraves et lrsquousagede lrsquoensemble des sites et applications leacutegegraveres de lrsquoIntranet

Une telle strateacutegie de double navigateur doit neacutecessairement srsquoaccompagner de mesures de seacutecuriteacutetechniques permettant de garantir le peacuterimegravetre drsquoutilisation de chaque navigateur par des paramegravetresde configuration verrouilleacutes Le tableau suivant en donne quelques exemples

Composant Action ValeurServeur mandataire Autoriser User-Agent du navigateur Internet (ou plus strictement de

la derniegravere version de ce dernier)Bloquer Tout autre User-Agent non autoriseacute

Pare-feu locaux despostes de travail

Autoriser TCP en sortie vers le serveur mandataire depuis - le processus du navigateur Internet (chemin complet delrsquoexeacutecutable) - les autres processus eacuteventuels autoriseacutes agrave acceacuteder agraveInternet via le serveur mandataire

Bloquer TCP en sortie vers le serveur mandataire depuis tout autreprocessus

Pare-feu de passerelleInternet

Autoriser TCP en sortie vers les ports 443 et 80 depuis - lrsquoIP source du serveur mandataire - les autres IP sources eacuteventuelles autoriseacutees agrave sortir endirect sur Internet sans passer par le serveur mandataire

Bloquer TCP en sortie vers ports 443 et 80 depuis toute autre IPsource

Applocker (ou SRP) surles postes de travail

Autoriser lrsquoexeacutecution Chemin complet de lrsquoexeacutecutable des navigateurs autoriseacutes

Bloquer lrsquoexeacutecution Tout autre exeacutecutable de navigateur interdit

Les regravegles de configuration deacutecrites en annexe I section laquo Peacuterimegravetre de navigation raquo permettentalors de mettre en œuvre une partie de ces mesures de seacutecuriteacute et de restreindre le peacuterimegravetre denavigation possible de chacun des navigateurs

guides-et-bonnes-pratiquesrecommandations-et-guidessecurite-du-poste-de-travail-et-des-serveursrecommandations-de-securite-relatives-aux-environnements-d-execution-java-surhtml

Les figures suivantes illustrent de maniegravere syntheacutetique les mesures de seacutecuriteacute appliqueacutees agrave unestrateacutegie de double navigateur

Figure 1 ndash Illustration drsquoune strateacutegie de double navigateur cas ougrave Firefox est utiliseacute commenavigateur Internet

Figure 2 ndash Illustration drsquoune strateacutegie de double navigateur cas ougrave Firefox est utiliseacute commenavigateur Intranet

Ces figures illustrent deux cas distincts Le navigateur Firefox y est repreacutesenteacute mais la strateacutegieserait eacutequivalente avec drsquoautres navigateurs

Les regravegles de configuration recommandeacutees en annexe I se precirctent agrave un contexte ougrave le navigateur estdeacutedieacute agrave la navigation sur Internet

Annexe I Strateacutegies de seacutecurisation de Firefox

Cette annexe liste sous forme de tableaux les valeurs recommandeacutees permettant de mettre en œuvreles recommandations formuleacutees dans cette note technique La liste des paramegravetres de configurationdisponibles est sujette agrave des eacutevolutions freacutequentes et certains sont peu voire pas documenteacutes Lesrecommandations et leurs indications de mise en œuvre figurant dans ce document sont baseacutees sur lesparamegravetres de configuration de Firefox dans sa version ESR 31 Ces derniers pourront ecirctre adapteacutesselon la version du navigateur deacuteployeacutee agrave la date de lecture du document

Depuis un navigateur Firefox il est possible drsquoafficher et de modifier les paramegravetres de configurationappliqueacutes en tapant aboutconfig dans la barre drsquoadresse Les paramegravetres verrouilleacutes sont afficheacutes enitalique La page aboutsupport affiche quant agrave elle un reacutecapitulatif des informations systegravemes etde version ainsi que les modifications importantes apporteacutees agrave la configuration par deacutefaut du navigateur

En environnement professionnel il est conseilleacute de deacuteployer une configuration de maniegravere centraliseacuteecomme expliqueacute en annexe II Pour un usage personnel de Firefox il est eacutegalement possible de srsquoinspirerde tout ou partie des paramegravetres indiqueacutes dans ce document agrave partir de la page aboutconfig

Seacutecuriteacute des modules compleacutementaires

Les regravegles de configuration preacutefixeacutees par le terme laquo extensions raquo ne srsquoappliquent pas toujoursuniquement aux extensions comme elles pourraient le laisser entendre mais parfois plus largementaux plugins voire aux modules compleacutementaires dans leur ensemble Il convient donc drsquoecirctre vigilantquant au peacuterimegravetre reacuteel drsquoapplication des regravegles de configuration dont les noms pourraient precircter agraveconfusion

Nom de strateacutegie Description Valeur recommandeacuteeextensionsautoDisableScopes Les extensions peuvent

ecirctre deacutesactiveacuteesautomatiquement enfonction de leur localisation

3 (les extensions deacuteposeacutees dans le profil Firefox delrsquoutilisateur ou dans le profil utilisateur Windowsseront automatiquement deacutesactiveacutees20)

extensionsenabledScopes Les extensions peuvent ecirctreactiveacutees automatiquementen fonction de leurlocalisation21

12 (seules les extensions reacutefeacuterenceacutees par une entreacutee enbase de registres22 ou deacuteposeacutees dans le sous-dossierdrsquoextensions agrave lrsquoemplacement de lrsquoexeacutecutable FireFoxseront activeacutees Attention ce paramegravetre a prioriteacute surextensionsautoDisableScopes

20 Contrairement agrave ce qursquoindique la MozillaZine Knownledge Base le paramegravetre extensionsautoDisableScopes nepermet pas de deacutesactiver un plugin pour ce faire il convient drsquoutiliser les paramegravetres pluginstatex21 Pour plus drsquoinformations sur le paramegravetre extensionsenabledScopes httpsdevelopermozillaorgen-US

Add-onsInstalling_extensions22 Article de Mozilla expliquant lrsquoajout la mise agrave jour et la suppression drsquoextensions ou de plugins pour Firefox par

Nom de paramegravetre Description Valeur recommandeacuteeextensionsblocklistenabled Teacuteleacutechargement reacutegulier drsquoune

liste noire de modules reacutefeacuterenceacutescomme eacutetant malveillants

false si seuls les modules teacuteleacute-deacuteployeacutes par leseacutequipes informatique sont installeacutes ou true silrsquoutilisateur est en mesure drsquoinstaller des moduleslui-mecircme

extensionsblocklistdetailsURL

URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules

Celle par deacutefaut (httpswwwmozillaorgLOCALEblocklist)

extensionsblocklistitemURL URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules(variante)

Celle par deacutefaut (httpsaddonsmozillaorgLOCALEAPPblockedblockID)

extensionsblocklistinterval Intervalle de teacuteleacutechargement dela liste noire de modules ensecondes

86400 (soit 1 fois par jour)

extensionsblocklistlevel Niveau de blocage 2 (pour bloquer les extensions de la liste)extensionsblocklisturl Adresse de teacuteleacutechargement de la

liste noire de modulesCelle par deacutefaut (httpsaddonsmozillaorgblocklist3APP_IDAPP_VERSIONPRODUCTBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONPING_COUNTTOTAL_PING_COUNTDAYS_SINCE_LAST_PING)

extensionsenabledAddons Modules activeacutes au deacutemarragede Firefox

Mettre agrave vide

pdfjsdisabled Deacutesactiver la visionneuse PDFinteacutegreacutee agrave Firefox (pdfjs)

true pour que lrsquoutilisateur teacuteleacutecharge les PDF etles visionne via un lecteur PDF tiers maintenu enconditions de seacutecuriteacute par lrsquoentiteacute et ne faisant paslrsquoobjet de vulneacuterabiliteacutes freacutequentes ou false pourautoriser lrsquousage du lecteur de PDF inteacutegreacute

pluginstateflash Configuration drsquoactivation duplugin Flash

1 (demander lrsquoautorisation agrave lrsquoutilisateur avantchaque exeacutecution du plugin Flash) ou 2 (toujoursactiver) au choix de lrsquoentiteacute et en fonction desutilisateurs et des contraintes de seacutecuriteacute

pluginstatejava Configuration drsquoactivation duplugin Java

0 pour ne jamais activer le plugin Java (agrave moinsque lrsquoentiteacute souhaite utiliser ce plugin malgreacute lesrisques de seacutecuriteacute encourus auquel cas la valeuragrave donner serait 1 pour demander lrsquoautorisation agravelrsquoutilisateur agrave chaque exeacutecution du plugin Java)

pluginstatex Configuration drsquoactivation duplugin x ougrave x est agrave remplacerpar le nom court du pluginagrave deacutesactiver (exemple npctrlpour Microsoft Silverlight Lesnoms courts des plugins sontindiqueacutes en affichant leurs infor-mations deacutetailleacutees depuis lrsquointer-face graphique)

0 pour ne jamais activer le plugin ou 1 pourdemander lrsquoautorisation agrave lrsquoutilisateur avant chaqueexeacutecution du plugin

plugindefaultstate Configuration drsquoactivation desautres plugins

0 pour ne jamais activer un plugin non explicite-ment autoriseacute par les regravegles preacuteceacutedentes

plugindefaultXpistate Configuration drsquoactivation desautres plugins au format XPI

0 pour ne jamais activer un plugin au format XPInon explicitement autoriseacute par les regravegles preacuteceacute-dentes

pluginsclick_to_play Cliquer pour lire le contenu neacute-cessitant un plugin

true pour activer le mode laquo Cliquer pour lire raquo

pluginsload_appdir_plugins Chargement automatique desplugins depuis des emplace-ments utiliseacutes avant Firefox 21

Eacutetant donneacute que seuls les modules compleacutementaires teacuteleacute-deacuteployeacutes par les eacutequipes informatiquessont autoriseacutes il est recommandeacute de bloquer toute possibiliteacute drsquoajout de modules compleacutementaires parlrsquoutilisateur

Nom de strateacutegie Description Valeur recommandeacuteeextensionsgetAddonsgetWithPerformanceurl

URL de reacutecupeacuteration drsquoun module compleacutementaire Mettre agrave vide

extensionsgetAddonsmaxResults Nombre de reacutesultats maximum 0extensionsgetAddonsgeturl URL de consultation drsquoun module compleacutementaire Mettre agrave videextensionsgetAddonsrecommendedbrowseURL

URL de consultation des modules compleacutementairesrecommandeacutes

Mettre agrave vide

extensionsgetAddonsrecommendedurl

URL de consultation des modules compleacutementairesrecommandeacutes par API

Mettre agrave vide

extensionsgetAddonssearchbrowseURL

URL de recherche de modules compleacutementaires Mettre agrave vide

extensionsgetAddonssearchurl URL de recherche de modules compleacutementaires parAPI

Mettre agrave vide

extensionsgetAddonsshowPane Afficher le panneau drsquoajout de modules compleacutemen-taires

extensionshideInstallButton Cacher le bouton drsquoinstallation manuelle drsquoextensions true

extensionswebservicediscoverURL URL du catalogue drsquoextensions Mettre agrave videxpinstallenabled Autoriser lrsquoinstallation manuelle de modules au format

XPIfalse

xpinstallwhitelistrequired Obligation pour une archive XPI drsquoecirctre en liste blanchepour ecirctre installeacutee manuellement

xpinstallwhitelistaddxpinstallwhitelistadd

Liste blanche drsquoarchives XPI pouvant ecirctre installeacuteesmanuellement

Mettre agrave vide

Pour finir lrsquoentiteacute devra choisir sa strateacutegie de mise agrave jour des extensions teacuteleacute-deacuteployeacutees Lrsquoentiteacutequi voudra teacuteleacute-deacuteployer elle-mecircme les versions agrave jour des modules compleacutementaires apregraves une phase devalidation optera pour le parameacutetrage donneacute ci-dessous la responsabiliteacute du maintien en conditions deseacutecuriteacute sera alors deacuteporteacutee sur les services informatiques en charge du deacuteploiement de ces mises agrave jourDans le cas contraire les valeurs par deacutefaut permettent une mise agrave jour automatique des extensionspar Internet

Nom de strateacutegie Description Valeur recommandeacuteeextensionshotfixcertcheckAttributes

Veacuterifie les attributs du certificat de signature descorrectifs teacuteleacutechargeacutes

extensionshotfixcerts1sha1Fingerprint

Empreintes attendues du certificat de signature descorrectifs teacuteleacutechargeacutes

Laisser la valeur par deacutefaut(9153980CC186DF478F35229E11C9A7310449A1AA en date dereacutedaction de ce document)

extensionsupdateautoUpdateDefault

Teacuteleacutecharger et installer automatiquement les mises agravejour drsquoextensions

extensionsupdatebackgroundURL

URL de teacuteleacutechargement des mises agrave jour drsquoextensionsen arriegravere plan

Mettre agrave vide

extensionsupdateenabled Activer la mise agrave jour des extensions false

extensionsupdateinterval Intervalle de teacuteleacutechargement des mises agrave jour desextensions

pluginsupdatenotifyUser Notifier lrsquoutilisateur de la preacutesence drsquoune mise agrave jourpour ses modules compleacutementaires

pluginsupdateurl URL de mise agrave jour des modules compleacutementaires Mettre agrave vide

SSLTLS et certificats

Le parameacutetrage des suites cryptographiques autoriseacutees peut engendrer des problegravemes de compa-tibiliteacute selon le contexte Il est donc leacutegitime de preacutefeacuterer ne pas modifier la configuration par deacutefautDans un soucis de durcissement les recommandations suivantes pourraient toutefois ecirctre appliqueacutees

Nom de paramegravetre Description Valeur recommandeacuteesecurityssl3dhe_dss_aes_128_sha Autoriser ssl3dhe_dss_aes_128_sha false

securityssl3dhe_dss_aes_256_sha Autoriser ssl3dhe_dss_aes_256_sha false

securityssl3dhe_dss_camellia_128_sha Autoriser ssl3dhe_dss_camellia_128_sha false

securityssl3dhe_rsa_aes_128_sha Autoriser ssl3dhe_rsa_aes_128_sha true

securityssl3dhe_rsa_camellia_128_sha Autoriser ssl3dhe_rsa_camellia_128_sha false

securityssl3dhe_rsa_des_ede3_sha Autoriser ssl3dhe_rsa_des_ede3_sha false

securityssl3ecdhe_ecdsa_aes_128_gcm_sha256

Autoriser ssl3ecdhe_ecdsa_aes_128_gcm_sha256

securityssl3ecdhe_ecdsa_aes_128_sha Autoriser ssl3ecdhe_ecdsa_aes_128_sha true

securityssl3ecdhe_ecdsa_rc4_128_sha Autoriser ssl3ecdhe_ecdsa_rc4_128_sha false

securityssl3ecdhe_rsa_aes_128_gcm_sha256

Autoriser ssl3ecdhe_rsa_aes_128_gcm_sha256

securityssl3ecdhe_rsa_aes_128_sha Autoriser ssl3ecdhe_rsa_aes_128_sha true

securityssl3ecdhe_rsa_des_ede3_sha Autoriser ssl3ecdhe_rsa_des_ede3_sha false

securityssl3ecdhe_rsa_rc4_128_sha Autoriser ssl3ecdhe_rsa_rc4_128_sha false

securityssl3rsa_aes_128_sha Autoriser ssl3rsa_aes_128_sha true

securityssl3rsa_camellia_128_sha Autoriser ssl3rsa_camellia_128_sha false

securityssl3rsa_des_ede3_sha Autoriser ssl3rsa_des_ede3_sha false

securityssl3rsa_fips_des_ede3_sha Autoriser ssl3rsa_fips_des_ede3_sha false

securityssl3rsa_rc4_128_md5 Autoriser ssl3rsa_rc4_128_md5 false

securityssl3rsa_rc4_128_sha Autoriser ssl3rsa_rc4_128_sha false

securityssl3rsa_seed_sha Autoriser ssl3rsa_seed_sha false

Autres paramegravetres

Nom de paramegravetre Description Valeur recommandeacuteesecuritytlsversionmax Version maximum de

SSLTLS3 (ce qui correspond agrave TLS 12)

securitytlsversionmin Version minimum de SSLTLS 2 (ce qui correspond agrave TLS 11)securitysslallow_unrestricted_renego_everywhere__temporarily_available_pref

Activer la reneacutegociation SSL false pour remeacutedier agrave une attaque parle milieu connue

securitysslenable_false_start Activer laquo SSL False Start raquo false car non standardiseacute et amenantde potentielles vulneacuterabiliteacutes

securitysslenable_ocsp_stapling Activer lrsquoOCSP stapling23 true

23 httpsblogmozillaorgsecurity20130729ocsp-stapling-in-firefox

Nom de paramegravetre Description Valeur recommandeacuteesecuritysslrequire_safe_negotiation

Neacutecessite une neacutegociation SSL qui nrsquoutilisepas une ancienne version SSLTLS vul-neacuterable agrave des attaques par le milieu

securityssltreat_unsafe_negotiation_as_broken

Informer lrsquoutilisateur (cadenas casseacute rougedans la barre de status) lorsque les neacutegoci-ations SSLTLS sont non seacutecuriseacutees

networkstricttransportsecuritypreloadlist

Charger la liste de sites deacuteclareacutes commeutilisant HSTS (HTTP Strict TransportSecurity24)

networkwebsocketallowInsecureFromHTTPS

Autoriser les WebSockets non seacutecuriseacuteepour un site consulteacute en HTTPS

securityOCSPenabled Activer OCSP 2 pour veacuterifier le certificat agrave partir delrsquoURL de service OCSP et de lrsquoautoriteacutede certification ayant signeacute le certifi-cat Notons que cette fonctionnaliteacuteest critiqueacutee pour des questions delatence des reacutepondeurs OCSP (de lrsquoor-dre de 300ms pour les plus rapides agraveplus drsquoune seconde pour les plus lents)OCSP tend donc agrave ecirctre remplaceacute pardes listes locales de certificats reacutevo-queacutes dans drsquoautres navigateurs maisFirefox ne dispose pas encore drsquounetelle liste Une entiteacute ayant des con-traintes particuliegraveres quant agrave la la-tence induite par OSCP pourrait opterpour une deacutesactivation drsquoOCSP avecla valeur 0

securityOCSPrequire Neacutecessite la validation du certificat parOCSP avant de continuer la navigation surle site

true si securityOCSPenabled a eacuteteacuteconfigureacute agrave true ou false dans le cascontraire

securitycert_pinningenforcement_level

Niveau de certificate pinning (eacutepinglage decertificats)25(agrave partir de Firefox 32)

2 pour utiliser lrsquoeacutepinglage strict

Gestionnaire de mots de passe

Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownpasswords Effacer les mots de passe enregistreacutes agrave la

fermeture du navigateurtrue

signonrememberSignons Active le gestionnaire de mots de passe false

signonautofillForms Remplissage automatique des formulairesde login

24 httpsdeveloppermozillaorgfrdocsSeacutecuriteacuteHTTP_Strict_Transport_Security25 Lrsquoeacutepinglage de certificats permet drsquoavoir une base locale de certificats connus et attendus pour certains sites Web

consulteacutes en HTTPS Ainsi si le certificat preacutesenteacute par le serveur est valide en tous points de vue mais nrsquoest pas lecertificat attendu la connexion sera coupeacutee Ce meacutecanisme permet drsquoeacuteviter une attaque par le milieu preacutesentant un fauxcertificat issu drsquoune autoriteacute de certification de confiance

Confidentialiteacute

Il nrsquoexiste pas en date de reacutedaction de cette note de regravegle globale pour la deacutesactivation de FirefoxSync Sa deacutesactivation se fait par conseacutequent agrave travers plusieurs regravegles de configuration

Nom de paramegravetre Description Valeur recommandeacuteeservicessyncengineaddons Synchronisation des modules compleacutementaires false

servicessyncenginebookmarks Synchronisation des marque-pages false

servicessyncenginehistory Synchronisation de lrsquohistorique de navigation false

servicessyncenginepasswords Synchronisation des mots de passe stockeacutes false

servicessyncengineprefs Synchronisation des preacutefeacuterences false

servicessyncenginetabs Synchronisation des onglets ouverts false

servicessyncregisterEngines Moteurs de synchronisation enregistreacutes Mettre agrave videservicessyncjpakeserverURL URL du serveur synchronisation jpake Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessynctokenServerURI URI du serveur de jetons Mettre agrave videservicessyncnextSync Planification de la prochaine synchronisation 0

Il convient eacutegalement de deacutesactiver les diffeacuterents rapports agrave Mozilla

Nom de paramegravetre Description Valeur recommandeacuteedatareportinghealthreportaboutreportUrl URL de rapport de santeacute Mettre agrave videdatareportinghealthreportloggingconsoleEnabled

Activer la journalisation (console) du ser-vice de rapports de santeacute

datareportinghealthreportloggingdumpEnabled

Activer la journalisation (dumps) du ser-vice de rapports de santeacute

datareportinghealthreportnextDataSubmissionTime

Date de prochaine soumission de rapportde santeacute

Mettre agrave vide

datareportinghealthreportserviceenabled Activer le service de rapport de santeacute false

datareportinghealthreportuploadEnabled Autoriser lrsquoenvoi de donneacutees au serveur derapports de santeacute

datareportingpolicydataSubmissionEnabled Activer lrsquoenvoi de donneacutees agrave Mozilla agrave desfins drsquoameacutelioration

datareportingpolicydataSubmissionPolicyAccepted

Accepter les conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration

datareportingpolicydataSubmissionPolicyBypassAcceptance

Contourner lrsquoacceptation des conditionsdrsquoenvoi de donneacutees agrave Mozilla agrave des finsdrsquoameacutelioration

datareportingpolicydataSubmissionPolicyResponseType

Reacuteponse aux conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration

accepted-info-bar-dismissed

domipcpluginsreportCrashURL Inteacutegrer lrsquoURL au rapport de crash deplugins

domipcpluginsflashsubprocesscrashreporterenabled

Activer le rapport de crash du sous-processus flash

toolkittelemetryenabled Activer la fonctionnaliteacute de teacuteleacutemeacutetrie false

toolkittelemetryserver Adresse du serveur de teacuteleacutemeacutetrie Mettre agrave videbreakpadreportURL URL du rapport de crash Mettre agrave vide

Il peut eacutegalement ecirctre utile de configurer lrsquooption de suppression des donneacutees priveacutees (Clear PrivateData) en seacutelectionnant les eacuteleacutements qui seront supprimeacutes Lrsquoentiteacute pourra par exemple permettre auxutilisateurs de supprimer leurs donneacutees priveacutees dans le cadre drsquoune navigation sur internet ou bien delrsquointerdire srsquoil srsquoagit drsquoun navigateur deacutedieacute agrave lrsquointranet Une entiteacute pourrait eacutegalement vouloir toujoursgarder les historiques et le cache agrave des fins drsquoinvestigation (cela nrsquoempecircchera toutefois pas lrsquoutilisateurde les supprimer directement au niveau du systegraveme de fichiers dans son profil utilisateur)

Nom de paramegravetre Description Valeur recommandeacuteeprivacycpdcache Supprimer le cache lors drsquoune suppression des donneacutees

priveacuteesAu choix de lrsquoentiteacute

privacycpdcookies Supprimer les cookies lors drsquoune suppression des donneacuteespriveacutees

Au choix de lrsquoentiteacute

privacycpddownloads Supprimer lrsquohistorique des teacuteleacutechargements lors drsquounesuppression des donneacutees priveacutees

privacycpdformdata Supprimer lrsquohistorique de remplissage automatique desformulaire lors drsquoune suppression des donneacutees priveacutees

privacycpdhistory Supprimer lrsquohistorique lors drsquoune suppression des donneacuteespriveacutees

privacycpdofflineApps Supprimer les applications disponibles hors connexionlors drsquoune suppression des donneacutees priveacutees

privacycpdpasswords Supprimer les mots de passe enregistreacutes lors drsquoune sup-pression des donneacutees priveacutees

privacycpdsessions Supprimer les sessions en cours enregistreacutees lors drsquounesuppression des donneacutees priveacutees

privacycpdsiteSettings Supprimer les paramegravetres par site lors drsquoune suppressiondes donneacutees priveacutees

privacysanitizesanitizeOnShutdown

Supprimer les donneacutees priveacutees agrave la fermeture du naviga-teur

En cas de besoin speacute-cifique de lrsquoentiteacute

Viennent pour finir divers autres paramegravetres lieacutes agrave la confidentialiteacute

Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownsessions effacer les sessions de navigation en cours lors

de la fermeture du navigateurtrue

privacyclearOnShutdowncookies effacer les cookies de navigation lors de lafermeture du navigateur

privacydonottrackheaderenabled Activer Do-Not-Track true

geoenabled activer la geacuteolocalisation false

geowifiuri URI du service de geacuteolocalisation agrave utiliser Mettre agrave videnetworkprefetch-next Teacuteleacutechargement preacutedictif anticipeacute des docu-

ments lieacutes agrave la page Web visiteacutes (link prefetch-ing)26

false pour eacuteviter lrsquoeacutetablisse-ment de connexions et leteacuteleacutechargement de contenunon solliciteacutes

medianavigatorpermissiondisabled Contourne la permission drsquoacceacuteder agrave la web-cam

networkhttpsendRefererHeader Activer lrsquoenvoi de lrsquoentecircte referer 0 pour plus drsquoanonymat ou 2pour ne pas empecirccher le fonc-tionnement de certains sites

browsersend_pings Activer lrsquoenvoi de requecircte POST lors du clicsur un lien (fonctionnaliteacute souvent utiliseacuteepour tracer les clics)

26 Le link prefetching permet drsquoacceacuteleacuterer le surf en anticipant le chargement des documents lieacutes agrave la page visiteacutesLrsquoimpleacutementation de ce meacutecanisme dans Firefox ne transmet aucune information agrave Mozilla Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsWebHTTPLink_prefethcing_FAQ

Filtrage de contenu

Actions autoriseacutees aux les scripts

Nom de paramegravetre Description Valeur recommandeacuteedomallow_scripts_to_close_windows Autoriser les scripts agrave fermer

une fenecirctrefalse

domdisable_image_src_set Interdire la modification desimages sources par script

domdisable_window_flip Interdire le changement defenecirctre active par script

domdisable_window_move_resize Deacutetermine si les fenecirctrespeuvent ecirctre bougeacutees or red-imensionneacutees par script

domdisable_window_open_featureclose Interdire la creacuteation defenecirctre sans bouton defermeture

true pour eacuteviter les popups in-vasifs

domdisable_window_open_featurelocation Interdire la creacuteation defenecirctre sans barre drsquoadresse

true pour que lrsquoutilisateur puissetoujours veacuterifier ecirctre agrave lrsquoadressepreacutevue

domdisable_window_open_featurestatus Interdire la creacuteation defenecirctre sans barre de status

true pour que lrsquoutilisateur puissese rendre contre plus facilementdes tentatives de spoofing

domdisable_window_open_featuretitlebar Interdire la creacuteation defenecirctre sans barre de titre

true pour que lrsquoutilisateur puissebien voir qursquoil srsquoagit drsquoun popupFirefox

domdisable_window_open_featuretoolbar Interdire la creacuteation defenecirctre sans barre drsquooutils

domeventclipboardeventsenabled Permettre agrave un script desaisir les eacuteveacutenements dupresse papier

domeventcontextmenuenabled Permettre agrave un script desaisir les eacuteveacutenements drsquoac-cegraves au menu contextuel (clicdroit)

dominter-app-communication-apienabled Activer la communicationpar API entre applications

domipcpluginsenabled Activation du plugin con-tainer

true pour exeacutecuter les pluginsdans le plugin-container

domipcpluginsjavaenabled Exeacutecuter Java au sein duplugin-container

false pour eacuteviter des problegravemesde stabiliteacute

Nom de strateacutegie Description Valeur recommandeacuteebrowsersafebrowsingenabled Utiliser la navigation seacutecuriseacutee

(protection contre le phishing etles logiciels malveillants)27

javascriptenabled Activation de Javascript true

securityxpconnectpluginunrestricted Autoriser le scripting de pluginspar des scripts qui ne sont pasde confiance

false agrave moins drsquoune incompatibiliteacute avecdes plugins etou pages Web neacutecessaires agravelrsquoentiteacute

securitymixed_contentblock_active_content

Bloquer le contenu mixte actif true

securitymixed_contentblock_display_content

Bloquer le contenu mixte passif false

securityfileuristrict_origin_policy

Politique drsquoorigine stricte pourles URi de type fichiers

true sauf pour les populations dedeacuteveloppeurs qursquoun tel paramegravetre pourraitbloquer pour le deacuteveloppement en local

networkcookiecookieBehavior Politique de gestion des cookies 1 pour nrsquoautoriser que les cookies duserveur drsquoorigine et bloquer les cookiestiers

networkcookielifetimePolicy Politique drsquoexpiration des cook-ies

2 pour conserver les cookies pendant toutela dureacutee de la session seulement

networkcookiethirdpartysessionOnly Restreindre les cookies tiers agrave ladureacutee de la session seulement

networkjaropen-unsafe-types Nrsquoouvrir que les jar servis avecun content-type adeacutequat

privacypopupspolicy Politique de popups 1 pour activer les popups ou 2 pour lesrejeter mais cela rendrait la navigationdifficile voire impossible sur une quantiteacutede sites Internet non neacutegligeable

privacypopupsshowBrowserMessage Afficher un message lorsqursquounpopup a eacuteteacute bloqueacute

browserpopupsshowPopupBlocker Afficher lrsquoicocircne du bloqueur depopups dans la barre de status

securitycspenable Activer la Content Security Pol-icy (politique de seacutecuriteacute descontenus) qui permet de deacute-tecter et de limiter lrsquoimpact decertains types drsquoattaques

full-screen-apienabled Activer lrsquoAPI permettant drsquoaf-ficher du contenu en plein eacutecranpour les modules compleacutemen-taires

notificationfeatureenabled Permettre les notifications sur lebureau

27 La fonctionnaliteacute de navigation seacutecuriseacutee consiste agrave synchroniser une liste locale drsquoadresses de sites maveillants(depuis les serveurs de Google par deacutefaut depuis que Firefox utilise leur service) pour alerter lrsquoutilisateur srsquoil srsquoapprecircte agraveen visiter un Elle consiste eacutegalement agrave analyser le contenu des pages pour repeacuterer drsquoeacuteventuelles tentatives drsquohameccedilonnage

Moteur de recherche par deacutefaut

La configuration drsquoun moteur de recherche personnaliseacute ne peut pas se faire simplement par fichierde configuration et neacutecessite le deacuteploiement drsquoun module de recherche (search engine plugin) LrsquoannexeIV illustre la teacuteleacute-deacuteploiement drsquoun module de recherche utilisant le moteur franccedilais httpswwwqwantcom 28

Nom de paramegravetre Description Exemplebrowsersearchdefaultenginename Moteur de recherche par deacutefaut Qwantcom

browsersearchdefaulturl URL du moteur de recherche pardeacutefaut

httpswwwqwantcomq=searchTerms

browsersearchlog Journalisation de lrsquoutilisation desservices de recherche agrave des fins dedeacuteboggage

browsersearchopenintab Ouvrir les reacutesultats de recherchedans un nouvel onglet

browsersearchorder1 Moteur de recherche agrave utiliser enprioriteacute 1

Qwantcom

browsersearchsuggestenabled activer les suggestions false

browsersearchupdate Recherche de mises agrave jour pour lesmodules de recherche

keywordenabled Permettre de faire une recherchedepuis la barre drsquoadresse

Page(s) drsquoaccueil

Nom de strateacutegie Description Valeur recommandeacuteestartuphomepage_override_url Page drsquoaccueil apregraves une mise agrave jour de Firefox En fonction du choix de lrsquoentiteacutestartuphomepage_welcome_url Page drsquoaccueil au premier deacutemarrage En fonction du choix de lrsquoentiteacutebrowserstartuphomepage Page drsquoaccueil about blank pour une page vide

ou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute

browserstartuppage Page drsquoaccueil 1 pour ouvrir la page drsquoac-cueil indiqueacutee par le paramegravetrebrowserstartuphomepage

browsersessionstoreresume_from_crash

Restauration de session apregraves crash false

browsersessionstoreenabled Activer le service de restauration de session false

browsernewtaburl Page ouverte par deacutefaut lors de la creacuteationdrsquoun nouvel onglet de navigation

about blank pour une page videou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute

28 Ceci nrsquoest en aucun cas une recommandation ni une incitation agrave son utilisation mais un simple exemple

Authentification HTTP

Nom de strateacutegie Description Valeur recommandeacuteenetworkauthforce-generic-ntlm Utiliser le module drsquoauthen-

tification NTLM de Firefoxplutocirct que celui fourni parles APIs du systegraveme

networkauthuse-sspi Utiliser SSPI plutocirct queGSSAPI pour lrsquoauthentifica-tion Kerberos

true sous Windows

networkntlmsend-lm-response Envoyer le LM Hash dans lareacuteponse NTLM

networkautomatic-ntlm-authallow-proxies

Authentification par NTLMautomatique avec lesserveurs proxy

Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise

networkautomatic-ntlm-authtrusted-uris

Liste des URIs autoriseacuteespour lrsquoauthentification parNTLM automatique

Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationNTLM automatique

networkautomatic-ntlm-authallow-non-fqdn

Autoriser lrsquoauthentificationNTLM automatique avecdes sites sans FQDN

false agrave moins que la liste networkautomatic-ntlm-authtrusted-uris comporte des adressessans FQDN

networknegotiate-authallow-non-fqdn

Autoriser lrsquoauthentificationSPNEGO avec des sites sansFQDN

En fonction de lrsquoentiteacute

networknegotiate-authallow-proxies

Autoriser SPNEGO29si de-mandeacute par un serveur proxy

networknegotiate-authdelegation-uris

Liste des URIs autoriseacuteespour lesquels le navigateurpeut deacuteleacuteguer lrsquoautorisationde lrsquoutilisateur

Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites auxquels elle souhaite permettre ladeacuteleacutegation SPNEGO

networknegotiate-authtrusted-uris Liste des URIs autoriseacuteespour engager une authentifi-cation SPNEGO

Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationSPNEGO

networknegotiate-authgsslib Chemin vers une librairieGSSLIB speacutecifique

Mettre agrave vide

networknegotiate-authusing-native-gsslib

Utiliser la librairie GSSLIBnative du systegraveme

securitydefault_personal_cert Choix du certificat drsquoau-thentification client

Ask Every Time

29 SPNEGO est un standard qui permet de neacutegocier de lrsquoauthentification Kerberos NTLM ainsi que drsquoautresprotocoles supporteacutes pour le systegraveme SPNEGO est eacutegalement connu sous le nom du protocole drsquoauthentificationlaquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication

Serveur mandataire

Nom de paramegravetre Description Valeur recommandeacuteenetworkproxyautoconfig_url URL de configuration automatique du

proxyLaisser agrave vide

networkproxyftp Adresse du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute

networkproxyftp_port port du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute

networkproxyhttp Adresse du proxy proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute

networkproxyhttp_port port du proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute

networkproxyno_proxies_on Liste drsquoexceptions agrave lrsquoutilisation du serveurproxy

A minima localhost 127001 etdavantage en fonction de lrsquoentiteacute etdu peacuterimegravetre drsquoutilisation du naviga-teur

networkproxyshare_proxy_settings

Utiliser le mecircme proxy pour tous les pro-tocoles

networkproxysocks Adresse du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute

networkproxysocks_port port du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute

networkproxysocks_remote_dns

Reacutealiser les requecirctes DNS via le proxysocks

networkproxysocks_version Version du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute

networkproxyssl Adresse du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute

networkproxyssl_port port du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute

networkproxytype Type drsquoutilisation du proxy 1 pour utiliser les valeurs in-diqueacutees par les paramegravetres ci-dessus(networkproxy)

networkhttpproxyversion version de proxy 11 par deacutefaut et en fonction duserveur proxy de lrsquoentiteacute

networkhttpproxypipelining Activer le pipelining30par proxy false pour des raisons de compat-ibiliteacute Lrsquoentiteacute peut choisir de lrsquoac-tiver si le pipelining est supporteacute parson serveur proxy drsquoentreprise

signonautologinproxy Saisie automatique du mot de passe deproxy

30 Le pipelining permet de faire plusieurs requecirctes HTTP simultaneacutement plutocirct que de les faire seacutequentiellement enattendant les reacuteponses de chacune drsquoentre elles Pour plus drsquoinformations httpwww-archivemozillaorgprojectsnetlibhttppipelining-faqhtml

Peacuterimegravetre de navigation

Nom de paramegravetre Description Valeur recommandeacuteenetworkprotocol-handlerexpose-all

Deacutetermine si le navigateur essayedrsquoouvrir les liens cliqueacutes dans lenavigateur en prioriteacute avant delaisser le systegraveme srsquoen charger en casdrsquoeacutechec (si le protocole du lien enquestion nrsquoest pas supporteacute par lenavigateur)

networkprotocol-handlerwarn-external-default

Avertir lrsquoutilisateur avant decharger un gestionnaire deprotocole tiers

networkprotocol-handlerexternal-default

Action pour lrsquoouverture drsquoun pro-tocole non pris en charge par lenavigateur

false de maniegravere agrave ne pas essayerde charger des protocoles non pris encharge nativement par le navigateur Lrsquoen-titeacute renseignera eacuteventuellement des ges-tionnaires de protocoles tiers pour desprotocoles qursquoelle souhaite explicitementpermettre tels que NNTP Mailto etc Pour illustrer par lrsquoexemple avecMailto le paramegravetre networkprotocol-handlerexternalmailto aurait pour valeurtrue et le paramegravetre networkprotocol-handlerappmailto avec pour valeur lechemin drsquoun exeacutecutable comme MozillaThunderbird ou Microsoft Outlook

networkprotocol-handlerexternalfile

Gestionnaire de protocole filesous Firefox

networkprotocol-handlerexternalftp

Gestionnaire de protocole ftpsous Firefox

geckohandlerServiceallowRegisterFromDifferentHost

Autoriser les sites Web agrave installerdes gestionnaires de protocoles oude contenus utilisable pour deshocirctes tiers

Administration systegraveme maintenance et options diverses

Parameacutetrage des mises agrave jour

Nom de paramegravetre Description Valeur recommandeacuteeappupdateenabled Activation de la mise agrave jour automatique true

appupdateauto Teacuteleacutechargement et installationautomatiques (neacutecessite que le paramegravetreappupdateenabled ait pour valeurtrue)

appupdatecertcheckAttributes Veacuterifie les attributs du certificat du serveurde mise agrave jour

appupdatecertrequireBuiltIn Requiert lrsquointeacutegration des certificats duserveur de mise agrave jour et de toutes lesredirections intermeacutediaires

appupdatechannel Canal de mise agrave jour esr pour la version ESR de FirefoxappupdatedownloadbackgroundInterval

Temps de pause (en secondes) entrechaque teacuteleacutechargement en arriegravere plandrsquoun morceau de 300 Kb de mise agrave jour

appupdateidletime Temps de pause (en secondes) entre chaqueteacuteleacutechargement agrave la demande de lrsquoutilisa-teur) drsquoun morceau de 300 Kb de mise agravejour

appupdateinterval Intervalle de temps entre chaque veacuterifica-tion de disponibiliteacute de nouvelles mises agravejour

appupdatemode Deacutetermine quelles mises agrave jour sontteacuteleacutechargeacutees en arriegravere plan

0 pour teacuteleacutecharger toutes les mises agravejour sans intervention de lrsquoutilisateur

appupdateserviceenabled Active le service de mise agrave jour de Firefox true

appupdateshowInstalledUI Deacutetermine si apregraves installation de mise agravejour une boicircte de dialogue informe lrsquoutil-isateur qursquoune mise agrave jour a eacuteteacute installeacutee

appupdatesilent Active le mode de mise agrave jour silencieux true pour une mise agrave jour silencieuseen arriegravere plan

appupdateurl URL de reacutecupeacuteration des mises agrave jour deFirefox

En fonction de la strateacutegie de mise agravejour de lrsquoentiteacute Pour une mise agrave jourdepuis les serveurs de Mozilla httpsaus3mozillaorgupdate3PRODUCTVERSIONBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONupdatexml sinon lrsquoURLdu serveur de mise agrave jour internede lrsquoentiteacute (qursquoil faudra eacutegalementrenseigner dans le paramegravetreappupdateurloverride)

appupdateurloverride URL de reacutecupeacuteration des mises agrave jour deFirefox

Paramegravetre agrave renseigner uniquementdans le cas ou la mise agrave jour deFirefox se fait depuis lrsquoURL drsquounserveur de mise agrave jour interne delrsquoentiteacute (agrave renseigner en plus duparamegravetre appupdateurl)

appupdateurldetails URL de consultation des informations rel-atives aux mises agrave jour disponibles

Laisser la valeur par deacutefautrhttpswwwmozillaorgLOCALEfirefoxnotes

Configuration du cache

Nom de paramegravetre Description Valeur recommandeacuteebrowsercachecheck_doc_frequency Quand veacuterifier la mise agrave jour drsquoune page en

cache disque3 (veacuterifier quand la page estpeacuterimeacutee)

browsercachecompression_level Niveau de compression du cache disque Au choix de lrsquoentiteacute de 0(pas de compression) agrave 9(haut taux de compressionavec forte sollicitation du pro-cesseur)

browsercachediskcapacity Espace disque alloueacute au cache disque enKb

browsercachediskenable Utiliser le cache disque true

browsercachediskmax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache disque

browsercachedisksmart_sizeenabled Allocation intelligente de lrsquoespace disquealloueacute au cache en fonction de lrsquoespacedisponible

browsercachedisk_cache_ssl Mettre en cache disque les pages visiteacuteesen HTTPS

False de maniegravere agrave ne pasmettre en cache le contenuSSL

browsercachememoryenable Utiliser le cache meacutemoire true

browsercachememorymax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache meacutemoire

browsercachememory_limit Meacutemoire maximum utiliseacutee pour le cachemeacutemoire en Kb

browsercacheofflinecapacity Espace disque alloueacute au cache des applica-tions Web

browsercacheofflineenable Utiliser le cache des applications Web per-mettant une utilisation hors ligne

browsercacheuse_new_backend Utilisation du nouveau systegraveme de cache 0 (ne pas utiliser pour desquestions de stabiliteacute)

networkhttpuse-cache Utiliser le cache des documents HTTP true

mediacache_size Taille du cache pour les fichiers multimedia Au choix de lrsquoentiteacute par deacute-faut 512000

domstoragedefault_quota Quota de stockage cocircteacute client pour lespages Web

5120 taille par deacutefaut

domstorageenabled Active le stockage cocircteacute client pour les pagesWeb

true agrave deacutefaut de vulneacuterabil-iteacutes connues pour cette fonc-tionnaliteacute

Deacutesactiver les options de deacuteveloppement (sauf pour les populations de deacuteveloppeurs)

Nom de paramegravetre Description Valeur recommandeacuteedevtoolsappmanagerenabled Activation des outils de deacuteveloppement module appmanager false

devtoolsdebuggerenabled Activation des outils de deacuteveloppement module deacutebogueur false

devtoolserrorconsoleenabled Activation des outils de deacuteveloppement module consoledrsquoerreurs

devtoolsfontinspectorenabled Activation des outils de deacuteveloppement module inspecteurde polices

devtoolsinspectorenabled Activation des outils de deacuteveloppement module inspecteur false

devtoolsnetmonitorenabled Activation des outils de deacuteveloppement module reacuteseau false

devtoolsprofilerenabled Activation des outils de deacuteveloppement module profileur false

devtoolsshadereditorenabled Activation des outils de deacuteveloppement module vue adaptive false

devtoolsstyleeditorenabled Activation des outils de deacuteveloppement module editeur destyles

devtoolstiltenabled Activation des outils de deacuteveloppement module tilt false

devtoolstoolbarenabled Activation des outils de deacuteveloppement module barre dedeacuteveloppement

Configurations diverses

Nom de paramegravetre Description Valeur recommandeacuteenetworkseerenable-hover-on-ssl Activer seer sur SSL false

networkseerenabled Activer seer false

networkhttppipelining Activer le pipelining pour le surfHTTP11

false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles

networkhttppipeliningssl Activer le pipelining pour le surfHTTPS11

networkhttpspdyenabled Activer SPDY31 false

networkhttpspdyenabledv2 Activer SPDY v2 false

networkhttpspdyenabledv3-1 Activer SPDY v31 false

browsershellcheckDefaultBrowser Veacuterifier si Firefox est configureacutecomme navigateur par deacutefaut

false dans le cadre de double naviga-teurs

browserdownloadmanagerscanWhenDone

Scan antivirus drsquoun fichier lorsqueson teacuteleacutechargement est termineacute

browserdownloaduseDownloadDir Utiliser le reacutepertoire de teacuteleacutecharge-ment par deacutefaut

false pour que lrsquoutilisateur indique agravequel emplacement il souhaite teacuteleacutechargerle fichier

browserfullscreenautohide Cacher la barre drsquooutils et drsquoongletsen mode plein eacutecran

31 SPDY est un protocole reacuteseau expeacuterimental de Google visant agrave augmenter les capaciteacutes du protocole HTTP pourreacuteduire le temps de chargement des pages Web en classant les objets par ordre de prioriteacute et en multiplexant les transfertspour ne neacutecessiter qursquoune seule connexion Ce protocole est vulneacuterable aux attaques CRIME (Compression Ratio Info-leakMade Easy) lorsqursquoil est utiliseacute avec HTTPS (ce qui est geacuteneacuteralement le cas)

Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP

Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory

Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation

La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32

Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers

Fichiers de configuration

La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte

ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet

ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes

Fichier local-settingsjs

pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)

Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes

Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)

32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew

Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration

Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)

Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox

Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)

En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee

Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO

Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation

Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement

33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee

Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants

Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits

Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits

Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox

Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur

Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)

Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox

Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder

Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo

F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db

Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry

Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )

CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce

Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35

34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg

en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites

Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox

Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont

ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll

Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production

Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs

Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l

SetminusStrictMode minusVers ion 2 0

Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo

Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [

System IO F i l eA t t r i bu t e s ] D i r ec to ry

Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )

$sPathToDB = $oP r o f i l e FullName

Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo

Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )

f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo

Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr

( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue

Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)

i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break

$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s

Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)

$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )

amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )

WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute

Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute

Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l

L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo

C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (

Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )

C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))

Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )

$PathToDB = $oP r o f i l e FullName

Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )

36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil

amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB

Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute

Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins

Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant

ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en

base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt

ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt

ltos UrlgtltSearchPlugingt

Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64

Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II

Preacuteambule

Enjeux de seacutecuriteacute dun navigateur Web

Firefox versus Firefox ESR

Maicirctrise du navigateur

Choix des plugins

Choix des extensions





Filtrage de contenu

Page(s) daccueil

Serveur mandataire



Administration systegraveme et maintenance

Teacuteleacute-deacuteploiement initial

Gestion des mises agrave jour

Strateacutegie de double navigateur


Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP

Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox

Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO

Informations

Avertissement

Ce document reacutedigeacute par lrsquoANSSI preacutesente les laquo Recommandations pour le deacuteploiementseacutecuriseacute du navigateur Mozilla Firefox sous Windows raquo Il est teacuteleacutechargeable sur le sitewwwssigouvfr Il constitue une production originale de lrsquoANSSI Il est agrave ce titre placeacute sous lereacutegime de la laquo Licence ouverte raquo publieacutee par la mission Etalab (wwwetalabgouvfr) Il estpar conseacutequent diffusable sans restriction

Ces recommandations sont livreacutees en lrsquoeacutetat et adapteacutees aux menaces au jour de leurpublication Au regard de la diversiteacute des systegravemes drsquoinformation lrsquoANSSI ne peut garantir queces informations puissent ecirctre reprises sans adaptation sur les systegravemes drsquoinformation ciblesDans tous les cas la pertinence de lrsquoimpleacutementation des eacuteleacutements proposeacutes par lrsquoANSSI doitecirctre soumise au preacutealable agrave la validation de lrsquoadministrateur du systegraveme etou des personnesen charge de la seacutecuriteacute des systegravemes drsquoinformation

Personnes ayant contribueacute agrave la reacutedaction de ce document

Contributeurs Reacutedigeacute par Approuveacute par Date

BSS SIS LRP BSS SDE 15 janvier 2015

Eacutevolutions du document

Version Date Nature des modifications

10 15 janvier 2015 Version initiale

Pour toute remarque

Contact Adresse meacutel Teacuteleacutephone

Bureau Communicationde lrsquoANSSI

51 bd de LaTour-Maubourg75700 Paris Cedex

communicationssigouvfr 01 71 75 84 04

1 Preacuteambule 3

Versionstandard

VersionESR

Mettre agrave vide

XPIfalse

Mettre agrave vide

Filtrage de contenu

Qwantcom

true sous Windows

Mettre agrave vide

Ask Every Time

Serveur mandataire

Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











1 Preacuteambule 3

Versionstandard

VersionESR

Mettre agrave vide

XPIfalse

Mettre agrave vide

Filtrage de contenu

Qwantcom

true sous Windows

Mettre agrave vide

Ask Every Time

Serveur mandataire

Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Versionstandard

VersionESR

Mettre agrave vide

XPIfalse

Mettre agrave vide

Filtrage de contenu

Qwantcom

true sous Windows

Mettre agrave vide

Ask Every Time

Serveur mandataire

Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Versionstandard

VersionESR

Mettre agrave vide

XPIfalse

Mettre agrave vide

Filtrage de contenu

Qwantcom

true sous Windows

Mettre agrave vide

Ask Every Time

Serveur mandataire

Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Mettre agrave vide

XPIfalse

Mettre agrave vide

Filtrage de contenu

Qwantcom

true sous Windows

Mettre agrave vide

Ask Every Time

Serveur mandataire

Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Mettre agrave vide

XPIfalse

Mettre agrave vide

Filtrage de contenu

Qwantcom

true sous Windows

Mettre agrave vide

Ask Every Time

Serveur mandataire

Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Mettre agrave vide

XPIfalse

Mettre agrave vide

Filtrage de contenu

Qwantcom

true sous Windows

Mettre agrave vide

Ask Every Time

Serveur mandataire

Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Mettre agrave vide

XPIfalse

Mettre agrave vide

Filtrage de contenu

Qwantcom

true sous Windows

Mettre agrave vide

Ask Every Time

Serveur mandataire

Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Mettre agrave vide

XPIfalse

Mettre agrave vide

Filtrage de contenu

Qwantcom

true sous Windows

Mettre agrave vide

Ask Every Time

Serveur mandataire

Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Mettre agrave vide

XPIfalse

Mettre agrave vide

Filtrage de contenu

Qwantcom

true sous Windows

Mettre agrave vide

Ask Every Time

Serveur mandataire

Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Mettre agrave vide

XPIfalse

Mettre agrave vide

Filtrage de contenu

Qwantcom

true sous Windows

Mettre agrave vide

Ask Every Time

Serveur mandataire

Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Mettre agrave vide

XPIfalse

Mettre agrave vide

Filtrage de contenu

Qwantcom

true sous Windows

Mettre agrave vide

Ask Every Time

Serveur mandataire

Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Mettre agrave vide

XPIfalse

Mettre agrave vide

Filtrage de contenu

Qwantcom

true sous Windows

Mettre agrave vide

Ask Every Time

Serveur mandataire

Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Mettre agrave vide

XPIfalse

Mettre agrave vide

Filtrage de contenu

Qwantcom

true sous Windows

Mettre agrave vide

Ask Every Time

Serveur mandataire

Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Mettre agrave vide

XPIfalse

Mettre agrave vide

Filtrage de contenu

Qwantcom

true sous Windows

Mettre agrave vide

Ask Every Time

Serveur mandataire

Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Mettre agrave vide

XPIfalse

Mettre agrave vide

Filtrage de contenu

Qwantcom

true sous Windows

Mettre agrave vide

Ask Every Time

Serveur mandataire

Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Mettre agrave vide

XPIfalse

Mettre agrave vide

Filtrage de contenu

Qwantcom

true sous Windows

Mettre agrave vide

Ask Every Time

Serveur mandataire

Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Mettre agrave vide

XPIfalse

Mettre agrave vide

Filtrage de contenu

Qwantcom

true sous Windows

Mettre agrave vide

Ask Every Time

Serveur mandataire

Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Mettre agrave vide

Filtrage de contenu

Qwantcom

true sous Windows

Mettre agrave vide

Ask Every Time

Serveur mandataire

Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Mettre agrave vide

Filtrage de contenu

Qwantcom

true sous Windows

Mettre agrave vide

Ask Every Time

Serveur mandataire

Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Mettre agrave vide

Filtrage de contenu

Qwantcom

true sous Windows

Mettre agrave vide

Ask Every Time

Serveur mandataire

Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Filtrage de contenu

Qwantcom

true sous Windows

Mettre agrave vide

Ask Every Time

Serveur mandataire

Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Filtrage de contenu

Qwantcom

true sous Windows

Mettre agrave vide

Ask Every Time

Serveur mandataire

Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Qwantcom

true sous Windows

Mettre agrave vide

Ask Every Time

Serveur mandataire

Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Qwantcom

true sous Windows

Mettre agrave vide

Ask Every Time

Serveur mandataire

Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











true sous Windows

Mettre agrave vide

Ask Every Time

Serveur mandataire

Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Serveur mandataire

Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Preacuteambule

Choix des plugins






Filtrage de contenu

Page(s) daccueil

Serveur mandataire











Documents

NP NavigateurSecurise FireFox