premier ministre (ycompriscettepage):41 · pdf...
Post on 23-Mar-2018
219 Views
Preview:
TRANSCRIPT
Public viseacuteDeacuteveloppeurAdministrateur XRSSI XDSI XUtilisateur X
DAT
-NT
-20AN
SSIS
DE
P R E M I E R M I N I S T R E
Secreacutetariat geacuteneacuteral Paris le 4 feacutevrier 2015de la deacutefenseet de la seacutecuriteacute nationale No DAT-NT-20ANSSISDENP
Agence nationale de la seacutecuriteacute Nombre de pages du documentdes systegravemes drsquoinformation (y compris cette page) 41
Note technique
Recommandations pour le deacuteploiement seacutecuriseacute dunavigateur Mozilla Firefox sous Windows
Informations
Avertissement
Ce document reacutedigeacute par lrsquoANSSI preacutesente les laquo Recommandations pour le deacuteploiementseacutecuriseacute du navigateur Mozilla Firefox sous Windows raquo Il est teacuteleacutechargeable sur le sitewwwssigouvfr Il constitue une production originale de lrsquoANSSI Il est agrave ce titre placeacute sous lereacutegime de la laquo Licence ouverte raquo publieacutee par la mission Etalab (wwwetalabgouvfr) Il estpar conseacutequent diffusable sans restriction
Ces recommandations sont livreacutees en lrsquoeacutetat et adapteacutees aux menaces au jour de leurpublication Au regard de la diversiteacute des systegravemes drsquoinformation lrsquoANSSI ne peut garantir queces informations puissent ecirctre reprises sans adaptation sur les systegravemes drsquoinformation ciblesDans tous les cas la pertinence de lrsquoimpleacutementation des eacuteleacutements proposeacutes par lrsquoANSSI doitecirctre soumise au preacutealable agrave la validation de lrsquoadministrateur du systegraveme etou des personnesen charge de la seacutecuriteacute des systegravemes drsquoinformation
Personnes ayant contribueacute agrave la reacutedaction de ce document
Contributeurs Reacutedigeacute par Approuveacute par Date
BSS SIS LRP BSS SDE 4 feacutevrier 2015
Eacutevolutions du document
Version Date Nature des modifications
10 15 janvier 2015 Version initiale
11 4 feacutevrier 2015 - assouplissement de image_src_set etsslrequire_safe_negotiation- compleacutement drsquoinformation concernant ESR
Pour toute remarque
Contact Adresse meacutel Teacuteleacutephone
Bureau Communicationde lrsquoANSSI
51 bd de LaTour-Maubourg75700 Paris Cedex
07 SP
communicationssigouvfr 01 71 75 84 04
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 1 sur 40
Table des matiegraveres
1 Preacuteambule 3
2 Enjeux de seacutecuriteacute drsquoun navigateur Web 3
3 Firefox versus Firefox ESR 3
4 Maicirctrise du navigateur 4
41 Choix des plugins 542 Choix des extensions 5
421 SSLTLS et certificats 6422 Gestionnaire de mots de passe 7423 Confidentialiteacute 8424 Moteur de recherche par deacutefaut 9425 Filtrage de contenu 9426 Page(s) drsquoaccueil 9427 Serveur mandataire 9428 Authentification HTTP 10429 Peacuterimegravetre de navigation 104210 Administration systegraveme et maintenance 10
43 Teacuteleacute-deacuteploiement initial 1044 Gestion des mises agrave jour 11
5 Strateacutegie de double navigateur 12
Annexe I Strateacutegies de seacutecurisation de Firefox 16
Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP 32
Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox 36
Annexe IV Teacuteleacute-deacuteploiement drsquoun module de recherche personnaliseacute par GPO 40
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 2 sur 40
1 PreacuteambuleFirefox est le navigateur web en sources ouvertes eacutediteacute par la fondation Mozilla et dont la premiegravere
version stable date de 2004 Rapidement devenu lrsquoun des navigateurs les plus utiliseacutes par les inter-nautes 1 il est aujourdrsquohui soutenu par une importante communauteacute de deacuteveloppeurs du monde libre
Firefox dispose drsquoun meacutecanisme de mise agrave jour automatique et peut ecirctre configureacute de maniegraverecentraliseacutee Il se precircte bien agrave une utilisation professionnelle De par son haut degreacute de parameacutetrage etson code en sources ouvertes il peut eacutegalement srsquoadapter agrave des environnements au sein desquels lescontraintes techniques sont importantes
Cette note technique vise agrave sensibiliser le lecteur aux enjeux de seacutecuriteacute drsquoun navigateur Web etdoit le guider dans la mise en œuvre drsquoune strateacutegie de seacutecurisation speacutecifique agrave Firefox dans le cadredrsquoune configuration centraliseacutee et seacutecuriseacutee en environnement Active Directory
2 Enjeux de seacutecuriteacute drsquoun navigateur Web
Comme tout composant logiciel utiliseacute pour acceacuteder agrave Internet les navigateurs sont une cibleprivileacutegieacutee des attaquants du fait des vulneacuterabiliteacutes qursquoils preacutesentent et de leur utilisation reacuteguliegravere surInternet Viennent eacutegalement srsquoajouter les vulneacuterabiliteacutes propres aux diffeacuterents modules compleacutemen-taires inteacutegreacutes aux navigateurs et dont les processus de mise agrave jour sont geacuteneacuteralement indeacutependants deceux du navigateur
Lrsquoatteinte en inteacutegriteacute drsquoun poste de travail par le biais de son navigateur Web est inteacuteressante dupoint de vue drsquoun attaquant eacutetant donneacute qursquoelle lui permet le plus souvent de contourner les mesuresde seacutecuriteacute lieacutees agrave lrsquoarchitecture reacuteseau et aux diffeacuterentes passerelles de filtrage Lrsquoattaque reacuteussie drsquounposte utilisateur suffit geacuteneacuteralement agrave lrsquoeacutetablissement drsquoun canal de controcircle distant qui permettra parla suite de rebondir au sein du systegraveme drsquoinformation pour atteindre les biens essentiels de lrsquoentiteacute Lanavigation Web est donc logiquement devenue un des principaux vecteurs drsquoattaque utiliseacutes et pluslargement un problegraveme pour la seacutecuriteacute des systegravemes drsquoinformation
Du point de vue de la seacutecuriteacute Firefox pacirctit de lrsquoabsence de meacutecanisme de bac agrave sable (sandbox 2)et drsquoarchitecture multi-processus une vulneacuterabiliteacute peut alors avoir un impact important Comme tousles navigateurs il fait reacuteguliegraverement lrsquoobjet de vulneacuterabiliteacutes critiques 3
3 Firefox versus Firefox ESR
Mozilla publie une version ESR (Extended Support Release) 4 de Firefox Chaque version de FirefoxESR est maintenue pendant environ 1 an et nrsquoa pour seules mises agrave jour que les correctifs de seacutecuriteacuteet de stabiliteacute Cette version de Firefox est destineacutee aux entiteacutes qui neacutecessitent un support eacutetendu pourun deacuteploiement en masse eacutevitant ainsi drsquoavoir agrave geacuterer des eacutevolutions freacutequentes du navigateur
1 Sources wwwatinternetcom et wwww3schoolscom2 Environnement drsquoexeacutecution controcircleacute et restreint3 Les multiples avis de seacutecuriteacute et bulletins drsquoactualiteacute relatifs aux principaux navigateurs peuvent ecirctre consulteacutes sur
le site du CERT-FR (wwwcertssigouvfr)4 Pour plus drsquoinformations httpmozillaorgen-USfirefoxorganizations
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 3 sur 40
Le tableau comparatif suivant preacutesente les avantages et inconveacutenients de chaque version
Version Avantages Inconveacutenients
Versionstandard
Le navigateur eacutevolue reacuteguliegraverement etles utilisateurs disposent ainsi rapidementdes nouvelles fonctionnaliteacutes qui font leurapparition
Les eacutequipes informatiques doiventreacuteguliegraverement deacuteployer les nouvellesversions de Firefox pour le maintenir enconditions de seacutecuriteacute Ces deacuteploiementsengendrent une charge de travail nonneacutegligeable puisqursquoil est neacutecessairede veacuterifier la compatibiliteacute avec lesapplications Web internes compleacuteter laconfiguration centraliseacutee vis-agrave-vis desnouvelles fonctionnaliteacutes etc
VersionESR
Les eacutequipes informatiques nrsquoont pas agrave sesoucier des eacutevolutions fonctionnelles dunavigateur Une fois la derniegravere versionmajeure de Firefox ESR deacuteployeacutee ellesse contentent de garantir sa stabiliteacute etson maintien en conditions de seacutecuriteacuteen deacuteployant les correctifs publieacutes parMozilla Les cycles de vie des versions deFirefox ESR eacutetant drsquoenviron un an lescorrectifs de seacutecuriteacute sont publieacutes pendanttoute cette dureacutee de vie
ESR ne dispose pas des nouvellesfonctionnaliteacutes qui apparaissent dans lesversions successives de Firefox standardle navigateur peut alors paraicirctre pauvreen fonctionnaliteacutes du point de vue desutilisateurs
Au sein drsquoun systegraveme drsquoinformation administreacute de maniegravere centraliseacutee il est donc plutocirct conseilleacutede deacuteployer la version ESR de Firefox La preacutesente note technique srsquoappuie sur le deacuteploiement et laconfiguration de Firefox ESR dans sa version 31
4 Maicirctrise du navigateur
Les principaux enjeux drsquoun deacuteploiement de navigateur au sein drsquoun systegraveme drsquoinformation sont saseacutecuriteacute et sa maicirctrise Pour cela il est neacutecessaire de pouvoir controcircler sa configuration de maniegraverecentraliseacutee tout en proceacutedant agrave des deacuteploiements et agrave des mises agrave jour (automatiques ou non) selon lapolitique de mise agrave jour de lrsquoentiteacute et sans intervention de lrsquoutilisateur
Firefox ne prend pas nativement en charge la configuration par strateacutegies de groupes (GPO) enenvironnement Active Directory Il est pour cela neacutecessaire de recourir agrave des extensions tierces Il esten revanche possible de parameacutetrer le navigateur agrave lrsquoaide de fichiers de configuration agrave deacuteployer surles postes des utilisateurs Cette meacutethode preacutesente lrsquointeacuterecirct drsquoecirctre utilisable simplement dans nom-breux contextes et aussi bien sous Linux que Windows sans distinction Ces fichiers de configurationpermettent eacutegalement drsquoimposer des paramegravetres verrouilleacutes et non modifiables par les utilisateurs
R1 Avant tout deacuteploiement de Firefox au sein drsquoun systegraveme drsquoinformation il est primordial dedeacutefinir preacuteciseacutement une strateacutegie de parameacutetrage qui garantira lrsquoutilisation du navigateurdans une configuration durcie et verrouilleacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 4 sur 40
Il est important de commencer par clarifier les termes utiliseacutes par Mozilla et ce qursquoils deacutesignent Leterme de laquo module raquo (Add-on) ou de laquo module compleacutementaire raquo inclut
ndash les plugins ou greffons qui sont des composants compileacutes ndash les extensions (qui sont des composants en langage interpreacuteteacute comme XUL ou JavaScript) ndash les thegravemes (qui ne font lrsquoobjet drsquoaucune recommandation de seacutecuriteacute) ndash les modules de moteur de recherche
Les recommandations de parameacutetrage figurant dans ce document sont donneacutees agrave titre indicatifdans lrsquooptique drsquoune configuration durcie Elles doivent donc ecirctre moduleacutees selon les besoins propres agravechaque entiteacute et bien entendu selon le peacuterimegravetre drsquoutilisation du navigateur (Internet Intranet etc)Leur application ne doit pas se faire sans validation preacutealable Lrsquoannexe I de ce document preacutecise lesparamegravetres de configuration permettant drsquoappliquer toutes les recommandations de configuration deFirefox indiqueacutees dans ce document En environnement professionnel il est par ailleurs conseilleacute dedeacuteployer une telle configuration par GPP de maniegravere centraliseacutee comme expliqueacute en annexe II
41 Choix des plugins
Les plugins Firefox ne peuvent ecirctre deacuteveloppeacutes qursquoagrave partir de lrsquointerface de programmation NPAPI(Netscape Plugin Application Programming Interface) Cette architecture qui date de Netscape nrsquoestpas seacutecuriseacutee et exeacutecute les plugins avec le niveau de privilegravege de lrsquoutilisateur Bien qursquoil soit possibledrsquoexeacutecuter certains plugins dans un processus seacutepareacute (le plugin-container) cette seacuteparation ne protegravegeque le processus du navigateur drsquoun eacuteventuel arrecirct brusque de fonctionnement drsquoun plugin Unevulneacuterabiliteacute affectant un plugin permet en revanche de compromettre la session ou le systegraveme Leplugin Flash Player fait toutefois exception en inteacutegrant un meacutecanisme de bac agrave sable qui lui est propre(laquo Mode Proteacutegeacute de Flash Player pour Firefox raquo 5) Le processus Flash Player exeacutecuteacute dans le plugin-container ne sert alors qursquoagrave instancier des processus enfants auxquels srsquoappliquent des restrictions deseacutecuriteacute plus importantes Le plugin Flash continue toutefois de faire lrsquoobjet de vulneacuterabiliteacutes critiques 6
R2 Tout plugin ajouteacute agrave Firefox fait courir un risque de seacutecuriteacute suppleacutementaire il est alorsimportant de les limiter au strict neacutecessaire
Note Le risque induit par lrsquoutilisation du plugin Flash Player peut ecirctre toleacutereacute degraves lors que la lecturedes contenus Flash constitue un besoin incontournable Compleacuteteacute par la visionneuse PDF inteacutegreacutee agraveFirefox (eacutecrite en JavaScript) la prise en charge de ces deux types de contenus devrait suffire pour laplupart des usages
Lrsquoajout la mise agrave jour et la suppression de plugins pour Firefox de maniegravere centraliseacutee peut sefaire simplement par base de registre 7et par GPP (Group Policy Preferences)
42 Choix des extensions
Le meacutecanisme drsquoextension rend possible lrsquoeacutecriture de programmes (extensions) en langage interpreacuteteacute(XUL ou JavaScript entre autres) permettant lrsquoajout de fonctionnaliteacutes ou la personnalisation dunavigateur Contrairement aux plugins qui sont des programmes compileacutes les extensions srsquoexeacutecutentdans le processus du navigateur et sans systegraveme de permission permettant de restreindre les liberteacutesqui leur sont accordeacutees Il convient donc drsquoecirctre particuliegraverement vigilant eacutetant donneacute les risques deseacutecuriteacute non neacutegligeables qursquoelles introduisent
5 httpblogsadobecomsecurity201206inside-flash-player-protected-mode-for-firefoxhtml6 Les multiples avis de seacutecuriteacute peuvent ecirctre consulteacutes sur le site du CERT-FR (wwwcertssigouvfr)7 Un article de Mozilla explique lrsquoajout la mise agrave jour et la suppression drsquoextensions et de plugins pour Firefox par
base de registre httpsdevelopermozillaorgen-USdocsAdding_Extensions_using_the_Windows_Registry
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 5 sur 40
Ainsi une extension malveillante pourrait acceacuteder agrave des informations sensibles concernant la naviga-tion de lrsquoutilisateur puis les envoyer agrave un serveur illeacutegitime sur Internet Une extension peut eacutegalementintroduire de nouveaux comportements indeacutesirables suite agrave une mise agrave jour Rien ne laisse preacutesagerqursquoune extension aujourdrsquohui non malveillante ne le sera pas demain En parallegravele de nombreusesextensions preacutesentent des vulneacuterabiliteacutes qui peuvent ecirctre exploiteacutees (par le contenu des pages visiteacuteesou encore par courriels speacutecifiquement forgeacutes et consulteacutes par webmail) Ces extensions vulneacuterablespeuvent eacutegalement servir agrave exploiter par rebond les vulneacuterabiliteacutes drsquoeacuteventuels plugins activeacutes et ainsiobtenir un accegraves complet au systegraveme
R3 Ne deacuteployer que des extensions de confiance et neacutecessaires aux besoins meacutetiers
Note Dans le cas drsquoextensions deacuteveloppeacutees en interne il convient de precircter une attention particuliegravereagrave la seacutecuriteacute de leur code 8
Lrsquoajout la mise agrave jour et la suppression drsquoextensions pour Firefox de maniegravere centraliseacutee peut sefaire simplement dans la base de registre et par GPP (Group Policy Preferences)
421 SSLTLS et certificats
Firefox a comme particulariteacute drsquoutiliser ses propres bibliothegraveques de gestion des eacutechanges seacutecuriseacutesclientserveur deacuteveloppeacutees par la fondation Mozilla (bibliothegraveques NSS Network Security Services) cequi lui permet de disposer par exemple de son propre magasin de certificats et de sa propre liste deCRL (listes de reacutevocations de certificats) Il est ainsi possible drsquoappliquer des restrictions speacutecifiquesau navigateur sur certains certificats sans que cela ne srsquoapplique au systegraveme drsquoexploitation dans sonensemble ce qui le diffeacuterencie drsquoautres navigateurs Il est eacutegalement possible de restreindre simplementles versions de protocoles SSLTLS ainsi que les suites cryptographiques utiliseacutees Cette indeacutependancevis-agrave-vis du meacutecanisme fourni par le systegraveme drsquoexploitation lui confegravere une plus grande portabiliteacute etune souplesse dans sa configuration SSLTLS mais se traduit en contrepartie par une deacutemarche deseacutecurisation plus complexe
R4 Deacutesactiver lrsquoutilisation de SSL et nrsquoautoriser que les protocoles TLS v11 et supeacuterieures(la v10 eacutetant vulneacuterable) Pour aller plus loin il est eacutegalement possible de restreindreles suites cryptographiques utilisables en deacutesactivant celles reposant sur des algorithmesobsolegravetes comme RC4
Note Pour plus drsquoinformations le lecteur est inviteacute agrave se reacutefeacuterer agrave la section correspondante delrsquoannexe I ainsi qursquoaux publications de lrsquoANSSI 9 Par ailleurs les suites nrsquoutilisant pas de meacutecanismesde PFS (Perfect Forward Secrecy) devraient ideacutealement ecirctre deacutesactiveacutees elles aussi mais des difficulteacutesde navigation seraient agrave preacutevoir sur Internet du fait de lrsquo incompatibiliteacute avec de nombreux serveursWeb
Chaque utilisateur drsquoun poste de travail dispose de son propre profil Firefox Les informations deseacutecuriteacute relatives aux certificats sont stockeacutees pour chaque profil firefox dans 3 fichiers
ndash cert8db (objets accessibles publiquement certificats CRLs enregistrements SMIME) ndash key3db (cleacutes priveacutees mots de passe) ndash secmoddb (informations de configuration des modules de seacutecuriteacute)
8 Lrsquoarticle Security best practices in extensions expose certains fondamentaux agrave respecter pour le deacuteveloppementdrsquoextension seacutecuriseacutees httpsdevelopermozillaorgen-USAdd-onsSecurity_best_practices_in_extensions
9 La note laquo Recommandations de seacutecuriteacute concernant lrsquoanalyse des flux HTTPS raquo est disponible agrave lrsquoadresse httpwwwssigouvfrfrguides-et-bonnes-pratiquesrecommandations-et-guidesauthentification-et-mecanismes-cryptographiquesrecommandations-de-securite-concernant-l-analyse-des-flux-httpshtmlLrsquoarticle laquo SSLTLS eacutetat des lieux et recommandations raquo est disponible agrave lrsquoadresse httpwwwssigouvfrfranssipublicationspublications-scientifiquesarticles-de-conferencesssl-tls-etat-des-lieux-et-recommandationshtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 6 sur 40
Lrsquoaccegraves aux fichiers key3db et cert8db non chiffreacutes drsquoun profil Firefox permet la reacutecupeacuterationet la reacuteutilisation des certificats utilisateurs qursquoils contiennent Tout compte disposant de droits admi-nistrateurs sur un ordinateur a la possibiliteacute de reacutecupeacuterer lrsquoensemble des fichiers key3db et cert8dbqui y sont stockeacutes (voire tout utilisateur non privileacutegieacute dans le cas drsquoun systegraveme de fichiers FAT32) Laconfidentialiteacute des donneacutees utilisateurs nrsquoest donc pas assureacutee degraves lors que ces fichiers ne sont pas chiffreacutesLa deacutefinition drsquoun mot de passe principal deacuteclenche le chiffrement du fichier key3db par algorithme3DES-CBC avec une cleacute deacuteriveacutee de ce mot de passe La seacutecuriteacute apporteacutee par une telle mesure restemodeacutereacutee des outils performants permettent de rapidement retrouver ce mot de passe maicirctre par forcebrute Le stockage du profil Firefox dans un conteneur chiffreacute par une solution qualifieacutee par lrsquoANSSIpeut ecirctre dans certains cas la solution agrave privileacutegier
R5 Degraves lors que des certificats utilisateurs sont stockeacutes dans les magasins de certificats deFirefox il est recommandeacute drsquoassurer la seacutecuriteacute de leurs conteneurs de cleacutes priveacutees (fichierskey3db) par chiffrement
Tout utilisateur de Firefox peut aussi ajouter des certificats serveurs et des autoriteacutes de confiancedans son propre magasin de certificats Selon le contexte drsquoutilisation du navigateur il peut doncecirctre important de mettre en œuvre des mesures techniques permettant de maicirctriser les magasins decertificats des profils Firefox et de srsquoassurer de leur conformiteacute vis agrave vis de la strateacutegie de lrsquoentiteacute
R6 Maicirctriser les magasins de certificats des profils Firefox et notamment les autoriteacutes decertification racines de confiance et les certificats serveurs qui y sont configureacutes
Note lrsquoapplication de cette recommandation est simple degraves lors que les utilisateurs ne stockent pasde certificats utilisateurs dans leurs magasins de certificats Firefox mais cela devient plus compliqueacutedans le cas contraire La probleacutematique est abordeacutee plus en deacutetail en annexe III
Il agrave noter eacutegalement que depuis sa version 24 Firefox se deacutetourne de lrsquousage classique des CRLsen ligne au profit drsquoune liste de reacutevocations mise agrave jour reacuteguliegraverement pour consultation locale Lesbibliothegraveques NSS supportent toujours la gestion des CRLs classiques (modifiables par lrsquooutil crlutilet non plus par interface graphique) mais il est preacutevu qursquoelles ne soient plus utiliseacutees dans un avenirproche Les autoriteacutes de certification sont drsquoailleurs inviteacutees agrave envoyer leurs certificats reacutevoqueacutes agrave Mozillapour ecirctre inteacutegreacutes agrave la liste de reacutevocation maintenue par Mozilla 10
422 Gestionnaire de mots de passe
Le gestionnaire de mots de passe de Firefox permet de meacutemoriser les mots de passe saisis dansles formulaires Web Tout comme pour les magasins de certificats lrsquoutilisation drsquoun laquo mot de passeprincipal raquo 11 permet de chiffrer les mots de passe stockeacutes par un algorithme 3DES-CBC avec une cleacutedeacuteriveacutee du mot de passe principal La seacutecuriteacute apporteacutee par une telle mesure reste modeacutereacutee des outilsperformants permettent de rapidement retrouver ce mot de passe maicirctre par force brute Lrsquoutilisationdrsquoun gestionnaire de mots de passe alternatif seacutecuriseacute est donc conseilleacute
R7 Il est conseilleacute de deacutesactiver le gestionnaire de mots de passe pour imposer la saisiesysteacutematique de ces derniers Lrsquoapplication drsquoun tel durcissement est leacutegitime sur un reacuteseauameneacute agrave traiter des donneacutees sensibles ou confidentielles mais peut toutefois ecirctre difficileagrave imposer aux utilisateurs sur des reacuteseaux moins sensibles Sa deacutesactivation pourrait alorssrsquoaccompagner du deacuteploiement drsquoun gestionnaire de mots de passe alternatif et seacutecuriseacute 12
10 Le Wiki de Mozilla deacutetaille la probleacutematique de reacutevocation de certificats au sein de Firefox httpswikimozillaorgCAImprovingRevocation11 httpssupportmozillaorgfrkbutiliser-mot-passe-principal-proteger-identifiants
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 7 sur 40
423 Confidentialiteacute
Le lecteur est inviteacute agrave prendre connaissance de la laquo deacuteclaration de confidentialiteacute de Firefox raquo 13Selon les fonctionnaliteacutes activeacutees diverses informations sont susceptibles drsquoecirctre envoyeacutees agrave Mozilla Laplupart sont en rapport avec
ndash les informations lieacutees aux modules compleacutementaires installeacutes et le blocage automatique desmodules en liste noire
ndash les rapports de plantage ndash le service de mise agrave jour automatique ndash le service de protection contre les sites malveillants ndash le service de synchronisation Firefox Sync
Il est donc important de deacutesactiver certaines de ces fonctionnaliteacutes pour limiter les donneacutees envoyeacuteesagrave Mozilla
R8 Deacutesactiver les divers rapports disponibles de plantage de performance etc
R9 Deacutesactiver le service de synchronisation Firefox Sync
R10 La fonctionnaliteacute de blocage des sites contrefaits envoie agrave des fournisseurs tiers de Mozillales adresses Web des sites visiteacutes pour veacuterifier qursquoils ne soient pas connus comme eacutetantmalveillants et en bloquer lrsquoaccegraves si neacutecessaire Bien qursquoil soit conseilleacute de laisser ce filtreactiveacute pour des raisons de seacutecuriteacute une entiteacute pourra juger suffisamment confidentielles lesadresses des pages Web visiteacutees pour qursquoune deacutesactivation de ce meacutecanisme srsquoimpose
La navigation priveacutee ainsi que la protection contre le pistage (Do Not Track) sont des fonction-naliteacutes inteacuteressantes du point de vue du respect de la vie priveacutee lors de la navigation sur Internetet qui pourraient ecirctre deacutesactiveacutees pour de la navigation en Intranet La strateacutegie de configurationdes paramegravetres de confidentialiteacute deacutependra donc du peacuterimegravetre drsquoutilisation du navigateur Degraves lors quele navigateur Firefox dispose drsquoune connectiviteacute agrave Internet les recommandations suivantes srsquoappliquent
R11 Activer les fonctionnaliteacutes de protection de la confidentialiteacute (anti pistage navigationpriveacutee suppression des donneacutees priveacutees etc) lorsque le navigateur nrsquoest pas deacutedieacute agrave unenavigation Intranet
Note Le nouveau standard de protection contre le-pistage (Do Not Track) nrsquoest qursquoune sollicitation duclient Sa prise en compte par les serveurs Web ne deacutepend donc que de leurs pratiques de confidentialiteacuterespectives et nrsquoapporte aucune garantie au client
R12 Interdire les fonctions de geacuteolocalisation
R13 Degraves lors que la confidentialiteacute des recherches est jugeacutee primordiale il conviendra drsquoimposerun moteur de recherche de confiance et de deacutesactiver les fonctionnaliteacutes de rechercheinstantaneacutee ou de suggestion de recherche
12 KeePass est un exemple de solution disposant drsquoun certificat de seacutecuriteacute de premier niveau (CSPN) deacutelivreacute parlrsquoANSSI qui peut ecirctre utiliseacutee avec Firefox13 Deacuteclaration disponible en anglais agrave lrsquoadresse
httpwwwmozillaorgen-USlegalprivacyfirefoxhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 8 sur 40
424 Moteur de recherche par deacutefaut
Imposer un moteur de recherche et certains paramegravetres de recherche peut avoir un sens dans certainscontextes Crsquoest le cas principalement lorsque le navigateur se trouve deacutedieacute agrave lrsquoIntranet Lrsquoentiteacute pourraalors imposer et configurer le moteur de recherche de lrsquoIntranet Ces regravegles de configuration peuventeacutegalement avoir une utiliteacute pour la recherche sur Internet si par exemple lrsquoentiteacute veut imposer unmoteur de recherche franccedilais qui srsquoappuie sur une connexion chiffreacutee En parallegravele lrsquoentiteacute peut alorsbloquer lrsquoaccegraves aux adresses des moteurs de recherche qursquoelle souhaite interdire
R14 Pour des questions de respect de la vie priveacutee il est conseilleacute drsquoimposer un moteur derecherche srsquoappuyant sur une connexion chiffreacutee (HTTPS)
Note Cela nrsquoempecircche pas lrsquointerception des donneacutees par le moteur de recherche ce dernier eacutetant danstous les cas destinataire des donneacutees de recherche en clair
425 Filtrage de contenu
Le filtrage du contenu participe agrave renforcer la seacutecuriteacute de la navigation en bloquant les contenuspotentiellement malveillants Certains meacutecanismes de filtrage peuvent toutefois avoir une incidence surla faculteacute des utilisateurs agrave naviguer sur certains sites
R15 Activer les fonctionnaliteacutes de filtrage de contenu telles que la navigation seacutecuriseacutee(protection contre le hameccedilonnage et les logiciels malveillants) ou la Content SecurityPolicy 14
R16 Interdire ou a minima restreindre les scripts les contenus mixtes actifs 15 les cookies tiersetc
La section correspondante de lrsquoannexe I liste en deacutetail le parameacutetrage recommandeacute pour ces types decontenus
426 Page(s) drsquoaccueil
Si le navigateur est configureacute pour restaurer la session preacuteceacutedente les donneacutees ainsi que les cookiesde session seront sauvegardeacutes puis restaureacutes au prochain deacutemarrage du navigateur (sauf en mode denavigation priveacutee) Il est alors possible de reacutecupeacuterer ces cookies sauvegardeacutes pour srsquoauthentifier agrave laplace de lrsquoutilisateur sans mot de passe voire de reacutecupeacuterer une session HTTPS preacutealablement initieacutee
R17 Il est preacutefeacuterable que le navigateur nrsquoenregistre pas les sessions de navigation Lors dudeacutemarrage du navigateur (apregraves un arrecirct normal ou brusque) il est en effet conseilleacutede ne pas restaurer la session preacuteceacutedente de lrsquoutilisateur mais drsquoafficher une(des) page(s)connue(s) et de confiance
427 Serveur mandataire
Il est primordial de controcircler les flux non seulement en entreacutee mais eacutegalement en sortie Lorsqursquounindividu malveillant atteint en inteacutegriteacute un poste de travail il peut ensuite proceacuteder agrave lrsquoeacutetablissementdrsquoun canal de controcircle depuis le poste de travail vers un serveur situeacute sur Internet Lrsquoutilisation de
14 Cette couche de seacutecuriteacute qui permet de se preacutemunir contre certains types drsquoattaques est deacutetailleacutee dans un article duMozilla Developer Network httpsdevelopermozillaorgen-USdocsWebSecurityCSPIntroducing_Content_Security_Policy15 httpsdevelopermozillaorgen-USdocsSecurityMixedContent
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 9 sur 40
serveurs mandataires avec authentification peut donc bloquer des connexions sortantes malveillantesIl srsquoavegravere alors judicieux drsquoimposer lrsquoutilisation du serveur mandataire (proxy) par configuration cen-traliseacutee sur les postes utilisateurs
R18 Privileacutegier lrsquoutilisation de serveurs mandataires avec authentification
Note Cette recommandation peut ecirctre renforceacutee par des regravegles de filtrage de pare-feu
428 Authentification HTTP
Il est possible de durcir la seacutecuriteacute des authentifications utilisant NTLM 16 ou SPNEGO 17 surFirefox degraves lors que lrsquoune drsquoentre elles est utiliseacutee par lrsquoentiteacute qui le deacuteploie Il est par exemplerecommandeacute de speacutecifier la liste des serveurs autoriseacutes agrave engager une authentification SPNEGO ouune authentification NTLM automatique
R19 Speacutecifier la liste des serveurs autoriseacutes agrave engager une authentification SPNEGO ou uneauthentification NTLM automatique
Note Lrsquoutilisation de NTLM nrsquoest pas conseilleacutee Kerberos eacutetant le protocole drsquoauthentification agraveprivileacutegier
429 Peacuterimegravetre de navigation
Il est recommandeacute de restreindre le peacuterimegravetre de navigation en interdisant certains scheacutemas drsquoadressesavec les protocol-handlers
R20 Interdire a minima le scheacutema drsquoadresses file pour un navigateur deacutedieacute agrave la navigationsur Internet de maniegravere agrave eacuteviter des accegraves arbitraires au systegraveme de fichiers Le scheacutemaftp pourrait eacutegalement ecirctre interdit au profit de lrsquoutilisation drsquoun client FTP tiers
Note Lrsquoutilisation du navigateur Firefox ne sera alors plus possible pour afficher des pages htmldirectement depuis un systegraveme de fichiers (CD-ROM disque local ou distant via un partage reacuteseauetc)
Ces listes preacutesentent eacutegalement un inteacuterecirct particulier dans le cadre drsquoune strateacutegie de doublenavigateur Ce sujet est deacutetailleacute en section laquo Strateacutegie de double navigateur raquo
4210 Administration systegraveme et maintenance
Divers paramegravetres de Firefox relegravevent de sa maintenance et certaines preacutecautions doivent ecirctreprises pour eacuteviter des problegravemes de compatibiliteacute de confidentialiteacute des donneacutees utilisateurs voire dedisponibiliteacute des postes de travail La liste complegravete de ces paramegravetres figure en annexe I
43 Teacuteleacute-deacuteploiement initial
Firefox au mecircme titre que les autres logiciels devrait ideacutealement ecirctre installeacute sur les postes detravail par teacuteleacute-deacuteploiement Une telle meacutethode de deacuteploiement est un des fondamentaux drsquoun systegravemedrsquoinformation controcircleacute et maicirctriseacute En effet il permet de maicirctriser les installations drsquohomogeacuteneacuteiser les
16 NTLM (NT Lan Manager) est une suite de protocoles drsquoauthentification de Microsoft qui ne supporte pas lesmeacutethodes cryptographiques reacutecentes comme AES ou SHA-25617 SPNEGO (Simple and Protected GSSAPI Negociation Mechanism) est un standard qui permet de neacutegocier de
lrsquoauthentification Kerberos NTLM ainsi que drsquoautres protocoles supporteacutes pour le systegraveme SPNEGO est eacutegalementconnu sous le nom du protocole drsquoauthentification laquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 10 sur 40
versions et configurations mais aussi de proceacuteder aux mises agrave jour de maniegravere reacuteactive et efficace
Le teacuteleacute-deacuteploiement de logiciel peut se faire de plusieurs maniegraveres ndash au format MSI par GPO (strateacutegies de groupe pour la gestion centraliseacutee) dans un domaine
Microsoft Active Directory Attention toutefois puisque Mozilla ne fournit Firefox qursquoau formatexeacutecutable il sera donc neacutecessaire de construire un package Firefox au format MSI Des eacutediteurstiers proposent de tels paquets mais ces eacutediteurs nrsquooffrent pas de garantie forte de lrsquointeacutegriteacute deslogiciels qursquoils fournissent Il est par conseacutequent preacutefeacuterable que lrsquoorganisation utilisatrice geacutenegravereses propres fichiers MSI
ndash au format exeacutecutable agrave lrsquoaide drsquoun outil de gestion de parc ou de tout autre produit tiers preacutevuagrave cet effet
44 Gestion des mises agrave jour
La mise agrave jour reacuteactive du navigateur est primordiale pour se preacutemunir des vulneacuterabiliteacutes reacuteguliegravere-ment deacutetecteacutees et corrigeacutees Lrsquoutilisation drsquoun navigateur preacutesentant des vulneacuterabiliteacutes connues par despersonnes malveillantes expose le poste de travail agrave une attaque Deux strateacutegies diffeacuterentes de mise agravejour de Firefox peuvent alors ecirctre envisageacutees
ndash la premiegravere consiste agrave simplement laisser la configuration par deacutefaut le navigateur va alorsautomatiquement teacuteleacutecharger les mises agrave jour aupregraves des serveurs de Mozilla Il convient dans cecas de srsquoassurer que les postes de travail sont en mesure drsquoacceacuteder aux serveurs de mise agrave jour deMozilla sur Internet ideacutealement au travers du proxy drsquoentreprise qui pourra notamment mettreen cache les binaires
ndash la configuration alternative consiste agrave remplacer lrsquoURL de mise agrave jour (agrave lrsquoaide du paramegravetre deconfiguration appupdateurloverride) 18 par une URL locale qui mettra les mises agrave jour agravedisposition des postes de travail
Le tableau suivant syntheacutetise les avantages et inconveacutenients des deux meacutethodes
Meacutethode Avantages Inconveacutenientsclassique par deacutefautles navigateurs se mettentagrave jour automatiquementaupregraves des serveurs deMozilla par Internet
- mise en œuvre aiseacutee par les servicesinformatiques - haut taux de disponibiliteacute desserveurs de mise agrave jour de Mozilla
- ne permet pas aux ser-vices informatiques de testeret valider les mises agrave jouravant leur deacuteploiement no-tamment lors de lrsquoutilisationdrsquoapplications Web meacutetier peureacutepandues - peu adapteacute pour un naviga-teur deacutedieacute agrave lrsquoIntranet
controcircleacutee la mise agrave jourautomatique de Firefox estdeacutesactiveacutee et les servicesinformatiques mettent lesmises agrave jour agrave dispositiondes postes de travail depuisun serveur local
- permet de tester et valider les misesagrave jour avant deacuteploiement - permet drsquoadapter les configu-rations centraliseacutees du navigateurpour tenir compte des eacuteventuellesnouvelles fonctionnaliteacutes avant deacute-ploiement - permet de bloquer tout le trafic agravedestination des serveurs de Mozilla
- freine la reacuteactiviteacute des misesagrave jour - neacutecessite des moyens hu-mains importants
18 Pour plus drsquoinformations sur la mise en œuvre drsquoun serveur de mises agrave jour local httpsdevelopermozillaorgen-USdocsMozillaSetting_an_update_server
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 11 sur 40
Il sera nettement moins risqueacute (du point de la compatibiliteacute) de retenir le mode classique (automa-tique) pour les versions ESR de Firefox eacutetant donneacute que les mises agrave jour concernent des correctifs deseacutecuriteacute agrave haut risque et nrsquoapportent aucune nouvelle fonctionnaliteacute En revanche les versions standardsde Firefox peuvent recevoir des mises agrave jour fonctionnelles importantes qursquoil serait plus pertinent decontrocircler preacutealablement
La probleacutematique des mises agrave jour concerne eacutegalement les extensions Bien qursquoil soit recommandeacutede les interdire dans le cadre drsquoune configuration durcie une entiteacute peut vouloir en deacuteployer certainespour de bonnes raisons La mise agrave jour des extensions est indeacutependante du meacutecanisme de mise agravejour du navigateur Elles peuvent ecirctre mises agrave jour automatiquement (comportement par deacutefaut) oumanuellement quelle que soit la strateacutegie de mise agrave jour choisie pour le navigateur
Le maintien en conditions de seacutecuriteacute des plugins devra par ailleurs ecirctre geacutereacute indeacutependamment dunavigateur chaque plugin ayant ses speacutecificiteacutes quant aux meacutecanismes de mise agrave jour utiliseacutes
Concernant le service Mozilla Maintenance Service (service chargeacute des mises agrave jour de Firefox) cedernier srsquoexeacutecute avec les droits qui lui sont propres pour la mise agrave jour du navigateur et ce quels quesoient les droits de lrsquoutilisateur
5 Strateacutegie de double navigateur
La seacutecuriteacute des systegravemes drsquoinformation impose souvent un navigateur qui doit ecirctre durci pourlrsquoaccegraves agrave Internet mais plus permissif pour lrsquoaccegraves aux applications internes Lorsque certains serveursWeb internes utilisent des appliquettes Java par exemple neacutecessitant le deacuteploiement de modulescompleacutementaires Java le navigateur finit par avoir une surface drsquoattaque tregraves importante et exposeainsi lrsquoentiteacute agrave un des vecteurs drsquoattaque les plus critiques et massivement exploiteacutes 19
Pour traiter cette probleacutematique lorsqursquoelles disposent des ressources neacutecessaires en particulierpour en assurer le maintien en conditions de seacutecuriteacute de plus en plus drsquoentiteacutes srsquoorientent vers lrsquousagede deux navigateurs diffeacuterents Il devient alors possible
ndash drsquoen deacutedier un agrave la navigation sur Internet De par sa configuration durcie sa surface drsquoattaqueest reacuteduite au maximum Il est maintenu en conditions de seacutecuriteacute avec la plus grande attentionLes eacutequipes de veille scrutent la moindre vulneacuterabiliteacute dont le navigateur Internet fait lrsquoobjetLes eacutequipements de filtrage et drsquoanalyse du trafic sont utiliseacutes pour repeacuterer tout comportementsuspect de navigation sur Internet
ndash drsquoen deacutedier un deuxiegraveme agrave lrsquoaccegraves aux serveurs internes neacutecessitant par exemple un module com-pleacutementaire qui peut faire lrsquoobjet de vulneacuterabiliteacutes freacutequentes ou qui neacutecessite une configurationplus permissive Il est alors possible de le configurer pour permettre uniquement lrsquoaccegraves et lrsquousagede lrsquoensemble des sites et applications leacutegegraveres de lrsquoIntranet
Une telle strateacutegie de double navigateur doit neacutecessairement srsquoaccompagner de mesures de seacutecuriteacutetechniques permettant de garantir le peacuterimegravetre drsquoutilisation de chaque navigateur par des paramegravetresde configuration verrouilleacutes Le tableau suivant en donne quelques exemples
19 Voir les recommandations de seacutecuriteacute publieacutees par lrsquoANSSI relatives aux environnements drsquoexeacute-cution Java sur les postes de travail Microsoft Windows agrave lrsquoadresse httpwwwssigouvfrfrguides-et-bonnes-pratiquesrecommandations-et-guidessecurite-du-poste-de-travail-et-des-serveursrecommandations-de-securite-relatives-aux-environnements-d-execution-java-surhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 12 sur 40
Composant Action ValeurServeur mandataire Autoriser User-Agent du navigateur Internet (ou plus strictement de la
derniegravere version de ce dernier)Bloquer Tout autre User-Agent non autoriseacute
Pare-feu locaux despostes de travail
Autoriser TCP en sortie vers le serveur mandataire depuis - le processus du navigateur Internet (chemin complet delrsquoexeacutecutable) - les autres processus eacuteventuels autoriseacutes agrave acceacuteder agrave Internetvia le serveur mandataire
Bloquer TCP en sortie vers le serveur mandataire depuis tout autreprocessus
Pare-feu de passerelleInternet
Autoriser TCP en sortie vers les ports 443 et 80 depuis - lrsquoIP source du serveur mandataire - les autres IP sources eacuteventuelles autoriseacutees agrave sortir en directsur Internet sans passer par le serveur mandataire
Bloquer TCP en sortie vers ports 443 et 80 depuis toute autre IP sourceApplocker (ou SRP) surles postes de travail
Autoriser lrsquoexeacutecution Chemin complet de lrsquoexeacutecutable des navigateurs autoriseacutes
Bloquer lrsquoexeacutecution Tout autre exeacutecutable de navigateur interdit
Les regravegles de configuration deacutecrites en annexe I section laquo Peacuterimegravetre de navigation raquo permettentalors de mettre en œuvre une partie de ces mesures de seacutecuriteacute et de restreindre le peacuterimegravetre denavigation possible de chacun des navigateurs
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 13 sur 40
Les figures suivantes illustrent de maniegravere syntheacutetique les mesures de seacutecuriteacute appliqueacutees agrave unestrateacutegie de double navigateur
Figure 1 ndash Illustration drsquoune strateacutegie de double navigateur cas ougrave Firefox est utiliseacute commenavigateur Internet
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 14 sur 40
Figure 2 ndash Illustration drsquoune strateacutegie de double navigateur cas ougrave Firefox est utiliseacute commenavigateur Intranet
Ces figures illustrent deux cas distincts Le navigateur Firefox y est repreacutesenteacute mais la strateacutegieserait eacutequivalente avec drsquoautres navigateurs
Les regravegles de configuration recommandeacutees en annexe I se precirctent agrave un contexte ougrave le navigateur estdeacutedieacute agrave la navigation sur Internet
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 15 sur 40
Annexe I Strateacutegies de seacutecurisation de Firefox
Cette annexe liste sous forme de tableaux les valeurs recommandeacutees permettant de mettre en œuvreles recommandations formuleacutees dans cette note technique La liste des paramegravetres de configurationdisponibles est sujette agrave des eacutevolutions freacutequentes et certains sont peu voire pas documenteacutes Lesrecommandations et leurs indications de mise en œuvre figurant dans ce document sont baseacutees sur lesparamegravetres de configuration de Firefox dans sa version ESR 31 Ces derniers pourront ecirctre adapteacutesselon la version du navigateur deacuteployeacutee agrave la date de lecture du document
Depuis un navigateur Firefox il est possible drsquoafficher et de modifier les paramegravetres de configurationappliqueacutes en tapant aboutconfig dans la barre drsquoadresse Les paramegravetres verrouilleacutes sont afficheacutes enitalique La page aboutsupport affiche quant agrave elle un reacutecapitulatif des informations systegravemes etde version ainsi que les modifications importantes apporteacutees agrave la configuration par deacutefaut du navigateur
En environnement professionnel il est conseilleacute de deacuteployer une configuration de maniegravere centraliseacuteecomme expliqueacute en annexe II Pour un usage personnel de Firefox il est eacutegalement possible de srsquoinspirerde tout ou partie des paramegravetres indiqueacutes dans ce document agrave partir de la page aboutconfig
Seacutecuriteacute des modules compleacutementaires
Les regravegles de configuration preacutefixeacutees par le terme laquo extensions raquo ne srsquoappliquent pas toujoursuniquement aux extensions comme elles pourraient le laisser entendre mais parfois plus largementaux plugins voire aux modules compleacutementaires dans leur ensemble Il convient donc drsquoecirctre vigilantquant au peacuterimegravetre reacuteel drsquoapplication des regravegles de configuration dont les noms pourraient precircter agraveconfusion
Nom de strateacutegie Description Valeur recommandeacuteeextensionsautoDisableScopes Les extensions peuvent
ecirctre deacutesactiveacuteesautomatiquement enfonction de leur localisation
3 (les extensions deacuteposeacutees dans le profil Firefox delrsquoutilisateur ou dans le profil utilisateur Windowsseront automatiquement deacutesactiveacutees20)
extensionsenabledScopes Les extensions peuvent ecirctreactiveacutees automatiquementen fonction de leurlocalisation21
12 (seules les extensions reacutefeacuterenceacutees par une entreacutee enbase de registres22 ou deacuteposeacutees dans le sous-dossierdrsquoextensions agrave lrsquoemplacement de lrsquoexeacutecutable FireFoxseront activeacutees Attention ce paramegravetre a prioriteacute surextensionsautoDisableScopes
20 Contrairement agrave ce qursquoindique la MozillaZine Knownledge Base le paramegravetre extensionsautoDisableScopes nepermet pas de deacutesactiver un plugin pour ce faire il convient drsquoutiliser les paramegravetres pluginstatex21 Pour plus drsquoinformations sur le paramegravetre extensionsenabledScopes httpsdevelopermozillaorgen-US
Add-onsInstalling_extensions22 Article de Mozilla expliquant lrsquoajout la mise agrave jour et la suppression drsquoextensions ou de plugins pour Firefox par
base de registre httpsdevelopermozillaorgen-USdocsAdding_Extensions_using_the_Windows_Registry
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 16 sur 40
Nom de paramegravetre Description Valeur recommandeacuteeextensionsblocklistenabled Teacuteleacutechargement reacutegulier drsquoune
liste noire de modules reacutefeacuterenceacutescomme eacutetant malveillants
false si seuls les modules teacuteleacute-deacuteployeacutes par leseacutequipes informatique sont installeacutes ou true silrsquoutilisateur est en mesure drsquoinstaller des moduleslui-mecircme
extensionsblocklistdetailsURL
URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules
Celle par deacutefaut (httpswwwmozillaorgLOCALEblocklist)
extensionsblocklistitemURL URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules(variante)
Celle par deacutefaut (httpsaddonsmozillaorgLOCALEAPPblockedblockID)
extensionsblocklistinterval Intervalle de teacuteleacutechargement dela liste noire de modules ensecondes
86400 (soit 1 fois par jour)
extensionsblocklistlevel Niveau de blocage 2 (pour bloquer les extensions de la liste)extensionsblocklisturl Adresse de teacuteleacutechargement de la
liste noire de modulesCelle par deacutefaut (httpsaddonsmozillaorgblocklist3APP_IDAPP_VERSIONPRODUCTBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONPING_COUNTTOTAL_PING_COUNTDAYS_SINCE_LAST_PING)
extensionsenabledAddons Modules activeacutes au deacutemarragede Firefox
Mettre agrave vide
pdfjsdisabled Deacutesactiver la visionneuse PDFinteacutegreacutee agrave Firefox (pdfjs)
true pour que lrsquoutilisateur teacuteleacutecharge les PDF etles visionne via un lecteur PDF tiers maintenu enconditions de seacutecuriteacute par lrsquoentiteacute et ne faisant paslrsquoobjet de vulneacuterabiliteacutes freacutequentes ou false pourautoriser lrsquousage du lecteur de PDF inteacutegreacute
pluginstateflash Configuration drsquoactivation duplugin Flash
1 (demander lrsquoautorisation agrave lrsquoutilisateur avantchaque exeacutecution du plugin Flash) ou 2 (toujoursactiver) au choix de lrsquoentiteacute et en fonction desutilisateurs et des contraintes de seacutecuriteacute
pluginstatejava Configuration drsquoactivation duplugin Java
0 pour ne jamais activer le plugin Java (agrave moinsque lrsquoentiteacute souhaite utiliser ce plugin malgreacute lesrisques de seacutecuriteacute encourus auquel cas la valeuragrave donner serait 1 pour demander lrsquoautorisation agravelrsquoutilisateur agrave chaque exeacutecution du plugin Java)
pluginstatex Configuration drsquoactivation duplugin x ougrave x est agrave remplacerpar le nom court du pluginagrave deacutesactiver (exemple npctrlpour Microsoft Silverlight Lesnoms courts des plugins sontindiqueacutes en affichant leurs infor-mations deacutetailleacutees depuis lrsquointer-face graphique)
0 pour ne jamais activer le plugin ou 1 pourdemander lrsquoautorisation agrave lrsquoutilisateur avant chaqueexeacutecution du plugin
plugindefaultstate Configuration drsquoactivation desautres plugins
0 pour ne jamais activer un plugin non explicite-ment autoriseacute par les regravegles preacuteceacutedentes
plugindefaultXpistate Configuration drsquoactivation desautres plugins au format XPI
0 pour ne jamais activer un plugin au format XPInon explicitement autoriseacute par les regravegles preacuteceacute-dentes
pluginsclick_to_play Cliquer pour lire le contenu neacute-cessitant un plugin
true pour activer le mode laquo Cliquer pour lire raquo
pluginsload_appdir_plugins Chargement automatique desplugins depuis des emplace-ments utiliseacutes avant Firefox 21
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 17 sur 40
Eacutetant donneacute que seuls les modules compleacutementaires teacuteleacute-deacuteployeacutes par les eacutequipes informatiquessont autoriseacutes il est recommandeacute de bloquer toute possibiliteacute drsquoajout de modules compleacutementaires parlrsquoutilisateur
Nom de strateacutegie Description Valeur recommandeacuteeextensionsgetAddonsgetWithPerformanceurl
URL de reacutecupeacuteration drsquoun module compleacutementaire Mettre agrave vide
extensionsgetAddonsmaxResults Nombre de reacutesultats maximum 0extensionsgetAddonsgeturl URL de consultation drsquoun module compleacutementaire Mettre agrave videextensionsgetAddonsrecommendedbrowseURL
URL de consultation des modules compleacutementairesrecommandeacutes
Mettre agrave vide
extensionsgetAddonsrecommendedurl
URL de consultation des modules compleacutementairesrecommandeacutes par API
Mettre agrave vide
extensionsgetAddonssearchbrowseURL
URL de recherche de modules compleacutementaires Mettre agrave vide
extensionsgetAddonssearchurl URL de recherche de modules compleacutementaires parAPI
Mettre agrave vide
extensionsgetAddonsshowPane Afficher le panneau drsquoajout de modules compleacutemen-taires
false
extensionshideInstallButton Cacher le bouton drsquoinstallation manuelle drsquoextensions true
extensionswebservicediscoverURL URL du catalogue drsquoextensions Mettre agrave videxpinstallenabled Autoriser lrsquoinstallation manuelle de modules au format
XPIfalse
xpinstallwhitelistrequired Obligation pour une archive XPI drsquoecirctre en liste blanchepour ecirctre installeacutee manuellement
true
xpinstallwhitelistaddxpinstallwhitelistadd
Liste blanche drsquoarchives XPI pouvant ecirctre installeacuteesmanuellement
Mettre agrave vide
Pour finir lrsquoentiteacute devra choisir sa strateacutegie de mise agrave jour des extensions teacuteleacute-deacuteployeacutees Lrsquoentiteacutequi voudra teacuteleacute-deacuteployer elle-mecircme les versions agrave jour des modules compleacutementaires apregraves une phase devalidation optera pour le parameacutetrage donneacute ci-dessous la responsabiliteacute du maintien en conditions deseacutecuriteacute sera alors deacuteporteacutee sur les services informatiques en charge du deacuteploiement de ces mises agrave jourDans le cas contraire les valeurs par deacutefaut permettent une mise agrave jour automatique des extensionspar Internet
Nom de strateacutegie Description Valeur recommandeacuteeextensionshotfixcertcheckAttributes
Veacuterifie les attributs du certificat de signature descorrectifs teacuteleacutechargeacutes
true
extensionshotfixcerts1sha1Fingerprint
Empreintes attendues du certificat de signature descorrectifs teacuteleacutechargeacutes
Laisser la valeur par deacutefaut(9153980CC186DF478F35229E11C9A7310449A1AA en date dereacutedaction de ce document)
extensionsupdateautoUpdateDefault
Teacuteleacutecharger et installer automatiquement les mises agravejour drsquoextensions
false
extensionsupdatebackgroundURL
URL de teacuteleacutechargement des mises agrave jour drsquoextensionsen arriegravere plan
Mettre agrave vide
extensionsupdateenabled Activer la mise agrave jour des extensions false
extensionsupdateinterval Intervalle de teacuteleacutechargement des mises agrave jour desextensions
86400 (soit 1 fois par jour)
pluginsupdatenotifyUser Notifier lrsquoutilisateur de la preacutesence drsquoune mise agrave jourpour ses modules compleacutementaires
false
pluginsupdateurl URL de mise agrave jour des modules compleacutementaires Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 18 sur 40
SSLTLS et certificats
Le parameacutetrage des suites cryptographiques autoriseacutees peut engendrer des problegravemes de compa-tibiliteacute selon le contexte Il est donc leacutegitime de preacutefeacuterer ne pas modifier la configuration par deacutefautDans un soucis de durcissement les recommandations suivantes pourraient toutefois ecirctre appliqueacutees
Nom de paramegravetre Description Valeur recommandeacuteesecurityssl3dhe_dss_aes_128_sha Autoriser ssl3dhe_dss_aes_128_sha false
securityssl3dhe_dss_aes_256_sha Autoriser ssl3dhe_dss_aes_256_sha false
securityssl3dhe_dss_camellia_128_sha Autoriser ssl3dhe_dss_camellia_128_sha false
securityssl3dhe_dss_camellia_256_sha Autoriser ssl3dhe_dss_camellia_256_sha false
securityssl3dhe_rsa_aes_128_sha Autoriser ssl3dhe_rsa_aes_128_sha true
securityssl3dhe_rsa_aes_256_sha Autoriser ssl3dhe_rsa_aes_256_sha true
securityssl3dhe_rsa_camellia_128_sha Autoriser ssl3dhe_rsa_camellia_128_sha false
securityssl3dhe_rsa_camellia_256_sha Autoriser ssl3dhe_rsa_camellia_256_sha false
securityssl3dhe_rsa_des_ede3_sha Autoriser ssl3dhe_rsa_des_ede3_sha false
securityssl3ecdhe_ecdsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_ecdsa_aes_128_gcm_sha256
true
securityssl3ecdhe_ecdsa_aes_128_sha Autoriser ssl3ecdhe_ecdsa_aes_128_sha true
securityssl3ecdhe_ecdsa_aes_256_sha Autoriser ssl3ecdhe_ecdsa_aes_256_sha true
securityssl3ecdhe_ecdsa_rc4_128_sha Autoriser ssl3ecdhe_ecdsa_rc4_128_sha false
securityssl3ecdhe_rsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_rsa_aes_128_gcm_sha256
true
securityssl3ecdhe_rsa_aes_128_sha Autoriser ssl3ecdhe_rsa_aes_128_sha true
securityssl3ecdhe_rsa_aes_256_sha Autoriser ssl3ecdhe_rsa_aes_256_sha true
securityssl3ecdhe_rsa_des_ede3_sha Autoriser ssl3ecdhe_rsa_des_ede3_sha false
securityssl3ecdhe_rsa_rc4_128_sha Autoriser ssl3ecdhe_rsa_rc4_128_sha false
securityssl3rsa_aes_128_sha Autoriser ssl3rsa_aes_128_sha true
securityssl3rsa_aes_256_sha Autoriser ssl3rsa_aes_256_sha true
securityssl3rsa_camellia_128_sha Autoriser ssl3rsa_camellia_128_sha false
securityssl3rsa_camellia_256_sha Autoriser ssl3rsa_camellia_256_sha false
securityssl3rsa_des_ede3_sha Autoriser ssl3rsa_des_ede3_sha false
securityssl3rsa_fips_des_ede3_sha Autoriser ssl3rsa_fips_des_ede3_sha false
securityssl3rsa_rc4_128_md5 Autoriser ssl3rsa_rc4_128_md5 false
securityssl3rsa_rc4_128_sha Autoriser ssl3rsa_rc4_128_sha false
securityssl3rsa_seed_sha Autoriser ssl3rsa_seed_sha false
Autres paramegravetres
Nom de paramegravetre Description Valeur recommandeacuteesecuritytlsversionmax Version maximum de
SSLTLS3 (ce qui correspond agrave TLS 12)
securitytlsversionmin Version minimum de SSLTLS 2 (ce qui correspond agrave TLS 11)securitysslallow_unrestricted_renego_everywhere__temporarily_available_pref
Activer la reneacutegociation SSL false pour remeacutedier agrave une attaque parle milieu connue
securitysslenable_false_start Activer laquo SSL False Start raquo false car non standardiseacute et amenantde potentielles vulneacuterabiliteacutes
securitysslenable_ocsp_stapling Activer lrsquoOCSP stapling23 true
23 httpsblogmozillaorgsecurity20130729ocsp-stapling-in-firefox
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 19 sur 40
Nom de paramegravetre Description Valeur recommandeacuteesecuritysslrequire_safe_negotiation
Neacutecessite une neacutegociation SSL qui nrsquoutilisepas une ancienne version SSLTLS vul-neacuterable agrave des attaques par le milieu
true est la valeur ideacuteale en termesde seacutecuriteacute mais false reste conseilleacutepour eacuteviter que de nombreux sitescouramment visiteacutes ne soient plus uti-lisables
securitysslrenego_unrestricted_hosts
Liste drsquohocirctes autoriseacutes agrave faire de la reneacute-gociation SSL avec drsquoanciennes versionsvulneacuterables du protocole
Liste drsquohocirctes seacutepareacutes par des virgules(ne supportant pas les wildcards)et qursquoil est utile de renseigner sisecuritysslrequire_safe_negotiationest configureacute agrave true
securityssltreat_unsafe_negotiation_as_broken
Informer lrsquoutilisateur (cadenas casseacute rougedans la barre de status) lorsque les neacutegoci-ations SSLTLS sont non seacutecuriseacutees
true
networkstricttransportsecuritypreloadlist
Charger la liste de sites deacuteclareacutes commeutilisant HSTS (HTTP Strict TransportSecurity24)
true
networkwebsocketallowInsecureFromHTTPS
Autoriser les WebSockets non seacutecuriseacuteepour un site consulteacute en HTTPS
false
securityOCSPenabled Activer OCSP 2 pour veacuterifier le certificat agrave partir delrsquoURL de service OCSP et de lrsquoautoriteacutede certification ayant signeacute le certifi-cat Notons que cette fonctionnaliteacuteest critiqueacutee pour des questions delatence des reacutepondeurs OCSP (de lrsquoor-dre de 300ms pour les plus rapides agraveplus drsquoune seconde pour les plus lents)OCSP tend donc agrave ecirctre remplaceacute pardes listes locales de certificats reacutevo-queacutes dans drsquoautres navigateurs maisFirefox ne dispose pas encore drsquounetelle liste Une entiteacute ayant des con-traintes particuliegraveres quant agrave la la-tence induite par OSCP pourrait opterpour une deacutesactivation drsquoOCSP avecla valeur 0
securityOCSPrequire Neacutecessite la validation du certificat parOCSP avant de continuer la navigation surle site
true si securityOCSPenabled a eacuteteacuteconfigureacute agrave true ou false dans le cascontraire
securitycert_pinningenforcement_level
Niveau de certificate pinning (eacutepinglage decertificats)25(agrave partir de Firefox 32)
2 pour utiliser lrsquoeacutepinglage strict
Gestionnaire de mots de passe
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownpasswords Effacer les mots de passe enregistreacutes agrave la
fermeture du navigateurtrue
signonrememberSignons Active le gestionnaire de mots de passe false
signonautofillForms Remplissage automatique des formulairesde login
false
24 httpsdevelopermozillaorgfrdocsSC3A9curitC3A9HTTP_Strict_Transport_Security25 Lrsquoeacutepinglage de certificats permet drsquoavoir une base locale de certificats connus et attendus pour certains sites Web
consulteacutes en HTTPS Ainsi si le certificat preacutesenteacute par le serveur est valide en tous points de vue mais nrsquoest pas lecertificat attendu la connexion sera coupeacutee Ce meacutecanisme permet drsquoeacuteviter une attaque par le milieu preacutesentant un fauxcertificat issu drsquoune autoriteacute de certification de confiance
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 20 sur 40
Confidentialiteacute
Il nrsquoexiste pas en date de reacutedaction de cette note de regravegle globale pour la deacutesactivation de FirefoxSync Sa deacutesactivation se fait par conseacutequent agrave travers plusieurs regravegles de configuration
Nom de paramegravetre Description Valeur recommandeacuteeservicessyncengineaddons Synchronisation des modules compleacutementaires false
servicessyncenginebookmarks Synchronisation des marque-pages false
servicessyncenginehistory Synchronisation de lrsquohistorique de navigation false
servicessyncenginepasswords Synchronisation des mots de passe stockeacutes false
servicessyncengineprefs Synchronisation des preacutefeacuterences false
servicessyncenginetabs Synchronisation des onglets ouverts false
servicessyncregisterEngines Moteurs de synchronisation enregistreacutes Mettre agrave videservicessyncjpakeserverURL URL du serveur synchronisation jpake Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessynctokenServerURI URI du serveur de jetons Mettre agrave videservicessyncnextSync Planification de la prochaine synchronisation 0
Il convient eacutegalement de deacutesactiver les diffeacuterents rapports agrave Mozilla
Nom de paramegravetre Description Valeur recommandeacuteedatareportinghealthreportaboutreportUrl URL de rapport de santeacute Mettre agrave videdatareportinghealthreportloggingconsoleEnabled
Activer la journalisation (console) du ser-vice de rapports de santeacute
false
datareportinghealthreportloggingdumpEnabled
Activer la journalisation (dumps) du ser-vice de rapports de santeacute
false
datareportinghealthreportnextDataSubmissionTime
Date de prochaine soumission de rapportde santeacute
Mettre agrave vide
datareportinghealthreportserviceenabled Activer le service de rapport de santeacute false
datareportinghealthreportuploadEnabled Autoriser lrsquoenvoi de donneacutees au serveur derapports de santeacute
false
datareportingpolicydataSubmissionEnabled Activer lrsquoenvoi de donneacutees agrave Mozilla agrave desfins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyAccepted
Accepter les conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyBypassAcceptance
Contourner lrsquoacceptation des conditionsdrsquoenvoi de donneacutees agrave Mozilla agrave des finsdrsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyResponseType
Reacuteponse aux conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
accepted-info-bar-dismissed
domipcpluginsreportCrashURL Inteacutegrer lrsquoURL au rapport de crash deplugins
false
domipcpluginsflashsubprocesscrashreporterenabled
Activer le rapport de crash du sous-processus flash
false
toolkittelemetryenabled Activer la fonctionnaliteacute de teacuteleacutemeacutetrie false
toolkittelemetryserver Adresse du serveur de teacuteleacutemeacutetrie Mettre agrave videbreakpadreportURL URL du rapport de crash Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 21 sur 40
Il peut eacutegalement ecirctre utile de configurer lrsquooption de suppression des donneacutees priveacutees (Clear PrivateData) en seacutelectionnant les eacuteleacutements qui seront supprimeacutes Lrsquoentiteacute pourra par exemple permettre auxutilisateurs de supprimer leurs donneacutees priveacutees dans le cadre drsquoune navigation sur internet ou bien delrsquointerdire srsquoil srsquoagit drsquoun navigateur deacutedieacute agrave lrsquointranet Une entiteacute pourrait eacutegalement vouloir toujoursgarder les historiques et le cache agrave des fins drsquoinvestigation (cela nrsquoempecircchera toutefois pas lrsquoutilisateurde les supprimer directement au niveau du systegraveme de fichiers dans son profil utilisateur)
Nom de paramegravetre Description Valeur recommandeacuteeprivacycpdcache Supprimer le cache lors drsquoune suppression des donneacutees
priveacuteesAu choix de lrsquoentiteacute
privacycpdcookies Supprimer les cookies lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpddownloads Supprimer lrsquohistorique des teacuteleacutechargements lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdformdata Supprimer lrsquohistorique de remplissage automatique desformulaire lors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdhistory Supprimer lrsquohistorique lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpdofflineApps Supprimer les applications disponibles hors connexionlors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdpasswords Supprimer les mots de passe enregistreacutes lors drsquoune sup-pression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsessions Supprimer les sessions en cours enregistreacutees lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsiteSettings Supprimer les paramegravetres par site lors drsquoune suppressiondes donneacutees priveacutees
Au choix de lrsquoentiteacute
privacysanitizesanitizeOnShutdown
Supprimer les donneacutees priveacutees agrave la fermeture du naviga-teur
En cas de besoin speacute-cifique de lrsquoentiteacute
Viennent pour finir divers autres paramegravetres lieacutes agrave la confidentialiteacute
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownsessions effacer les sessions de navigation en cours lors
de la fermeture du navigateurtrue
privacyclearOnShutdowncookies effacer les cookies de navigation lors de lafermeture du navigateur
true
privacydonottrackheaderenabled Activer Do-Not-Track true
geoenabled activer la geacuteolocalisation false
geowifiuri URI du service de geacuteolocalisation agrave utiliser Mettre agrave videnetworkprefetch-next Teacuteleacutechargement preacutedictif anticipeacute des docu-
ments lieacutes agrave la page Web visiteacutes (link prefetch-ing)26
false pour eacuteviter lrsquoeacutetablisse-ment de connexions et leteacuteleacutechargement de contenunon solliciteacutes
medianavigatorpermissiondisabled Contourne la permission drsquoacceacuteder agrave la web-cam
false
networkhttpsendRefererHeader Activer lrsquoenvoi de lrsquoentecircte referer 0 pour plus drsquoanonymat ou 2pour ne pas empecirccher le fonc-tionnement de certains sites
browsersend_pings Activer lrsquoenvoi de requecircte POST lors du clicsur un lien (fonctionnaliteacute souvent utiliseacuteepour tracer les clics)
false
26 Le link prefetching permet drsquoacceacuteleacuterer le surf en anticipant le chargement des documents lieacutes agrave la page visiteacutesLrsquoimpleacutementation de ce meacutecanisme dans Firefox ne transmet aucune information agrave Mozilla Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsWebHTTPLink_prefetching_FAQ
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 22 sur 40
Filtrage de contenu
Actions autoriseacutees aux les scripts
Nom de paramegravetre Description Valeur recommandeacuteedomallow_scripts_to_close_windows Autoriser les scripts agrave fermer
une fenecirctrefalse
domdisable_image_src_set Interdire la modification desimages sources par script
false
domdisable_window_flip Interdire le changement defenecirctre active par script
true
domdisable_window_move_resize Deacutetermine si les fenecirctrespeuvent ecirctre bougeacutees or red-imensionneacutees par script
false
domdisable_window_open_featureclose Interdire la creacuteation defenecirctre sans bouton defermeture
true pour eacuteviter les popups in-vasifs
domdisable_window_open_featurelocation Interdire la creacuteation defenecirctre sans barre drsquoadresse
true pour que lrsquoutilisateur puissetoujours veacuterifier ecirctre agrave lrsquoadressepreacutevue
domdisable_window_open_featurestatus Interdire la creacuteation defenecirctre sans barre de status
true pour que lrsquoutilisateur puissese rendre contre plus facilementdes tentatives de spoofing
domdisable_window_open_featuretitlebar Interdire la creacuteation defenecirctre sans barre de titre
true pour que lrsquoutilisateur puissebien voir qursquoil srsquoagit drsquoun popupFirefox
domdisable_window_open_featuretoolbar Interdire la creacuteation defenecirctre sans barre drsquooutils
false
domeventclipboardeventsenabled Permettre agrave un script desaisir les eacuteveacutenements dupresse papier
false
domeventcontextmenuenabled Permettre agrave un script desaisir les eacuteveacutenements drsquoac-cegraves au menu contextuel (clicdroit)
false
dominter-app-communication-apienabled Activer la communicationpar API entre applications
false
domipcpluginsenabled Activation du plugin con-tainer
true pour exeacutecuter les pluginsdans le plugin-container
domipcpluginsjavaenabled Exeacutecuter Java au sein duplugin-container
false pour eacuteviter des problegravemesde stabiliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 23 sur 40
Nom de strateacutegie Description Valeur recommandeacuteebrowsersafebrowsingenabled Utiliser la navigation seacutecuriseacutee
(protection contre le phishing etles logiciels malveillants)27
true
javascriptenabled Activation de Javascript true
securityxpconnectpluginunrestricted Autoriser le scripting de pluginspar des scripts qui ne sont pasde confiance
false agrave moins drsquoune incompatibiliteacute avecdes plugins etou pages Web neacutecessaires agravelrsquoentiteacute
securitymixed_contentblock_active_content
Bloquer le contenu mixte actif true
securitymixed_contentblock_display_content
Bloquer le contenu mixte passif false
securityfileuristrict_origin_policy
Politique drsquoorigine stricte pourles URi de type fichiers
true sauf pour les populations dedeacuteveloppeurs qursquoun tel paramegravetre pourraitbloquer pour le deacuteveloppement en local
networkcookiecookieBehavior Politique de gestion des cookies 1 pour nrsquoautoriser que les cookies duserveur drsquoorigine et bloquer les cookiestiers
networkcookielifetimePolicy Politique drsquoexpiration des cook-ies
2 pour conserver les cookies pendant toutela dureacutee de la session seulement
networkcookiethirdpartysessionOnly Restreindre les cookies tiers agrave ladureacutee de la session seulement
true
networkjaropen-unsafe-types Nrsquoouvrir que les jar servis avecun content-type adeacutequat
false
privacypopupspolicy Politique de popups 1 pour activer les popups ou 2 pour lesrejeter mais cela rendrait la navigationdifficile voire impossible sur une quantiteacutede sites Internet non neacutegligeable
privacypopupsshowBrowserMessage Afficher un message lorsqursquounpopup a eacuteteacute bloqueacute
true
browserpopupsshowPopupBlocker Afficher lrsquoicocircne du bloqueur depopups dans la barre de status
true
securitycspenable Activer la Content Security Pol-icy (politique de seacutecuriteacute descontenus) qui permet de deacute-tecter et de limiter lrsquoimpact decertains types drsquoattaques
true
full-screen-apienabled Activer lrsquoAPI permettant drsquoaf-ficher du contenu en plein eacutecranpour les modules compleacutemen-taires
false
notificationfeatureenabled Permettre les notifications sur lebureau
false
27 La fonctionnaliteacute de navigation seacutecuriseacutee consiste agrave synchroniser une liste locale drsquoadresses de sites maveillants(depuis les serveurs de Google par deacutefaut depuis que Firefox utilise leur service) pour alerter lrsquoutilisateur srsquoil srsquoapprecircte agraveen visiter un Elle consiste eacutegalement agrave analyser le contenu des pages pour repeacuterer drsquoeacuteventuelles tentatives drsquohameccedilonnage
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 24 sur 40
Moteur de recherche par deacutefaut
La configuration drsquoun moteur de recherche personnaliseacute ne peut pas se faire simplement par fichierde configuration et neacutecessite le deacuteploiement drsquoun module de recherche (search engine plugin) LrsquoannexeIV illustre la teacuteleacute-deacuteploiement drsquoun module de recherche utilisant le moteur franccedilais httpswwwqwantcom 28
Nom de paramegravetre Description Exemplebrowsersearchdefaultenginename Moteur de recherche par deacutefaut Qwantcom
browsersearchdefaulturl URL du moteur de recherche pardeacutefaut
httpswwwqwantcomq=searchTerms
browsersearchlog Journalisation de lrsquoutilisation desservices de recherche agrave des fins dedeacuteboggage
false
browsersearchopenintab Ouvrir les reacutesultats de recherchedans un nouvel onglet
false
browsersearchorder1 Moteur de recherche agrave utiliser enprioriteacute 1
Qwantcom
browsersearchsuggestenabled activer les suggestions false
browsersearchupdate Recherche de mises agrave jour pour lesmodules de recherche
false
keywordenabled Permettre de faire une recherchedepuis la barre drsquoadresse
true
Page(s) drsquoaccueil
Nom de strateacutegie Description Valeur recommandeacuteestartuphomepage_override_url Page drsquoaccueil apregraves une mise agrave jour de Firefox En fonction du choix de lrsquoentiteacutestartuphomepage_welcome_url Page drsquoaccueil au premier deacutemarrage En fonction du choix de lrsquoentiteacutebrowserstartuphomepage Page drsquoaccueil about blank pour une page vide
ou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
browserstartuppage Page drsquoaccueil 1 pour ouvrir la page drsquoac-cueil indiqueacutee par le paramegravetrebrowserstartuphomepage
browsersessionstoreresume_from_crash
Restauration de session apregraves crash false
browsersessionstoreenabled Activer le service de restauration de session false
browsernewtaburl Page ouverte par deacutefaut lors de la creacuteationdrsquoun nouvel onglet de navigation
about blank pour une page videou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
28 Ceci nrsquoest en aucun cas une recommandation ni une incitation agrave son utilisation mais un simple exemple
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 25 sur 40
Authentification HTTP
Nom de strateacutegie Description Valeur recommandeacuteenetworkauthforce-generic-ntlm Utiliser le module drsquoauthen-
tification NTLM de Firefoxplutocirct que celui fourni parles APIs du systegraveme
false
networkauthuse-sspi Utiliser SSPI plutocirct queGSSAPI pour lrsquoauthentifica-tion Kerberos
true sous Windows
networkntlmsend-lm-response Envoyer le LM Hash dans lareacuteponse NTLM
false
networkautomatic-ntlm-authallow-proxies
Authentification par NTLMautomatique avec lesserveurs proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networkautomatic-ntlm-authtrusted-uris
Liste des URIs autoriseacuteespour lrsquoauthentification parNTLM automatique
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationNTLM automatique
networkautomatic-ntlm-authallow-non-fqdn
Autoriser lrsquoauthentificationNTLM automatique avecdes sites sans FQDN
false agrave moins que la liste networkautomatic-ntlm-authtrusted-uris comporte des adressessans FQDN
networknegotiate-authallow-non-fqdn
Autoriser lrsquoauthentificationSPNEGO avec des sites sansFQDN
En fonction de lrsquoentiteacute
networknegotiate-authallow-proxies
Autoriser SPNEGO29si de-mandeacute par un serveur proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networknegotiate-authdelegation-uris
Liste des URIs autoriseacuteespour lesquels le navigateurpeut deacuteleacuteguer lrsquoautorisationde lrsquoutilisateur
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites auxquels elle souhaite permettre ladeacuteleacutegation SPNEGO
networknegotiate-authtrusted-uris Liste des URIs autoriseacuteespour engager une authentifi-cation SPNEGO
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationSPNEGO
networknegotiate-authgsslib Chemin vers une librairieGSSLIB speacutecifique
Mettre agrave vide
networknegotiate-authusing-native-gsslib
Utiliser la librairie GSSLIBnative du systegraveme
true
securitydefault_personal_cert Choix du certificat drsquoau-thentification client
Ask Every Time
29 SPNEGO est un standard qui permet de neacutegocier de lrsquoauthentification Kerberos NTLM ainsi que drsquoautresprotocoles supporteacutes pour le systegraveme SPNEGO est eacutegalement connu sous le nom du protocole drsquoauthentificationlaquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 26 sur 40
Serveur mandataire
Nom de paramegravetre Description Valeur recommandeacuteenetworkproxyautoconfig_url URL de configuration automatique du
proxyLaisser agrave vide
networkproxyftp Adresse du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyftp_port port du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp Adresse du proxy proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp_port port du proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyno_proxies_on Liste drsquoexceptions agrave lrsquoutilisation du serveurproxy
A minima localhost 127001 etdavantage en fonction de lrsquoentiteacute etdu peacuterimegravetre drsquoutilisation du naviga-teur
networkproxyshare_proxy_settings
Utiliser le mecircme proxy pour tous les pro-tocoles
false
networkproxysocks Adresse du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_port port du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_remote_dns
Reacutealiser les requecirctes DNS via le proxysocks
false
networkproxysocks_version Version du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl Adresse du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl_port port du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxytype Type drsquoutilisation du proxy 1 pour utiliser les valeurs in-diqueacutees par les paramegravetres ci-dessus(networkproxy)
networkhttpproxyversion version de proxy 11 par deacutefaut et en fonction duserveur proxy de lrsquoentiteacute
networkhttpproxypipelining Activer le pipelining30par proxy false pour des raisons de compat-ibiliteacute Lrsquoentiteacute peut choisir de lrsquoac-tiver si le pipelining est supporteacute parson serveur proxy drsquoentreprise
signonautologinproxy Saisie automatique du mot de passe deproxy
false
30 Le pipelining permet de faire plusieurs requecirctes HTTP simultaneacutement plutocirct que de les faire seacutequentiellement enattendant les reacuteponses de chacune drsquoentre elles Pour plus drsquoinformations httpwww-archivemozillaorgprojectsnetlibhttppipelining-faqhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 27 sur 40
Peacuterimegravetre de navigation
Nom de paramegravetre Description Valeur recommandeacuteenetworkprotocol-handlerexpose-all
Deacutetermine si le navigateur essayedrsquoouvrir les liens cliqueacutes dans lenavigateur en prioriteacute avant delaisser le systegraveme srsquoen charger en casdrsquoeacutechec (si le protocole du lien enquestion nrsquoest pas supporteacute par lenavigateur)
true
networkprotocol-handlerwarn-external-default
Avertir lrsquoutilisateur avant decharger un gestionnaire deprotocole tiers
true
networkprotocol-handlerexternal-default
Action pour lrsquoouverture drsquoun pro-tocole non pris en charge par lenavigateur
false de maniegravere agrave ne pas essayerde charger des protocoles non pris encharge nativement par le navigateur Lrsquoen-titeacute renseignera eacuteventuellement des ges-tionnaires de protocoles tiers pour desprotocoles qursquoelle souhaite explicitementpermettre tels que NNTP Mailto etc Pour illustrer par lrsquoexemple avecMailto le paramegravetre networkprotocol-handlerexternalmailto aurait pour valeurtrue et le paramegravetre networkprotocol-handlerappmailto avec pour valeur lechemin drsquoun exeacutecutable comme MozillaThunderbird ou Microsoft Outlook
networkprotocol-handlerexternalfile
Gestionnaire de protocole filesous Firefox
false
networkprotocol-handlerexternalftp
Gestionnaire de protocole ftpsous Firefox
false
geckohandlerServiceallowRegisterFromDifferentHost
Autoriser les sites Web agrave installerdes gestionnaires de protocoles oude contenus utilisable pour deshocirctes tiers
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 28 sur 40
Administration systegraveme maintenance et options diverses
Parameacutetrage des mises agrave jour
Nom de paramegravetre Description Valeur recommandeacuteeappupdateenabled Activation de la mise agrave jour automatique true
appupdateauto Teacuteleacutechargement et installationautomatiques (neacutecessite que le paramegravetreappupdateenabled ait pour valeurtrue)
true
appupdatecertcheckAttributes Veacuterifie les attributs du certificat du serveurde mise agrave jour
false
appupdatecertrequireBuiltIn Requiert lrsquointeacutegration des certificats duserveur de mise agrave jour et de toutes lesredirections intermeacutediaires
false
appupdatechannel Canal de mise agrave jour esr pour la version ESR de FirefoxappupdatedownloadbackgroundInterval
Temps de pause (en secondes) entrechaque teacuteleacutechargement en arriegravere plandrsquoun morceau de 300 Kb de mise agrave jour
Au choix de lrsquoentiteacute
appupdateidletime Temps de pause (en secondes) entre chaqueteacuteleacutechargement agrave la demande de lrsquoutilisa-teur) drsquoun morceau de 300 Kb de mise agravejour
60
appupdateinterval Intervalle de temps entre chaque veacuterifica-tion de disponibiliteacute de nouvelles mises agravejour
43200
appupdatemode Deacutetermine quelles mises agrave jour sontteacuteleacutechargeacutees en arriegravere plan
0 pour teacuteleacutecharger toutes les mises agravejour sans intervention de lrsquoutilisateur
appupdateserviceenabled Active le service de mise agrave jour de Firefox true
appupdateshowInstalledUI Deacutetermine si apregraves installation de mise agravejour une boicircte de dialogue informe lrsquoutil-isateur qursquoune mise agrave jour a eacuteteacute installeacutee
Au choix de lrsquoentiteacute
appupdatesilent Active le mode de mise agrave jour silencieux true pour une mise agrave jour silencieuseen arriegravere plan
appupdateurl URL de reacutecupeacuteration des mises agrave jour deFirefox
En fonction de la strateacutegie de mise agravejour de lrsquoentiteacute Pour une mise agrave jourdepuis les serveurs de Mozilla httpsaus3mozillaorgupdate3PRODUCTVERSIONBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONupdatexml sinon lrsquoURLdu serveur de mise agrave jour internede lrsquoentiteacute (qursquoil faudra eacutegalementrenseigner dans le paramegravetreappupdateurloverride)
appupdateurloverride URL de reacutecupeacuteration des mises agrave jour deFirefox
Paramegravetre agrave renseigner uniquementdans le cas ou la mise agrave jour deFirefox se fait depuis lrsquoURL drsquounserveur de mise agrave jour interne delrsquoentiteacute (agrave renseigner en plus duparamegravetre appupdateurl)
appupdateurldetails URL de consultation des informations rel-atives aux mises agrave jour disponibles
Laisser la valeur par deacutefautrhttpswwwmozillaorgLOCALEfirefoxnotes
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 29 sur 40
Configuration du cache
Nom de paramegravetre Description Valeur recommandeacuteebrowsercachecheck_doc_frequency Quand veacuterifier la mise agrave jour drsquoune page en
cache disque3 (veacuterifier quand la page estpeacuterimeacutee)
browsercachecompression_level Niveau de compression du cache disque Au choix de lrsquoentiteacute de 0(pas de compression) agrave 9(haut taux de compressionavec forte sollicitation du pro-cesseur)
browsercachediskcapacity Espace disque alloueacute au cache disque enKb
Au choix de lrsquoentiteacute
browsercachediskenable Utiliser le cache disque true
browsercachediskmax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache disque
Au choix de lrsquoentiteacute
browsercachedisksmart_sizeenabled Allocation intelligente de lrsquoespace disquealloueacute au cache en fonction de lrsquoespacedisponible
Au choix de lrsquoentiteacute
browsercachedisk_cache_ssl Mettre en cache disque les pages visiteacuteesen HTTPS
False de maniegravere agrave ne pasmettre en cache le contenuSSL
browsercachememoryenable Utiliser le cache meacutemoire true
browsercachememorymax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache meacutemoire
Au choix de lrsquoentiteacute
browsercachememory_limit Meacutemoire maximum utiliseacutee pour le cachemeacutemoire en Kb
Au choix de lrsquoentiteacute
browsercacheofflinecapacity Espace disque alloueacute au cache des applica-tions Web
Au choix de lrsquoentiteacute
browsercacheofflineenable Utiliser le cache des applications Web per-mettant une utilisation hors ligne
Au choix de lrsquoentiteacute
browsercacheuse_new_backend Utilisation du nouveau systegraveme de cache 0 (ne pas utiliser pour desquestions de stabiliteacute)
networkhttpuse-cache Utiliser le cache des documents HTTP true
mediacache_size Taille du cache pour les fichiers multimedia Au choix de lrsquoentiteacute par deacute-faut 512000
domstoragedefault_quota Quota de stockage cocircteacute client pour lespages Web
5120 taille par deacutefaut
domstorageenabled Active le stockage cocircteacute client pour les pagesWeb
true agrave deacutefaut de vulneacuterabil-iteacutes connues pour cette fonc-tionnaliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 30 sur 40
Deacutesactiver les options de deacuteveloppement (sauf pour les populations de deacuteveloppeurs)
Nom de paramegravetre Description Valeur recommandeacuteedevtoolsappmanagerenabled Activation des outils de deacuteveloppement module appmanager false
devtoolsdebuggerenabled Activation des outils de deacuteveloppement module deacutebogueur false
devtoolserrorconsoleenabled Activation des outils de deacuteveloppement module consoledrsquoerreurs
false
devtoolsfontinspectorenabled Activation des outils de deacuteveloppement module inspecteurde polices
false
devtoolsinspectorenabled Activation des outils de deacuteveloppement module inspecteur false
devtoolsnetmonitorenabled Activation des outils de deacuteveloppement module reacuteseau false
devtoolsprofilerenabled Activation des outils de deacuteveloppement module profileur false
devtoolsshadereditorenabled Activation des outils de deacuteveloppement module vue adaptive false
devtoolsstyleeditorenabled Activation des outils de deacuteveloppement module editeur destyles
false
devtoolstiltenabled Activation des outils de deacuteveloppement module tilt false
devtoolstoolbarenabled Activation des outils de deacuteveloppement module barre dedeacuteveloppement
false
Configurations diverses
Nom de paramegravetre Description Valeur recommandeacuteenetworkseerenable-hover-on-ssl Activer seer sur SSL false
networkseerenabled Activer seer false
networkhttppipelining Activer le pipelining pour le surfHTTP11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttppipeliningssl Activer le pipelining pour le surfHTTPS11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttpspdyenabled Activer SPDY31 false
networkhttpspdyenabledv2 Activer SPDY v2 false
networkhttpspdyenabledv3 Activer SPDY v3 false
networkhttpspdyenabledv3-1 Activer SPDY v31 false
browsershellcheckDefaultBrowser Veacuterifier si Firefox est configureacutecomme navigateur par deacutefaut
false dans le cadre de double naviga-teurs
browserdownloadmanagerscanWhenDone
Scan antivirus drsquoun fichier lorsqueson teacuteleacutechargement est termineacute
true
browserdownloaduseDownloadDir Utiliser le reacutepertoire de teacuteleacutecharge-ment par deacutefaut
false pour que lrsquoutilisateur indique agravequel emplacement il souhaite teacuteleacutechargerle fichier
browserfullscreenautohide Cacher la barre drsquooutils et drsquoongletsen mode plein eacutecran
false
31 SPDY est un protocole reacuteseau expeacuterimental de Google visant agrave augmenter les capaciteacutes du protocole HTTP pourreacuteduire le temps de chargement des pages Web en classant les objets par ordre de prioriteacute et en multiplexant les transfertspour ne neacutecessiter qursquoune seule connexion Ce protocole est vulneacuterable aux attaques CRIME (Compression Ratio Info-leakMade Easy) lorsqursquoil est utiliseacute avec HTTPS (ce qui est geacuteneacuteralement le cas)
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 31 sur 40
Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP
Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory
Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation
La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32
Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers
Fichiers de configuration
La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte
ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet
ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes
Fichier local-settingsjs
pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)
Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 32 sur 40
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
Informations
Avertissement
Ce document reacutedigeacute par lrsquoANSSI preacutesente les laquo Recommandations pour le deacuteploiementseacutecuriseacute du navigateur Mozilla Firefox sous Windows raquo Il est teacuteleacutechargeable sur le sitewwwssigouvfr Il constitue une production originale de lrsquoANSSI Il est agrave ce titre placeacute sous lereacutegime de la laquo Licence ouverte raquo publieacutee par la mission Etalab (wwwetalabgouvfr) Il estpar conseacutequent diffusable sans restriction
Ces recommandations sont livreacutees en lrsquoeacutetat et adapteacutees aux menaces au jour de leurpublication Au regard de la diversiteacute des systegravemes drsquoinformation lrsquoANSSI ne peut garantir queces informations puissent ecirctre reprises sans adaptation sur les systegravemes drsquoinformation ciblesDans tous les cas la pertinence de lrsquoimpleacutementation des eacuteleacutements proposeacutes par lrsquoANSSI doitecirctre soumise au preacutealable agrave la validation de lrsquoadministrateur du systegraveme etou des personnesen charge de la seacutecuriteacute des systegravemes drsquoinformation
Personnes ayant contribueacute agrave la reacutedaction de ce document
Contributeurs Reacutedigeacute par Approuveacute par Date
BSS SIS LRP BSS SDE 4 feacutevrier 2015
Eacutevolutions du document
Version Date Nature des modifications
10 15 janvier 2015 Version initiale
11 4 feacutevrier 2015 - assouplissement de image_src_set etsslrequire_safe_negotiation- compleacutement drsquoinformation concernant ESR
Pour toute remarque
Contact Adresse meacutel Teacuteleacutephone
Bureau Communicationde lrsquoANSSI
51 bd de LaTour-Maubourg75700 Paris Cedex
07 SP
communicationssigouvfr 01 71 75 84 04
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 1 sur 40
Table des matiegraveres
1 Preacuteambule 3
2 Enjeux de seacutecuriteacute drsquoun navigateur Web 3
3 Firefox versus Firefox ESR 3
4 Maicirctrise du navigateur 4
41 Choix des plugins 542 Choix des extensions 5
421 SSLTLS et certificats 6422 Gestionnaire de mots de passe 7423 Confidentialiteacute 8424 Moteur de recherche par deacutefaut 9425 Filtrage de contenu 9426 Page(s) drsquoaccueil 9427 Serveur mandataire 9428 Authentification HTTP 10429 Peacuterimegravetre de navigation 104210 Administration systegraveme et maintenance 10
43 Teacuteleacute-deacuteploiement initial 1044 Gestion des mises agrave jour 11
5 Strateacutegie de double navigateur 12
Annexe I Strateacutegies de seacutecurisation de Firefox 16
Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP 32
Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox 36
Annexe IV Teacuteleacute-deacuteploiement drsquoun module de recherche personnaliseacute par GPO 40
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 2 sur 40
1 PreacuteambuleFirefox est le navigateur web en sources ouvertes eacutediteacute par la fondation Mozilla et dont la premiegravere
version stable date de 2004 Rapidement devenu lrsquoun des navigateurs les plus utiliseacutes par les inter-nautes 1 il est aujourdrsquohui soutenu par une importante communauteacute de deacuteveloppeurs du monde libre
Firefox dispose drsquoun meacutecanisme de mise agrave jour automatique et peut ecirctre configureacute de maniegraverecentraliseacutee Il se precircte bien agrave une utilisation professionnelle De par son haut degreacute de parameacutetrage etson code en sources ouvertes il peut eacutegalement srsquoadapter agrave des environnements au sein desquels lescontraintes techniques sont importantes
Cette note technique vise agrave sensibiliser le lecteur aux enjeux de seacutecuriteacute drsquoun navigateur Web etdoit le guider dans la mise en œuvre drsquoune strateacutegie de seacutecurisation speacutecifique agrave Firefox dans le cadredrsquoune configuration centraliseacutee et seacutecuriseacutee en environnement Active Directory
2 Enjeux de seacutecuriteacute drsquoun navigateur Web
Comme tout composant logiciel utiliseacute pour acceacuteder agrave Internet les navigateurs sont une cibleprivileacutegieacutee des attaquants du fait des vulneacuterabiliteacutes qursquoils preacutesentent et de leur utilisation reacuteguliegravere surInternet Viennent eacutegalement srsquoajouter les vulneacuterabiliteacutes propres aux diffeacuterents modules compleacutemen-taires inteacutegreacutes aux navigateurs et dont les processus de mise agrave jour sont geacuteneacuteralement indeacutependants deceux du navigateur
Lrsquoatteinte en inteacutegriteacute drsquoun poste de travail par le biais de son navigateur Web est inteacuteressante dupoint de vue drsquoun attaquant eacutetant donneacute qursquoelle lui permet le plus souvent de contourner les mesuresde seacutecuriteacute lieacutees agrave lrsquoarchitecture reacuteseau et aux diffeacuterentes passerelles de filtrage Lrsquoattaque reacuteussie drsquounposte utilisateur suffit geacuteneacuteralement agrave lrsquoeacutetablissement drsquoun canal de controcircle distant qui permettra parla suite de rebondir au sein du systegraveme drsquoinformation pour atteindre les biens essentiels de lrsquoentiteacute Lanavigation Web est donc logiquement devenue un des principaux vecteurs drsquoattaque utiliseacutes et pluslargement un problegraveme pour la seacutecuriteacute des systegravemes drsquoinformation
Du point de vue de la seacutecuriteacute Firefox pacirctit de lrsquoabsence de meacutecanisme de bac agrave sable (sandbox 2)et drsquoarchitecture multi-processus une vulneacuterabiliteacute peut alors avoir un impact important Comme tousles navigateurs il fait reacuteguliegraverement lrsquoobjet de vulneacuterabiliteacutes critiques 3
3 Firefox versus Firefox ESR
Mozilla publie une version ESR (Extended Support Release) 4 de Firefox Chaque version de FirefoxESR est maintenue pendant environ 1 an et nrsquoa pour seules mises agrave jour que les correctifs de seacutecuriteacuteet de stabiliteacute Cette version de Firefox est destineacutee aux entiteacutes qui neacutecessitent un support eacutetendu pourun deacuteploiement en masse eacutevitant ainsi drsquoavoir agrave geacuterer des eacutevolutions freacutequentes du navigateur
1 Sources wwwatinternetcom et wwww3schoolscom2 Environnement drsquoexeacutecution controcircleacute et restreint3 Les multiples avis de seacutecuriteacute et bulletins drsquoactualiteacute relatifs aux principaux navigateurs peuvent ecirctre consulteacutes sur
le site du CERT-FR (wwwcertssigouvfr)4 Pour plus drsquoinformations httpmozillaorgen-USfirefoxorganizations
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 3 sur 40
Le tableau comparatif suivant preacutesente les avantages et inconveacutenients de chaque version
Version Avantages Inconveacutenients
Versionstandard
Le navigateur eacutevolue reacuteguliegraverement etles utilisateurs disposent ainsi rapidementdes nouvelles fonctionnaliteacutes qui font leurapparition
Les eacutequipes informatiques doiventreacuteguliegraverement deacuteployer les nouvellesversions de Firefox pour le maintenir enconditions de seacutecuriteacute Ces deacuteploiementsengendrent une charge de travail nonneacutegligeable puisqursquoil est neacutecessairede veacuterifier la compatibiliteacute avec lesapplications Web internes compleacuteter laconfiguration centraliseacutee vis-agrave-vis desnouvelles fonctionnaliteacutes etc
VersionESR
Les eacutequipes informatiques nrsquoont pas agrave sesoucier des eacutevolutions fonctionnelles dunavigateur Une fois la derniegravere versionmajeure de Firefox ESR deacuteployeacutee ellesse contentent de garantir sa stabiliteacute etson maintien en conditions de seacutecuriteacuteen deacuteployant les correctifs publieacutes parMozilla Les cycles de vie des versions deFirefox ESR eacutetant drsquoenviron un an lescorrectifs de seacutecuriteacute sont publieacutes pendanttoute cette dureacutee de vie
ESR ne dispose pas des nouvellesfonctionnaliteacutes qui apparaissent dans lesversions successives de Firefox standardle navigateur peut alors paraicirctre pauvreen fonctionnaliteacutes du point de vue desutilisateurs
Au sein drsquoun systegraveme drsquoinformation administreacute de maniegravere centraliseacutee il est donc plutocirct conseilleacutede deacuteployer la version ESR de Firefox La preacutesente note technique srsquoappuie sur le deacuteploiement et laconfiguration de Firefox ESR dans sa version 31
4 Maicirctrise du navigateur
Les principaux enjeux drsquoun deacuteploiement de navigateur au sein drsquoun systegraveme drsquoinformation sont saseacutecuriteacute et sa maicirctrise Pour cela il est neacutecessaire de pouvoir controcircler sa configuration de maniegraverecentraliseacutee tout en proceacutedant agrave des deacuteploiements et agrave des mises agrave jour (automatiques ou non) selon lapolitique de mise agrave jour de lrsquoentiteacute et sans intervention de lrsquoutilisateur
Firefox ne prend pas nativement en charge la configuration par strateacutegies de groupes (GPO) enenvironnement Active Directory Il est pour cela neacutecessaire de recourir agrave des extensions tierces Il esten revanche possible de parameacutetrer le navigateur agrave lrsquoaide de fichiers de configuration agrave deacuteployer surles postes des utilisateurs Cette meacutethode preacutesente lrsquointeacuterecirct drsquoecirctre utilisable simplement dans nom-breux contextes et aussi bien sous Linux que Windows sans distinction Ces fichiers de configurationpermettent eacutegalement drsquoimposer des paramegravetres verrouilleacutes et non modifiables par les utilisateurs
R1 Avant tout deacuteploiement de Firefox au sein drsquoun systegraveme drsquoinformation il est primordial dedeacutefinir preacuteciseacutement une strateacutegie de parameacutetrage qui garantira lrsquoutilisation du navigateurdans une configuration durcie et verrouilleacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 4 sur 40
Il est important de commencer par clarifier les termes utiliseacutes par Mozilla et ce qursquoils deacutesignent Leterme de laquo module raquo (Add-on) ou de laquo module compleacutementaire raquo inclut
ndash les plugins ou greffons qui sont des composants compileacutes ndash les extensions (qui sont des composants en langage interpreacuteteacute comme XUL ou JavaScript) ndash les thegravemes (qui ne font lrsquoobjet drsquoaucune recommandation de seacutecuriteacute) ndash les modules de moteur de recherche
Les recommandations de parameacutetrage figurant dans ce document sont donneacutees agrave titre indicatifdans lrsquooptique drsquoune configuration durcie Elles doivent donc ecirctre moduleacutees selon les besoins propres agravechaque entiteacute et bien entendu selon le peacuterimegravetre drsquoutilisation du navigateur (Internet Intranet etc)Leur application ne doit pas se faire sans validation preacutealable Lrsquoannexe I de ce document preacutecise lesparamegravetres de configuration permettant drsquoappliquer toutes les recommandations de configuration deFirefox indiqueacutees dans ce document En environnement professionnel il est par ailleurs conseilleacute dedeacuteployer une telle configuration par GPP de maniegravere centraliseacutee comme expliqueacute en annexe II
41 Choix des plugins
Les plugins Firefox ne peuvent ecirctre deacuteveloppeacutes qursquoagrave partir de lrsquointerface de programmation NPAPI(Netscape Plugin Application Programming Interface) Cette architecture qui date de Netscape nrsquoestpas seacutecuriseacutee et exeacutecute les plugins avec le niveau de privilegravege de lrsquoutilisateur Bien qursquoil soit possibledrsquoexeacutecuter certains plugins dans un processus seacutepareacute (le plugin-container) cette seacuteparation ne protegravegeque le processus du navigateur drsquoun eacuteventuel arrecirct brusque de fonctionnement drsquoun plugin Unevulneacuterabiliteacute affectant un plugin permet en revanche de compromettre la session ou le systegraveme Leplugin Flash Player fait toutefois exception en inteacutegrant un meacutecanisme de bac agrave sable qui lui est propre(laquo Mode Proteacutegeacute de Flash Player pour Firefox raquo 5) Le processus Flash Player exeacutecuteacute dans le plugin-container ne sert alors qursquoagrave instancier des processus enfants auxquels srsquoappliquent des restrictions deseacutecuriteacute plus importantes Le plugin Flash continue toutefois de faire lrsquoobjet de vulneacuterabiliteacutes critiques 6
R2 Tout plugin ajouteacute agrave Firefox fait courir un risque de seacutecuriteacute suppleacutementaire il est alorsimportant de les limiter au strict neacutecessaire
Note Le risque induit par lrsquoutilisation du plugin Flash Player peut ecirctre toleacutereacute degraves lors que la lecturedes contenus Flash constitue un besoin incontournable Compleacuteteacute par la visionneuse PDF inteacutegreacutee agraveFirefox (eacutecrite en JavaScript) la prise en charge de ces deux types de contenus devrait suffire pour laplupart des usages
Lrsquoajout la mise agrave jour et la suppression de plugins pour Firefox de maniegravere centraliseacutee peut sefaire simplement par base de registre 7et par GPP (Group Policy Preferences)
42 Choix des extensions
Le meacutecanisme drsquoextension rend possible lrsquoeacutecriture de programmes (extensions) en langage interpreacuteteacute(XUL ou JavaScript entre autres) permettant lrsquoajout de fonctionnaliteacutes ou la personnalisation dunavigateur Contrairement aux plugins qui sont des programmes compileacutes les extensions srsquoexeacutecutentdans le processus du navigateur et sans systegraveme de permission permettant de restreindre les liberteacutesqui leur sont accordeacutees Il convient donc drsquoecirctre particuliegraverement vigilant eacutetant donneacute les risques deseacutecuriteacute non neacutegligeables qursquoelles introduisent
5 httpblogsadobecomsecurity201206inside-flash-player-protected-mode-for-firefoxhtml6 Les multiples avis de seacutecuriteacute peuvent ecirctre consulteacutes sur le site du CERT-FR (wwwcertssigouvfr)7 Un article de Mozilla explique lrsquoajout la mise agrave jour et la suppression drsquoextensions et de plugins pour Firefox par
base de registre httpsdevelopermozillaorgen-USdocsAdding_Extensions_using_the_Windows_Registry
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 5 sur 40
Ainsi une extension malveillante pourrait acceacuteder agrave des informations sensibles concernant la naviga-tion de lrsquoutilisateur puis les envoyer agrave un serveur illeacutegitime sur Internet Une extension peut eacutegalementintroduire de nouveaux comportements indeacutesirables suite agrave une mise agrave jour Rien ne laisse preacutesagerqursquoune extension aujourdrsquohui non malveillante ne le sera pas demain En parallegravele de nombreusesextensions preacutesentent des vulneacuterabiliteacutes qui peuvent ecirctre exploiteacutees (par le contenu des pages visiteacuteesou encore par courriels speacutecifiquement forgeacutes et consulteacutes par webmail) Ces extensions vulneacuterablespeuvent eacutegalement servir agrave exploiter par rebond les vulneacuterabiliteacutes drsquoeacuteventuels plugins activeacutes et ainsiobtenir un accegraves complet au systegraveme
R3 Ne deacuteployer que des extensions de confiance et neacutecessaires aux besoins meacutetiers
Note Dans le cas drsquoextensions deacuteveloppeacutees en interne il convient de precircter une attention particuliegravereagrave la seacutecuriteacute de leur code 8
Lrsquoajout la mise agrave jour et la suppression drsquoextensions pour Firefox de maniegravere centraliseacutee peut sefaire simplement dans la base de registre et par GPP (Group Policy Preferences)
421 SSLTLS et certificats
Firefox a comme particulariteacute drsquoutiliser ses propres bibliothegraveques de gestion des eacutechanges seacutecuriseacutesclientserveur deacuteveloppeacutees par la fondation Mozilla (bibliothegraveques NSS Network Security Services) cequi lui permet de disposer par exemple de son propre magasin de certificats et de sa propre liste deCRL (listes de reacutevocations de certificats) Il est ainsi possible drsquoappliquer des restrictions speacutecifiquesau navigateur sur certains certificats sans que cela ne srsquoapplique au systegraveme drsquoexploitation dans sonensemble ce qui le diffeacuterencie drsquoautres navigateurs Il est eacutegalement possible de restreindre simplementles versions de protocoles SSLTLS ainsi que les suites cryptographiques utiliseacutees Cette indeacutependancevis-agrave-vis du meacutecanisme fourni par le systegraveme drsquoexploitation lui confegravere une plus grande portabiliteacute etune souplesse dans sa configuration SSLTLS mais se traduit en contrepartie par une deacutemarche deseacutecurisation plus complexe
R4 Deacutesactiver lrsquoutilisation de SSL et nrsquoautoriser que les protocoles TLS v11 et supeacuterieures(la v10 eacutetant vulneacuterable) Pour aller plus loin il est eacutegalement possible de restreindreles suites cryptographiques utilisables en deacutesactivant celles reposant sur des algorithmesobsolegravetes comme RC4
Note Pour plus drsquoinformations le lecteur est inviteacute agrave se reacutefeacuterer agrave la section correspondante delrsquoannexe I ainsi qursquoaux publications de lrsquoANSSI 9 Par ailleurs les suites nrsquoutilisant pas de meacutecanismesde PFS (Perfect Forward Secrecy) devraient ideacutealement ecirctre deacutesactiveacutees elles aussi mais des difficulteacutesde navigation seraient agrave preacutevoir sur Internet du fait de lrsquo incompatibiliteacute avec de nombreux serveursWeb
Chaque utilisateur drsquoun poste de travail dispose de son propre profil Firefox Les informations deseacutecuriteacute relatives aux certificats sont stockeacutees pour chaque profil firefox dans 3 fichiers
ndash cert8db (objets accessibles publiquement certificats CRLs enregistrements SMIME) ndash key3db (cleacutes priveacutees mots de passe) ndash secmoddb (informations de configuration des modules de seacutecuriteacute)
8 Lrsquoarticle Security best practices in extensions expose certains fondamentaux agrave respecter pour le deacuteveloppementdrsquoextension seacutecuriseacutees httpsdevelopermozillaorgen-USAdd-onsSecurity_best_practices_in_extensions
9 La note laquo Recommandations de seacutecuriteacute concernant lrsquoanalyse des flux HTTPS raquo est disponible agrave lrsquoadresse httpwwwssigouvfrfrguides-et-bonnes-pratiquesrecommandations-et-guidesauthentification-et-mecanismes-cryptographiquesrecommandations-de-securite-concernant-l-analyse-des-flux-httpshtmlLrsquoarticle laquo SSLTLS eacutetat des lieux et recommandations raquo est disponible agrave lrsquoadresse httpwwwssigouvfrfranssipublicationspublications-scientifiquesarticles-de-conferencesssl-tls-etat-des-lieux-et-recommandationshtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 6 sur 40
Lrsquoaccegraves aux fichiers key3db et cert8db non chiffreacutes drsquoun profil Firefox permet la reacutecupeacuterationet la reacuteutilisation des certificats utilisateurs qursquoils contiennent Tout compte disposant de droits admi-nistrateurs sur un ordinateur a la possibiliteacute de reacutecupeacuterer lrsquoensemble des fichiers key3db et cert8dbqui y sont stockeacutes (voire tout utilisateur non privileacutegieacute dans le cas drsquoun systegraveme de fichiers FAT32) Laconfidentialiteacute des donneacutees utilisateurs nrsquoest donc pas assureacutee degraves lors que ces fichiers ne sont pas chiffreacutesLa deacutefinition drsquoun mot de passe principal deacuteclenche le chiffrement du fichier key3db par algorithme3DES-CBC avec une cleacute deacuteriveacutee de ce mot de passe La seacutecuriteacute apporteacutee par une telle mesure restemodeacutereacutee des outils performants permettent de rapidement retrouver ce mot de passe maicirctre par forcebrute Le stockage du profil Firefox dans un conteneur chiffreacute par une solution qualifieacutee par lrsquoANSSIpeut ecirctre dans certains cas la solution agrave privileacutegier
R5 Degraves lors que des certificats utilisateurs sont stockeacutes dans les magasins de certificats deFirefox il est recommandeacute drsquoassurer la seacutecuriteacute de leurs conteneurs de cleacutes priveacutees (fichierskey3db) par chiffrement
Tout utilisateur de Firefox peut aussi ajouter des certificats serveurs et des autoriteacutes de confiancedans son propre magasin de certificats Selon le contexte drsquoutilisation du navigateur il peut doncecirctre important de mettre en œuvre des mesures techniques permettant de maicirctriser les magasins decertificats des profils Firefox et de srsquoassurer de leur conformiteacute vis agrave vis de la strateacutegie de lrsquoentiteacute
R6 Maicirctriser les magasins de certificats des profils Firefox et notamment les autoriteacutes decertification racines de confiance et les certificats serveurs qui y sont configureacutes
Note lrsquoapplication de cette recommandation est simple degraves lors que les utilisateurs ne stockent pasde certificats utilisateurs dans leurs magasins de certificats Firefox mais cela devient plus compliqueacutedans le cas contraire La probleacutematique est abordeacutee plus en deacutetail en annexe III
Il agrave noter eacutegalement que depuis sa version 24 Firefox se deacutetourne de lrsquousage classique des CRLsen ligne au profit drsquoune liste de reacutevocations mise agrave jour reacuteguliegraverement pour consultation locale Lesbibliothegraveques NSS supportent toujours la gestion des CRLs classiques (modifiables par lrsquooutil crlutilet non plus par interface graphique) mais il est preacutevu qursquoelles ne soient plus utiliseacutees dans un avenirproche Les autoriteacutes de certification sont drsquoailleurs inviteacutees agrave envoyer leurs certificats reacutevoqueacutes agrave Mozillapour ecirctre inteacutegreacutes agrave la liste de reacutevocation maintenue par Mozilla 10
422 Gestionnaire de mots de passe
Le gestionnaire de mots de passe de Firefox permet de meacutemoriser les mots de passe saisis dansles formulaires Web Tout comme pour les magasins de certificats lrsquoutilisation drsquoun laquo mot de passeprincipal raquo 11 permet de chiffrer les mots de passe stockeacutes par un algorithme 3DES-CBC avec une cleacutedeacuteriveacutee du mot de passe principal La seacutecuriteacute apporteacutee par une telle mesure reste modeacutereacutee des outilsperformants permettent de rapidement retrouver ce mot de passe maicirctre par force brute Lrsquoutilisationdrsquoun gestionnaire de mots de passe alternatif seacutecuriseacute est donc conseilleacute
R7 Il est conseilleacute de deacutesactiver le gestionnaire de mots de passe pour imposer la saisiesysteacutematique de ces derniers Lrsquoapplication drsquoun tel durcissement est leacutegitime sur un reacuteseauameneacute agrave traiter des donneacutees sensibles ou confidentielles mais peut toutefois ecirctre difficileagrave imposer aux utilisateurs sur des reacuteseaux moins sensibles Sa deacutesactivation pourrait alorssrsquoaccompagner du deacuteploiement drsquoun gestionnaire de mots de passe alternatif et seacutecuriseacute 12
10 Le Wiki de Mozilla deacutetaille la probleacutematique de reacutevocation de certificats au sein de Firefox httpswikimozillaorgCAImprovingRevocation11 httpssupportmozillaorgfrkbutiliser-mot-passe-principal-proteger-identifiants
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 7 sur 40
423 Confidentialiteacute
Le lecteur est inviteacute agrave prendre connaissance de la laquo deacuteclaration de confidentialiteacute de Firefox raquo 13Selon les fonctionnaliteacutes activeacutees diverses informations sont susceptibles drsquoecirctre envoyeacutees agrave Mozilla Laplupart sont en rapport avec
ndash les informations lieacutees aux modules compleacutementaires installeacutes et le blocage automatique desmodules en liste noire
ndash les rapports de plantage ndash le service de mise agrave jour automatique ndash le service de protection contre les sites malveillants ndash le service de synchronisation Firefox Sync
Il est donc important de deacutesactiver certaines de ces fonctionnaliteacutes pour limiter les donneacutees envoyeacuteesagrave Mozilla
R8 Deacutesactiver les divers rapports disponibles de plantage de performance etc
R9 Deacutesactiver le service de synchronisation Firefox Sync
R10 La fonctionnaliteacute de blocage des sites contrefaits envoie agrave des fournisseurs tiers de Mozillales adresses Web des sites visiteacutes pour veacuterifier qursquoils ne soient pas connus comme eacutetantmalveillants et en bloquer lrsquoaccegraves si neacutecessaire Bien qursquoil soit conseilleacute de laisser ce filtreactiveacute pour des raisons de seacutecuriteacute une entiteacute pourra juger suffisamment confidentielles lesadresses des pages Web visiteacutees pour qursquoune deacutesactivation de ce meacutecanisme srsquoimpose
La navigation priveacutee ainsi que la protection contre le pistage (Do Not Track) sont des fonction-naliteacutes inteacuteressantes du point de vue du respect de la vie priveacutee lors de la navigation sur Internetet qui pourraient ecirctre deacutesactiveacutees pour de la navigation en Intranet La strateacutegie de configurationdes paramegravetres de confidentialiteacute deacutependra donc du peacuterimegravetre drsquoutilisation du navigateur Degraves lors quele navigateur Firefox dispose drsquoune connectiviteacute agrave Internet les recommandations suivantes srsquoappliquent
R11 Activer les fonctionnaliteacutes de protection de la confidentialiteacute (anti pistage navigationpriveacutee suppression des donneacutees priveacutees etc) lorsque le navigateur nrsquoest pas deacutedieacute agrave unenavigation Intranet
Note Le nouveau standard de protection contre le-pistage (Do Not Track) nrsquoest qursquoune sollicitation duclient Sa prise en compte par les serveurs Web ne deacutepend donc que de leurs pratiques de confidentialiteacuterespectives et nrsquoapporte aucune garantie au client
R12 Interdire les fonctions de geacuteolocalisation
R13 Degraves lors que la confidentialiteacute des recherches est jugeacutee primordiale il conviendra drsquoimposerun moteur de recherche de confiance et de deacutesactiver les fonctionnaliteacutes de rechercheinstantaneacutee ou de suggestion de recherche
12 KeePass est un exemple de solution disposant drsquoun certificat de seacutecuriteacute de premier niveau (CSPN) deacutelivreacute parlrsquoANSSI qui peut ecirctre utiliseacutee avec Firefox13 Deacuteclaration disponible en anglais agrave lrsquoadresse
httpwwwmozillaorgen-USlegalprivacyfirefoxhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 8 sur 40
424 Moteur de recherche par deacutefaut
Imposer un moteur de recherche et certains paramegravetres de recherche peut avoir un sens dans certainscontextes Crsquoest le cas principalement lorsque le navigateur se trouve deacutedieacute agrave lrsquoIntranet Lrsquoentiteacute pourraalors imposer et configurer le moteur de recherche de lrsquoIntranet Ces regravegles de configuration peuventeacutegalement avoir une utiliteacute pour la recherche sur Internet si par exemple lrsquoentiteacute veut imposer unmoteur de recherche franccedilais qui srsquoappuie sur une connexion chiffreacutee En parallegravele lrsquoentiteacute peut alorsbloquer lrsquoaccegraves aux adresses des moteurs de recherche qursquoelle souhaite interdire
R14 Pour des questions de respect de la vie priveacutee il est conseilleacute drsquoimposer un moteur derecherche srsquoappuyant sur une connexion chiffreacutee (HTTPS)
Note Cela nrsquoempecircche pas lrsquointerception des donneacutees par le moteur de recherche ce dernier eacutetant danstous les cas destinataire des donneacutees de recherche en clair
425 Filtrage de contenu
Le filtrage du contenu participe agrave renforcer la seacutecuriteacute de la navigation en bloquant les contenuspotentiellement malveillants Certains meacutecanismes de filtrage peuvent toutefois avoir une incidence surla faculteacute des utilisateurs agrave naviguer sur certains sites
R15 Activer les fonctionnaliteacutes de filtrage de contenu telles que la navigation seacutecuriseacutee(protection contre le hameccedilonnage et les logiciels malveillants) ou la Content SecurityPolicy 14
R16 Interdire ou a minima restreindre les scripts les contenus mixtes actifs 15 les cookies tiersetc
La section correspondante de lrsquoannexe I liste en deacutetail le parameacutetrage recommandeacute pour ces types decontenus
426 Page(s) drsquoaccueil
Si le navigateur est configureacute pour restaurer la session preacuteceacutedente les donneacutees ainsi que les cookiesde session seront sauvegardeacutes puis restaureacutes au prochain deacutemarrage du navigateur (sauf en mode denavigation priveacutee) Il est alors possible de reacutecupeacuterer ces cookies sauvegardeacutes pour srsquoauthentifier agrave laplace de lrsquoutilisateur sans mot de passe voire de reacutecupeacuterer une session HTTPS preacutealablement initieacutee
R17 Il est preacutefeacuterable que le navigateur nrsquoenregistre pas les sessions de navigation Lors dudeacutemarrage du navigateur (apregraves un arrecirct normal ou brusque) il est en effet conseilleacutede ne pas restaurer la session preacuteceacutedente de lrsquoutilisateur mais drsquoafficher une(des) page(s)connue(s) et de confiance
427 Serveur mandataire
Il est primordial de controcircler les flux non seulement en entreacutee mais eacutegalement en sortie Lorsqursquounindividu malveillant atteint en inteacutegriteacute un poste de travail il peut ensuite proceacuteder agrave lrsquoeacutetablissementdrsquoun canal de controcircle depuis le poste de travail vers un serveur situeacute sur Internet Lrsquoutilisation de
14 Cette couche de seacutecuriteacute qui permet de se preacutemunir contre certains types drsquoattaques est deacutetailleacutee dans un article duMozilla Developer Network httpsdevelopermozillaorgen-USdocsWebSecurityCSPIntroducing_Content_Security_Policy15 httpsdevelopermozillaorgen-USdocsSecurityMixedContent
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 9 sur 40
serveurs mandataires avec authentification peut donc bloquer des connexions sortantes malveillantesIl srsquoavegravere alors judicieux drsquoimposer lrsquoutilisation du serveur mandataire (proxy) par configuration cen-traliseacutee sur les postes utilisateurs
R18 Privileacutegier lrsquoutilisation de serveurs mandataires avec authentification
Note Cette recommandation peut ecirctre renforceacutee par des regravegles de filtrage de pare-feu
428 Authentification HTTP
Il est possible de durcir la seacutecuriteacute des authentifications utilisant NTLM 16 ou SPNEGO 17 surFirefox degraves lors que lrsquoune drsquoentre elles est utiliseacutee par lrsquoentiteacute qui le deacuteploie Il est par exemplerecommandeacute de speacutecifier la liste des serveurs autoriseacutes agrave engager une authentification SPNEGO ouune authentification NTLM automatique
R19 Speacutecifier la liste des serveurs autoriseacutes agrave engager une authentification SPNEGO ou uneauthentification NTLM automatique
Note Lrsquoutilisation de NTLM nrsquoest pas conseilleacutee Kerberos eacutetant le protocole drsquoauthentification agraveprivileacutegier
429 Peacuterimegravetre de navigation
Il est recommandeacute de restreindre le peacuterimegravetre de navigation en interdisant certains scheacutemas drsquoadressesavec les protocol-handlers
R20 Interdire a minima le scheacutema drsquoadresses file pour un navigateur deacutedieacute agrave la navigationsur Internet de maniegravere agrave eacuteviter des accegraves arbitraires au systegraveme de fichiers Le scheacutemaftp pourrait eacutegalement ecirctre interdit au profit de lrsquoutilisation drsquoun client FTP tiers
Note Lrsquoutilisation du navigateur Firefox ne sera alors plus possible pour afficher des pages htmldirectement depuis un systegraveme de fichiers (CD-ROM disque local ou distant via un partage reacuteseauetc)
Ces listes preacutesentent eacutegalement un inteacuterecirct particulier dans le cadre drsquoune strateacutegie de doublenavigateur Ce sujet est deacutetailleacute en section laquo Strateacutegie de double navigateur raquo
4210 Administration systegraveme et maintenance
Divers paramegravetres de Firefox relegravevent de sa maintenance et certaines preacutecautions doivent ecirctreprises pour eacuteviter des problegravemes de compatibiliteacute de confidentialiteacute des donneacutees utilisateurs voire dedisponibiliteacute des postes de travail La liste complegravete de ces paramegravetres figure en annexe I
43 Teacuteleacute-deacuteploiement initial
Firefox au mecircme titre que les autres logiciels devrait ideacutealement ecirctre installeacute sur les postes detravail par teacuteleacute-deacuteploiement Une telle meacutethode de deacuteploiement est un des fondamentaux drsquoun systegravemedrsquoinformation controcircleacute et maicirctriseacute En effet il permet de maicirctriser les installations drsquohomogeacuteneacuteiser les
16 NTLM (NT Lan Manager) est une suite de protocoles drsquoauthentification de Microsoft qui ne supporte pas lesmeacutethodes cryptographiques reacutecentes comme AES ou SHA-25617 SPNEGO (Simple and Protected GSSAPI Negociation Mechanism) est un standard qui permet de neacutegocier de
lrsquoauthentification Kerberos NTLM ainsi que drsquoautres protocoles supporteacutes pour le systegraveme SPNEGO est eacutegalementconnu sous le nom du protocole drsquoauthentification laquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 10 sur 40
versions et configurations mais aussi de proceacuteder aux mises agrave jour de maniegravere reacuteactive et efficace
Le teacuteleacute-deacuteploiement de logiciel peut se faire de plusieurs maniegraveres ndash au format MSI par GPO (strateacutegies de groupe pour la gestion centraliseacutee) dans un domaine
Microsoft Active Directory Attention toutefois puisque Mozilla ne fournit Firefox qursquoau formatexeacutecutable il sera donc neacutecessaire de construire un package Firefox au format MSI Des eacutediteurstiers proposent de tels paquets mais ces eacutediteurs nrsquooffrent pas de garantie forte de lrsquointeacutegriteacute deslogiciels qursquoils fournissent Il est par conseacutequent preacutefeacuterable que lrsquoorganisation utilisatrice geacutenegravereses propres fichiers MSI
ndash au format exeacutecutable agrave lrsquoaide drsquoun outil de gestion de parc ou de tout autre produit tiers preacutevuagrave cet effet
44 Gestion des mises agrave jour
La mise agrave jour reacuteactive du navigateur est primordiale pour se preacutemunir des vulneacuterabiliteacutes reacuteguliegravere-ment deacutetecteacutees et corrigeacutees Lrsquoutilisation drsquoun navigateur preacutesentant des vulneacuterabiliteacutes connues par despersonnes malveillantes expose le poste de travail agrave une attaque Deux strateacutegies diffeacuterentes de mise agravejour de Firefox peuvent alors ecirctre envisageacutees
ndash la premiegravere consiste agrave simplement laisser la configuration par deacutefaut le navigateur va alorsautomatiquement teacuteleacutecharger les mises agrave jour aupregraves des serveurs de Mozilla Il convient dans cecas de srsquoassurer que les postes de travail sont en mesure drsquoacceacuteder aux serveurs de mise agrave jour deMozilla sur Internet ideacutealement au travers du proxy drsquoentreprise qui pourra notamment mettreen cache les binaires
ndash la configuration alternative consiste agrave remplacer lrsquoURL de mise agrave jour (agrave lrsquoaide du paramegravetre deconfiguration appupdateurloverride) 18 par une URL locale qui mettra les mises agrave jour agravedisposition des postes de travail
Le tableau suivant syntheacutetise les avantages et inconveacutenients des deux meacutethodes
Meacutethode Avantages Inconveacutenientsclassique par deacutefautles navigateurs se mettentagrave jour automatiquementaupregraves des serveurs deMozilla par Internet
- mise en œuvre aiseacutee par les servicesinformatiques - haut taux de disponibiliteacute desserveurs de mise agrave jour de Mozilla
- ne permet pas aux ser-vices informatiques de testeret valider les mises agrave jouravant leur deacuteploiement no-tamment lors de lrsquoutilisationdrsquoapplications Web meacutetier peureacutepandues - peu adapteacute pour un naviga-teur deacutedieacute agrave lrsquoIntranet
controcircleacutee la mise agrave jourautomatique de Firefox estdeacutesactiveacutee et les servicesinformatiques mettent lesmises agrave jour agrave dispositiondes postes de travail depuisun serveur local
- permet de tester et valider les misesagrave jour avant deacuteploiement - permet drsquoadapter les configu-rations centraliseacutees du navigateurpour tenir compte des eacuteventuellesnouvelles fonctionnaliteacutes avant deacute-ploiement - permet de bloquer tout le trafic agravedestination des serveurs de Mozilla
- freine la reacuteactiviteacute des misesagrave jour - neacutecessite des moyens hu-mains importants
18 Pour plus drsquoinformations sur la mise en œuvre drsquoun serveur de mises agrave jour local httpsdevelopermozillaorgen-USdocsMozillaSetting_an_update_server
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 11 sur 40
Il sera nettement moins risqueacute (du point de la compatibiliteacute) de retenir le mode classique (automa-tique) pour les versions ESR de Firefox eacutetant donneacute que les mises agrave jour concernent des correctifs deseacutecuriteacute agrave haut risque et nrsquoapportent aucune nouvelle fonctionnaliteacute En revanche les versions standardsde Firefox peuvent recevoir des mises agrave jour fonctionnelles importantes qursquoil serait plus pertinent decontrocircler preacutealablement
La probleacutematique des mises agrave jour concerne eacutegalement les extensions Bien qursquoil soit recommandeacutede les interdire dans le cadre drsquoune configuration durcie une entiteacute peut vouloir en deacuteployer certainespour de bonnes raisons La mise agrave jour des extensions est indeacutependante du meacutecanisme de mise agravejour du navigateur Elles peuvent ecirctre mises agrave jour automatiquement (comportement par deacutefaut) oumanuellement quelle que soit la strateacutegie de mise agrave jour choisie pour le navigateur
Le maintien en conditions de seacutecuriteacute des plugins devra par ailleurs ecirctre geacutereacute indeacutependamment dunavigateur chaque plugin ayant ses speacutecificiteacutes quant aux meacutecanismes de mise agrave jour utiliseacutes
Concernant le service Mozilla Maintenance Service (service chargeacute des mises agrave jour de Firefox) cedernier srsquoexeacutecute avec les droits qui lui sont propres pour la mise agrave jour du navigateur et ce quels quesoient les droits de lrsquoutilisateur
5 Strateacutegie de double navigateur
La seacutecuriteacute des systegravemes drsquoinformation impose souvent un navigateur qui doit ecirctre durci pourlrsquoaccegraves agrave Internet mais plus permissif pour lrsquoaccegraves aux applications internes Lorsque certains serveursWeb internes utilisent des appliquettes Java par exemple neacutecessitant le deacuteploiement de modulescompleacutementaires Java le navigateur finit par avoir une surface drsquoattaque tregraves importante et exposeainsi lrsquoentiteacute agrave un des vecteurs drsquoattaque les plus critiques et massivement exploiteacutes 19
Pour traiter cette probleacutematique lorsqursquoelles disposent des ressources neacutecessaires en particulierpour en assurer le maintien en conditions de seacutecuriteacute de plus en plus drsquoentiteacutes srsquoorientent vers lrsquousagede deux navigateurs diffeacuterents Il devient alors possible
ndash drsquoen deacutedier un agrave la navigation sur Internet De par sa configuration durcie sa surface drsquoattaqueest reacuteduite au maximum Il est maintenu en conditions de seacutecuriteacute avec la plus grande attentionLes eacutequipes de veille scrutent la moindre vulneacuterabiliteacute dont le navigateur Internet fait lrsquoobjetLes eacutequipements de filtrage et drsquoanalyse du trafic sont utiliseacutes pour repeacuterer tout comportementsuspect de navigation sur Internet
ndash drsquoen deacutedier un deuxiegraveme agrave lrsquoaccegraves aux serveurs internes neacutecessitant par exemple un module com-pleacutementaire qui peut faire lrsquoobjet de vulneacuterabiliteacutes freacutequentes ou qui neacutecessite une configurationplus permissive Il est alors possible de le configurer pour permettre uniquement lrsquoaccegraves et lrsquousagede lrsquoensemble des sites et applications leacutegegraveres de lrsquoIntranet
Une telle strateacutegie de double navigateur doit neacutecessairement srsquoaccompagner de mesures de seacutecuriteacutetechniques permettant de garantir le peacuterimegravetre drsquoutilisation de chaque navigateur par des paramegravetresde configuration verrouilleacutes Le tableau suivant en donne quelques exemples
19 Voir les recommandations de seacutecuriteacute publieacutees par lrsquoANSSI relatives aux environnements drsquoexeacute-cution Java sur les postes de travail Microsoft Windows agrave lrsquoadresse httpwwwssigouvfrfrguides-et-bonnes-pratiquesrecommandations-et-guidessecurite-du-poste-de-travail-et-des-serveursrecommandations-de-securite-relatives-aux-environnements-d-execution-java-surhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 12 sur 40
Composant Action ValeurServeur mandataire Autoriser User-Agent du navigateur Internet (ou plus strictement de la
derniegravere version de ce dernier)Bloquer Tout autre User-Agent non autoriseacute
Pare-feu locaux despostes de travail
Autoriser TCP en sortie vers le serveur mandataire depuis - le processus du navigateur Internet (chemin complet delrsquoexeacutecutable) - les autres processus eacuteventuels autoriseacutes agrave acceacuteder agrave Internetvia le serveur mandataire
Bloquer TCP en sortie vers le serveur mandataire depuis tout autreprocessus
Pare-feu de passerelleInternet
Autoriser TCP en sortie vers les ports 443 et 80 depuis - lrsquoIP source du serveur mandataire - les autres IP sources eacuteventuelles autoriseacutees agrave sortir en directsur Internet sans passer par le serveur mandataire
Bloquer TCP en sortie vers ports 443 et 80 depuis toute autre IP sourceApplocker (ou SRP) surles postes de travail
Autoriser lrsquoexeacutecution Chemin complet de lrsquoexeacutecutable des navigateurs autoriseacutes
Bloquer lrsquoexeacutecution Tout autre exeacutecutable de navigateur interdit
Les regravegles de configuration deacutecrites en annexe I section laquo Peacuterimegravetre de navigation raquo permettentalors de mettre en œuvre une partie de ces mesures de seacutecuriteacute et de restreindre le peacuterimegravetre denavigation possible de chacun des navigateurs
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 13 sur 40
Les figures suivantes illustrent de maniegravere syntheacutetique les mesures de seacutecuriteacute appliqueacutees agrave unestrateacutegie de double navigateur
Figure 1 ndash Illustration drsquoune strateacutegie de double navigateur cas ougrave Firefox est utiliseacute commenavigateur Internet
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 14 sur 40
Figure 2 ndash Illustration drsquoune strateacutegie de double navigateur cas ougrave Firefox est utiliseacute commenavigateur Intranet
Ces figures illustrent deux cas distincts Le navigateur Firefox y est repreacutesenteacute mais la strateacutegieserait eacutequivalente avec drsquoautres navigateurs
Les regravegles de configuration recommandeacutees en annexe I se precirctent agrave un contexte ougrave le navigateur estdeacutedieacute agrave la navigation sur Internet
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 15 sur 40
Annexe I Strateacutegies de seacutecurisation de Firefox
Cette annexe liste sous forme de tableaux les valeurs recommandeacutees permettant de mettre en œuvreles recommandations formuleacutees dans cette note technique La liste des paramegravetres de configurationdisponibles est sujette agrave des eacutevolutions freacutequentes et certains sont peu voire pas documenteacutes Lesrecommandations et leurs indications de mise en œuvre figurant dans ce document sont baseacutees sur lesparamegravetres de configuration de Firefox dans sa version ESR 31 Ces derniers pourront ecirctre adapteacutesselon la version du navigateur deacuteployeacutee agrave la date de lecture du document
Depuis un navigateur Firefox il est possible drsquoafficher et de modifier les paramegravetres de configurationappliqueacutes en tapant aboutconfig dans la barre drsquoadresse Les paramegravetres verrouilleacutes sont afficheacutes enitalique La page aboutsupport affiche quant agrave elle un reacutecapitulatif des informations systegravemes etde version ainsi que les modifications importantes apporteacutees agrave la configuration par deacutefaut du navigateur
En environnement professionnel il est conseilleacute de deacuteployer une configuration de maniegravere centraliseacuteecomme expliqueacute en annexe II Pour un usage personnel de Firefox il est eacutegalement possible de srsquoinspirerde tout ou partie des paramegravetres indiqueacutes dans ce document agrave partir de la page aboutconfig
Seacutecuriteacute des modules compleacutementaires
Les regravegles de configuration preacutefixeacutees par le terme laquo extensions raquo ne srsquoappliquent pas toujoursuniquement aux extensions comme elles pourraient le laisser entendre mais parfois plus largementaux plugins voire aux modules compleacutementaires dans leur ensemble Il convient donc drsquoecirctre vigilantquant au peacuterimegravetre reacuteel drsquoapplication des regravegles de configuration dont les noms pourraient precircter agraveconfusion
Nom de strateacutegie Description Valeur recommandeacuteeextensionsautoDisableScopes Les extensions peuvent
ecirctre deacutesactiveacuteesautomatiquement enfonction de leur localisation
3 (les extensions deacuteposeacutees dans le profil Firefox delrsquoutilisateur ou dans le profil utilisateur Windowsseront automatiquement deacutesactiveacutees20)
extensionsenabledScopes Les extensions peuvent ecirctreactiveacutees automatiquementen fonction de leurlocalisation21
12 (seules les extensions reacutefeacuterenceacutees par une entreacutee enbase de registres22 ou deacuteposeacutees dans le sous-dossierdrsquoextensions agrave lrsquoemplacement de lrsquoexeacutecutable FireFoxseront activeacutees Attention ce paramegravetre a prioriteacute surextensionsautoDisableScopes
20 Contrairement agrave ce qursquoindique la MozillaZine Knownledge Base le paramegravetre extensionsautoDisableScopes nepermet pas de deacutesactiver un plugin pour ce faire il convient drsquoutiliser les paramegravetres pluginstatex21 Pour plus drsquoinformations sur le paramegravetre extensionsenabledScopes httpsdevelopermozillaorgen-US
Add-onsInstalling_extensions22 Article de Mozilla expliquant lrsquoajout la mise agrave jour et la suppression drsquoextensions ou de plugins pour Firefox par
base de registre httpsdevelopermozillaorgen-USdocsAdding_Extensions_using_the_Windows_Registry
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 16 sur 40
Nom de paramegravetre Description Valeur recommandeacuteeextensionsblocklistenabled Teacuteleacutechargement reacutegulier drsquoune
liste noire de modules reacutefeacuterenceacutescomme eacutetant malveillants
false si seuls les modules teacuteleacute-deacuteployeacutes par leseacutequipes informatique sont installeacutes ou true silrsquoutilisateur est en mesure drsquoinstaller des moduleslui-mecircme
extensionsblocklistdetailsURL
URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules
Celle par deacutefaut (httpswwwmozillaorgLOCALEblocklist)
extensionsblocklistitemURL URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules(variante)
Celle par deacutefaut (httpsaddonsmozillaorgLOCALEAPPblockedblockID)
extensionsblocklistinterval Intervalle de teacuteleacutechargement dela liste noire de modules ensecondes
86400 (soit 1 fois par jour)
extensionsblocklistlevel Niveau de blocage 2 (pour bloquer les extensions de la liste)extensionsblocklisturl Adresse de teacuteleacutechargement de la
liste noire de modulesCelle par deacutefaut (httpsaddonsmozillaorgblocklist3APP_IDAPP_VERSIONPRODUCTBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONPING_COUNTTOTAL_PING_COUNTDAYS_SINCE_LAST_PING)
extensionsenabledAddons Modules activeacutes au deacutemarragede Firefox
Mettre agrave vide
pdfjsdisabled Deacutesactiver la visionneuse PDFinteacutegreacutee agrave Firefox (pdfjs)
true pour que lrsquoutilisateur teacuteleacutecharge les PDF etles visionne via un lecteur PDF tiers maintenu enconditions de seacutecuriteacute par lrsquoentiteacute et ne faisant paslrsquoobjet de vulneacuterabiliteacutes freacutequentes ou false pourautoriser lrsquousage du lecteur de PDF inteacutegreacute
pluginstateflash Configuration drsquoactivation duplugin Flash
1 (demander lrsquoautorisation agrave lrsquoutilisateur avantchaque exeacutecution du plugin Flash) ou 2 (toujoursactiver) au choix de lrsquoentiteacute et en fonction desutilisateurs et des contraintes de seacutecuriteacute
pluginstatejava Configuration drsquoactivation duplugin Java
0 pour ne jamais activer le plugin Java (agrave moinsque lrsquoentiteacute souhaite utiliser ce plugin malgreacute lesrisques de seacutecuriteacute encourus auquel cas la valeuragrave donner serait 1 pour demander lrsquoautorisation agravelrsquoutilisateur agrave chaque exeacutecution du plugin Java)
pluginstatex Configuration drsquoactivation duplugin x ougrave x est agrave remplacerpar le nom court du pluginagrave deacutesactiver (exemple npctrlpour Microsoft Silverlight Lesnoms courts des plugins sontindiqueacutes en affichant leurs infor-mations deacutetailleacutees depuis lrsquointer-face graphique)
0 pour ne jamais activer le plugin ou 1 pourdemander lrsquoautorisation agrave lrsquoutilisateur avant chaqueexeacutecution du plugin
plugindefaultstate Configuration drsquoactivation desautres plugins
0 pour ne jamais activer un plugin non explicite-ment autoriseacute par les regravegles preacuteceacutedentes
plugindefaultXpistate Configuration drsquoactivation desautres plugins au format XPI
0 pour ne jamais activer un plugin au format XPInon explicitement autoriseacute par les regravegles preacuteceacute-dentes
pluginsclick_to_play Cliquer pour lire le contenu neacute-cessitant un plugin
true pour activer le mode laquo Cliquer pour lire raquo
pluginsload_appdir_plugins Chargement automatique desplugins depuis des emplace-ments utiliseacutes avant Firefox 21
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 17 sur 40
Eacutetant donneacute que seuls les modules compleacutementaires teacuteleacute-deacuteployeacutes par les eacutequipes informatiquessont autoriseacutes il est recommandeacute de bloquer toute possibiliteacute drsquoajout de modules compleacutementaires parlrsquoutilisateur
Nom de strateacutegie Description Valeur recommandeacuteeextensionsgetAddonsgetWithPerformanceurl
URL de reacutecupeacuteration drsquoun module compleacutementaire Mettre agrave vide
extensionsgetAddonsmaxResults Nombre de reacutesultats maximum 0extensionsgetAddonsgeturl URL de consultation drsquoun module compleacutementaire Mettre agrave videextensionsgetAddonsrecommendedbrowseURL
URL de consultation des modules compleacutementairesrecommandeacutes
Mettre agrave vide
extensionsgetAddonsrecommendedurl
URL de consultation des modules compleacutementairesrecommandeacutes par API
Mettre agrave vide
extensionsgetAddonssearchbrowseURL
URL de recherche de modules compleacutementaires Mettre agrave vide
extensionsgetAddonssearchurl URL de recherche de modules compleacutementaires parAPI
Mettre agrave vide
extensionsgetAddonsshowPane Afficher le panneau drsquoajout de modules compleacutemen-taires
false
extensionshideInstallButton Cacher le bouton drsquoinstallation manuelle drsquoextensions true
extensionswebservicediscoverURL URL du catalogue drsquoextensions Mettre agrave videxpinstallenabled Autoriser lrsquoinstallation manuelle de modules au format
XPIfalse
xpinstallwhitelistrequired Obligation pour une archive XPI drsquoecirctre en liste blanchepour ecirctre installeacutee manuellement
true
xpinstallwhitelistaddxpinstallwhitelistadd
Liste blanche drsquoarchives XPI pouvant ecirctre installeacuteesmanuellement
Mettre agrave vide
Pour finir lrsquoentiteacute devra choisir sa strateacutegie de mise agrave jour des extensions teacuteleacute-deacuteployeacutees Lrsquoentiteacutequi voudra teacuteleacute-deacuteployer elle-mecircme les versions agrave jour des modules compleacutementaires apregraves une phase devalidation optera pour le parameacutetrage donneacute ci-dessous la responsabiliteacute du maintien en conditions deseacutecuriteacute sera alors deacuteporteacutee sur les services informatiques en charge du deacuteploiement de ces mises agrave jourDans le cas contraire les valeurs par deacutefaut permettent une mise agrave jour automatique des extensionspar Internet
Nom de strateacutegie Description Valeur recommandeacuteeextensionshotfixcertcheckAttributes
Veacuterifie les attributs du certificat de signature descorrectifs teacuteleacutechargeacutes
true
extensionshotfixcerts1sha1Fingerprint
Empreintes attendues du certificat de signature descorrectifs teacuteleacutechargeacutes
Laisser la valeur par deacutefaut(9153980CC186DF478F35229E11C9A7310449A1AA en date dereacutedaction de ce document)
extensionsupdateautoUpdateDefault
Teacuteleacutecharger et installer automatiquement les mises agravejour drsquoextensions
false
extensionsupdatebackgroundURL
URL de teacuteleacutechargement des mises agrave jour drsquoextensionsen arriegravere plan
Mettre agrave vide
extensionsupdateenabled Activer la mise agrave jour des extensions false
extensionsupdateinterval Intervalle de teacuteleacutechargement des mises agrave jour desextensions
86400 (soit 1 fois par jour)
pluginsupdatenotifyUser Notifier lrsquoutilisateur de la preacutesence drsquoune mise agrave jourpour ses modules compleacutementaires
false
pluginsupdateurl URL de mise agrave jour des modules compleacutementaires Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 18 sur 40
SSLTLS et certificats
Le parameacutetrage des suites cryptographiques autoriseacutees peut engendrer des problegravemes de compa-tibiliteacute selon le contexte Il est donc leacutegitime de preacutefeacuterer ne pas modifier la configuration par deacutefautDans un soucis de durcissement les recommandations suivantes pourraient toutefois ecirctre appliqueacutees
Nom de paramegravetre Description Valeur recommandeacuteesecurityssl3dhe_dss_aes_128_sha Autoriser ssl3dhe_dss_aes_128_sha false
securityssl3dhe_dss_aes_256_sha Autoriser ssl3dhe_dss_aes_256_sha false
securityssl3dhe_dss_camellia_128_sha Autoriser ssl3dhe_dss_camellia_128_sha false
securityssl3dhe_dss_camellia_256_sha Autoriser ssl3dhe_dss_camellia_256_sha false
securityssl3dhe_rsa_aes_128_sha Autoriser ssl3dhe_rsa_aes_128_sha true
securityssl3dhe_rsa_aes_256_sha Autoriser ssl3dhe_rsa_aes_256_sha true
securityssl3dhe_rsa_camellia_128_sha Autoriser ssl3dhe_rsa_camellia_128_sha false
securityssl3dhe_rsa_camellia_256_sha Autoriser ssl3dhe_rsa_camellia_256_sha false
securityssl3dhe_rsa_des_ede3_sha Autoriser ssl3dhe_rsa_des_ede3_sha false
securityssl3ecdhe_ecdsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_ecdsa_aes_128_gcm_sha256
true
securityssl3ecdhe_ecdsa_aes_128_sha Autoriser ssl3ecdhe_ecdsa_aes_128_sha true
securityssl3ecdhe_ecdsa_aes_256_sha Autoriser ssl3ecdhe_ecdsa_aes_256_sha true
securityssl3ecdhe_ecdsa_rc4_128_sha Autoriser ssl3ecdhe_ecdsa_rc4_128_sha false
securityssl3ecdhe_rsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_rsa_aes_128_gcm_sha256
true
securityssl3ecdhe_rsa_aes_128_sha Autoriser ssl3ecdhe_rsa_aes_128_sha true
securityssl3ecdhe_rsa_aes_256_sha Autoriser ssl3ecdhe_rsa_aes_256_sha true
securityssl3ecdhe_rsa_des_ede3_sha Autoriser ssl3ecdhe_rsa_des_ede3_sha false
securityssl3ecdhe_rsa_rc4_128_sha Autoriser ssl3ecdhe_rsa_rc4_128_sha false
securityssl3rsa_aes_128_sha Autoriser ssl3rsa_aes_128_sha true
securityssl3rsa_aes_256_sha Autoriser ssl3rsa_aes_256_sha true
securityssl3rsa_camellia_128_sha Autoriser ssl3rsa_camellia_128_sha false
securityssl3rsa_camellia_256_sha Autoriser ssl3rsa_camellia_256_sha false
securityssl3rsa_des_ede3_sha Autoriser ssl3rsa_des_ede3_sha false
securityssl3rsa_fips_des_ede3_sha Autoriser ssl3rsa_fips_des_ede3_sha false
securityssl3rsa_rc4_128_md5 Autoriser ssl3rsa_rc4_128_md5 false
securityssl3rsa_rc4_128_sha Autoriser ssl3rsa_rc4_128_sha false
securityssl3rsa_seed_sha Autoriser ssl3rsa_seed_sha false
Autres paramegravetres
Nom de paramegravetre Description Valeur recommandeacuteesecuritytlsversionmax Version maximum de
SSLTLS3 (ce qui correspond agrave TLS 12)
securitytlsversionmin Version minimum de SSLTLS 2 (ce qui correspond agrave TLS 11)securitysslallow_unrestricted_renego_everywhere__temporarily_available_pref
Activer la reneacutegociation SSL false pour remeacutedier agrave une attaque parle milieu connue
securitysslenable_false_start Activer laquo SSL False Start raquo false car non standardiseacute et amenantde potentielles vulneacuterabiliteacutes
securitysslenable_ocsp_stapling Activer lrsquoOCSP stapling23 true
23 httpsblogmozillaorgsecurity20130729ocsp-stapling-in-firefox
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 19 sur 40
Nom de paramegravetre Description Valeur recommandeacuteesecuritysslrequire_safe_negotiation
Neacutecessite une neacutegociation SSL qui nrsquoutilisepas une ancienne version SSLTLS vul-neacuterable agrave des attaques par le milieu
true est la valeur ideacuteale en termesde seacutecuriteacute mais false reste conseilleacutepour eacuteviter que de nombreux sitescouramment visiteacutes ne soient plus uti-lisables
securitysslrenego_unrestricted_hosts
Liste drsquohocirctes autoriseacutes agrave faire de la reneacute-gociation SSL avec drsquoanciennes versionsvulneacuterables du protocole
Liste drsquohocirctes seacutepareacutes par des virgules(ne supportant pas les wildcards)et qursquoil est utile de renseigner sisecuritysslrequire_safe_negotiationest configureacute agrave true
securityssltreat_unsafe_negotiation_as_broken
Informer lrsquoutilisateur (cadenas casseacute rougedans la barre de status) lorsque les neacutegoci-ations SSLTLS sont non seacutecuriseacutees
true
networkstricttransportsecuritypreloadlist
Charger la liste de sites deacuteclareacutes commeutilisant HSTS (HTTP Strict TransportSecurity24)
true
networkwebsocketallowInsecureFromHTTPS
Autoriser les WebSockets non seacutecuriseacuteepour un site consulteacute en HTTPS
false
securityOCSPenabled Activer OCSP 2 pour veacuterifier le certificat agrave partir delrsquoURL de service OCSP et de lrsquoautoriteacutede certification ayant signeacute le certifi-cat Notons que cette fonctionnaliteacuteest critiqueacutee pour des questions delatence des reacutepondeurs OCSP (de lrsquoor-dre de 300ms pour les plus rapides agraveplus drsquoune seconde pour les plus lents)OCSP tend donc agrave ecirctre remplaceacute pardes listes locales de certificats reacutevo-queacutes dans drsquoautres navigateurs maisFirefox ne dispose pas encore drsquounetelle liste Une entiteacute ayant des con-traintes particuliegraveres quant agrave la la-tence induite par OSCP pourrait opterpour une deacutesactivation drsquoOCSP avecla valeur 0
securityOCSPrequire Neacutecessite la validation du certificat parOCSP avant de continuer la navigation surle site
true si securityOCSPenabled a eacuteteacuteconfigureacute agrave true ou false dans le cascontraire
securitycert_pinningenforcement_level
Niveau de certificate pinning (eacutepinglage decertificats)25(agrave partir de Firefox 32)
2 pour utiliser lrsquoeacutepinglage strict
Gestionnaire de mots de passe
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownpasswords Effacer les mots de passe enregistreacutes agrave la
fermeture du navigateurtrue
signonrememberSignons Active le gestionnaire de mots de passe false
signonautofillForms Remplissage automatique des formulairesde login
false
24 httpsdevelopermozillaorgfrdocsSC3A9curitC3A9HTTP_Strict_Transport_Security25 Lrsquoeacutepinglage de certificats permet drsquoavoir une base locale de certificats connus et attendus pour certains sites Web
consulteacutes en HTTPS Ainsi si le certificat preacutesenteacute par le serveur est valide en tous points de vue mais nrsquoest pas lecertificat attendu la connexion sera coupeacutee Ce meacutecanisme permet drsquoeacuteviter une attaque par le milieu preacutesentant un fauxcertificat issu drsquoune autoriteacute de certification de confiance
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 20 sur 40
Confidentialiteacute
Il nrsquoexiste pas en date de reacutedaction de cette note de regravegle globale pour la deacutesactivation de FirefoxSync Sa deacutesactivation se fait par conseacutequent agrave travers plusieurs regravegles de configuration
Nom de paramegravetre Description Valeur recommandeacuteeservicessyncengineaddons Synchronisation des modules compleacutementaires false
servicessyncenginebookmarks Synchronisation des marque-pages false
servicessyncenginehistory Synchronisation de lrsquohistorique de navigation false
servicessyncenginepasswords Synchronisation des mots de passe stockeacutes false
servicessyncengineprefs Synchronisation des preacutefeacuterences false
servicessyncenginetabs Synchronisation des onglets ouverts false
servicessyncregisterEngines Moteurs de synchronisation enregistreacutes Mettre agrave videservicessyncjpakeserverURL URL du serveur synchronisation jpake Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessynctokenServerURI URI du serveur de jetons Mettre agrave videservicessyncnextSync Planification de la prochaine synchronisation 0
Il convient eacutegalement de deacutesactiver les diffeacuterents rapports agrave Mozilla
Nom de paramegravetre Description Valeur recommandeacuteedatareportinghealthreportaboutreportUrl URL de rapport de santeacute Mettre agrave videdatareportinghealthreportloggingconsoleEnabled
Activer la journalisation (console) du ser-vice de rapports de santeacute
false
datareportinghealthreportloggingdumpEnabled
Activer la journalisation (dumps) du ser-vice de rapports de santeacute
false
datareportinghealthreportnextDataSubmissionTime
Date de prochaine soumission de rapportde santeacute
Mettre agrave vide
datareportinghealthreportserviceenabled Activer le service de rapport de santeacute false
datareportinghealthreportuploadEnabled Autoriser lrsquoenvoi de donneacutees au serveur derapports de santeacute
false
datareportingpolicydataSubmissionEnabled Activer lrsquoenvoi de donneacutees agrave Mozilla agrave desfins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyAccepted
Accepter les conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyBypassAcceptance
Contourner lrsquoacceptation des conditionsdrsquoenvoi de donneacutees agrave Mozilla agrave des finsdrsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyResponseType
Reacuteponse aux conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
accepted-info-bar-dismissed
domipcpluginsreportCrashURL Inteacutegrer lrsquoURL au rapport de crash deplugins
false
domipcpluginsflashsubprocesscrashreporterenabled
Activer le rapport de crash du sous-processus flash
false
toolkittelemetryenabled Activer la fonctionnaliteacute de teacuteleacutemeacutetrie false
toolkittelemetryserver Adresse du serveur de teacuteleacutemeacutetrie Mettre agrave videbreakpadreportURL URL du rapport de crash Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 21 sur 40
Il peut eacutegalement ecirctre utile de configurer lrsquooption de suppression des donneacutees priveacutees (Clear PrivateData) en seacutelectionnant les eacuteleacutements qui seront supprimeacutes Lrsquoentiteacute pourra par exemple permettre auxutilisateurs de supprimer leurs donneacutees priveacutees dans le cadre drsquoune navigation sur internet ou bien delrsquointerdire srsquoil srsquoagit drsquoun navigateur deacutedieacute agrave lrsquointranet Une entiteacute pourrait eacutegalement vouloir toujoursgarder les historiques et le cache agrave des fins drsquoinvestigation (cela nrsquoempecircchera toutefois pas lrsquoutilisateurde les supprimer directement au niveau du systegraveme de fichiers dans son profil utilisateur)
Nom de paramegravetre Description Valeur recommandeacuteeprivacycpdcache Supprimer le cache lors drsquoune suppression des donneacutees
priveacuteesAu choix de lrsquoentiteacute
privacycpdcookies Supprimer les cookies lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpddownloads Supprimer lrsquohistorique des teacuteleacutechargements lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdformdata Supprimer lrsquohistorique de remplissage automatique desformulaire lors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdhistory Supprimer lrsquohistorique lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpdofflineApps Supprimer les applications disponibles hors connexionlors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdpasswords Supprimer les mots de passe enregistreacutes lors drsquoune sup-pression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsessions Supprimer les sessions en cours enregistreacutees lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsiteSettings Supprimer les paramegravetres par site lors drsquoune suppressiondes donneacutees priveacutees
Au choix de lrsquoentiteacute
privacysanitizesanitizeOnShutdown
Supprimer les donneacutees priveacutees agrave la fermeture du naviga-teur
En cas de besoin speacute-cifique de lrsquoentiteacute
Viennent pour finir divers autres paramegravetres lieacutes agrave la confidentialiteacute
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownsessions effacer les sessions de navigation en cours lors
de la fermeture du navigateurtrue
privacyclearOnShutdowncookies effacer les cookies de navigation lors de lafermeture du navigateur
true
privacydonottrackheaderenabled Activer Do-Not-Track true
geoenabled activer la geacuteolocalisation false
geowifiuri URI du service de geacuteolocalisation agrave utiliser Mettre agrave videnetworkprefetch-next Teacuteleacutechargement preacutedictif anticipeacute des docu-
ments lieacutes agrave la page Web visiteacutes (link prefetch-ing)26
false pour eacuteviter lrsquoeacutetablisse-ment de connexions et leteacuteleacutechargement de contenunon solliciteacutes
medianavigatorpermissiondisabled Contourne la permission drsquoacceacuteder agrave la web-cam
false
networkhttpsendRefererHeader Activer lrsquoenvoi de lrsquoentecircte referer 0 pour plus drsquoanonymat ou 2pour ne pas empecirccher le fonc-tionnement de certains sites
browsersend_pings Activer lrsquoenvoi de requecircte POST lors du clicsur un lien (fonctionnaliteacute souvent utiliseacuteepour tracer les clics)
false
26 Le link prefetching permet drsquoacceacuteleacuterer le surf en anticipant le chargement des documents lieacutes agrave la page visiteacutesLrsquoimpleacutementation de ce meacutecanisme dans Firefox ne transmet aucune information agrave Mozilla Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsWebHTTPLink_prefetching_FAQ
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 22 sur 40
Filtrage de contenu
Actions autoriseacutees aux les scripts
Nom de paramegravetre Description Valeur recommandeacuteedomallow_scripts_to_close_windows Autoriser les scripts agrave fermer
une fenecirctrefalse
domdisable_image_src_set Interdire la modification desimages sources par script
false
domdisable_window_flip Interdire le changement defenecirctre active par script
true
domdisable_window_move_resize Deacutetermine si les fenecirctrespeuvent ecirctre bougeacutees or red-imensionneacutees par script
false
domdisable_window_open_featureclose Interdire la creacuteation defenecirctre sans bouton defermeture
true pour eacuteviter les popups in-vasifs
domdisable_window_open_featurelocation Interdire la creacuteation defenecirctre sans barre drsquoadresse
true pour que lrsquoutilisateur puissetoujours veacuterifier ecirctre agrave lrsquoadressepreacutevue
domdisable_window_open_featurestatus Interdire la creacuteation defenecirctre sans barre de status
true pour que lrsquoutilisateur puissese rendre contre plus facilementdes tentatives de spoofing
domdisable_window_open_featuretitlebar Interdire la creacuteation defenecirctre sans barre de titre
true pour que lrsquoutilisateur puissebien voir qursquoil srsquoagit drsquoun popupFirefox
domdisable_window_open_featuretoolbar Interdire la creacuteation defenecirctre sans barre drsquooutils
false
domeventclipboardeventsenabled Permettre agrave un script desaisir les eacuteveacutenements dupresse papier
false
domeventcontextmenuenabled Permettre agrave un script desaisir les eacuteveacutenements drsquoac-cegraves au menu contextuel (clicdroit)
false
dominter-app-communication-apienabled Activer la communicationpar API entre applications
false
domipcpluginsenabled Activation du plugin con-tainer
true pour exeacutecuter les pluginsdans le plugin-container
domipcpluginsjavaenabled Exeacutecuter Java au sein duplugin-container
false pour eacuteviter des problegravemesde stabiliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 23 sur 40
Nom de strateacutegie Description Valeur recommandeacuteebrowsersafebrowsingenabled Utiliser la navigation seacutecuriseacutee
(protection contre le phishing etles logiciels malveillants)27
true
javascriptenabled Activation de Javascript true
securityxpconnectpluginunrestricted Autoriser le scripting de pluginspar des scripts qui ne sont pasde confiance
false agrave moins drsquoune incompatibiliteacute avecdes plugins etou pages Web neacutecessaires agravelrsquoentiteacute
securitymixed_contentblock_active_content
Bloquer le contenu mixte actif true
securitymixed_contentblock_display_content
Bloquer le contenu mixte passif false
securityfileuristrict_origin_policy
Politique drsquoorigine stricte pourles URi de type fichiers
true sauf pour les populations dedeacuteveloppeurs qursquoun tel paramegravetre pourraitbloquer pour le deacuteveloppement en local
networkcookiecookieBehavior Politique de gestion des cookies 1 pour nrsquoautoriser que les cookies duserveur drsquoorigine et bloquer les cookiestiers
networkcookielifetimePolicy Politique drsquoexpiration des cook-ies
2 pour conserver les cookies pendant toutela dureacutee de la session seulement
networkcookiethirdpartysessionOnly Restreindre les cookies tiers agrave ladureacutee de la session seulement
true
networkjaropen-unsafe-types Nrsquoouvrir que les jar servis avecun content-type adeacutequat
false
privacypopupspolicy Politique de popups 1 pour activer les popups ou 2 pour lesrejeter mais cela rendrait la navigationdifficile voire impossible sur une quantiteacutede sites Internet non neacutegligeable
privacypopupsshowBrowserMessage Afficher un message lorsqursquounpopup a eacuteteacute bloqueacute
true
browserpopupsshowPopupBlocker Afficher lrsquoicocircne du bloqueur depopups dans la barre de status
true
securitycspenable Activer la Content Security Pol-icy (politique de seacutecuriteacute descontenus) qui permet de deacute-tecter et de limiter lrsquoimpact decertains types drsquoattaques
true
full-screen-apienabled Activer lrsquoAPI permettant drsquoaf-ficher du contenu en plein eacutecranpour les modules compleacutemen-taires
false
notificationfeatureenabled Permettre les notifications sur lebureau
false
27 La fonctionnaliteacute de navigation seacutecuriseacutee consiste agrave synchroniser une liste locale drsquoadresses de sites maveillants(depuis les serveurs de Google par deacutefaut depuis que Firefox utilise leur service) pour alerter lrsquoutilisateur srsquoil srsquoapprecircte agraveen visiter un Elle consiste eacutegalement agrave analyser le contenu des pages pour repeacuterer drsquoeacuteventuelles tentatives drsquohameccedilonnage
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 24 sur 40
Moteur de recherche par deacutefaut
La configuration drsquoun moteur de recherche personnaliseacute ne peut pas se faire simplement par fichierde configuration et neacutecessite le deacuteploiement drsquoun module de recherche (search engine plugin) LrsquoannexeIV illustre la teacuteleacute-deacuteploiement drsquoun module de recherche utilisant le moteur franccedilais httpswwwqwantcom 28
Nom de paramegravetre Description Exemplebrowsersearchdefaultenginename Moteur de recherche par deacutefaut Qwantcom
browsersearchdefaulturl URL du moteur de recherche pardeacutefaut
httpswwwqwantcomq=searchTerms
browsersearchlog Journalisation de lrsquoutilisation desservices de recherche agrave des fins dedeacuteboggage
false
browsersearchopenintab Ouvrir les reacutesultats de recherchedans un nouvel onglet
false
browsersearchorder1 Moteur de recherche agrave utiliser enprioriteacute 1
Qwantcom
browsersearchsuggestenabled activer les suggestions false
browsersearchupdate Recherche de mises agrave jour pour lesmodules de recherche
false
keywordenabled Permettre de faire une recherchedepuis la barre drsquoadresse
true
Page(s) drsquoaccueil
Nom de strateacutegie Description Valeur recommandeacuteestartuphomepage_override_url Page drsquoaccueil apregraves une mise agrave jour de Firefox En fonction du choix de lrsquoentiteacutestartuphomepage_welcome_url Page drsquoaccueil au premier deacutemarrage En fonction du choix de lrsquoentiteacutebrowserstartuphomepage Page drsquoaccueil about blank pour une page vide
ou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
browserstartuppage Page drsquoaccueil 1 pour ouvrir la page drsquoac-cueil indiqueacutee par le paramegravetrebrowserstartuphomepage
browsersessionstoreresume_from_crash
Restauration de session apregraves crash false
browsersessionstoreenabled Activer le service de restauration de session false
browsernewtaburl Page ouverte par deacutefaut lors de la creacuteationdrsquoun nouvel onglet de navigation
about blank pour une page videou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
28 Ceci nrsquoest en aucun cas une recommandation ni une incitation agrave son utilisation mais un simple exemple
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 25 sur 40
Authentification HTTP
Nom de strateacutegie Description Valeur recommandeacuteenetworkauthforce-generic-ntlm Utiliser le module drsquoauthen-
tification NTLM de Firefoxplutocirct que celui fourni parles APIs du systegraveme
false
networkauthuse-sspi Utiliser SSPI plutocirct queGSSAPI pour lrsquoauthentifica-tion Kerberos
true sous Windows
networkntlmsend-lm-response Envoyer le LM Hash dans lareacuteponse NTLM
false
networkautomatic-ntlm-authallow-proxies
Authentification par NTLMautomatique avec lesserveurs proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networkautomatic-ntlm-authtrusted-uris
Liste des URIs autoriseacuteespour lrsquoauthentification parNTLM automatique
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationNTLM automatique
networkautomatic-ntlm-authallow-non-fqdn
Autoriser lrsquoauthentificationNTLM automatique avecdes sites sans FQDN
false agrave moins que la liste networkautomatic-ntlm-authtrusted-uris comporte des adressessans FQDN
networknegotiate-authallow-non-fqdn
Autoriser lrsquoauthentificationSPNEGO avec des sites sansFQDN
En fonction de lrsquoentiteacute
networknegotiate-authallow-proxies
Autoriser SPNEGO29si de-mandeacute par un serveur proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networknegotiate-authdelegation-uris
Liste des URIs autoriseacuteespour lesquels le navigateurpeut deacuteleacuteguer lrsquoautorisationde lrsquoutilisateur
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites auxquels elle souhaite permettre ladeacuteleacutegation SPNEGO
networknegotiate-authtrusted-uris Liste des URIs autoriseacuteespour engager une authentifi-cation SPNEGO
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationSPNEGO
networknegotiate-authgsslib Chemin vers une librairieGSSLIB speacutecifique
Mettre agrave vide
networknegotiate-authusing-native-gsslib
Utiliser la librairie GSSLIBnative du systegraveme
true
securitydefault_personal_cert Choix du certificat drsquoau-thentification client
Ask Every Time
29 SPNEGO est un standard qui permet de neacutegocier de lrsquoauthentification Kerberos NTLM ainsi que drsquoautresprotocoles supporteacutes pour le systegraveme SPNEGO est eacutegalement connu sous le nom du protocole drsquoauthentificationlaquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 26 sur 40
Serveur mandataire
Nom de paramegravetre Description Valeur recommandeacuteenetworkproxyautoconfig_url URL de configuration automatique du
proxyLaisser agrave vide
networkproxyftp Adresse du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyftp_port port du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp Adresse du proxy proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp_port port du proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyno_proxies_on Liste drsquoexceptions agrave lrsquoutilisation du serveurproxy
A minima localhost 127001 etdavantage en fonction de lrsquoentiteacute etdu peacuterimegravetre drsquoutilisation du naviga-teur
networkproxyshare_proxy_settings
Utiliser le mecircme proxy pour tous les pro-tocoles
false
networkproxysocks Adresse du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_port port du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_remote_dns
Reacutealiser les requecirctes DNS via le proxysocks
false
networkproxysocks_version Version du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl Adresse du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl_port port du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxytype Type drsquoutilisation du proxy 1 pour utiliser les valeurs in-diqueacutees par les paramegravetres ci-dessus(networkproxy)
networkhttpproxyversion version de proxy 11 par deacutefaut et en fonction duserveur proxy de lrsquoentiteacute
networkhttpproxypipelining Activer le pipelining30par proxy false pour des raisons de compat-ibiliteacute Lrsquoentiteacute peut choisir de lrsquoac-tiver si le pipelining est supporteacute parson serveur proxy drsquoentreprise
signonautologinproxy Saisie automatique du mot de passe deproxy
false
30 Le pipelining permet de faire plusieurs requecirctes HTTP simultaneacutement plutocirct que de les faire seacutequentiellement enattendant les reacuteponses de chacune drsquoentre elles Pour plus drsquoinformations httpwww-archivemozillaorgprojectsnetlibhttppipelining-faqhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 27 sur 40
Peacuterimegravetre de navigation
Nom de paramegravetre Description Valeur recommandeacuteenetworkprotocol-handlerexpose-all
Deacutetermine si le navigateur essayedrsquoouvrir les liens cliqueacutes dans lenavigateur en prioriteacute avant delaisser le systegraveme srsquoen charger en casdrsquoeacutechec (si le protocole du lien enquestion nrsquoest pas supporteacute par lenavigateur)
true
networkprotocol-handlerwarn-external-default
Avertir lrsquoutilisateur avant decharger un gestionnaire deprotocole tiers
true
networkprotocol-handlerexternal-default
Action pour lrsquoouverture drsquoun pro-tocole non pris en charge par lenavigateur
false de maniegravere agrave ne pas essayerde charger des protocoles non pris encharge nativement par le navigateur Lrsquoen-titeacute renseignera eacuteventuellement des ges-tionnaires de protocoles tiers pour desprotocoles qursquoelle souhaite explicitementpermettre tels que NNTP Mailto etc Pour illustrer par lrsquoexemple avecMailto le paramegravetre networkprotocol-handlerexternalmailto aurait pour valeurtrue et le paramegravetre networkprotocol-handlerappmailto avec pour valeur lechemin drsquoun exeacutecutable comme MozillaThunderbird ou Microsoft Outlook
networkprotocol-handlerexternalfile
Gestionnaire de protocole filesous Firefox
false
networkprotocol-handlerexternalftp
Gestionnaire de protocole ftpsous Firefox
false
geckohandlerServiceallowRegisterFromDifferentHost
Autoriser les sites Web agrave installerdes gestionnaires de protocoles oude contenus utilisable pour deshocirctes tiers
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 28 sur 40
Administration systegraveme maintenance et options diverses
Parameacutetrage des mises agrave jour
Nom de paramegravetre Description Valeur recommandeacuteeappupdateenabled Activation de la mise agrave jour automatique true
appupdateauto Teacuteleacutechargement et installationautomatiques (neacutecessite que le paramegravetreappupdateenabled ait pour valeurtrue)
true
appupdatecertcheckAttributes Veacuterifie les attributs du certificat du serveurde mise agrave jour
false
appupdatecertrequireBuiltIn Requiert lrsquointeacutegration des certificats duserveur de mise agrave jour et de toutes lesredirections intermeacutediaires
false
appupdatechannel Canal de mise agrave jour esr pour la version ESR de FirefoxappupdatedownloadbackgroundInterval
Temps de pause (en secondes) entrechaque teacuteleacutechargement en arriegravere plandrsquoun morceau de 300 Kb de mise agrave jour
Au choix de lrsquoentiteacute
appupdateidletime Temps de pause (en secondes) entre chaqueteacuteleacutechargement agrave la demande de lrsquoutilisa-teur) drsquoun morceau de 300 Kb de mise agravejour
60
appupdateinterval Intervalle de temps entre chaque veacuterifica-tion de disponibiliteacute de nouvelles mises agravejour
43200
appupdatemode Deacutetermine quelles mises agrave jour sontteacuteleacutechargeacutees en arriegravere plan
0 pour teacuteleacutecharger toutes les mises agravejour sans intervention de lrsquoutilisateur
appupdateserviceenabled Active le service de mise agrave jour de Firefox true
appupdateshowInstalledUI Deacutetermine si apregraves installation de mise agravejour une boicircte de dialogue informe lrsquoutil-isateur qursquoune mise agrave jour a eacuteteacute installeacutee
Au choix de lrsquoentiteacute
appupdatesilent Active le mode de mise agrave jour silencieux true pour une mise agrave jour silencieuseen arriegravere plan
appupdateurl URL de reacutecupeacuteration des mises agrave jour deFirefox
En fonction de la strateacutegie de mise agravejour de lrsquoentiteacute Pour une mise agrave jourdepuis les serveurs de Mozilla httpsaus3mozillaorgupdate3PRODUCTVERSIONBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONupdatexml sinon lrsquoURLdu serveur de mise agrave jour internede lrsquoentiteacute (qursquoil faudra eacutegalementrenseigner dans le paramegravetreappupdateurloverride)
appupdateurloverride URL de reacutecupeacuteration des mises agrave jour deFirefox
Paramegravetre agrave renseigner uniquementdans le cas ou la mise agrave jour deFirefox se fait depuis lrsquoURL drsquounserveur de mise agrave jour interne delrsquoentiteacute (agrave renseigner en plus duparamegravetre appupdateurl)
appupdateurldetails URL de consultation des informations rel-atives aux mises agrave jour disponibles
Laisser la valeur par deacutefautrhttpswwwmozillaorgLOCALEfirefoxnotes
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 29 sur 40
Configuration du cache
Nom de paramegravetre Description Valeur recommandeacuteebrowsercachecheck_doc_frequency Quand veacuterifier la mise agrave jour drsquoune page en
cache disque3 (veacuterifier quand la page estpeacuterimeacutee)
browsercachecompression_level Niveau de compression du cache disque Au choix de lrsquoentiteacute de 0(pas de compression) agrave 9(haut taux de compressionavec forte sollicitation du pro-cesseur)
browsercachediskcapacity Espace disque alloueacute au cache disque enKb
Au choix de lrsquoentiteacute
browsercachediskenable Utiliser le cache disque true
browsercachediskmax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache disque
Au choix de lrsquoentiteacute
browsercachedisksmart_sizeenabled Allocation intelligente de lrsquoespace disquealloueacute au cache en fonction de lrsquoespacedisponible
Au choix de lrsquoentiteacute
browsercachedisk_cache_ssl Mettre en cache disque les pages visiteacuteesen HTTPS
False de maniegravere agrave ne pasmettre en cache le contenuSSL
browsercachememoryenable Utiliser le cache meacutemoire true
browsercachememorymax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache meacutemoire
Au choix de lrsquoentiteacute
browsercachememory_limit Meacutemoire maximum utiliseacutee pour le cachemeacutemoire en Kb
Au choix de lrsquoentiteacute
browsercacheofflinecapacity Espace disque alloueacute au cache des applica-tions Web
Au choix de lrsquoentiteacute
browsercacheofflineenable Utiliser le cache des applications Web per-mettant une utilisation hors ligne
Au choix de lrsquoentiteacute
browsercacheuse_new_backend Utilisation du nouveau systegraveme de cache 0 (ne pas utiliser pour desquestions de stabiliteacute)
networkhttpuse-cache Utiliser le cache des documents HTTP true
mediacache_size Taille du cache pour les fichiers multimedia Au choix de lrsquoentiteacute par deacute-faut 512000
domstoragedefault_quota Quota de stockage cocircteacute client pour lespages Web
5120 taille par deacutefaut
domstorageenabled Active le stockage cocircteacute client pour les pagesWeb
true agrave deacutefaut de vulneacuterabil-iteacutes connues pour cette fonc-tionnaliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 30 sur 40
Deacutesactiver les options de deacuteveloppement (sauf pour les populations de deacuteveloppeurs)
Nom de paramegravetre Description Valeur recommandeacuteedevtoolsappmanagerenabled Activation des outils de deacuteveloppement module appmanager false
devtoolsdebuggerenabled Activation des outils de deacuteveloppement module deacutebogueur false
devtoolserrorconsoleenabled Activation des outils de deacuteveloppement module consoledrsquoerreurs
false
devtoolsfontinspectorenabled Activation des outils de deacuteveloppement module inspecteurde polices
false
devtoolsinspectorenabled Activation des outils de deacuteveloppement module inspecteur false
devtoolsnetmonitorenabled Activation des outils de deacuteveloppement module reacuteseau false
devtoolsprofilerenabled Activation des outils de deacuteveloppement module profileur false
devtoolsshadereditorenabled Activation des outils de deacuteveloppement module vue adaptive false
devtoolsstyleeditorenabled Activation des outils de deacuteveloppement module editeur destyles
false
devtoolstiltenabled Activation des outils de deacuteveloppement module tilt false
devtoolstoolbarenabled Activation des outils de deacuteveloppement module barre dedeacuteveloppement
false
Configurations diverses
Nom de paramegravetre Description Valeur recommandeacuteenetworkseerenable-hover-on-ssl Activer seer sur SSL false
networkseerenabled Activer seer false
networkhttppipelining Activer le pipelining pour le surfHTTP11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttppipeliningssl Activer le pipelining pour le surfHTTPS11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttpspdyenabled Activer SPDY31 false
networkhttpspdyenabledv2 Activer SPDY v2 false
networkhttpspdyenabledv3 Activer SPDY v3 false
networkhttpspdyenabledv3-1 Activer SPDY v31 false
browsershellcheckDefaultBrowser Veacuterifier si Firefox est configureacutecomme navigateur par deacutefaut
false dans le cadre de double naviga-teurs
browserdownloadmanagerscanWhenDone
Scan antivirus drsquoun fichier lorsqueson teacuteleacutechargement est termineacute
true
browserdownloaduseDownloadDir Utiliser le reacutepertoire de teacuteleacutecharge-ment par deacutefaut
false pour que lrsquoutilisateur indique agravequel emplacement il souhaite teacuteleacutechargerle fichier
browserfullscreenautohide Cacher la barre drsquooutils et drsquoongletsen mode plein eacutecran
false
31 SPDY est un protocole reacuteseau expeacuterimental de Google visant agrave augmenter les capaciteacutes du protocole HTTP pourreacuteduire le temps de chargement des pages Web en classant les objets par ordre de prioriteacute et en multiplexant les transfertspour ne neacutecessiter qursquoune seule connexion Ce protocole est vulneacuterable aux attaques CRIME (Compression Ratio Info-leakMade Easy) lorsqursquoil est utiliseacute avec HTTPS (ce qui est geacuteneacuteralement le cas)
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 31 sur 40
Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP
Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory
Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation
La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32
Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers
Fichiers de configuration
La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte
ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet
ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes
Fichier local-settingsjs
pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)
Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 32 sur 40
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
Table des matiegraveres
1 Preacuteambule 3
2 Enjeux de seacutecuriteacute drsquoun navigateur Web 3
3 Firefox versus Firefox ESR 3
4 Maicirctrise du navigateur 4
41 Choix des plugins 542 Choix des extensions 5
421 SSLTLS et certificats 6422 Gestionnaire de mots de passe 7423 Confidentialiteacute 8424 Moteur de recherche par deacutefaut 9425 Filtrage de contenu 9426 Page(s) drsquoaccueil 9427 Serveur mandataire 9428 Authentification HTTP 10429 Peacuterimegravetre de navigation 104210 Administration systegraveme et maintenance 10
43 Teacuteleacute-deacuteploiement initial 1044 Gestion des mises agrave jour 11
5 Strateacutegie de double navigateur 12
Annexe I Strateacutegies de seacutecurisation de Firefox 16
Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP 32
Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox 36
Annexe IV Teacuteleacute-deacuteploiement drsquoun module de recherche personnaliseacute par GPO 40
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 2 sur 40
1 PreacuteambuleFirefox est le navigateur web en sources ouvertes eacutediteacute par la fondation Mozilla et dont la premiegravere
version stable date de 2004 Rapidement devenu lrsquoun des navigateurs les plus utiliseacutes par les inter-nautes 1 il est aujourdrsquohui soutenu par une importante communauteacute de deacuteveloppeurs du monde libre
Firefox dispose drsquoun meacutecanisme de mise agrave jour automatique et peut ecirctre configureacute de maniegraverecentraliseacutee Il se precircte bien agrave une utilisation professionnelle De par son haut degreacute de parameacutetrage etson code en sources ouvertes il peut eacutegalement srsquoadapter agrave des environnements au sein desquels lescontraintes techniques sont importantes
Cette note technique vise agrave sensibiliser le lecteur aux enjeux de seacutecuriteacute drsquoun navigateur Web etdoit le guider dans la mise en œuvre drsquoune strateacutegie de seacutecurisation speacutecifique agrave Firefox dans le cadredrsquoune configuration centraliseacutee et seacutecuriseacutee en environnement Active Directory
2 Enjeux de seacutecuriteacute drsquoun navigateur Web
Comme tout composant logiciel utiliseacute pour acceacuteder agrave Internet les navigateurs sont une cibleprivileacutegieacutee des attaquants du fait des vulneacuterabiliteacutes qursquoils preacutesentent et de leur utilisation reacuteguliegravere surInternet Viennent eacutegalement srsquoajouter les vulneacuterabiliteacutes propres aux diffeacuterents modules compleacutemen-taires inteacutegreacutes aux navigateurs et dont les processus de mise agrave jour sont geacuteneacuteralement indeacutependants deceux du navigateur
Lrsquoatteinte en inteacutegriteacute drsquoun poste de travail par le biais de son navigateur Web est inteacuteressante dupoint de vue drsquoun attaquant eacutetant donneacute qursquoelle lui permet le plus souvent de contourner les mesuresde seacutecuriteacute lieacutees agrave lrsquoarchitecture reacuteseau et aux diffeacuterentes passerelles de filtrage Lrsquoattaque reacuteussie drsquounposte utilisateur suffit geacuteneacuteralement agrave lrsquoeacutetablissement drsquoun canal de controcircle distant qui permettra parla suite de rebondir au sein du systegraveme drsquoinformation pour atteindre les biens essentiels de lrsquoentiteacute Lanavigation Web est donc logiquement devenue un des principaux vecteurs drsquoattaque utiliseacutes et pluslargement un problegraveme pour la seacutecuriteacute des systegravemes drsquoinformation
Du point de vue de la seacutecuriteacute Firefox pacirctit de lrsquoabsence de meacutecanisme de bac agrave sable (sandbox 2)et drsquoarchitecture multi-processus une vulneacuterabiliteacute peut alors avoir un impact important Comme tousles navigateurs il fait reacuteguliegraverement lrsquoobjet de vulneacuterabiliteacutes critiques 3
3 Firefox versus Firefox ESR
Mozilla publie une version ESR (Extended Support Release) 4 de Firefox Chaque version de FirefoxESR est maintenue pendant environ 1 an et nrsquoa pour seules mises agrave jour que les correctifs de seacutecuriteacuteet de stabiliteacute Cette version de Firefox est destineacutee aux entiteacutes qui neacutecessitent un support eacutetendu pourun deacuteploiement en masse eacutevitant ainsi drsquoavoir agrave geacuterer des eacutevolutions freacutequentes du navigateur
1 Sources wwwatinternetcom et wwww3schoolscom2 Environnement drsquoexeacutecution controcircleacute et restreint3 Les multiples avis de seacutecuriteacute et bulletins drsquoactualiteacute relatifs aux principaux navigateurs peuvent ecirctre consulteacutes sur
le site du CERT-FR (wwwcertssigouvfr)4 Pour plus drsquoinformations httpmozillaorgen-USfirefoxorganizations
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 3 sur 40
Le tableau comparatif suivant preacutesente les avantages et inconveacutenients de chaque version
Version Avantages Inconveacutenients
Versionstandard
Le navigateur eacutevolue reacuteguliegraverement etles utilisateurs disposent ainsi rapidementdes nouvelles fonctionnaliteacutes qui font leurapparition
Les eacutequipes informatiques doiventreacuteguliegraverement deacuteployer les nouvellesversions de Firefox pour le maintenir enconditions de seacutecuriteacute Ces deacuteploiementsengendrent une charge de travail nonneacutegligeable puisqursquoil est neacutecessairede veacuterifier la compatibiliteacute avec lesapplications Web internes compleacuteter laconfiguration centraliseacutee vis-agrave-vis desnouvelles fonctionnaliteacutes etc
VersionESR
Les eacutequipes informatiques nrsquoont pas agrave sesoucier des eacutevolutions fonctionnelles dunavigateur Une fois la derniegravere versionmajeure de Firefox ESR deacuteployeacutee ellesse contentent de garantir sa stabiliteacute etson maintien en conditions de seacutecuriteacuteen deacuteployant les correctifs publieacutes parMozilla Les cycles de vie des versions deFirefox ESR eacutetant drsquoenviron un an lescorrectifs de seacutecuriteacute sont publieacutes pendanttoute cette dureacutee de vie
ESR ne dispose pas des nouvellesfonctionnaliteacutes qui apparaissent dans lesversions successives de Firefox standardle navigateur peut alors paraicirctre pauvreen fonctionnaliteacutes du point de vue desutilisateurs
Au sein drsquoun systegraveme drsquoinformation administreacute de maniegravere centraliseacutee il est donc plutocirct conseilleacutede deacuteployer la version ESR de Firefox La preacutesente note technique srsquoappuie sur le deacuteploiement et laconfiguration de Firefox ESR dans sa version 31
4 Maicirctrise du navigateur
Les principaux enjeux drsquoun deacuteploiement de navigateur au sein drsquoun systegraveme drsquoinformation sont saseacutecuriteacute et sa maicirctrise Pour cela il est neacutecessaire de pouvoir controcircler sa configuration de maniegraverecentraliseacutee tout en proceacutedant agrave des deacuteploiements et agrave des mises agrave jour (automatiques ou non) selon lapolitique de mise agrave jour de lrsquoentiteacute et sans intervention de lrsquoutilisateur
Firefox ne prend pas nativement en charge la configuration par strateacutegies de groupes (GPO) enenvironnement Active Directory Il est pour cela neacutecessaire de recourir agrave des extensions tierces Il esten revanche possible de parameacutetrer le navigateur agrave lrsquoaide de fichiers de configuration agrave deacuteployer surles postes des utilisateurs Cette meacutethode preacutesente lrsquointeacuterecirct drsquoecirctre utilisable simplement dans nom-breux contextes et aussi bien sous Linux que Windows sans distinction Ces fichiers de configurationpermettent eacutegalement drsquoimposer des paramegravetres verrouilleacutes et non modifiables par les utilisateurs
R1 Avant tout deacuteploiement de Firefox au sein drsquoun systegraveme drsquoinformation il est primordial dedeacutefinir preacuteciseacutement une strateacutegie de parameacutetrage qui garantira lrsquoutilisation du navigateurdans une configuration durcie et verrouilleacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 4 sur 40
Il est important de commencer par clarifier les termes utiliseacutes par Mozilla et ce qursquoils deacutesignent Leterme de laquo module raquo (Add-on) ou de laquo module compleacutementaire raquo inclut
ndash les plugins ou greffons qui sont des composants compileacutes ndash les extensions (qui sont des composants en langage interpreacuteteacute comme XUL ou JavaScript) ndash les thegravemes (qui ne font lrsquoobjet drsquoaucune recommandation de seacutecuriteacute) ndash les modules de moteur de recherche
Les recommandations de parameacutetrage figurant dans ce document sont donneacutees agrave titre indicatifdans lrsquooptique drsquoune configuration durcie Elles doivent donc ecirctre moduleacutees selon les besoins propres agravechaque entiteacute et bien entendu selon le peacuterimegravetre drsquoutilisation du navigateur (Internet Intranet etc)Leur application ne doit pas se faire sans validation preacutealable Lrsquoannexe I de ce document preacutecise lesparamegravetres de configuration permettant drsquoappliquer toutes les recommandations de configuration deFirefox indiqueacutees dans ce document En environnement professionnel il est par ailleurs conseilleacute dedeacuteployer une telle configuration par GPP de maniegravere centraliseacutee comme expliqueacute en annexe II
41 Choix des plugins
Les plugins Firefox ne peuvent ecirctre deacuteveloppeacutes qursquoagrave partir de lrsquointerface de programmation NPAPI(Netscape Plugin Application Programming Interface) Cette architecture qui date de Netscape nrsquoestpas seacutecuriseacutee et exeacutecute les plugins avec le niveau de privilegravege de lrsquoutilisateur Bien qursquoil soit possibledrsquoexeacutecuter certains plugins dans un processus seacutepareacute (le plugin-container) cette seacuteparation ne protegravegeque le processus du navigateur drsquoun eacuteventuel arrecirct brusque de fonctionnement drsquoun plugin Unevulneacuterabiliteacute affectant un plugin permet en revanche de compromettre la session ou le systegraveme Leplugin Flash Player fait toutefois exception en inteacutegrant un meacutecanisme de bac agrave sable qui lui est propre(laquo Mode Proteacutegeacute de Flash Player pour Firefox raquo 5) Le processus Flash Player exeacutecuteacute dans le plugin-container ne sert alors qursquoagrave instancier des processus enfants auxquels srsquoappliquent des restrictions deseacutecuriteacute plus importantes Le plugin Flash continue toutefois de faire lrsquoobjet de vulneacuterabiliteacutes critiques 6
R2 Tout plugin ajouteacute agrave Firefox fait courir un risque de seacutecuriteacute suppleacutementaire il est alorsimportant de les limiter au strict neacutecessaire
Note Le risque induit par lrsquoutilisation du plugin Flash Player peut ecirctre toleacutereacute degraves lors que la lecturedes contenus Flash constitue un besoin incontournable Compleacuteteacute par la visionneuse PDF inteacutegreacutee agraveFirefox (eacutecrite en JavaScript) la prise en charge de ces deux types de contenus devrait suffire pour laplupart des usages
Lrsquoajout la mise agrave jour et la suppression de plugins pour Firefox de maniegravere centraliseacutee peut sefaire simplement par base de registre 7et par GPP (Group Policy Preferences)
42 Choix des extensions
Le meacutecanisme drsquoextension rend possible lrsquoeacutecriture de programmes (extensions) en langage interpreacuteteacute(XUL ou JavaScript entre autres) permettant lrsquoajout de fonctionnaliteacutes ou la personnalisation dunavigateur Contrairement aux plugins qui sont des programmes compileacutes les extensions srsquoexeacutecutentdans le processus du navigateur et sans systegraveme de permission permettant de restreindre les liberteacutesqui leur sont accordeacutees Il convient donc drsquoecirctre particuliegraverement vigilant eacutetant donneacute les risques deseacutecuriteacute non neacutegligeables qursquoelles introduisent
5 httpblogsadobecomsecurity201206inside-flash-player-protected-mode-for-firefoxhtml6 Les multiples avis de seacutecuriteacute peuvent ecirctre consulteacutes sur le site du CERT-FR (wwwcertssigouvfr)7 Un article de Mozilla explique lrsquoajout la mise agrave jour et la suppression drsquoextensions et de plugins pour Firefox par
base de registre httpsdevelopermozillaorgen-USdocsAdding_Extensions_using_the_Windows_Registry
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 5 sur 40
Ainsi une extension malveillante pourrait acceacuteder agrave des informations sensibles concernant la naviga-tion de lrsquoutilisateur puis les envoyer agrave un serveur illeacutegitime sur Internet Une extension peut eacutegalementintroduire de nouveaux comportements indeacutesirables suite agrave une mise agrave jour Rien ne laisse preacutesagerqursquoune extension aujourdrsquohui non malveillante ne le sera pas demain En parallegravele de nombreusesextensions preacutesentent des vulneacuterabiliteacutes qui peuvent ecirctre exploiteacutees (par le contenu des pages visiteacuteesou encore par courriels speacutecifiquement forgeacutes et consulteacutes par webmail) Ces extensions vulneacuterablespeuvent eacutegalement servir agrave exploiter par rebond les vulneacuterabiliteacutes drsquoeacuteventuels plugins activeacutes et ainsiobtenir un accegraves complet au systegraveme
R3 Ne deacuteployer que des extensions de confiance et neacutecessaires aux besoins meacutetiers
Note Dans le cas drsquoextensions deacuteveloppeacutees en interne il convient de precircter une attention particuliegravereagrave la seacutecuriteacute de leur code 8
Lrsquoajout la mise agrave jour et la suppression drsquoextensions pour Firefox de maniegravere centraliseacutee peut sefaire simplement dans la base de registre et par GPP (Group Policy Preferences)
421 SSLTLS et certificats
Firefox a comme particulariteacute drsquoutiliser ses propres bibliothegraveques de gestion des eacutechanges seacutecuriseacutesclientserveur deacuteveloppeacutees par la fondation Mozilla (bibliothegraveques NSS Network Security Services) cequi lui permet de disposer par exemple de son propre magasin de certificats et de sa propre liste deCRL (listes de reacutevocations de certificats) Il est ainsi possible drsquoappliquer des restrictions speacutecifiquesau navigateur sur certains certificats sans que cela ne srsquoapplique au systegraveme drsquoexploitation dans sonensemble ce qui le diffeacuterencie drsquoautres navigateurs Il est eacutegalement possible de restreindre simplementles versions de protocoles SSLTLS ainsi que les suites cryptographiques utiliseacutees Cette indeacutependancevis-agrave-vis du meacutecanisme fourni par le systegraveme drsquoexploitation lui confegravere une plus grande portabiliteacute etune souplesse dans sa configuration SSLTLS mais se traduit en contrepartie par une deacutemarche deseacutecurisation plus complexe
R4 Deacutesactiver lrsquoutilisation de SSL et nrsquoautoriser que les protocoles TLS v11 et supeacuterieures(la v10 eacutetant vulneacuterable) Pour aller plus loin il est eacutegalement possible de restreindreles suites cryptographiques utilisables en deacutesactivant celles reposant sur des algorithmesobsolegravetes comme RC4
Note Pour plus drsquoinformations le lecteur est inviteacute agrave se reacutefeacuterer agrave la section correspondante delrsquoannexe I ainsi qursquoaux publications de lrsquoANSSI 9 Par ailleurs les suites nrsquoutilisant pas de meacutecanismesde PFS (Perfect Forward Secrecy) devraient ideacutealement ecirctre deacutesactiveacutees elles aussi mais des difficulteacutesde navigation seraient agrave preacutevoir sur Internet du fait de lrsquo incompatibiliteacute avec de nombreux serveursWeb
Chaque utilisateur drsquoun poste de travail dispose de son propre profil Firefox Les informations deseacutecuriteacute relatives aux certificats sont stockeacutees pour chaque profil firefox dans 3 fichiers
ndash cert8db (objets accessibles publiquement certificats CRLs enregistrements SMIME) ndash key3db (cleacutes priveacutees mots de passe) ndash secmoddb (informations de configuration des modules de seacutecuriteacute)
8 Lrsquoarticle Security best practices in extensions expose certains fondamentaux agrave respecter pour le deacuteveloppementdrsquoextension seacutecuriseacutees httpsdevelopermozillaorgen-USAdd-onsSecurity_best_practices_in_extensions
9 La note laquo Recommandations de seacutecuriteacute concernant lrsquoanalyse des flux HTTPS raquo est disponible agrave lrsquoadresse httpwwwssigouvfrfrguides-et-bonnes-pratiquesrecommandations-et-guidesauthentification-et-mecanismes-cryptographiquesrecommandations-de-securite-concernant-l-analyse-des-flux-httpshtmlLrsquoarticle laquo SSLTLS eacutetat des lieux et recommandations raquo est disponible agrave lrsquoadresse httpwwwssigouvfrfranssipublicationspublications-scientifiquesarticles-de-conferencesssl-tls-etat-des-lieux-et-recommandationshtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 6 sur 40
Lrsquoaccegraves aux fichiers key3db et cert8db non chiffreacutes drsquoun profil Firefox permet la reacutecupeacuterationet la reacuteutilisation des certificats utilisateurs qursquoils contiennent Tout compte disposant de droits admi-nistrateurs sur un ordinateur a la possibiliteacute de reacutecupeacuterer lrsquoensemble des fichiers key3db et cert8dbqui y sont stockeacutes (voire tout utilisateur non privileacutegieacute dans le cas drsquoun systegraveme de fichiers FAT32) Laconfidentialiteacute des donneacutees utilisateurs nrsquoest donc pas assureacutee degraves lors que ces fichiers ne sont pas chiffreacutesLa deacutefinition drsquoun mot de passe principal deacuteclenche le chiffrement du fichier key3db par algorithme3DES-CBC avec une cleacute deacuteriveacutee de ce mot de passe La seacutecuriteacute apporteacutee par une telle mesure restemodeacutereacutee des outils performants permettent de rapidement retrouver ce mot de passe maicirctre par forcebrute Le stockage du profil Firefox dans un conteneur chiffreacute par une solution qualifieacutee par lrsquoANSSIpeut ecirctre dans certains cas la solution agrave privileacutegier
R5 Degraves lors que des certificats utilisateurs sont stockeacutes dans les magasins de certificats deFirefox il est recommandeacute drsquoassurer la seacutecuriteacute de leurs conteneurs de cleacutes priveacutees (fichierskey3db) par chiffrement
Tout utilisateur de Firefox peut aussi ajouter des certificats serveurs et des autoriteacutes de confiancedans son propre magasin de certificats Selon le contexte drsquoutilisation du navigateur il peut doncecirctre important de mettre en œuvre des mesures techniques permettant de maicirctriser les magasins decertificats des profils Firefox et de srsquoassurer de leur conformiteacute vis agrave vis de la strateacutegie de lrsquoentiteacute
R6 Maicirctriser les magasins de certificats des profils Firefox et notamment les autoriteacutes decertification racines de confiance et les certificats serveurs qui y sont configureacutes
Note lrsquoapplication de cette recommandation est simple degraves lors que les utilisateurs ne stockent pasde certificats utilisateurs dans leurs magasins de certificats Firefox mais cela devient plus compliqueacutedans le cas contraire La probleacutematique est abordeacutee plus en deacutetail en annexe III
Il agrave noter eacutegalement que depuis sa version 24 Firefox se deacutetourne de lrsquousage classique des CRLsen ligne au profit drsquoune liste de reacutevocations mise agrave jour reacuteguliegraverement pour consultation locale Lesbibliothegraveques NSS supportent toujours la gestion des CRLs classiques (modifiables par lrsquooutil crlutilet non plus par interface graphique) mais il est preacutevu qursquoelles ne soient plus utiliseacutees dans un avenirproche Les autoriteacutes de certification sont drsquoailleurs inviteacutees agrave envoyer leurs certificats reacutevoqueacutes agrave Mozillapour ecirctre inteacutegreacutes agrave la liste de reacutevocation maintenue par Mozilla 10
422 Gestionnaire de mots de passe
Le gestionnaire de mots de passe de Firefox permet de meacutemoriser les mots de passe saisis dansles formulaires Web Tout comme pour les magasins de certificats lrsquoutilisation drsquoun laquo mot de passeprincipal raquo 11 permet de chiffrer les mots de passe stockeacutes par un algorithme 3DES-CBC avec une cleacutedeacuteriveacutee du mot de passe principal La seacutecuriteacute apporteacutee par une telle mesure reste modeacutereacutee des outilsperformants permettent de rapidement retrouver ce mot de passe maicirctre par force brute Lrsquoutilisationdrsquoun gestionnaire de mots de passe alternatif seacutecuriseacute est donc conseilleacute
R7 Il est conseilleacute de deacutesactiver le gestionnaire de mots de passe pour imposer la saisiesysteacutematique de ces derniers Lrsquoapplication drsquoun tel durcissement est leacutegitime sur un reacuteseauameneacute agrave traiter des donneacutees sensibles ou confidentielles mais peut toutefois ecirctre difficileagrave imposer aux utilisateurs sur des reacuteseaux moins sensibles Sa deacutesactivation pourrait alorssrsquoaccompagner du deacuteploiement drsquoun gestionnaire de mots de passe alternatif et seacutecuriseacute 12
10 Le Wiki de Mozilla deacutetaille la probleacutematique de reacutevocation de certificats au sein de Firefox httpswikimozillaorgCAImprovingRevocation11 httpssupportmozillaorgfrkbutiliser-mot-passe-principal-proteger-identifiants
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 7 sur 40
423 Confidentialiteacute
Le lecteur est inviteacute agrave prendre connaissance de la laquo deacuteclaration de confidentialiteacute de Firefox raquo 13Selon les fonctionnaliteacutes activeacutees diverses informations sont susceptibles drsquoecirctre envoyeacutees agrave Mozilla Laplupart sont en rapport avec
ndash les informations lieacutees aux modules compleacutementaires installeacutes et le blocage automatique desmodules en liste noire
ndash les rapports de plantage ndash le service de mise agrave jour automatique ndash le service de protection contre les sites malveillants ndash le service de synchronisation Firefox Sync
Il est donc important de deacutesactiver certaines de ces fonctionnaliteacutes pour limiter les donneacutees envoyeacuteesagrave Mozilla
R8 Deacutesactiver les divers rapports disponibles de plantage de performance etc
R9 Deacutesactiver le service de synchronisation Firefox Sync
R10 La fonctionnaliteacute de blocage des sites contrefaits envoie agrave des fournisseurs tiers de Mozillales adresses Web des sites visiteacutes pour veacuterifier qursquoils ne soient pas connus comme eacutetantmalveillants et en bloquer lrsquoaccegraves si neacutecessaire Bien qursquoil soit conseilleacute de laisser ce filtreactiveacute pour des raisons de seacutecuriteacute une entiteacute pourra juger suffisamment confidentielles lesadresses des pages Web visiteacutees pour qursquoune deacutesactivation de ce meacutecanisme srsquoimpose
La navigation priveacutee ainsi que la protection contre le pistage (Do Not Track) sont des fonction-naliteacutes inteacuteressantes du point de vue du respect de la vie priveacutee lors de la navigation sur Internetet qui pourraient ecirctre deacutesactiveacutees pour de la navigation en Intranet La strateacutegie de configurationdes paramegravetres de confidentialiteacute deacutependra donc du peacuterimegravetre drsquoutilisation du navigateur Degraves lors quele navigateur Firefox dispose drsquoune connectiviteacute agrave Internet les recommandations suivantes srsquoappliquent
R11 Activer les fonctionnaliteacutes de protection de la confidentialiteacute (anti pistage navigationpriveacutee suppression des donneacutees priveacutees etc) lorsque le navigateur nrsquoest pas deacutedieacute agrave unenavigation Intranet
Note Le nouveau standard de protection contre le-pistage (Do Not Track) nrsquoest qursquoune sollicitation duclient Sa prise en compte par les serveurs Web ne deacutepend donc que de leurs pratiques de confidentialiteacuterespectives et nrsquoapporte aucune garantie au client
R12 Interdire les fonctions de geacuteolocalisation
R13 Degraves lors que la confidentialiteacute des recherches est jugeacutee primordiale il conviendra drsquoimposerun moteur de recherche de confiance et de deacutesactiver les fonctionnaliteacutes de rechercheinstantaneacutee ou de suggestion de recherche
12 KeePass est un exemple de solution disposant drsquoun certificat de seacutecuriteacute de premier niveau (CSPN) deacutelivreacute parlrsquoANSSI qui peut ecirctre utiliseacutee avec Firefox13 Deacuteclaration disponible en anglais agrave lrsquoadresse
httpwwwmozillaorgen-USlegalprivacyfirefoxhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 8 sur 40
424 Moteur de recherche par deacutefaut
Imposer un moteur de recherche et certains paramegravetres de recherche peut avoir un sens dans certainscontextes Crsquoest le cas principalement lorsque le navigateur se trouve deacutedieacute agrave lrsquoIntranet Lrsquoentiteacute pourraalors imposer et configurer le moteur de recherche de lrsquoIntranet Ces regravegles de configuration peuventeacutegalement avoir une utiliteacute pour la recherche sur Internet si par exemple lrsquoentiteacute veut imposer unmoteur de recherche franccedilais qui srsquoappuie sur une connexion chiffreacutee En parallegravele lrsquoentiteacute peut alorsbloquer lrsquoaccegraves aux adresses des moteurs de recherche qursquoelle souhaite interdire
R14 Pour des questions de respect de la vie priveacutee il est conseilleacute drsquoimposer un moteur derecherche srsquoappuyant sur une connexion chiffreacutee (HTTPS)
Note Cela nrsquoempecircche pas lrsquointerception des donneacutees par le moteur de recherche ce dernier eacutetant danstous les cas destinataire des donneacutees de recherche en clair
425 Filtrage de contenu
Le filtrage du contenu participe agrave renforcer la seacutecuriteacute de la navigation en bloquant les contenuspotentiellement malveillants Certains meacutecanismes de filtrage peuvent toutefois avoir une incidence surla faculteacute des utilisateurs agrave naviguer sur certains sites
R15 Activer les fonctionnaliteacutes de filtrage de contenu telles que la navigation seacutecuriseacutee(protection contre le hameccedilonnage et les logiciels malveillants) ou la Content SecurityPolicy 14
R16 Interdire ou a minima restreindre les scripts les contenus mixtes actifs 15 les cookies tiersetc
La section correspondante de lrsquoannexe I liste en deacutetail le parameacutetrage recommandeacute pour ces types decontenus
426 Page(s) drsquoaccueil
Si le navigateur est configureacute pour restaurer la session preacuteceacutedente les donneacutees ainsi que les cookiesde session seront sauvegardeacutes puis restaureacutes au prochain deacutemarrage du navigateur (sauf en mode denavigation priveacutee) Il est alors possible de reacutecupeacuterer ces cookies sauvegardeacutes pour srsquoauthentifier agrave laplace de lrsquoutilisateur sans mot de passe voire de reacutecupeacuterer une session HTTPS preacutealablement initieacutee
R17 Il est preacutefeacuterable que le navigateur nrsquoenregistre pas les sessions de navigation Lors dudeacutemarrage du navigateur (apregraves un arrecirct normal ou brusque) il est en effet conseilleacutede ne pas restaurer la session preacuteceacutedente de lrsquoutilisateur mais drsquoafficher une(des) page(s)connue(s) et de confiance
427 Serveur mandataire
Il est primordial de controcircler les flux non seulement en entreacutee mais eacutegalement en sortie Lorsqursquounindividu malveillant atteint en inteacutegriteacute un poste de travail il peut ensuite proceacuteder agrave lrsquoeacutetablissementdrsquoun canal de controcircle depuis le poste de travail vers un serveur situeacute sur Internet Lrsquoutilisation de
14 Cette couche de seacutecuriteacute qui permet de se preacutemunir contre certains types drsquoattaques est deacutetailleacutee dans un article duMozilla Developer Network httpsdevelopermozillaorgen-USdocsWebSecurityCSPIntroducing_Content_Security_Policy15 httpsdevelopermozillaorgen-USdocsSecurityMixedContent
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 9 sur 40
serveurs mandataires avec authentification peut donc bloquer des connexions sortantes malveillantesIl srsquoavegravere alors judicieux drsquoimposer lrsquoutilisation du serveur mandataire (proxy) par configuration cen-traliseacutee sur les postes utilisateurs
R18 Privileacutegier lrsquoutilisation de serveurs mandataires avec authentification
Note Cette recommandation peut ecirctre renforceacutee par des regravegles de filtrage de pare-feu
428 Authentification HTTP
Il est possible de durcir la seacutecuriteacute des authentifications utilisant NTLM 16 ou SPNEGO 17 surFirefox degraves lors que lrsquoune drsquoentre elles est utiliseacutee par lrsquoentiteacute qui le deacuteploie Il est par exemplerecommandeacute de speacutecifier la liste des serveurs autoriseacutes agrave engager une authentification SPNEGO ouune authentification NTLM automatique
R19 Speacutecifier la liste des serveurs autoriseacutes agrave engager une authentification SPNEGO ou uneauthentification NTLM automatique
Note Lrsquoutilisation de NTLM nrsquoest pas conseilleacutee Kerberos eacutetant le protocole drsquoauthentification agraveprivileacutegier
429 Peacuterimegravetre de navigation
Il est recommandeacute de restreindre le peacuterimegravetre de navigation en interdisant certains scheacutemas drsquoadressesavec les protocol-handlers
R20 Interdire a minima le scheacutema drsquoadresses file pour un navigateur deacutedieacute agrave la navigationsur Internet de maniegravere agrave eacuteviter des accegraves arbitraires au systegraveme de fichiers Le scheacutemaftp pourrait eacutegalement ecirctre interdit au profit de lrsquoutilisation drsquoun client FTP tiers
Note Lrsquoutilisation du navigateur Firefox ne sera alors plus possible pour afficher des pages htmldirectement depuis un systegraveme de fichiers (CD-ROM disque local ou distant via un partage reacuteseauetc)
Ces listes preacutesentent eacutegalement un inteacuterecirct particulier dans le cadre drsquoune strateacutegie de doublenavigateur Ce sujet est deacutetailleacute en section laquo Strateacutegie de double navigateur raquo
4210 Administration systegraveme et maintenance
Divers paramegravetres de Firefox relegravevent de sa maintenance et certaines preacutecautions doivent ecirctreprises pour eacuteviter des problegravemes de compatibiliteacute de confidentialiteacute des donneacutees utilisateurs voire dedisponibiliteacute des postes de travail La liste complegravete de ces paramegravetres figure en annexe I
43 Teacuteleacute-deacuteploiement initial
Firefox au mecircme titre que les autres logiciels devrait ideacutealement ecirctre installeacute sur les postes detravail par teacuteleacute-deacuteploiement Une telle meacutethode de deacuteploiement est un des fondamentaux drsquoun systegravemedrsquoinformation controcircleacute et maicirctriseacute En effet il permet de maicirctriser les installations drsquohomogeacuteneacuteiser les
16 NTLM (NT Lan Manager) est une suite de protocoles drsquoauthentification de Microsoft qui ne supporte pas lesmeacutethodes cryptographiques reacutecentes comme AES ou SHA-25617 SPNEGO (Simple and Protected GSSAPI Negociation Mechanism) est un standard qui permet de neacutegocier de
lrsquoauthentification Kerberos NTLM ainsi que drsquoautres protocoles supporteacutes pour le systegraveme SPNEGO est eacutegalementconnu sous le nom du protocole drsquoauthentification laquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 10 sur 40
versions et configurations mais aussi de proceacuteder aux mises agrave jour de maniegravere reacuteactive et efficace
Le teacuteleacute-deacuteploiement de logiciel peut se faire de plusieurs maniegraveres ndash au format MSI par GPO (strateacutegies de groupe pour la gestion centraliseacutee) dans un domaine
Microsoft Active Directory Attention toutefois puisque Mozilla ne fournit Firefox qursquoau formatexeacutecutable il sera donc neacutecessaire de construire un package Firefox au format MSI Des eacutediteurstiers proposent de tels paquets mais ces eacutediteurs nrsquooffrent pas de garantie forte de lrsquointeacutegriteacute deslogiciels qursquoils fournissent Il est par conseacutequent preacutefeacuterable que lrsquoorganisation utilisatrice geacutenegravereses propres fichiers MSI
ndash au format exeacutecutable agrave lrsquoaide drsquoun outil de gestion de parc ou de tout autre produit tiers preacutevuagrave cet effet
44 Gestion des mises agrave jour
La mise agrave jour reacuteactive du navigateur est primordiale pour se preacutemunir des vulneacuterabiliteacutes reacuteguliegravere-ment deacutetecteacutees et corrigeacutees Lrsquoutilisation drsquoun navigateur preacutesentant des vulneacuterabiliteacutes connues par despersonnes malveillantes expose le poste de travail agrave une attaque Deux strateacutegies diffeacuterentes de mise agravejour de Firefox peuvent alors ecirctre envisageacutees
ndash la premiegravere consiste agrave simplement laisser la configuration par deacutefaut le navigateur va alorsautomatiquement teacuteleacutecharger les mises agrave jour aupregraves des serveurs de Mozilla Il convient dans cecas de srsquoassurer que les postes de travail sont en mesure drsquoacceacuteder aux serveurs de mise agrave jour deMozilla sur Internet ideacutealement au travers du proxy drsquoentreprise qui pourra notamment mettreen cache les binaires
ndash la configuration alternative consiste agrave remplacer lrsquoURL de mise agrave jour (agrave lrsquoaide du paramegravetre deconfiguration appupdateurloverride) 18 par une URL locale qui mettra les mises agrave jour agravedisposition des postes de travail
Le tableau suivant syntheacutetise les avantages et inconveacutenients des deux meacutethodes
Meacutethode Avantages Inconveacutenientsclassique par deacutefautles navigateurs se mettentagrave jour automatiquementaupregraves des serveurs deMozilla par Internet
- mise en œuvre aiseacutee par les servicesinformatiques - haut taux de disponibiliteacute desserveurs de mise agrave jour de Mozilla
- ne permet pas aux ser-vices informatiques de testeret valider les mises agrave jouravant leur deacuteploiement no-tamment lors de lrsquoutilisationdrsquoapplications Web meacutetier peureacutepandues - peu adapteacute pour un naviga-teur deacutedieacute agrave lrsquoIntranet
controcircleacutee la mise agrave jourautomatique de Firefox estdeacutesactiveacutee et les servicesinformatiques mettent lesmises agrave jour agrave dispositiondes postes de travail depuisun serveur local
- permet de tester et valider les misesagrave jour avant deacuteploiement - permet drsquoadapter les configu-rations centraliseacutees du navigateurpour tenir compte des eacuteventuellesnouvelles fonctionnaliteacutes avant deacute-ploiement - permet de bloquer tout le trafic agravedestination des serveurs de Mozilla
- freine la reacuteactiviteacute des misesagrave jour - neacutecessite des moyens hu-mains importants
18 Pour plus drsquoinformations sur la mise en œuvre drsquoun serveur de mises agrave jour local httpsdevelopermozillaorgen-USdocsMozillaSetting_an_update_server
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 11 sur 40
Il sera nettement moins risqueacute (du point de la compatibiliteacute) de retenir le mode classique (automa-tique) pour les versions ESR de Firefox eacutetant donneacute que les mises agrave jour concernent des correctifs deseacutecuriteacute agrave haut risque et nrsquoapportent aucune nouvelle fonctionnaliteacute En revanche les versions standardsde Firefox peuvent recevoir des mises agrave jour fonctionnelles importantes qursquoil serait plus pertinent decontrocircler preacutealablement
La probleacutematique des mises agrave jour concerne eacutegalement les extensions Bien qursquoil soit recommandeacutede les interdire dans le cadre drsquoune configuration durcie une entiteacute peut vouloir en deacuteployer certainespour de bonnes raisons La mise agrave jour des extensions est indeacutependante du meacutecanisme de mise agravejour du navigateur Elles peuvent ecirctre mises agrave jour automatiquement (comportement par deacutefaut) oumanuellement quelle que soit la strateacutegie de mise agrave jour choisie pour le navigateur
Le maintien en conditions de seacutecuriteacute des plugins devra par ailleurs ecirctre geacutereacute indeacutependamment dunavigateur chaque plugin ayant ses speacutecificiteacutes quant aux meacutecanismes de mise agrave jour utiliseacutes
Concernant le service Mozilla Maintenance Service (service chargeacute des mises agrave jour de Firefox) cedernier srsquoexeacutecute avec les droits qui lui sont propres pour la mise agrave jour du navigateur et ce quels quesoient les droits de lrsquoutilisateur
5 Strateacutegie de double navigateur
La seacutecuriteacute des systegravemes drsquoinformation impose souvent un navigateur qui doit ecirctre durci pourlrsquoaccegraves agrave Internet mais plus permissif pour lrsquoaccegraves aux applications internes Lorsque certains serveursWeb internes utilisent des appliquettes Java par exemple neacutecessitant le deacuteploiement de modulescompleacutementaires Java le navigateur finit par avoir une surface drsquoattaque tregraves importante et exposeainsi lrsquoentiteacute agrave un des vecteurs drsquoattaque les plus critiques et massivement exploiteacutes 19
Pour traiter cette probleacutematique lorsqursquoelles disposent des ressources neacutecessaires en particulierpour en assurer le maintien en conditions de seacutecuriteacute de plus en plus drsquoentiteacutes srsquoorientent vers lrsquousagede deux navigateurs diffeacuterents Il devient alors possible
ndash drsquoen deacutedier un agrave la navigation sur Internet De par sa configuration durcie sa surface drsquoattaqueest reacuteduite au maximum Il est maintenu en conditions de seacutecuriteacute avec la plus grande attentionLes eacutequipes de veille scrutent la moindre vulneacuterabiliteacute dont le navigateur Internet fait lrsquoobjetLes eacutequipements de filtrage et drsquoanalyse du trafic sont utiliseacutes pour repeacuterer tout comportementsuspect de navigation sur Internet
ndash drsquoen deacutedier un deuxiegraveme agrave lrsquoaccegraves aux serveurs internes neacutecessitant par exemple un module com-pleacutementaire qui peut faire lrsquoobjet de vulneacuterabiliteacutes freacutequentes ou qui neacutecessite une configurationplus permissive Il est alors possible de le configurer pour permettre uniquement lrsquoaccegraves et lrsquousagede lrsquoensemble des sites et applications leacutegegraveres de lrsquoIntranet
Une telle strateacutegie de double navigateur doit neacutecessairement srsquoaccompagner de mesures de seacutecuriteacutetechniques permettant de garantir le peacuterimegravetre drsquoutilisation de chaque navigateur par des paramegravetresde configuration verrouilleacutes Le tableau suivant en donne quelques exemples
19 Voir les recommandations de seacutecuriteacute publieacutees par lrsquoANSSI relatives aux environnements drsquoexeacute-cution Java sur les postes de travail Microsoft Windows agrave lrsquoadresse httpwwwssigouvfrfrguides-et-bonnes-pratiquesrecommandations-et-guidessecurite-du-poste-de-travail-et-des-serveursrecommandations-de-securite-relatives-aux-environnements-d-execution-java-surhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 12 sur 40
Composant Action ValeurServeur mandataire Autoriser User-Agent du navigateur Internet (ou plus strictement de la
derniegravere version de ce dernier)Bloquer Tout autre User-Agent non autoriseacute
Pare-feu locaux despostes de travail
Autoriser TCP en sortie vers le serveur mandataire depuis - le processus du navigateur Internet (chemin complet delrsquoexeacutecutable) - les autres processus eacuteventuels autoriseacutes agrave acceacuteder agrave Internetvia le serveur mandataire
Bloquer TCP en sortie vers le serveur mandataire depuis tout autreprocessus
Pare-feu de passerelleInternet
Autoriser TCP en sortie vers les ports 443 et 80 depuis - lrsquoIP source du serveur mandataire - les autres IP sources eacuteventuelles autoriseacutees agrave sortir en directsur Internet sans passer par le serveur mandataire
Bloquer TCP en sortie vers ports 443 et 80 depuis toute autre IP sourceApplocker (ou SRP) surles postes de travail
Autoriser lrsquoexeacutecution Chemin complet de lrsquoexeacutecutable des navigateurs autoriseacutes
Bloquer lrsquoexeacutecution Tout autre exeacutecutable de navigateur interdit
Les regravegles de configuration deacutecrites en annexe I section laquo Peacuterimegravetre de navigation raquo permettentalors de mettre en œuvre une partie de ces mesures de seacutecuriteacute et de restreindre le peacuterimegravetre denavigation possible de chacun des navigateurs
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 13 sur 40
Les figures suivantes illustrent de maniegravere syntheacutetique les mesures de seacutecuriteacute appliqueacutees agrave unestrateacutegie de double navigateur
Figure 1 ndash Illustration drsquoune strateacutegie de double navigateur cas ougrave Firefox est utiliseacute commenavigateur Internet
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 14 sur 40
Figure 2 ndash Illustration drsquoune strateacutegie de double navigateur cas ougrave Firefox est utiliseacute commenavigateur Intranet
Ces figures illustrent deux cas distincts Le navigateur Firefox y est repreacutesenteacute mais la strateacutegieserait eacutequivalente avec drsquoautres navigateurs
Les regravegles de configuration recommandeacutees en annexe I se precirctent agrave un contexte ougrave le navigateur estdeacutedieacute agrave la navigation sur Internet
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 15 sur 40
Annexe I Strateacutegies de seacutecurisation de Firefox
Cette annexe liste sous forme de tableaux les valeurs recommandeacutees permettant de mettre en œuvreles recommandations formuleacutees dans cette note technique La liste des paramegravetres de configurationdisponibles est sujette agrave des eacutevolutions freacutequentes et certains sont peu voire pas documenteacutes Lesrecommandations et leurs indications de mise en œuvre figurant dans ce document sont baseacutees sur lesparamegravetres de configuration de Firefox dans sa version ESR 31 Ces derniers pourront ecirctre adapteacutesselon la version du navigateur deacuteployeacutee agrave la date de lecture du document
Depuis un navigateur Firefox il est possible drsquoafficher et de modifier les paramegravetres de configurationappliqueacutes en tapant aboutconfig dans la barre drsquoadresse Les paramegravetres verrouilleacutes sont afficheacutes enitalique La page aboutsupport affiche quant agrave elle un reacutecapitulatif des informations systegravemes etde version ainsi que les modifications importantes apporteacutees agrave la configuration par deacutefaut du navigateur
En environnement professionnel il est conseilleacute de deacuteployer une configuration de maniegravere centraliseacuteecomme expliqueacute en annexe II Pour un usage personnel de Firefox il est eacutegalement possible de srsquoinspirerde tout ou partie des paramegravetres indiqueacutes dans ce document agrave partir de la page aboutconfig
Seacutecuriteacute des modules compleacutementaires
Les regravegles de configuration preacutefixeacutees par le terme laquo extensions raquo ne srsquoappliquent pas toujoursuniquement aux extensions comme elles pourraient le laisser entendre mais parfois plus largementaux plugins voire aux modules compleacutementaires dans leur ensemble Il convient donc drsquoecirctre vigilantquant au peacuterimegravetre reacuteel drsquoapplication des regravegles de configuration dont les noms pourraient precircter agraveconfusion
Nom de strateacutegie Description Valeur recommandeacuteeextensionsautoDisableScopes Les extensions peuvent
ecirctre deacutesactiveacuteesautomatiquement enfonction de leur localisation
3 (les extensions deacuteposeacutees dans le profil Firefox delrsquoutilisateur ou dans le profil utilisateur Windowsseront automatiquement deacutesactiveacutees20)
extensionsenabledScopes Les extensions peuvent ecirctreactiveacutees automatiquementen fonction de leurlocalisation21
12 (seules les extensions reacutefeacuterenceacutees par une entreacutee enbase de registres22 ou deacuteposeacutees dans le sous-dossierdrsquoextensions agrave lrsquoemplacement de lrsquoexeacutecutable FireFoxseront activeacutees Attention ce paramegravetre a prioriteacute surextensionsautoDisableScopes
20 Contrairement agrave ce qursquoindique la MozillaZine Knownledge Base le paramegravetre extensionsautoDisableScopes nepermet pas de deacutesactiver un plugin pour ce faire il convient drsquoutiliser les paramegravetres pluginstatex21 Pour plus drsquoinformations sur le paramegravetre extensionsenabledScopes httpsdevelopermozillaorgen-US
Add-onsInstalling_extensions22 Article de Mozilla expliquant lrsquoajout la mise agrave jour et la suppression drsquoextensions ou de plugins pour Firefox par
base de registre httpsdevelopermozillaorgen-USdocsAdding_Extensions_using_the_Windows_Registry
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 16 sur 40
Nom de paramegravetre Description Valeur recommandeacuteeextensionsblocklistenabled Teacuteleacutechargement reacutegulier drsquoune
liste noire de modules reacutefeacuterenceacutescomme eacutetant malveillants
false si seuls les modules teacuteleacute-deacuteployeacutes par leseacutequipes informatique sont installeacutes ou true silrsquoutilisateur est en mesure drsquoinstaller des moduleslui-mecircme
extensionsblocklistdetailsURL
URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules
Celle par deacutefaut (httpswwwmozillaorgLOCALEblocklist)
extensionsblocklistitemURL URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules(variante)
Celle par deacutefaut (httpsaddonsmozillaorgLOCALEAPPblockedblockID)
extensionsblocklistinterval Intervalle de teacuteleacutechargement dela liste noire de modules ensecondes
86400 (soit 1 fois par jour)
extensionsblocklistlevel Niveau de blocage 2 (pour bloquer les extensions de la liste)extensionsblocklisturl Adresse de teacuteleacutechargement de la
liste noire de modulesCelle par deacutefaut (httpsaddonsmozillaorgblocklist3APP_IDAPP_VERSIONPRODUCTBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONPING_COUNTTOTAL_PING_COUNTDAYS_SINCE_LAST_PING)
extensionsenabledAddons Modules activeacutes au deacutemarragede Firefox
Mettre agrave vide
pdfjsdisabled Deacutesactiver la visionneuse PDFinteacutegreacutee agrave Firefox (pdfjs)
true pour que lrsquoutilisateur teacuteleacutecharge les PDF etles visionne via un lecteur PDF tiers maintenu enconditions de seacutecuriteacute par lrsquoentiteacute et ne faisant paslrsquoobjet de vulneacuterabiliteacutes freacutequentes ou false pourautoriser lrsquousage du lecteur de PDF inteacutegreacute
pluginstateflash Configuration drsquoactivation duplugin Flash
1 (demander lrsquoautorisation agrave lrsquoutilisateur avantchaque exeacutecution du plugin Flash) ou 2 (toujoursactiver) au choix de lrsquoentiteacute et en fonction desutilisateurs et des contraintes de seacutecuriteacute
pluginstatejava Configuration drsquoactivation duplugin Java
0 pour ne jamais activer le plugin Java (agrave moinsque lrsquoentiteacute souhaite utiliser ce plugin malgreacute lesrisques de seacutecuriteacute encourus auquel cas la valeuragrave donner serait 1 pour demander lrsquoautorisation agravelrsquoutilisateur agrave chaque exeacutecution du plugin Java)
pluginstatex Configuration drsquoactivation duplugin x ougrave x est agrave remplacerpar le nom court du pluginagrave deacutesactiver (exemple npctrlpour Microsoft Silverlight Lesnoms courts des plugins sontindiqueacutes en affichant leurs infor-mations deacutetailleacutees depuis lrsquointer-face graphique)
0 pour ne jamais activer le plugin ou 1 pourdemander lrsquoautorisation agrave lrsquoutilisateur avant chaqueexeacutecution du plugin
plugindefaultstate Configuration drsquoactivation desautres plugins
0 pour ne jamais activer un plugin non explicite-ment autoriseacute par les regravegles preacuteceacutedentes
plugindefaultXpistate Configuration drsquoactivation desautres plugins au format XPI
0 pour ne jamais activer un plugin au format XPInon explicitement autoriseacute par les regravegles preacuteceacute-dentes
pluginsclick_to_play Cliquer pour lire le contenu neacute-cessitant un plugin
true pour activer le mode laquo Cliquer pour lire raquo
pluginsload_appdir_plugins Chargement automatique desplugins depuis des emplace-ments utiliseacutes avant Firefox 21
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 17 sur 40
Eacutetant donneacute que seuls les modules compleacutementaires teacuteleacute-deacuteployeacutes par les eacutequipes informatiquessont autoriseacutes il est recommandeacute de bloquer toute possibiliteacute drsquoajout de modules compleacutementaires parlrsquoutilisateur
Nom de strateacutegie Description Valeur recommandeacuteeextensionsgetAddonsgetWithPerformanceurl
URL de reacutecupeacuteration drsquoun module compleacutementaire Mettre agrave vide
extensionsgetAddonsmaxResults Nombre de reacutesultats maximum 0extensionsgetAddonsgeturl URL de consultation drsquoun module compleacutementaire Mettre agrave videextensionsgetAddonsrecommendedbrowseURL
URL de consultation des modules compleacutementairesrecommandeacutes
Mettre agrave vide
extensionsgetAddonsrecommendedurl
URL de consultation des modules compleacutementairesrecommandeacutes par API
Mettre agrave vide
extensionsgetAddonssearchbrowseURL
URL de recherche de modules compleacutementaires Mettre agrave vide
extensionsgetAddonssearchurl URL de recherche de modules compleacutementaires parAPI
Mettre agrave vide
extensionsgetAddonsshowPane Afficher le panneau drsquoajout de modules compleacutemen-taires
false
extensionshideInstallButton Cacher le bouton drsquoinstallation manuelle drsquoextensions true
extensionswebservicediscoverURL URL du catalogue drsquoextensions Mettre agrave videxpinstallenabled Autoriser lrsquoinstallation manuelle de modules au format
XPIfalse
xpinstallwhitelistrequired Obligation pour une archive XPI drsquoecirctre en liste blanchepour ecirctre installeacutee manuellement
true
xpinstallwhitelistaddxpinstallwhitelistadd
Liste blanche drsquoarchives XPI pouvant ecirctre installeacuteesmanuellement
Mettre agrave vide
Pour finir lrsquoentiteacute devra choisir sa strateacutegie de mise agrave jour des extensions teacuteleacute-deacuteployeacutees Lrsquoentiteacutequi voudra teacuteleacute-deacuteployer elle-mecircme les versions agrave jour des modules compleacutementaires apregraves une phase devalidation optera pour le parameacutetrage donneacute ci-dessous la responsabiliteacute du maintien en conditions deseacutecuriteacute sera alors deacuteporteacutee sur les services informatiques en charge du deacuteploiement de ces mises agrave jourDans le cas contraire les valeurs par deacutefaut permettent une mise agrave jour automatique des extensionspar Internet
Nom de strateacutegie Description Valeur recommandeacuteeextensionshotfixcertcheckAttributes
Veacuterifie les attributs du certificat de signature descorrectifs teacuteleacutechargeacutes
true
extensionshotfixcerts1sha1Fingerprint
Empreintes attendues du certificat de signature descorrectifs teacuteleacutechargeacutes
Laisser la valeur par deacutefaut(9153980CC186DF478F35229E11C9A7310449A1AA en date dereacutedaction de ce document)
extensionsupdateautoUpdateDefault
Teacuteleacutecharger et installer automatiquement les mises agravejour drsquoextensions
false
extensionsupdatebackgroundURL
URL de teacuteleacutechargement des mises agrave jour drsquoextensionsen arriegravere plan
Mettre agrave vide
extensionsupdateenabled Activer la mise agrave jour des extensions false
extensionsupdateinterval Intervalle de teacuteleacutechargement des mises agrave jour desextensions
86400 (soit 1 fois par jour)
pluginsupdatenotifyUser Notifier lrsquoutilisateur de la preacutesence drsquoune mise agrave jourpour ses modules compleacutementaires
false
pluginsupdateurl URL de mise agrave jour des modules compleacutementaires Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 18 sur 40
SSLTLS et certificats
Le parameacutetrage des suites cryptographiques autoriseacutees peut engendrer des problegravemes de compa-tibiliteacute selon le contexte Il est donc leacutegitime de preacutefeacuterer ne pas modifier la configuration par deacutefautDans un soucis de durcissement les recommandations suivantes pourraient toutefois ecirctre appliqueacutees
Nom de paramegravetre Description Valeur recommandeacuteesecurityssl3dhe_dss_aes_128_sha Autoriser ssl3dhe_dss_aes_128_sha false
securityssl3dhe_dss_aes_256_sha Autoriser ssl3dhe_dss_aes_256_sha false
securityssl3dhe_dss_camellia_128_sha Autoriser ssl3dhe_dss_camellia_128_sha false
securityssl3dhe_dss_camellia_256_sha Autoriser ssl3dhe_dss_camellia_256_sha false
securityssl3dhe_rsa_aes_128_sha Autoriser ssl3dhe_rsa_aes_128_sha true
securityssl3dhe_rsa_aes_256_sha Autoriser ssl3dhe_rsa_aes_256_sha true
securityssl3dhe_rsa_camellia_128_sha Autoriser ssl3dhe_rsa_camellia_128_sha false
securityssl3dhe_rsa_camellia_256_sha Autoriser ssl3dhe_rsa_camellia_256_sha false
securityssl3dhe_rsa_des_ede3_sha Autoriser ssl3dhe_rsa_des_ede3_sha false
securityssl3ecdhe_ecdsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_ecdsa_aes_128_gcm_sha256
true
securityssl3ecdhe_ecdsa_aes_128_sha Autoriser ssl3ecdhe_ecdsa_aes_128_sha true
securityssl3ecdhe_ecdsa_aes_256_sha Autoriser ssl3ecdhe_ecdsa_aes_256_sha true
securityssl3ecdhe_ecdsa_rc4_128_sha Autoriser ssl3ecdhe_ecdsa_rc4_128_sha false
securityssl3ecdhe_rsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_rsa_aes_128_gcm_sha256
true
securityssl3ecdhe_rsa_aes_128_sha Autoriser ssl3ecdhe_rsa_aes_128_sha true
securityssl3ecdhe_rsa_aes_256_sha Autoriser ssl3ecdhe_rsa_aes_256_sha true
securityssl3ecdhe_rsa_des_ede3_sha Autoriser ssl3ecdhe_rsa_des_ede3_sha false
securityssl3ecdhe_rsa_rc4_128_sha Autoriser ssl3ecdhe_rsa_rc4_128_sha false
securityssl3rsa_aes_128_sha Autoriser ssl3rsa_aes_128_sha true
securityssl3rsa_aes_256_sha Autoriser ssl3rsa_aes_256_sha true
securityssl3rsa_camellia_128_sha Autoriser ssl3rsa_camellia_128_sha false
securityssl3rsa_camellia_256_sha Autoriser ssl3rsa_camellia_256_sha false
securityssl3rsa_des_ede3_sha Autoriser ssl3rsa_des_ede3_sha false
securityssl3rsa_fips_des_ede3_sha Autoriser ssl3rsa_fips_des_ede3_sha false
securityssl3rsa_rc4_128_md5 Autoriser ssl3rsa_rc4_128_md5 false
securityssl3rsa_rc4_128_sha Autoriser ssl3rsa_rc4_128_sha false
securityssl3rsa_seed_sha Autoriser ssl3rsa_seed_sha false
Autres paramegravetres
Nom de paramegravetre Description Valeur recommandeacuteesecuritytlsversionmax Version maximum de
SSLTLS3 (ce qui correspond agrave TLS 12)
securitytlsversionmin Version minimum de SSLTLS 2 (ce qui correspond agrave TLS 11)securitysslallow_unrestricted_renego_everywhere__temporarily_available_pref
Activer la reneacutegociation SSL false pour remeacutedier agrave une attaque parle milieu connue
securitysslenable_false_start Activer laquo SSL False Start raquo false car non standardiseacute et amenantde potentielles vulneacuterabiliteacutes
securitysslenable_ocsp_stapling Activer lrsquoOCSP stapling23 true
23 httpsblogmozillaorgsecurity20130729ocsp-stapling-in-firefox
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 19 sur 40
Nom de paramegravetre Description Valeur recommandeacuteesecuritysslrequire_safe_negotiation
Neacutecessite une neacutegociation SSL qui nrsquoutilisepas une ancienne version SSLTLS vul-neacuterable agrave des attaques par le milieu
true est la valeur ideacuteale en termesde seacutecuriteacute mais false reste conseilleacutepour eacuteviter que de nombreux sitescouramment visiteacutes ne soient plus uti-lisables
securitysslrenego_unrestricted_hosts
Liste drsquohocirctes autoriseacutes agrave faire de la reneacute-gociation SSL avec drsquoanciennes versionsvulneacuterables du protocole
Liste drsquohocirctes seacutepareacutes par des virgules(ne supportant pas les wildcards)et qursquoil est utile de renseigner sisecuritysslrequire_safe_negotiationest configureacute agrave true
securityssltreat_unsafe_negotiation_as_broken
Informer lrsquoutilisateur (cadenas casseacute rougedans la barre de status) lorsque les neacutegoci-ations SSLTLS sont non seacutecuriseacutees
true
networkstricttransportsecuritypreloadlist
Charger la liste de sites deacuteclareacutes commeutilisant HSTS (HTTP Strict TransportSecurity24)
true
networkwebsocketallowInsecureFromHTTPS
Autoriser les WebSockets non seacutecuriseacuteepour un site consulteacute en HTTPS
false
securityOCSPenabled Activer OCSP 2 pour veacuterifier le certificat agrave partir delrsquoURL de service OCSP et de lrsquoautoriteacutede certification ayant signeacute le certifi-cat Notons que cette fonctionnaliteacuteest critiqueacutee pour des questions delatence des reacutepondeurs OCSP (de lrsquoor-dre de 300ms pour les plus rapides agraveplus drsquoune seconde pour les plus lents)OCSP tend donc agrave ecirctre remplaceacute pardes listes locales de certificats reacutevo-queacutes dans drsquoautres navigateurs maisFirefox ne dispose pas encore drsquounetelle liste Une entiteacute ayant des con-traintes particuliegraveres quant agrave la la-tence induite par OSCP pourrait opterpour une deacutesactivation drsquoOCSP avecla valeur 0
securityOCSPrequire Neacutecessite la validation du certificat parOCSP avant de continuer la navigation surle site
true si securityOCSPenabled a eacuteteacuteconfigureacute agrave true ou false dans le cascontraire
securitycert_pinningenforcement_level
Niveau de certificate pinning (eacutepinglage decertificats)25(agrave partir de Firefox 32)
2 pour utiliser lrsquoeacutepinglage strict
Gestionnaire de mots de passe
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownpasswords Effacer les mots de passe enregistreacutes agrave la
fermeture du navigateurtrue
signonrememberSignons Active le gestionnaire de mots de passe false
signonautofillForms Remplissage automatique des formulairesde login
false
24 httpsdevelopermozillaorgfrdocsSC3A9curitC3A9HTTP_Strict_Transport_Security25 Lrsquoeacutepinglage de certificats permet drsquoavoir une base locale de certificats connus et attendus pour certains sites Web
consulteacutes en HTTPS Ainsi si le certificat preacutesenteacute par le serveur est valide en tous points de vue mais nrsquoest pas lecertificat attendu la connexion sera coupeacutee Ce meacutecanisme permet drsquoeacuteviter une attaque par le milieu preacutesentant un fauxcertificat issu drsquoune autoriteacute de certification de confiance
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 20 sur 40
Confidentialiteacute
Il nrsquoexiste pas en date de reacutedaction de cette note de regravegle globale pour la deacutesactivation de FirefoxSync Sa deacutesactivation se fait par conseacutequent agrave travers plusieurs regravegles de configuration
Nom de paramegravetre Description Valeur recommandeacuteeservicessyncengineaddons Synchronisation des modules compleacutementaires false
servicessyncenginebookmarks Synchronisation des marque-pages false
servicessyncenginehistory Synchronisation de lrsquohistorique de navigation false
servicessyncenginepasswords Synchronisation des mots de passe stockeacutes false
servicessyncengineprefs Synchronisation des preacutefeacuterences false
servicessyncenginetabs Synchronisation des onglets ouverts false
servicessyncregisterEngines Moteurs de synchronisation enregistreacutes Mettre agrave videservicessyncjpakeserverURL URL du serveur synchronisation jpake Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessynctokenServerURI URI du serveur de jetons Mettre agrave videservicessyncnextSync Planification de la prochaine synchronisation 0
Il convient eacutegalement de deacutesactiver les diffeacuterents rapports agrave Mozilla
Nom de paramegravetre Description Valeur recommandeacuteedatareportinghealthreportaboutreportUrl URL de rapport de santeacute Mettre agrave videdatareportinghealthreportloggingconsoleEnabled
Activer la journalisation (console) du ser-vice de rapports de santeacute
false
datareportinghealthreportloggingdumpEnabled
Activer la journalisation (dumps) du ser-vice de rapports de santeacute
false
datareportinghealthreportnextDataSubmissionTime
Date de prochaine soumission de rapportde santeacute
Mettre agrave vide
datareportinghealthreportserviceenabled Activer le service de rapport de santeacute false
datareportinghealthreportuploadEnabled Autoriser lrsquoenvoi de donneacutees au serveur derapports de santeacute
false
datareportingpolicydataSubmissionEnabled Activer lrsquoenvoi de donneacutees agrave Mozilla agrave desfins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyAccepted
Accepter les conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyBypassAcceptance
Contourner lrsquoacceptation des conditionsdrsquoenvoi de donneacutees agrave Mozilla agrave des finsdrsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyResponseType
Reacuteponse aux conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
accepted-info-bar-dismissed
domipcpluginsreportCrashURL Inteacutegrer lrsquoURL au rapport de crash deplugins
false
domipcpluginsflashsubprocesscrashreporterenabled
Activer le rapport de crash du sous-processus flash
false
toolkittelemetryenabled Activer la fonctionnaliteacute de teacuteleacutemeacutetrie false
toolkittelemetryserver Adresse du serveur de teacuteleacutemeacutetrie Mettre agrave videbreakpadreportURL URL du rapport de crash Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 21 sur 40
Il peut eacutegalement ecirctre utile de configurer lrsquooption de suppression des donneacutees priveacutees (Clear PrivateData) en seacutelectionnant les eacuteleacutements qui seront supprimeacutes Lrsquoentiteacute pourra par exemple permettre auxutilisateurs de supprimer leurs donneacutees priveacutees dans le cadre drsquoune navigation sur internet ou bien delrsquointerdire srsquoil srsquoagit drsquoun navigateur deacutedieacute agrave lrsquointranet Une entiteacute pourrait eacutegalement vouloir toujoursgarder les historiques et le cache agrave des fins drsquoinvestigation (cela nrsquoempecircchera toutefois pas lrsquoutilisateurde les supprimer directement au niveau du systegraveme de fichiers dans son profil utilisateur)
Nom de paramegravetre Description Valeur recommandeacuteeprivacycpdcache Supprimer le cache lors drsquoune suppression des donneacutees
priveacuteesAu choix de lrsquoentiteacute
privacycpdcookies Supprimer les cookies lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpddownloads Supprimer lrsquohistorique des teacuteleacutechargements lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdformdata Supprimer lrsquohistorique de remplissage automatique desformulaire lors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdhistory Supprimer lrsquohistorique lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpdofflineApps Supprimer les applications disponibles hors connexionlors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdpasswords Supprimer les mots de passe enregistreacutes lors drsquoune sup-pression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsessions Supprimer les sessions en cours enregistreacutees lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsiteSettings Supprimer les paramegravetres par site lors drsquoune suppressiondes donneacutees priveacutees
Au choix de lrsquoentiteacute
privacysanitizesanitizeOnShutdown
Supprimer les donneacutees priveacutees agrave la fermeture du naviga-teur
En cas de besoin speacute-cifique de lrsquoentiteacute
Viennent pour finir divers autres paramegravetres lieacutes agrave la confidentialiteacute
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownsessions effacer les sessions de navigation en cours lors
de la fermeture du navigateurtrue
privacyclearOnShutdowncookies effacer les cookies de navigation lors de lafermeture du navigateur
true
privacydonottrackheaderenabled Activer Do-Not-Track true
geoenabled activer la geacuteolocalisation false
geowifiuri URI du service de geacuteolocalisation agrave utiliser Mettre agrave videnetworkprefetch-next Teacuteleacutechargement preacutedictif anticipeacute des docu-
ments lieacutes agrave la page Web visiteacutes (link prefetch-ing)26
false pour eacuteviter lrsquoeacutetablisse-ment de connexions et leteacuteleacutechargement de contenunon solliciteacutes
medianavigatorpermissiondisabled Contourne la permission drsquoacceacuteder agrave la web-cam
false
networkhttpsendRefererHeader Activer lrsquoenvoi de lrsquoentecircte referer 0 pour plus drsquoanonymat ou 2pour ne pas empecirccher le fonc-tionnement de certains sites
browsersend_pings Activer lrsquoenvoi de requecircte POST lors du clicsur un lien (fonctionnaliteacute souvent utiliseacuteepour tracer les clics)
false
26 Le link prefetching permet drsquoacceacuteleacuterer le surf en anticipant le chargement des documents lieacutes agrave la page visiteacutesLrsquoimpleacutementation de ce meacutecanisme dans Firefox ne transmet aucune information agrave Mozilla Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsWebHTTPLink_prefetching_FAQ
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 22 sur 40
Filtrage de contenu
Actions autoriseacutees aux les scripts
Nom de paramegravetre Description Valeur recommandeacuteedomallow_scripts_to_close_windows Autoriser les scripts agrave fermer
une fenecirctrefalse
domdisable_image_src_set Interdire la modification desimages sources par script
false
domdisable_window_flip Interdire le changement defenecirctre active par script
true
domdisable_window_move_resize Deacutetermine si les fenecirctrespeuvent ecirctre bougeacutees or red-imensionneacutees par script
false
domdisable_window_open_featureclose Interdire la creacuteation defenecirctre sans bouton defermeture
true pour eacuteviter les popups in-vasifs
domdisable_window_open_featurelocation Interdire la creacuteation defenecirctre sans barre drsquoadresse
true pour que lrsquoutilisateur puissetoujours veacuterifier ecirctre agrave lrsquoadressepreacutevue
domdisable_window_open_featurestatus Interdire la creacuteation defenecirctre sans barre de status
true pour que lrsquoutilisateur puissese rendre contre plus facilementdes tentatives de spoofing
domdisable_window_open_featuretitlebar Interdire la creacuteation defenecirctre sans barre de titre
true pour que lrsquoutilisateur puissebien voir qursquoil srsquoagit drsquoun popupFirefox
domdisable_window_open_featuretoolbar Interdire la creacuteation defenecirctre sans barre drsquooutils
false
domeventclipboardeventsenabled Permettre agrave un script desaisir les eacuteveacutenements dupresse papier
false
domeventcontextmenuenabled Permettre agrave un script desaisir les eacuteveacutenements drsquoac-cegraves au menu contextuel (clicdroit)
false
dominter-app-communication-apienabled Activer la communicationpar API entre applications
false
domipcpluginsenabled Activation du plugin con-tainer
true pour exeacutecuter les pluginsdans le plugin-container
domipcpluginsjavaenabled Exeacutecuter Java au sein duplugin-container
false pour eacuteviter des problegravemesde stabiliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 23 sur 40
Nom de strateacutegie Description Valeur recommandeacuteebrowsersafebrowsingenabled Utiliser la navigation seacutecuriseacutee
(protection contre le phishing etles logiciels malveillants)27
true
javascriptenabled Activation de Javascript true
securityxpconnectpluginunrestricted Autoriser le scripting de pluginspar des scripts qui ne sont pasde confiance
false agrave moins drsquoune incompatibiliteacute avecdes plugins etou pages Web neacutecessaires agravelrsquoentiteacute
securitymixed_contentblock_active_content
Bloquer le contenu mixte actif true
securitymixed_contentblock_display_content
Bloquer le contenu mixte passif false
securityfileuristrict_origin_policy
Politique drsquoorigine stricte pourles URi de type fichiers
true sauf pour les populations dedeacuteveloppeurs qursquoun tel paramegravetre pourraitbloquer pour le deacuteveloppement en local
networkcookiecookieBehavior Politique de gestion des cookies 1 pour nrsquoautoriser que les cookies duserveur drsquoorigine et bloquer les cookiestiers
networkcookielifetimePolicy Politique drsquoexpiration des cook-ies
2 pour conserver les cookies pendant toutela dureacutee de la session seulement
networkcookiethirdpartysessionOnly Restreindre les cookies tiers agrave ladureacutee de la session seulement
true
networkjaropen-unsafe-types Nrsquoouvrir que les jar servis avecun content-type adeacutequat
false
privacypopupspolicy Politique de popups 1 pour activer les popups ou 2 pour lesrejeter mais cela rendrait la navigationdifficile voire impossible sur une quantiteacutede sites Internet non neacutegligeable
privacypopupsshowBrowserMessage Afficher un message lorsqursquounpopup a eacuteteacute bloqueacute
true
browserpopupsshowPopupBlocker Afficher lrsquoicocircne du bloqueur depopups dans la barre de status
true
securitycspenable Activer la Content Security Pol-icy (politique de seacutecuriteacute descontenus) qui permet de deacute-tecter et de limiter lrsquoimpact decertains types drsquoattaques
true
full-screen-apienabled Activer lrsquoAPI permettant drsquoaf-ficher du contenu en plein eacutecranpour les modules compleacutemen-taires
false
notificationfeatureenabled Permettre les notifications sur lebureau
false
27 La fonctionnaliteacute de navigation seacutecuriseacutee consiste agrave synchroniser une liste locale drsquoadresses de sites maveillants(depuis les serveurs de Google par deacutefaut depuis que Firefox utilise leur service) pour alerter lrsquoutilisateur srsquoil srsquoapprecircte agraveen visiter un Elle consiste eacutegalement agrave analyser le contenu des pages pour repeacuterer drsquoeacuteventuelles tentatives drsquohameccedilonnage
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 24 sur 40
Moteur de recherche par deacutefaut
La configuration drsquoun moteur de recherche personnaliseacute ne peut pas se faire simplement par fichierde configuration et neacutecessite le deacuteploiement drsquoun module de recherche (search engine plugin) LrsquoannexeIV illustre la teacuteleacute-deacuteploiement drsquoun module de recherche utilisant le moteur franccedilais httpswwwqwantcom 28
Nom de paramegravetre Description Exemplebrowsersearchdefaultenginename Moteur de recherche par deacutefaut Qwantcom
browsersearchdefaulturl URL du moteur de recherche pardeacutefaut
httpswwwqwantcomq=searchTerms
browsersearchlog Journalisation de lrsquoutilisation desservices de recherche agrave des fins dedeacuteboggage
false
browsersearchopenintab Ouvrir les reacutesultats de recherchedans un nouvel onglet
false
browsersearchorder1 Moteur de recherche agrave utiliser enprioriteacute 1
Qwantcom
browsersearchsuggestenabled activer les suggestions false
browsersearchupdate Recherche de mises agrave jour pour lesmodules de recherche
false
keywordenabled Permettre de faire une recherchedepuis la barre drsquoadresse
true
Page(s) drsquoaccueil
Nom de strateacutegie Description Valeur recommandeacuteestartuphomepage_override_url Page drsquoaccueil apregraves une mise agrave jour de Firefox En fonction du choix de lrsquoentiteacutestartuphomepage_welcome_url Page drsquoaccueil au premier deacutemarrage En fonction du choix de lrsquoentiteacutebrowserstartuphomepage Page drsquoaccueil about blank pour une page vide
ou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
browserstartuppage Page drsquoaccueil 1 pour ouvrir la page drsquoac-cueil indiqueacutee par le paramegravetrebrowserstartuphomepage
browsersessionstoreresume_from_crash
Restauration de session apregraves crash false
browsersessionstoreenabled Activer le service de restauration de session false
browsernewtaburl Page ouverte par deacutefaut lors de la creacuteationdrsquoun nouvel onglet de navigation
about blank pour une page videou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
28 Ceci nrsquoest en aucun cas une recommandation ni une incitation agrave son utilisation mais un simple exemple
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 25 sur 40
Authentification HTTP
Nom de strateacutegie Description Valeur recommandeacuteenetworkauthforce-generic-ntlm Utiliser le module drsquoauthen-
tification NTLM de Firefoxplutocirct que celui fourni parles APIs du systegraveme
false
networkauthuse-sspi Utiliser SSPI plutocirct queGSSAPI pour lrsquoauthentifica-tion Kerberos
true sous Windows
networkntlmsend-lm-response Envoyer le LM Hash dans lareacuteponse NTLM
false
networkautomatic-ntlm-authallow-proxies
Authentification par NTLMautomatique avec lesserveurs proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networkautomatic-ntlm-authtrusted-uris
Liste des URIs autoriseacuteespour lrsquoauthentification parNTLM automatique
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationNTLM automatique
networkautomatic-ntlm-authallow-non-fqdn
Autoriser lrsquoauthentificationNTLM automatique avecdes sites sans FQDN
false agrave moins que la liste networkautomatic-ntlm-authtrusted-uris comporte des adressessans FQDN
networknegotiate-authallow-non-fqdn
Autoriser lrsquoauthentificationSPNEGO avec des sites sansFQDN
En fonction de lrsquoentiteacute
networknegotiate-authallow-proxies
Autoriser SPNEGO29si de-mandeacute par un serveur proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networknegotiate-authdelegation-uris
Liste des URIs autoriseacuteespour lesquels le navigateurpeut deacuteleacuteguer lrsquoautorisationde lrsquoutilisateur
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites auxquels elle souhaite permettre ladeacuteleacutegation SPNEGO
networknegotiate-authtrusted-uris Liste des URIs autoriseacuteespour engager une authentifi-cation SPNEGO
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationSPNEGO
networknegotiate-authgsslib Chemin vers une librairieGSSLIB speacutecifique
Mettre agrave vide
networknegotiate-authusing-native-gsslib
Utiliser la librairie GSSLIBnative du systegraveme
true
securitydefault_personal_cert Choix du certificat drsquoau-thentification client
Ask Every Time
29 SPNEGO est un standard qui permet de neacutegocier de lrsquoauthentification Kerberos NTLM ainsi que drsquoautresprotocoles supporteacutes pour le systegraveme SPNEGO est eacutegalement connu sous le nom du protocole drsquoauthentificationlaquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 26 sur 40
Serveur mandataire
Nom de paramegravetre Description Valeur recommandeacuteenetworkproxyautoconfig_url URL de configuration automatique du
proxyLaisser agrave vide
networkproxyftp Adresse du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyftp_port port du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp Adresse du proxy proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp_port port du proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyno_proxies_on Liste drsquoexceptions agrave lrsquoutilisation du serveurproxy
A minima localhost 127001 etdavantage en fonction de lrsquoentiteacute etdu peacuterimegravetre drsquoutilisation du naviga-teur
networkproxyshare_proxy_settings
Utiliser le mecircme proxy pour tous les pro-tocoles
false
networkproxysocks Adresse du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_port port du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_remote_dns
Reacutealiser les requecirctes DNS via le proxysocks
false
networkproxysocks_version Version du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl Adresse du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl_port port du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxytype Type drsquoutilisation du proxy 1 pour utiliser les valeurs in-diqueacutees par les paramegravetres ci-dessus(networkproxy)
networkhttpproxyversion version de proxy 11 par deacutefaut et en fonction duserveur proxy de lrsquoentiteacute
networkhttpproxypipelining Activer le pipelining30par proxy false pour des raisons de compat-ibiliteacute Lrsquoentiteacute peut choisir de lrsquoac-tiver si le pipelining est supporteacute parson serveur proxy drsquoentreprise
signonautologinproxy Saisie automatique du mot de passe deproxy
false
30 Le pipelining permet de faire plusieurs requecirctes HTTP simultaneacutement plutocirct que de les faire seacutequentiellement enattendant les reacuteponses de chacune drsquoentre elles Pour plus drsquoinformations httpwww-archivemozillaorgprojectsnetlibhttppipelining-faqhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 27 sur 40
Peacuterimegravetre de navigation
Nom de paramegravetre Description Valeur recommandeacuteenetworkprotocol-handlerexpose-all
Deacutetermine si le navigateur essayedrsquoouvrir les liens cliqueacutes dans lenavigateur en prioriteacute avant delaisser le systegraveme srsquoen charger en casdrsquoeacutechec (si le protocole du lien enquestion nrsquoest pas supporteacute par lenavigateur)
true
networkprotocol-handlerwarn-external-default
Avertir lrsquoutilisateur avant decharger un gestionnaire deprotocole tiers
true
networkprotocol-handlerexternal-default
Action pour lrsquoouverture drsquoun pro-tocole non pris en charge par lenavigateur
false de maniegravere agrave ne pas essayerde charger des protocoles non pris encharge nativement par le navigateur Lrsquoen-titeacute renseignera eacuteventuellement des ges-tionnaires de protocoles tiers pour desprotocoles qursquoelle souhaite explicitementpermettre tels que NNTP Mailto etc Pour illustrer par lrsquoexemple avecMailto le paramegravetre networkprotocol-handlerexternalmailto aurait pour valeurtrue et le paramegravetre networkprotocol-handlerappmailto avec pour valeur lechemin drsquoun exeacutecutable comme MozillaThunderbird ou Microsoft Outlook
networkprotocol-handlerexternalfile
Gestionnaire de protocole filesous Firefox
false
networkprotocol-handlerexternalftp
Gestionnaire de protocole ftpsous Firefox
false
geckohandlerServiceallowRegisterFromDifferentHost
Autoriser les sites Web agrave installerdes gestionnaires de protocoles oude contenus utilisable pour deshocirctes tiers
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 28 sur 40
Administration systegraveme maintenance et options diverses
Parameacutetrage des mises agrave jour
Nom de paramegravetre Description Valeur recommandeacuteeappupdateenabled Activation de la mise agrave jour automatique true
appupdateauto Teacuteleacutechargement et installationautomatiques (neacutecessite que le paramegravetreappupdateenabled ait pour valeurtrue)
true
appupdatecertcheckAttributes Veacuterifie les attributs du certificat du serveurde mise agrave jour
false
appupdatecertrequireBuiltIn Requiert lrsquointeacutegration des certificats duserveur de mise agrave jour et de toutes lesredirections intermeacutediaires
false
appupdatechannel Canal de mise agrave jour esr pour la version ESR de FirefoxappupdatedownloadbackgroundInterval
Temps de pause (en secondes) entrechaque teacuteleacutechargement en arriegravere plandrsquoun morceau de 300 Kb de mise agrave jour
Au choix de lrsquoentiteacute
appupdateidletime Temps de pause (en secondes) entre chaqueteacuteleacutechargement agrave la demande de lrsquoutilisa-teur) drsquoun morceau de 300 Kb de mise agravejour
60
appupdateinterval Intervalle de temps entre chaque veacuterifica-tion de disponibiliteacute de nouvelles mises agravejour
43200
appupdatemode Deacutetermine quelles mises agrave jour sontteacuteleacutechargeacutees en arriegravere plan
0 pour teacuteleacutecharger toutes les mises agravejour sans intervention de lrsquoutilisateur
appupdateserviceenabled Active le service de mise agrave jour de Firefox true
appupdateshowInstalledUI Deacutetermine si apregraves installation de mise agravejour une boicircte de dialogue informe lrsquoutil-isateur qursquoune mise agrave jour a eacuteteacute installeacutee
Au choix de lrsquoentiteacute
appupdatesilent Active le mode de mise agrave jour silencieux true pour une mise agrave jour silencieuseen arriegravere plan
appupdateurl URL de reacutecupeacuteration des mises agrave jour deFirefox
En fonction de la strateacutegie de mise agravejour de lrsquoentiteacute Pour une mise agrave jourdepuis les serveurs de Mozilla httpsaus3mozillaorgupdate3PRODUCTVERSIONBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONupdatexml sinon lrsquoURLdu serveur de mise agrave jour internede lrsquoentiteacute (qursquoil faudra eacutegalementrenseigner dans le paramegravetreappupdateurloverride)
appupdateurloverride URL de reacutecupeacuteration des mises agrave jour deFirefox
Paramegravetre agrave renseigner uniquementdans le cas ou la mise agrave jour deFirefox se fait depuis lrsquoURL drsquounserveur de mise agrave jour interne delrsquoentiteacute (agrave renseigner en plus duparamegravetre appupdateurl)
appupdateurldetails URL de consultation des informations rel-atives aux mises agrave jour disponibles
Laisser la valeur par deacutefautrhttpswwwmozillaorgLOCALEfirefoxnotes
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 29 sur 40
Configuration du cache
Nom de paramegravetre Description Valeur recommandeacuteebrowsercachecheck_doc_frequency Quand veacuterifier la mise agrave jour drsquoune page en
cache disque3 (veacuterifier quand la page estpeacuterimeacutee)
browsercachecompression_level Niveau de compression du cache disque Au choix de lrsquoentiteacute de 0(pas de compression) agrave 9(haut taux de compressionavec forte sollicitation du pro-cesseur)
browsercachediskcapacity Espace disque alloueacute au cache disque enKb
Au choix de lrsquoentiteacute
browsercachediskenable Utiliser le cache disque true
browsercachediskmax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache disque
Au choix de lrsquoentiteacute
browsercachedisksmart_sizeenabled Allocation intelligente de lrsquoespace disquealloueacute au cache en fonction de lrsquoespacedisponible
Au choix de lrsquoentiteacute
browsercachedisk_cache_ssl Mettre en cache disque les pages visiteacuteesen HTTPS
False de maniegravere agrave ne pasmettre en cache le contenuSSL
browsercachememoryenable Utiliser le cache meacutemoire true
browsercachememorymax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache meacutemoire
Au choix de lrsquoentiteacute
browsercachememory_limit Meacutemoire maximum utiliseacutee pour le cachemeacutemoire en Kb
Au choix de lrsquoentiteacute
browsercacheofflinecapacity Espace disque alloueacute au cache des applica-tions Web
Au choix de lrsquoentiteacute
browsercacheofflineenable Utiliser le cache des applications Web per-mettant une utilisation hors ligne
Au choix de lrsquoentiteacute
browsercacheuse_new_backend Utilisation du nouveau systegraveme de cache 0 (ne pas utiliser pour desquestions de stabiliteacute)
networkhttpuse-cache Utiliser le cache des documents HTTP true
mediacache_size Taille du cache pour les fichiers multimedia Au choix de lrsquoentiteacute par deacute-faut 512000
domstoragedefault_quota Quota de stockage cocircteacute client pour lespages Web
5120 taille par deacutefaut
domstorageenabled Active le stockage cocircteacute client pour les pagesWeb
true agrave deacutefaut de vulneacuterabil-iteacutes connues pour cette fonc-tionnaliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 30 sur 40
Deacutesactiver les options de deacuteveloppement (sauf pour les populations de deacuteveloppeurs)
Nom de paramegravetre Description Valeur recommandeacuteedevtoolsappmanagerenabled Activation des outils de deacuteveloppement module appmanager false
devtoolsdebuggerenabled Activation des outils de deacuteveloppement module deacutebogueur false
devtoolserrorconsoleenabled Activation des outils de deacuteveloppement module consoledrsquoerreurs
false
devtoolsfontinspectorenabled Activation des outils de deacuteveloppement module inspecteurde polices
false
devtoolsinspectorenabled Activation des outils de deacuteveloppement module inspecteur false
devtoolsnetmonitorenabled Activation des outils de deacuteveloppement module reacuteseau false
devtoolsprofilerenabled Activation des outils de deacuteveloppement module profileur false
devtoolsshadereditorenabled Activation des outils de deacuteveloppement module vue adaptive false
devtoolsstyleeditorenabled Activation des outils de deacuteveloppement module editeur destyles
false
devtoolstiltenabled Activation des outils de deacuteveloppement module tilt false
devtoolstoolbarenabled Activation des outils de deacuteveloppement module barre dedeacuteveloppement
false
Configurations diverses
Nom de paramegravetre Description Valeur recommandeacuteenetworkseerenable-hover-on-ssl Activer seer sur SSL false
networkseerenabled Activer seer false
networkhttppipelining Activer le pipelining pour le surfHTTP11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttppipeliningssl Activer le pipelining pour le surfHTTPS11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttpspdyenabled Activer SPDY31 false
networkhttpspdyenabledv2 Activer SPDY v2 false
networkhttpspdyenabledv3 Activer SPDY v3 false
networkhttpspdyenabledv3-1 Activer SPDY v31 false
browsershellcheckDefaultBrowser Veacuterifier si Firefox est configureacutecomme navigateur par deacutefaut
false dans le cadre de double naviga-teurs
browserdownloadmanagerscanWhenDone
Scan antivirus drsquoun fichier lorsqueson teacuteleacutechargement est termineacute
true
browserdownloaduseDownloadDir Utiliser le reacutepertoire de teacuteleacutecharge-ment par deacutefaut
false pour que lrsquoutilisateur indique agravequel emplacement il souhaite teacuteleacutechargerle fichier
browserfullscreenautohide Cacher la barre drsquooutils et drsquoongletsen mode plein eacutecran
false
31 SPDY est un protocole reacuteseau expeacuterimental de Google visant agrave augmenter les capaciteacutes du protocole HTTP pourreacuteduire le temps de chargement des pages Web en classant les objets par ordre de prioriteacute et en multiplexant les transfertspour ne neacutecessiter qursquoune seule connexion Ce protocole est vulneacuterable aux attaques CRIME (Compression Ratio Info-leakMade Easy) lorsqursquoil est utiliseacute avec HTTPS (ce qui est geacuteneacuteralement le cas)
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 31 sur 40
Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP
Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory
Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation
La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32
Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers
Fichiers de configuration
La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte
ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet
ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes
Fichier local-settingsjs
pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)
Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 32 sur 40
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
1 PreacuteambuleFirefox est le navigateur web en sources ouvertes eacutediteacute par la fondation Mozilla et dont la premiegravere
version stable date de 2004 Rapidement devenu lrsquoun des navigateurs les plus utiliseacutes par les inter-nautes 1 il est aujourdrsquohui soutenu par une importante communauteacute de deacuteveloppeurs du monde libre
Firefox dispose drsquoun meacutecanisme de mise agrave jour automatique et peut ecirctre configureacute de maniegraverecentraliseacutee Il se precircte bien agrave une utilisation professionnelle De par son haut degreacute de parameacutetrage etson code en sources ouvertes il peut eacutegalement srsquoadapter agrave des environnements au sein desquels lescontraintes techniques sont importantes
Cette note technique vise agrave sensibiliser le lecteur aux enjeux de seacutecuriteacute drsquoun navigateur Web etdoit le guider dans la mise en œuvre drsquoune strateacutegie de seacutecurisation speacutecifique agrave Firefox dans le cadredrsquoune configuration centraliseacutee et seacutecuriseacutee en environnement Active Directory
2 Enjeux de seacutecuriteacute drsquoun navigateur Web
Comme tout composant logiciel utiliseacute pour acceacuteder agrave Internet les navigateurs sont une cibleprivileacutegieacutee des attaquants du fait des vulneacuterabiliteacutes qursquoils preacutesentent et de leur utilisation reacuteguliegravere surInternet Viennent eacutegalement srsquoajouter les vulneacuterabiliteacutes propres aux diffeacuterents modules compleacutemen-taires inteacutegreacutes aux navigateurs et dont les processus de mise agrave jour sont geacuteneacuteralement indeacutependants deceux du navigateur
Lrsquoatteinte en inteacutegriteacute drsquoun poste de travail par le biais de son navigateur Web est inteacuteressante dupoint de vue drsquoun attaquant eacutetant donneacute qursquoelle lui permet le plus souvent de contourner les mesuresde seacutecuriteacute lieacutees agrave lrsquoarchitecture reacuteseau et aux diffeacuterentes passerelles de filtrage Lrsquoattaque reacuteussie drsquounposte utilisateur suffit geacuteneacuteralement agrave lrsquoeacutetablissement drsquoun canal de controcircle distant qui permettra parla suite de rebondir au sein du systegraveme drsquoinformation pour atteindre les biens essentiels de lrsquoentiteacute Lanavigation Web est donc logiquement devenue un des principaux vecteurs drsquoattaque utiliseacutes et pluslargement un problegraveme pour la seacutecuriteacute des systegravemes drsquoinformation
Du point de vue de la seacutecuriteacute Firefox pacirctit de lrsquoabsence de meacutecanisme de bac agrave sable (sandbox 2)et drsquoarchitecture multi-processus une vulneacuterabiliteacute peut alors avoir un impact important Comme tousles navigateurs il fait reacuteguliegraverement lrsquoobjet de vulneacuterabiliteacutes critiques 3
3 Firefox versus Firefox ESR
Mozilla publie une version ESR (Extended Support Release) 4 de Firefox Chaque version de FirefoxESR est maintenue pendant environ 1 an et nrsquoa pour seules mises agrave jour que les correctifs de seacutecuriteacuteet de stabiliteacute Cette version de Firefox est destineacutee aux entiteacutes qui neacutecessitent un support eacutetendu pourun deacuteploiement en masse eacutevitant ainsi drsquoavoir agrave geacuterer des eacutevolutions freacutequentes du navigateur
1 Sources wwwatinternetcom et wwww3schoolscom2 Environnement drsquoexeacutecution controcircleacute et restreint3 Les multiples avis de seacutecuriteacute et bulletins drsquoactualiteacute relatifs aux principaux navigateurs peuvent ecirctre consulteacutes sur
le site du CERT-FR (wwwcertssigouvfr)4 Pour plus drsquoinformations httpmozillaorgen-USfirefoxorganizations
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 3 sur 40
Le tableau comparatif suivant preacutesente les avantages et inconveacutenients de chaque version
Version Avantages Inconveacutenients
Versionstandard
Le navigateur eacutevolue reacuteguliegraverement etles utilisateurs disposent ainsi rapidementdes nouvelles fonctionnaliteacutes qui font leurapparition
Les eacutequipes informatiques doiventreacuteguliegraverement deacuteployer les nouvellesversions de Firefox pour le maintenir enconditions de seacutecuriteacute Ces deacuteploiementsengendrent une charge de travail nonneacutegligeable puisqursquoil est neacutecessairede veacuterifier la compatibiliteacute avec lesapplications Web internes compleacuteter laconfiguration centraliseacutee vis-agrave-vis desnouvelles fonctionnaliteacutes etc
VersionESR
Les eacutequipes informatiques nrsquoont pas agrave sesoucier des eacutevolutions fonctionnelles dunavigateur Une fois la derniegravere versionmajeure de Firefox ESR deacuteployeacutee ellesse contentent de garantir sa stabiliteacute etson maintien en conditions de seacutecuriteacuteen deacuteployant les correctifs publieacutes parMozilla Les cycles de vie des versions deFirefox ESR eacutetant drsquoenviron un an lescorrectifs de seacutecuriteacute sont publieacutes pendanttoute cette dureacutee de vie
ESR ne dispose pas des nouvellesfonctionnaliteacutes qui apparaissent dans lesversions successives de Firefox standardle navigateur peut alors paraicirctre pauvreen fonctionnaliteacutes du point de vue desutilisateurs
Au sein drsquoun systegraveme drsquoinformation administreacute de maniegravere centraliseacutee il est donc plutocirct conseilleacutede deacuteployer la version ESR de Firefox La preacutesente note technique srsquoappuie sur le deacuteploiement et laconfiguration de Firefox ESR dans sa version 31
4 Maicirctrise du navigateur
Les principaux enjeux drsquoun deacuteploiement de navigateur au sein drsquoun systegraveme drsquoinformation sont saseacutecuriteacute et sa maicirctrise Pour cela il est neacutecessaire de pouvoir controcircler sa configuration de maniegraverecentraliseacutee tout en proceacutedant agrave des deacuteploiements et agrave des mises agrave jour (automatiques ou non) selon lapolitique de mise agrave jour de lrsquoentiteacute et sans intervention de lrsquoutilisateur
Firefox ne prend pas nativement en charge la configuration par strateacutegies de groupes (GPO) enenvironnement Active Directory Il est pour cela neacutecessaire de recourir agrave des extensions tierces Il esten revanche possible de parameacutetrer le navigateur agrave lrsquoaide de fichiers de configuration agrave deacuteployer surles postes des utilisateurs Cette meacutethode preacutesente lrsquointeacuterecirct drsquoecirctre utilisable simplement dans nom-breux contextes et aussi bien sous Linux que Windows sans distinction Ces fichiers de configurationpermettent eacutegalement drsquoimposer des paramegravetres verrouilleacutes et non modifiables par les utilisateurs
R1 Avant tout deacuteploiement de Firefox au sein drsquoun systegraveme drsquoinformation il est primordial dedeacutefinir preacuteciseacutement une strateacutegie de parameacutetrage qui garantira lrsquoutilisation du navigateurdans une configuration durcie et verrouilleacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 4 sur 40
Il est important de commencer par clarifier les termes utiliseacutes par Mozilla et ce qursquoils deacutesignent Leterme de laquo module raquo (Add-on) ou de laquo module compleacutementaire raquo inclut
ndash les plugins ou greffons qui sont des composants compileacutes ndash les extensions (qui sont des composants en langage interpreacuteteacute comme XUL ou JavaScript) ndash les thegravemes (qui ne font lrsquoobjet drsquoaucune recommandation de seacutecuriteacute) ndash les modules de moteur de recherche
Les recommandations de parameacutetrage figurant dans ce document sont donneacutees agrave titre indicatifdans lrsquooptique drsquoune configuration durcie Elles doivent donc ecirctre moduleacutees selon les besoins propres agravechaque entiteacute et bien entendu selon le peacuterimegravetre drsquoutilisation du navigateur (Internet Intranet etc)Leur application ne doit pas se faire sans validation preacutealable Lrsquoannexe I de ce document preacutecise lesparamegravetres de configuration permettant drsquoappliquer toutes les recommandations de configuration deFirefox indiqueacutees dans ce document En environnement professionnel il est par ailleurs conseilleacute dedeacuteployer une telle configuration par GPP de maniegravere centraliseacutee comme expliqueacute en annexe II
41 Choix des plugins
Les plugins Firefox ne peuvent ecirctre deacuteveloppeacutes qursquoagrave partir de lrsquointerface de programmation NPAPI(Netscape Plugin Application Programming Interface) Cette architecture qui date de Netscape nrsquoestpas seacutecuriseacutee et exeacutecute les plugins avec le niveau de privilegravege de lrsquoutilisateur Bien qursquoil soit possibledrsquoexeacutecuter certains plugins dans un processus seacutepareacute (le plugin-container) cette seacuteparation ne protegravegeque le processus du navigateur drsquoun eacuteventuel arrecirct brusque de fonctionnement drsquoun plugin Unevulneacuterabiliteacute affectant un plugin permet en revanche de compromettre la session ou le systegraveme Leplugin Flash Player fait toutefois exception en inteacutegrant un meacutecanisme de bac agrave sable qui lui est propre(laquo Mode Proteacutegeacute de Flash Player pour Firefox raquo 5) Le processus Flash Player exeacutecuteacute dans le plugin-container ne sert alors qursquoagrave instancier des processus enfants auxquels srsquoappliquent des restrictions deseacutecuriteacute plus importantes Le plugin Flash continue toutefois de faire lrsquoobjet de vulneacuterabiliteacutes critiques 6
R2 Tout plugin ajouteacute agrave Firefox fait courir un risque de seacutecuriteacute suppleacutementaire il est alorsimportant de les limiter au strict neacutecessaire
Note Le risque induit par lrsquoutilisation du plugin Flash Player peut ecirctre toleacutereacute degraves lors que la lecturedes contenus Flash constitue un besoin incontournable Compleacuteteacute par la visionneuse PDF inteacutegreacutee agraveFirefox (eacutecrite en JavaScript) la prise en charge de ces deux types de contenus devrait suffire pour laplupart des usages
Lrsquoajout la mise agrave jour et la suppression de plugins pour Firefox de maniegravere centraliseacutee peut sefaire simplement par base de registre 7et par GPP (Group Policy Preferences)
42 Choix des extensions
Le meacutecanisme drsquoextension rend possible lrsquoeacutecriture de programmes (extensions) en langage interpreacuteteacute(XUL ou JavaScript entre autres) permettant lrsquoajout de fonctionnaliteacutes ou la personnalisation dunavigateur Contrairement aux plugins qui sont des programmes compileacutes les extensions srsquoexeacutecutentdans le processus du navigateur et sans systegraveme de permission permettant de restreindre les liberteacutesqui leur sont accordeacutees Il convient donc drsquoecirctre particuliegraverement vigilant eacutetant donneacute les risques deseacutecuriteacute non neacutegligeables qursquoelles introduisent
5 httpblogsadobecomsecurity201206inside-flash-player-protected-mode-for-firefoxhtml6 Les multiples avis de seacutecuriteacute peuvent ecirctre consulteacutes sur le site du CERT-FR (wwwcertssigouvfr)7 Un article de Mozilla explique lrsquoajout la mise agrave jour et la suppression drsquoextensions et de plugins pour Firefox par
base de registre httpsdevelopermozillaorgen-USdocsAdding_Extensions_using_the_Windows_Registry
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 5 sur 40
Ainsi une extension malveillante pourrait acceacuteder agrave des informations sensibles concernant la naviga-tion de lrsquoutilisateur puis les envoyer agrave un serveur illeacutegitime sur Internet Une extension peut eacutegalementintroduire de nouveaux comportements indeacutesirables suite agrave une mise agrave jour Rien ne laisse preacutesagerqursquoune extension aujourdrsquohui non malveillante ne le sera pas demain En parallegravele de nombreusesextensions preacutesentent des vulneacuterabiliteacutes qui peuvent ecirctre exploiteacutees (par le contenu des pages visiteacuteesou encore par courriels speacutecifiquement forgeacutes et consulteacutes par webmail) Ces extensions vulneacuterablespeuvent eacutegalement servir agrave exploiter par rebond les vulneacuterabiliteacutes drsquoeacuteventuels plugins activeacutes et ainsiobtenir un accegraves complet au systegraveme
R3 Ne deacuteployer que des extensions de confiance et neacutecessaires aux besoins meacutetiers
Note Dans le cas drsquoextensions deacuteveloppeacutees en interne il convient de precircter une attention particuliegravereagrave la seacutecuriteacute de leur code 8
Lrsquoajout la mise agrave jour et la suppression drsquoextensions pour Firefox de maniegravere centraliseacutee peut sefaire simplement dans la base de registre et par GPP (Group Policy Preferences)
421 SSLTLS et certificats
Firefox a comme particulariteacute drsquoutiliser ses propres bibliothegraveques de gestion des eacutechanges seacutecuriseacutesclientserveur deacuteveloppeacutees par la fondation Mozilla (bibliothegraveques NSS Network Security Services) cequi lui permet de disposer par exemple de son propre magasin de certificats et de sa propre liste deCRL (listes de reacutevocations de certificats) Il est ainsi possible drsquoappliquer des restrictions speacutecifiquesau navigateur sur certains certificats sans que cela ne srsquoapplique au systegraveme drsquoexploitation dans sonensemble ce qui le diffeacuterencie drsquoautres navigateurs Il est eacutegalement possible de restreindre simplementles versions de protocoles SSLTLS ainsi que les suites cryptographiques utiliseacutees Cette indeacutependancevis-agrave-vis du meacutecanisme fourni par le systegraveme drsquoexploitation lui confegravere une plus grande portabiliteacute etune souplesse dans sa configuration SSLTLS mais se traduit en contrepartie par une deacutemarche deseacutecurisation plus complexe
R4 Deacutesactiver lrsquoutilisation de SSL et nrsquoautoriser que les protocoles TLS v11 et supeacuterieures(la v10 eacutetant vulneacuterable) Pour aller plus loin il est eacutegalement possible de restreindreles suites cryptographiques utilisables en deacutesactivant celles reposant sur des algorithmesobsolegravetes comme RC4
Note Pour plus drsquoinformations le lecteur est inviteacute agrave se reacutefeacuterer agrave la section correspondante delrsquoannexe I ainsi qursquoaux publications de lrsquoANSSI 9 Par ailleurs les suites nrsquoutilisant pas de meacutecanismesde PFS (Perfect Forward Secrecy) devraient ideacutealement ecirctre deacutesactiveacutees elles aussi mais des difficulteacutesde navigation seraient agrave preacutevoir sur Internet du fait de lrsquo incompatibiliteacute avec de nombreux serveursWeb
Chaque utilisateur drsquoun poste de travail dispose de son propre profil Firefox Les informations deseacutecuriteacute relatives aux certificats sont stockeacutees pour chaque profil firefox dans 3 fichiers
ndash cert8db (objets accessibles publiquement certificats CRLs enregistrements SMIME) ndash key3db (cleacutes priveacutees mots de passe) ndash secmoddb (informations de configuration des modules de seacutecuriteacute)
8 Lrsquoarticle Security best practices in extensions expose certains fondamentaux agrave respecter pour le deacuteveloppementdrsquoextension seacutecuriseacutees httpsdevelopermozillaorgen-USAdd-onsSecurity_best_practices_in_extensions
9 La note laquo Recommandations de seacutecuriteacute concernant lrsquoanalyse des flux HTTPS raquo est disponible agrave lrsquoadresse httpwwwssigouvfrfrguides-et-bonnes-pratiquesrecommandations-et-guidesauthentification-et-mecanismes-cryptographiquesrecommandations-de-securite-concernant-l-analyse-des-flux-httpshtmlLrsquoarticle laquo SSLTLS eacutetat des lieux et recommandations raquo est disponible agrave lrsquoadresse httpwwwssigouvfrfranssipublicationspublications-scientifiquesarticles-de-conferencesssl-tls-etat-des-lieux-et-recommandationshtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 6 sur 40
Lrsquoaccegraves aux fichiers key3db et cert8db non chiffreacutes drsquoun profil Firefox permet la reacutecupeacuterationet la reacuteutilisation des certificats utilisateurs qursquoils contiennent Tout compte disposant de droits admi-nistrateurs sur un ordinateur a la possibiliteacute de reacutecupeacuterer lrsquoensemble des fichiers key3db et cert8dbqui y sont stockeacutes (voire tout utilisateur non privileacutegieacute dans le cas drsquoun systegraveme de fichiers FAT32) Laconfidentialiteacute des donneacutees utilisateurs nrsquoest donc pas assureacutee degraves lors que ces fichiers ne sont pas chiffreacutesLa deacutefinition drsquoun mot de passe principal deacuteclenche le chiffrement du fichier key3db par algorithme3DES-CBC avec une cleacute deacuteriveacutee de ce mot de passe La seacutecuriteacute apporteacutee par une telle mesure restemodeacutereacutee des outils performants permettent de rapidement retrouver ce mot de passe maicirctre par forcebrute Le stockage du profil Firefox dans un conteneur chiffreacute par une solution qualifieacutee par lrsquoANSSIpeut ecirctre dans certains cas la solution agrave privileacutegier
R5 Degraves lors que des certificats utilisateurs sont stockeacutes dans les magasins de certificats deFirefox il est recommandeacute drsquoassurer la seacutecuriteacute de leurs conteneurs de cleacutes priveacutees (fichierskey3db) par chiffrement
Tout utilisateur de Firefox peut aussi ajouter des certificats serveurs et des autoriteacutes de confiancedans son propre magasin de certificats Selon le contexte drsquoutilisation du navigateur il peut doncecirctre important de mettre en œuvre des mesures techniques permettant de maicirctriser les magasins decertificats des profils Firefox et de srsquoassurer de leur conformiteacute vis agrave vis de la strateacutegie de lrsquoentiteacute
R6 Maicirctriser les magasins de certificats des profils Firefox et notamment les autoriteacutes decertification racines de confiance et les certificats serveurs qui y sont configureacutes
Note lrsquoapplication de cette recommandation est simple degraves lors que les utilisateurs ne stockent pasde certificats utilisateurs dans leurs magasins de certificats Firefox mais cela devient plus compliqueacutedans le cas contraire La probleacutematique est abordeacutee plus en deacutetail en annexe III
Il agrave noter eacutegalement que depuis sa version 24 Firefox se deacutetourne de lrsquousage classique des CRLsen ligne au profit drsquoune liste de reacutevocations mise agrave jour reacuteguliegraverement pour consultation locale Lesbibliothegraveques NSS supportent toujours la gestion des CRLs classiques (modifiables par lrsquooutil crlutilet non plus par interface graphique) mais il est preacutevu qursquoelles ne soient plus utiliseacutees dans un avenirproche Les autoriteacutes de certification sont drsquoailleurs inviteacutees agrave envoyer leurs certificats reacutevoqueacutes agrave Mozillapour ecirctre inteacutegreacutes agrave la liste de reacutevocation maintenue par Mozilla 10
422 Gestionnaire de mots de passe
Le gestionnaire de mots de passe de Firefox permet de meacutemoriser les mots de passe saisis dansles formulaires Web Tout comme pour les magasins de certificats lrsquoutilisation drsquoun laquo mot de passeprincipal raquo 11 permet de chiffrer les mots de passe stockeacutes par un algorithme 3DES-CBC avec une cleacutedeacuteriveacutee du mot de passe principal La seacutecuriteacute apporteacutee par une telle mesure reste modeacutereacutee des outilsperformants permettent de rapidement retrouver ce mot de passe maicirctre par force brute Lrsquoutilisationdrsquoun gestionnaire de mots de passe alternatif seacutecuriseacute est donc conseilleacute
R7 Il est conseilleacute de deacutesactiver le gestionnaire de mots de passe pour imposer la saisiesysteacutematique de ces derniers Lrsquoapplication drsquoun tel durcissement est leacutegitime sur un reacuteseauameneacute agrave traiter des donneacutees sensibles ou confidentielles mais peut toutefois ecirctre difficileagrave imposer aux utilisateurs sur des reacuteseaux moins sensibles Sa deacutesactivation pourrait alorssrsquoaccompagner du deacuteploiement drsquoun gestionnaire de mots de passe alternatif et seacutecuriseacute 12
10 Le Wiki de Mozilla deacutetaille la probleacutematique de reacutevocation de certificats au sein de Firefox httpswikimozillaorgCAImprovingRevocation11 httpssupportmozillaorgfrkbutiliser-mot-passe-principal-proteger-identifiants
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 7 sur 40
423 Confidentialiteacute
Le lecteur est inviteacute agrave prendre connaissance de la laquo deacuteclaration de confidentialiteacute de Firefox raquo 13Selon les fonctionnaliteacutes activeacutees diverses informations sont susceptibles drsquoecirctre envoyeacutees agrave Mozilla Laplupart sont en rapport avec
ndash les informations lieacutees aux modules compleacutementaires installeacutes et le blocage automatique desmodules en liste noire
ndash les rapports de plantage ndash le service de mise agrave jour automatique ndash le service de protection contre les sites malveillants ndash le service de synchronisation Firefox Sync
Il est donc important de deacutesactiver certaines de ces fonctionnaliteacutes pour limiter les donneacutees envoyeacuteesagrave Mozilla
R8 Deacutesactiver les divers rapports disponibles de plantage de performance etc
R9 Deacutesactiver le service de synchronisation Firefox Sync
R10 La fonctionnaliteacute de blocage des sites contrefaits envoie agrave des fournisseurs tiers de Mozillales adresses Web des sites visiteacutes pour veacuterifier qursquoils ne soient pas connus comme eacutetantmalveillants et en bloquer lrsquoaccegraves si neacutecessaire Bien qursquoil soit conseilleacute de laisser ce filtreactiveacute pour des raisons de seacutecuriteacute une entiteacute pourra juger suffisamment confidentielles lesadresses des pages Web visiteacutees pour qursquoune deacutesactivation de ce meacutecanisme srsquoimpose
La navigation priveacutee ainsi que la protection contre le pistage (Do Not Track) sont des fonction-naliteacutes inteacuteressantes du point de vue du respect de la vie priveacutee lors de la navigation sur Internetet qui pourraient ecirctre deacutesactiveacutees pour de la navigation en Intranet La strateacutegie de configurationdes paramegravetres de confidentialiteacute deacutependra donc du peacuterimegravetre drsquoutilisation du navigateur Degraves lors quele navigateur Firefox dispose drsquoune connectiviteacute agrave Internet les recommandations suivantes srsquoappliquent
R11 Activer les fonctionnaliteacutes de protection de la confidentialiteacute (anti pistage navigationpriveacutee suppression des donneacutees priveacutees etc) lorsque le navigateur nrsquoest pas deacutedieacute agrave unenavigation Intranet
Note Le nouveau standard de protection contre le-pistage (Do Not Track) nrsquoest qursquoune sollicitation duclient Sa prise en compte par les serveurs Web ne deacutepend donc que de leurs pratiques de confidentialiteacuterespectives et nrsquoapporte aucune garantie au client
R12 Interdire les fonctions de geacuteolocalisation
R13 Degraves lors que la confidentialiteacute des recherches est jugeacutee primordiale il conviendra drsquoimposerun moteur de recherche de confiance et de deacutesactiver les fonctionnaliteacutes de rechercheinstantaneacutee ou de suggestion de recherche
12 KeePass est un exemple de solution disposant drsquoun certificat de seacutecuriteacute de premier niveau (CSPN) deacutelivreacute parlrsquoANSSI qui peut ecirctre utiliseacutee avec Firefox13 Deacuteclaration disponible en anglais agrave lrsquoadresse
httpwwwmozillaorgen-USlegalprivacyfirefoxhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 8 sur 40
424 Moteur de recherche par deacutefaut
Imposer un moteur de recherche et certains paramegravetres de recherche peut avoir un sens dans certainscontextes Crsquoest le cas principalement lorsque le navigateur se trouve deacutedieacute agrave lrsquoIntranet Lrsquoentiteacute pourraalors imposer et configurer le moteur de recherche de lrsquoIntranet Ces regravegles de configuration peuventeacutegalement avoir une utiliteacute pour la recherche sur Internet si par exemple lrsquoentiteacute veut imposer unmoteur de recherche franccedilais qui srsquoappuie sur une connexion chiffreacutee En parallegravele lrsquoentiteacute peut alorsbloquer lrsquoaccegraves aux adresses des moteurs de recherche qursquoelle souhaite interdire
R14 Pour des questions de respect de la vie priveacutee il est conseilleacute drsquoimposer un moteur derecherche srsquoappuyant sur une connexion chiffreacutee (HTTPS)
Note Cela nrsquoempecircche pas lrsquointerception des donneacutees par le moteur de recherche ce dernier eacutetant danstous les cas destinataire des donneacutees de recherche en clair
425 Filtrage de contenu
Le filtrage du contenu participe agrave renforcer la seacutecuriteacute de la navigation en bloquant les contenuspotentiellement malveillants Certains meacutecanismes de filtrage peuvent toutefois avoir une incidence surla faculteacute des utilisateurs agrave naviguer sur certains sites
R15 Activer les fonctionnaliteacutes de filtrage de contenu telles que la navigation seacutecuriseacutee(protection contre le hameccedilonnage et les logiciels malveillants) ou la Content SecurityPolicy 14
R16 Interdire ou a minima restreindre les scripts les contenus mixtes actifs 15 les cookies tiersetc
La section correspondante de lrsquoannexe I liste en deacutetail le parameacutetrage recommandeacute pour ces types decontenus
426 Page(s) drsquoaccueil
Si le navigateur est configureacute pour restaurer la session preacuteceacutedente les donneacutees ainsi que les cookiesde session seront sauvegardeacutes puis restaureacutes au prochain deacutemarrage du navigateur (sauf en mode denavigation priveacutee) Il est alors possible de reacutecupeacuterer ces cookies sauvegardeacutes pour srsquoauthentifier agrave laplace de lrsquoutilisateur sans mot de passe voire de reacutecupeacuterer une session HTTPS preacutealablement initieacutee
R17 Il est preacutefeacuterable que le navigateur nrsquoenregistre pas les sessions de navigation Lors dudeacutemarrage du navigateur (apregraves un arrecirct normal ou brusque) il est en effet conseilleacutede ne pas restaurer la session preacuteceacutedente de lrsquoutilisateur mais drsquoafficher une(des) page(s)connue(s) et de confiance
427 Serveur mandataire
Il est primordial de controcircler les flux non seulement en entreacutee mais eacutegalement en sortie Lorsqursquounindividu malveillant atteint en inteacutegriteacute un poste de travail il peut ensuite proceacuteder agrave lrsquoeacutetablissementdrsquoun canal de controcircle depuis le poste de travail vers un serveur situeacute sur Internet Lrsquoutilisation de
14 Cette couche de seacutecuriteacute qui permet de se preacutemunir contre certains types drsquoattaques est deacutetailleacutee dans un article duMozilla Developer Network httpsdevelopermozillaorgen-USdocsWebSecurityCSPIntroducing_Content_Security_Policy15 httpsdevelopermozillaorgen-USdocsSecurityMixedContent
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 9 sur 40
serveurs mandataires avec authentification peut donc bloquer des connexions sortantes malveillantesIl srsquoavegravere alors judicieux drsquoimposer lrsquoutilisation du serveur mandataire (proxy) par configuration cen-traliseacutee sur les postes utilisateurs
R18 Privileacutegier lrsquoutilisation de serveurs mandataires avec authentification
Note Cette recommandation peut ecirctre renforceacutee par des regravegles de filtrage de pare-feu
428 Authentification HTTP
Il est possible de durcir la seacutecuriteacute des authentifications utilisant NTLM 16 ou SPNEGO 17 surFirefox degraves lors que lrsquoune drsquoentre elles est utiliseacutee par lrsquoentiteacute qui le deacuteploie Il est par exemplerecommandeacute de speacutecifier la liste des serveurs autoriseacutes agrave engager une authentification SPNEGO ouune authentification NTLM automatique
R19 Speacutecifier la liste des serveurs autoriseacutes agrave engager une authentification SPNEGO ou uneauthentification NTLM automatique
Note Lrsquoutilisation de NTLM nrsquoest pas conseilleacutee Kerberos eacutetant le protocole drsquoauthentification agraveprivileacutegier
429 Peacuterimegravetre de navigation
Il est recommandeacute de restreindre le peacuterimegravetre de navigation en interdisant certains scheacutemas drsquoadressesavec les protocol-handlers
R20 Interdire a minima le scheacutema drsquoadresses file pour un navigateur deacutedieacute agrave la navigationsur Internet de maniegravere agrave eacuteviter des accegraves arbitraires au systegraveme de fichiers Le scheacutemaftp pourrait eacutegalement ecirctre interdit au profit de lrsquoutilisation drsquoun client FTP tiers
Note Lrsquoutilisation du navigateur Firefox ne sera alors plus possible pour afficher des pages htmldirectement depuis un systegraveme de fichiers (CD-ROM disque local ou distant via un partage reacuteseauetc)
Ces listes preacutesentent eacutegalement un inteacuterecirct particulier dans le cadre drsquoune strateacutegie de doublenavigateur Ce sujet est deacutetailleacute en section laquo Strateacutegie de double navigateur raquo
4210 Administration systegraveme et maintenance
Divers paramegravetres de Firefox relegravevent de sa maintenance et certaines preacutecautions doivent ecirctreprises pour eacuteviter des problegravemes de compatibiliteacute de confidentialiteacute des donneacutees utilisateurs voire dedisponibiliteacute des postes de travail La liste complegravete de ces paramegravetres figure en annexe I
43 Teacuteleacute-deacuteploiement initial
Firefox au mecircme titre que les autres logiciels devrait ideacutealement ecirctre installeacute sur les postes detravail par teacuteleacute-deacuteploiement Une telle meacutethode de deacuteploiement est un des fondamentaux drsquoun systegravemedrsquoinformation controcircleacute et maicirctriseacute En effet il permet de maicirctriser les installations drsquohomogeacuteneacuteiser les
16 NTLM (NT Lan Manager) est une suite de protocoles drsquoauthentification de Microsoft qui ne supporte pas lesmeacutethodes cryptographiques reacutecentes comme AES ou SHA-25617 SPNEGO (Simple and Protected GSSAPI Negociation Mechanism) est un standard qui permet de neacutegocier de
lrsquoauthentification Kerberos NTLM ainsi que drsquoautres protocoles supporteacutes pour le systegraveme SPNEGO est eacutegalementconnu sous le nom du protocole drsquoauthentification laquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 10 sur 40
versions et configurations mais aussi de proceacuteder aux mises agrave jour de maniegravere reacuteactive et efficace
Le teacuteleacute-deacuteploiement de logiciel peut se faire de plusieurs maniegraveres ndash au format MSI par GPO (strateacutegies de groupe pour la gestion centraliseacutee) dans un domaine
Microsoft Active Directory Attention toutefois puisque Mozilla ne fournit Firefox qursquoau formatexeacutecutable il sera donc neacutecessaire de construire un package Firefox au format MSI Des eacutediteurstiers proposent de tels paquets mais ces eacutediteurs nrsquooffrent pas de garantie forte de lrsquointeacutegriteacute deslogiciels qursquoils fournissent Il est par conseacutequent preacutefeacuterable que lrsquoorganisation utilisatrice geacutenegravereses propres fichiers MSI
ndash au format exeacutecutable agrave lrsquoaide drsquoun outil de gestion de parc ou de tout autre produit tiers preacutevuagrave cet effet
44 Gestion des mises agrave jour
La mise agrave jour reacuteactive du navigateur est primordiale pour se preacutemunir des vulneacuterabiliteacutes reacuteguliegravere-ment deacutetecteacutees et corrigeacutees Lrsquoutilisation drsquoun navigateur preacutesentant des vulneacuterabiliteacutes connues par despersonnes malveillantes expose le poste de travail agrave une attaque Deux strateacutegies diffeacuterentes de mise agravejour de Firefox peuvent alors ecirctre envisageacutees
ndash la premiegravere consiste agrave simplement laisser la configuration par deacutefaut le navigateur va alorsautomatiquement teacuteleacutecharger les mises agrave jour aupregraves des serveurs de Mozilla Il convient dans cecas de srsquoassurer que les postes de travail sont en mesure drsquoacceacuteder aux serveurs de mise agrave jour deMozilla sur Internet ideacutealement au travers du proxy drsquoentreprise qui pourra notamment mettreen cache les binaires
ndash la configuration alternative consiste agrave remplacer lrsquoURL de mise agrave jour (agrave lrsquoaide du paramegravetre deconfiguration appupdateurloverride) 18 par une URL locale qui mettra les mises agrave jour agravedisposition des postes de travail
Le tableau suivant syntheacutetise les avantages et inconveacutenients des deux meacutethodes
Meacutethode Avantages Inconveacutenientsclassique par deacutefautles navigateurs se mettentagrave jour automatiquementaupregraves des serveurs deMozilla par Internet
- mise en œuvre aiseacutee par les servicesinformatiques - haut taux de disponibiliteacute desserveurs de mise agrave jour de Mozilla
- ne permet pas aux ser-vices informatiques de testeret valider les mises agrave jouravant leur deacuteploiement no-tamment lors de lrsquoutilisationdrsquoapplications Web meacutetier peureacutepandues - peu adapteacute pour un naviga-teur deacutedieacute agrave lrsquoIntranet
controcircleacutee la mise agrave jourautomatique de Firefox estdeacutesactiveacutee et les servicesinformatiques mettent lesmises agrave jour agrave dispositiondes postes de travail depuisun serveur local
- permet de tester et valider les misesagrave jour avant deacuteploiement - permet drsquoadapter les configu-rations centraliseacutees du navigateurpour tenir compte des eacuteventuellesnouvelles fonctionnaliteacutes avant deacute-ploiement - permet de bloquer tout le trafic agravedestination des serveurs de Mozilla
- freine la reacuteactiviteacute des misesagrave jour - neacutecessite des moyens hu-mains importants
18 Pour plus drsquoinformations sur la mise en œuvre drsquoun serveur de mises agrave jour local httpsdevelopermozillaorgen-USdocsMozillaSetting_an_update_server
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 11 sur 40
Il sera nettement moins risqueacute (du point de la compatibiliteacute) de retenir le mode classique (automa-tique) pour les versions ESR de Firefox eacutetant donneacute que les mises agrave jour concernent des correctifs deseacutecuriteacute agrave haut risque et nrsquoapportent aucune nouvelle fonctionnaliteacute En revanche les versions standardsde Firefox peuvent recevoir des mises agrave jour fonctionnelles importantes qursquoil serait plus pertinent decontrocircler preacutealablement
La probleacutematique des mises agrave jour concerne eacutegalement les extensions Bien qursquoil soit recommandeacutede les interdire dans le cadre drsquoune configuration durcie une entiteacute peut vouloir en deacuteployer certainespour de bonnes raisons La mise agrave jour des extensions est indeacutependante du meacutecanisme de mise agravejour du navigateur Elles peuvent ecirctre mises agrave jour automatiquement (comportement par deacutefaut) oumanuellement quelle que soit la strateacutegie de mise agrave jour choisie pour le navigateur
Le maintien en conditions de seacutecuriteacute des plugins devra par ailleurs ecirctre geacutereacute indeacutependamment dunavigateur chaque plugin ayant ses speacutecificiteacutes quant aux meacutecanismes de mise agrave jour utiliseacutes
Concernant le service Mozilla Maintenance Service (service chargeacute des mises agrave jour de Firefox) cedernier srsquoexeacutecute avec les droits qui lui sont propres pour la mise agrave jour du navigateur et ce quels quesoient les droits de lrsquoutilisateur
5 Strateacutegie de double navigateur
La seacutecuriteacute des systegravemes drsquoinformation impose souvent un navigateur qui doit ecirctre durci pourlrsquoaccegraves agrave Internet mais plus permissif pour lrsquoaccegraves aux applications internes Lorsque certains serveursWeb internes utilisent des appliquettes Java par exemple neacutecessitant le deacuteploiement de modulescompleacutementaires Java le navigateur finit par avoir une surface drsquoattaque tregraves importante et exposeainsi lrsquoentiteacute agrave un des vecteurs drsquoattaque les plus critiques et massivement exploiteacutes 19
Pour traiter cette probleacutematique lorsqursquoelles disposent des ressources neacutecessaires en particulierpour en assurer le maintien en conditions de seacutecuriteacute de plus en plus drsquoentiteacutes srsquoorientent vers lrsquousagede deux navigateurs diffeacuterents Il devient alors possible
ndash drsquoen deacutedier un agrave la navigation sur Internet De par sa configuration durcie sa surface drsquoattaqueest reacuteduite au maximum Il est maintenu en conditions de seacutecuriteacute avec la plus grande attentionLes eacutequipes de veille scrutent la moindre vulneacuterabiliteacute dont le navigateur Internet fait lrsquoobjetLes eacutequipements de filtrage et drsquoanalyse du trafic sont utiliseacutes pour repeacuterer tout comportementsuspect de navigation sur Internet
ndash drsquoen deacutedier un deuxiegraveme agrave lrsquoaccegraves aux serveurs internes neacutecessitant par exemple un module com-pleacutementaire qui peut faire lrsquoobjet de vulneacuterabiliteacutes freacutequentes ou qui neacutecessite une configurationplus permissive Il est alors possible de le configurer pour permettre uniquement lrsquoaccegraves et lrsquousagede lrsquoensemble des sites et applications leacutegegraveres de lrsquoIntranet
Une telle strateacutegie de double navigateur doit neacutecessairement srsquoaccompagner de mesures de seacutecuriteacutetechniques permettant de garantir le peacuterimegravetre drsquoutilisation de chaque navigateur par des paramegravetresde configuration verrouilleacutes Le tableau suivant en donne quelques exemples
19 Voir les recommandations de seacutecuriteacute publieacutees par lrsquoANSSI relatives aux environnements drsquoexeacute-cution Java sur les postes de travail Microsoft Windows agrave lrsquoadresse httpwwwssigouvfrfrguides-et-bonnes-pratiquesrecommandations-et-guidessecurite-du-poste-de-travail-et-des-serveursrecommandations-de-securite-relatives-aux-environnements-d-execution-java-surhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 12 sur 40
Composant Action ValeurServeur mandataire Autoriser User-Agent du navigateur Internet (ou plus strictement de la
derniegravere version de ce dernier)Bloquer Tout autre User-Agent non autoriseacute
Pare-feu locaux despostes de travail
Autoriser TCP en sortie vers le serveur mandataire depuis - le processus du navigateur Internet (chemin complet delrsquoexeacutecutable) - les autres processus eacuteventuels autoriseacutes agrave acceacuteder agrave Internetvia le serveur mandataire
Bloquer TCP en sortie vers le serveur mandataire depuis tout autreprocessus
Pare-feu de passerelleInternet
Autoriser TCP en sortie vers les ports 443 et 80 depuis - lrsquoIP source du serveur mandataire - les autres IP sources eacuteventuelles autoriseacutees agrave sortir en directsur Internet sans passer par le serveur mandataire
Bloquer TCP en sortie vers ports 443 et 80 depuis toute autre IP sourceApplocker (ou SRP) surles postes de travail
Autoriser lrsquoexeacutecution Chemin complet de lrsquoexeacutecutable des navigateurs autoriseacutes
Bloquer lrsquoexeacutecution Tout autre exeacutecutable de navigateur interdit
Les regravegles de configuration deacutecrites en annexe I section laquo Peacuterimegravetre de navigation raquo permettentalors de mettre en œuvre une partie de ces mesures de seacutecuriteacute et de restreindre le peacuterimegravetre denavigation possible de chacun des navigateurs
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 13 sur 40
Les figures suivantes illustrent de maniegravere syntheacutetique les mesures de seacutecuriteacute appliqueacutees agrave unestrateacutegie de double navigateur
Figure 1 ndash Illustration drsquoune strateacutegie de double navigateur cas ougrave Firefox est utiliseacute commenavigateur Internet
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 14 sur 40
Figure 2 ndash Illustration drsquoune strateacutegie de double navigateur cas ougrave Firefox est utiliseacute commenavigateur Intranet
Ces figures illustrent deux cas distincts Le navigateur Firefox y est repreacutesenteacute mais la strateacutegieserait eacutequivalente avec drsquoautres navigateurs
Les regravegles de configuration recommandeacutees en annexe I se precirctent agrave un contexte ougrave le navigateur estdeacutedieacute agrave la navigation sur Internet
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 15 sur 40
Annexe I Strateacutegies de seacutecurisation de Firefox
Cette annexe liste sous forme de tableaux les valeurs recommandeacutees permettant de mettre en œuvreles recommandations formuleacutees dans cette note technique La liste des paramegravetres de configurationdisponibles est sujette agrave des eacutevolutions freacutequentes et certains sont peu voire pas documenteacutes Lesrecommandations et leurs indications de mise en œuvre figurant dans ce document sont baseacutees sur lesparamegravetres de configuration de Firefox dans sa version ESR 31 Ces derniers pourront ecirctre adapteacutesselon la version du navigateur deacuteployeacutee agrave la date de lecture du document
Depuis un navigateur Firefox il est possible drsquoafficher et de modifier les paramegravetres de configurationappliqueacutes en tapant aboutconfig dans la barre drsquoadresse Les paramegravetres verrouilleacutes sont afficheacutes enitalique La page aboutsupport affiche quant agrave elle un reacutecapitulatif des informations systegravemes etde version ainsi que les modifications importantes apporteacutees agrave la configuration par deacutefaut du navigateur
En environnement professionnel il est conseilleacute de deacuteployer une configuration de maniegravere centraliseacuteecomme expliqueacute en annexe II Pour un usage personnel de Firefox il est eacutegalement possible de srsquoinspirerde tout ou partie des paramegravetres indiqueacutes dans ce document agrave partir de la page aboutconfig
Seacutecuriteacute des modules compleacutementaires
Les regravegles de configuration preacutefixeacutees par le terme laquo extensions raquo ne srsquoappliquent pas toujoursuniquement aux extensions comme elles pourraient le laisser entendre mais parfois plus largementaux plugins voire aux modules compleacutementaires dans leur ensemble Il convient donc drsquoecirctre vigilantquant au peacuterimegravetre reacuteel drsquoapplication des regravegles de configuration dont les noms pourraient precircter agraveconfusion
Nom de strateacutegie Description Valeur recommandeacuteeextensionsautoDisableScopes Les extensions peuvent
ecirctre deacutesactiveacuteesautomatiquement enfonction de leur localisation
3 (les extensions deacuteposeacutees dans le profil Firefox delrsquoutilisateur ou dans le profil utilisateur Windowsseront automatiquement deacutesactiveacutees20)
extensionsenabledScopes Les extensions peuvent ecirctreactiveacutees automatiquementen fonction de leurlocalisation21
12 (seules les extensions reacutefeacuterenceacutees par une entreacutee enbase de registres22 ou deacuteposeacutees dans le sous-dossierdrsquoextensions agrave lrsquoemplacement de lrsquoexeacutecutable FireFoxseront activeacutees Attention ce paramegravetre a prioriteacute surextensionsautoDisableScopes
20 Contrairement agrave ce qursquoindique la MozillaZine Knownledge Base le paramegravetre extensionsautoDisableScopes nepermet pas de deacutesactiver un plugin pour ce faire il convient drsquoutiliser les paramegravetres pluginstatex21 Pour plus drsquoinformations sur le paramegravetre extensionsenabledScopes httpsdevelopermozillaorgen-US
Add-onsInstalling_extensions22 Article de Mozilla expliquant lrsquoajout la mise agrave jour et la suppression drsquoextensions ou de plugins pour Firefox par
base de registre httpsdevelopermozillaorgen-USdocsAdding_Extensions_using_the_Windows_Registry
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 16 sur 40
Nom de paramegravetre Description Valeur recommandeacuteeextensionsblocklistenabled Teacuteleacutechargement reacutegulier drsquoune
liste noire de modules reacutefeacuterenceacutescomme eacutetant malveillants
false si seuls les modules teacuteleacute-deacuteployeacutes par leseacutequipes informatique sont installeacutes ou true silrsquoutilisateur est en mesure drsquoinstaller des moduleslui-mecircme
extensionsblocklistdetailsURL
URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules
Celle par deacutefaut (httpswwwmozillaorgLOCALEblocklist)
extensionsblocklistitemURL URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules(variante)
Celle par deacutefaut (httpsaddonsmozillaorgLOCALEAPPblockedblockID)
extensionsblocklistinterval Intervalle de teacuteleacutechargement dela liste noire de modules ensecondes
86400 (soit 1 fois par jour)
extensionsblocklistlevel Niveau de blocage 2 (pour bloquer les extensions de la liste)extensionsblocklisturl Adresse de teacuteleacutechargement de la
liste noire de modulesCelle par deacutefaut (httpsaddonsmozillaorgblocklist3APP_IDAPP_VERSIONPRODUCTBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONPING_COUNTTOTAL_PING_COUNTDAYS_SINCE_LAST_PING)
extensionsenabledAddons Modules activeacutes au deacutemarragede Firefox
Mettre agrave vide
pdfjsdisabled Deacutesactiver la visionneuse PDFinteacutegreacutee agrave Firefox (pdfjs)
true pour que lrsquoutilisateur teacuteleacutecharge les PDF etles visionne via un lecteur PDF tiers maintenu enconditions de seacutecuriteacute par lrsquoentiteacute et ne faisant paslrsquoobjet de vulneacuterabiliteacutes freacutequentes ou false pourautoriser lrsquousage du lecteur de PDF inteacutegreacute
pluginstateflash Configuration drsquoactivation duplugin Flash
1 (demander lrsquoautorisation agrave lrsquoutilisateur avantchaque exeacutecution du plugin Flash) ou 2 (toujoursactiver) au choix de lrsquoentiteacute et en fonction desutilisateurs et des contraintes de seacutecuriteacute
pluginstatejava Configuration drsquoactivation duplugin Java
0 pour ne jamais activer le plugin Java (agrave moinsque lrsquoentiteacute souhaite utiliser ce plugin malgreacute lesrisques de seacutecuriteacute encourus auquel cas la valeuragrave donner serait 1 pour demander lrsquoautorisation agravelrsquoutilisateur agrave chaque exeacutecution du plugin Java)
pluginstatex Configuration drsquoactivation duplugin x ougrave x est agrave remplacerpar le nom court du pluginagrave deacutesactiver (exemple npctrlpour Microsoft Silverlight Lesnoms courts des plugins sontindiqueacutes en affichant leurs infor-mations deacutetailleacutees depuis lrsquointer-face graphique)
0 pour ne jamais activer le plugin ou 1 pourdemander lrsquoautorisation agrave lrsquoutilisateur avant chaqueexeacutecution du plugin
plugindefaultstate Configuration drsquoactivation desautres plugins
0 pour ne jamais activer un plugin non explicite-ment autoriseacute par les regravegles preacuteceacutedentes
plugindefaultXpistate Configuration drsquoactivation desautres plugins au format XPI
0 pour ne jamais activer un plugin au format XPInon explicitement autoriseacute par les regravegles preacuteceacute-dentes
pluginsclick_to_play Cliquer pour lire le contenu neacute-cessitant un plugin
true pour activer le mode laquo Cliquer pour lire raquo
pluginsload_appdir_plugins Chargement automatique desplugins depuis des emplace-ments utiliseacutes avant Firefox 21
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 17 sur 40
Eacutetant donneacute que seuls les modules compleacutementaires teacuteleacute-deacuteployeacutes par les eacutequipes informatiquessont autoriseacutes il est recommandeacute de bloquer toute possibiliteacute drsquoajout de modules compleacutementaires parlrsquoutilisateur
Nom de strateacutegie Description Valeur recommandeacuteeextensionsgetAddonsgetWithPerformanceurl
URL de reacutecupeacuteration drsquoun module compleacutementaire Mettre agrave vide
extensionsgetAddonsmaxResults Nombre de reacutesultats maximum 0extensionsgetAddonsgeturl URL de consultation drsquoun module compleacutementaire Mettre agrave videextensionsgetAddonsrecommendedbrowseURL
URL de consultation des modules compleacutementairesrecommandeacutes
Mettre agrave vide
extensionsgetAddonsrecommendedurl
URL de consultation des modules compleacutementairesrecommandeacutes par API
Mettre agrave vide
extensionsgetAddonssearchbrowseURL
URL de recherche de modules compleacutementaires Mettre agrave vide
extensionsgetAddonssearchurl URL de recherche de modules compleacutementaires parAPI
Mettre agrave vide
extensionsgetAddonsshowPane Afficher le panneau drsquoajout de modules compleacutemen-taires
false
extensionshideInstallButton Cacher le bouton drsquoinstallation manuelle drsquoextensions true
extensionswebservicediscoverURL URL du catalogue drsquoextensions Mettre agrave videxpinstallenabled Autoriser lrsquoinstallation manuelle de modules au format
XPIfalse
xpinstallwhitelistrequired Obligation pour une archive XPI drsquoecirctre en liste blanchepour ecirctre installeacutee manuellement
true
xpinstallwhitelistaddxpinstallwhitelistadd
Liste blanche drsquoarchives XPI pouvant ecirctre installeacuteesmanuellement
Mettre agrave vide
Pour finir lrsquoentiteacute devra choisir sa strateacutegie de mise agrave jour des extensions teacuteleacute-deacuteployeacutees Lrsquoentiteacutequi voudra teacuteleacute-deacuteployer elle-mecircme les versions agrave jour des modules compleacutementaires apregraves une phase devalidation optera pour le parameacutetrage donneacute ci-dessous la responsabiliteacute du maintien en conditions deseacutecuriteacute sera alors deacuteporteacutee sur les services informatiques en charge du deacuteploiement de ces mises agrave jourDans le cas contraire les valeurs par deacutefaut permettent une mise agrave jour automatique des extensionspar Internet
Nom de strateacutegie Description Valeur recommandeacuteeextensionshotfixcertcheckAttributes
Veacuterifie les attributs du certificat de signature descorrectifs teacuteleacutechargeacutes
true
extensionshotfixcerts1sha1Fingerprint
Empreintes attendues du certificat de signature descorrectifs teacuteleacutechargeacutes
Laisser la valeur par deacutefaut(9153980CC186DF478F35229E11C9A7310449A1AA en date dereacutedaction de ce document)
extensionsupdateautoUpdateDefault
Teacuteleacutecharger et installer automatiquement les mises agravejour drsquoextensions
false
extensionsupdatebackgroundURL
URL de teacuteleacutechargement des mises agrave jour drsquoextensionsen arriegravere plan
Mettre agrave vide
extensionsupdateenabled Activer la mise agrave jour des extensions false
extensionsupdateinterval Intervalle de teacuteleacutechargement des mises agrave jour desextensions
86400 (soit 1 fois par jour)
pluginsupdatenotifyUser Notifier lrsquoutilisateur de la preacutesence drsquoune mise agrave jourpour ses modules compleacutementaires
false
pluginsupdateurl URL de mise agrave jour des modules compleacutementaires Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 18 sur 40
SSLTLS et certificats
Le parameacutetrage des suites cryptographiques autoriseacutees peut engendrer des problegravemes de compa-tibiliteacute selon le contexte Il est donc leacutegitime de preacutefeacuterer ne pas modifier la configuration par deacutefautDans un soucis de durcissement les recommandations suivantes pourraient toutefois ecirctre appliqueacutees
Nom de paramegravetre Description Valeur recommandeacuteesecurityssl3dhe_dss_aes_128_sha Autoriser ssl3dhe_dss_aes_128_sha false
securityssl3dhe_dss_aes_256_sha Autoriser ssl3dhe_dss_aes_256_sha false
securityssl3dhe_dss_camellia_128_sha Autoriser ssl3dhe_dss_camellia_128_sha false
securityssl3dhe_dss_camellia_256_sha Autoriser ssl3dhe_dss_camellia_256_sha false
securityssl3dhe_rsa_aes_128_sha Autoriser ssl3dhe_rsa_aes_128_sha true
securityssl3dhe_rsa_aes_256_sha Autoriser ssl3dhe_rsa_aes_256_sha true
securityssl3dhe_rsa_camellia_128_sha Autoriser ssl3dhe_rsa_camellia_128_sha false
securityssl3dhe_rsa_camellia_256_sha Autoriser ssl3dhe_rsa_camellia_256_sha false
securityssl3dhe_rsa_des_ede3_sha Autoriser ssl3dhe_rsa_des_ede3_sha false
securityssl3ecdhe_ecdsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_ecdsa_aes_128_gcm_sha256
true
securityssl3ecdhe_ecdsa_aes_128_sha Autoriser ssl3ecdhe_ecdsa_aes_128_sha true
securityssl3ecdhe_ecdsa_aes_256_sha Autoriser ssl3ecdhe_ecdsa_aes_256_sha true
securityssl3ecdhe_ecdsa_rc4_128_sha Autoriser ssl3ecdhe_ecdsa_rc4_128_sha false
securityssl3ecdhe_rsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_rsa_aes_128_gcm_sha256
true
securityssl3ecdhe_rsa_aes_128_sha Autoriser ssl3ecdhe_rsa_aes_128_sha true
securityssl3ecdhe_rsa_aes_256_sha Autoriser ssl3ecdhe_rsa_aes_256_sha true
securityssl3ecdhe_rsa_des_ede3_sha Autoriser ssl3ecdhe_rsa_des_ede3_sha false
securityssl3ecdhe_rsa_rc4_128_sha Autoriser ssl3ecdhe_rsa_rc4_128_sha false
securityssl3rsa_aes_128_sha Autoriser ssl3rsa_aes_128_sha true
securityssl3rsa_aes_256_sha Autoriser ssl3rsa_aes_256_sha true
securityssl3rsa_camellia_128_sha Autoriser ssl3rsa_camellia_128_sha false
securityssl3rsa_camellia_256_sha Autoriser ssl3rsa_camellia_256_sha false
securityssl3rsa_des_ede3_sha Autoriser ssl3rsa_des_ede3_sha false
securityssl3rsa_fips_des_ede3_sha Autoriser ssl3rsa_fips_des_ede3_sha false
securityssl3rsa_rc4_128_md5 Autoriser ssl3rsa_rc4_128_md5 false
securityssl3rsa_rc4_128_sha Autoriser ssl3rsa_rc4_128_sha false
securityssl3rsa_seed_sha Autoriser ssl3rsa_seed_sha false
Autres paramegravetres
Nom de paramegravetre Description Valeur recommandeacuteesecuritytlsversionmax Version maximum de
SSLTLS3 (ce qui correspond agrave TLS 12)
securitytlsversionmin Version minimum de SSLTLS 2 (ce qui correspond agrave TLS 11)securitysslallow_unrestricted_renego_everywhere__temporarily_available_pref
Activer la reneacutegociation SSL false pour remeacutedier agrave une attaque parle milieu connue
securitysslenable_false_start Activer laquo SSL False Start raquo false car non standardiseacute et amenantde potentielles vulneacuterabiliteacutes
securitysslenable_ocsp_stapling Activer lrsquoOCSP stapling23 true
23 httpsblogmozillaorgsecurity20130729ocsp-stapling-in-firefox
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 19 sur 40
Nom de paramegravetre Description Valeur recommandeacuteesecuritysslrequire_safe_negotiation
Neacutecessite une neacutegociation SSL qui nrsquoutilisepas une ancienne version SSLTLS vul-neacuterable agrave des attaques par le milieu
true est la valeur ideacuteale en termesde seacutecuriteacute mais false reste conseilleacutepour eacuteviter que de nombreux sitescouramment visiteacutes ne soient plus uti-lisables
securitysslrenego_unrestricted_hosts
Liste drsquohocirctes autoriseacutes agrave faire de la reneacute-gociation SSL avec drsquoanciennes versionsvulneacuterables du protocole
Liste drsquohocirctes seacutepareacutes par des virgules(ne supportant pas les wildcards)et qursquoil est utile de renseigner sisecuritysslrequire_safe_negotiationest configureacute agrave true
securityssltreat_unsafe_negotiation_as_broken
Informer lrsquoutilisateur (cadenas casseacute rougedans la barre de status) lorsque les neacutegoci-ations SSLTLS sont non seacutecuriseacutees
true
networkstricttransportsecuritypreloadlist
Charger la liste de sites deacuteclareacutes commeutilisant HSTS (HTTP Strict TransportSecurity24)
true
networkwebsocketallowInsecureFromHTTPS
Autoriser les WebSockets non seacutecuriseacuteepour un site consulteacute en HTTPS
false
securityOCSPenabled Activer OCSP 2 pour veacuterifier le certificat agrave partir delrsquoURL de service OCSP et de lrsquoautoriteacutede certification ayant signeacute le certifi-cat Notons que cette fonctionnaliteacuteest critiqueacutee pour des questions delatence des reacutepondeurs OCSP (de lrsquoor-dre de 300ms pour les plus rapides agraveplus drsquoune seconde pour les plus lents)OCSP tend donc agrave ecirctre remplaceacute pardes listes locales de certificats reacutevo-queacutes dans drsquoautres navigateurs maisFirefox ne dispose pas encore drsquounetelle liste Une entiteacute ayant des con-traintes particuliegraveres quant agrave la la-tence induite par OSCP pourrait opterpour une deacutesactivation drsquoOCSP avecla valeur 0
securityOCSPrequire Neacutecessite la validation du certificat parOCSP avant de continuer la navigation surle site
true si securityOCSPenabled a eacuteteacuteconfigureacute agrave true ou false dans le cascontraire
securitycert_pinningenforcement_level
Niveau de certificate pinning (eacutepinglage decertificats)25(agrave partir de Firefox 32)
2 pour utiliser lrsquoeacutepinglage strict
Gestionnaire de mots de passe
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownpasswords Effacer les mots de passe enregistreacutes agrave la
fermeture du navigateurtrue
signonrememberSignons Active le gestionnaire de mots de passe false
signonautofillForms Remplissage automatique des formulairesde login
false
24 httpsdevelopermozillaorgfrdocsSC3A9curitC3A9HTTP_Strict_Transport_Security25 Lrsquoeacutepinglage de certificats permet drsquoavoir une base locale de certificats connus et attendus pour certains sites Web
consulteacutes en HTTPS Ainsi si le certificat preacutesenteacute par le serveur est valide en tous points de vue mais nrsquoest pas lecertificat attendu la connexion sera coupeacutee Ce meacutecanisme permet drsquoeacuteviter une attaque par le milieu preacutesentant un fauxcertificat issu drsquoune autoriteacute de certification de confiance
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 20 sur 40
Confidentialiteacute
Il nrsquoexiste pas en date de reacutedaction de cette note de regravegle globale pour la deacutesactivation de FirefoxSync Sa deacutesactivation se fait par conseacutequent agrave travers plusieurs regravegles de configuration
Nom de paramegravetre Description Valeur recommandeacuteeservicessyncengineaddons Synchronisation des modules compleacutementaires false
servicessyncenginebookmarks Synchronisation des marque-pages false
servicessyncenginehistory Synchronisation de lrsquohistorique de navigation false
servicessyncenginepasswords Synchronisation des mots de passe stockeacutes false
servicessyncengineprefs Synchronisation des preacutefeacuterences false
servicessyncenginetabs Synchronisation des onglets ouverts false
servicessyncregisterEngines Moteurs de synchronisation enregistreacutes Mettre agrave videservicessyncjpakeserverURL URL du serveur synchronisation jpake Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessynctokenServerURI URI du serveur de jetons Mettre agrave videservicessyncnextSync Planification de la prochaine synchronisation 0
Il convient eacutegalement de deacutesactiver les diffeacuterents rapports agrave Mozilla
Nom de paramegravetre Description Valeur recommandeacuteedatareportinghealthreportaboutreportUrl URL de rapport de santeacute Mettre agrave videdatareportinghealthreportloggingconsoleEnabled
Activer la journalisation (console) du ser-vice de rapports de santeacute
false
datareportinghealthreportloggingdumpEnabled
Activer la journalisation (dumps) du ser-vice de rapports de santeacute
false
datareportinghealthreportnextDataSubmissionTime
Date de prochaine soumission de rapportde santeacute
Mettre agrave vide
datareportinghealthreportserviceenabled Activer le service de rapport de santeacute false
datareportinghealthreportuploadEnabled Autoriser lrsquoenvoi de donneacutees au serveur derapports de santeacute
false
datareportingpolicydataSubmissionEnabled Activer lrsquoenvoi de donneacutees agrave Mozilla agrave desfins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyAccepted
Accepter les conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyBypassAcceptance
Contourner lrsquoacceptation des conditionsdrsquoenvoi de donneacutees agrave Mozilla agrave des finsdrsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyResponseType
Reacuteponse aux conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
accepted-info-bar-dismissed
domipcpluginsreportCrashURL Inteacutegrer lrsquoURL au rapport de crash deplugins
false
domipcpluginsflashsubprocesscrashreporterenabled
Activer le rapport de crash du sous-processus flash
false
toolkittelemetryenabled Activer la fonctionnaliteacute de teacuteleacutemeacutetrie false
toolkittelemetryserver Adresse du serveur de teacuteleacutemeacutetrie Mettre agrave videbreakpadreportURL URL du rapport de crash Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 21 sur 40
Il peut eacutegalement ecirctre utile de configurer lrsquooption de suppression des donneacutees priveacutees (Clear PrivateData) en seacutelectionnant les eacuteleacutements qui seront supprimeacutes Lrsquoentiteacute pourra par exemple permettre auxutilisateurs de supprimer leurs donneacutees priveacutees dans le cadre drsquoune navigation sur internet ou bien delrsquointerdire srsquoil srsquoagit drsquoun navigateur deacutedieacute agrave lrsquointranet Une entiteacute pourrait eacutegalement vouloir toujoursgarder les historiques et le cache agrave des fins drsquoinvestigation (cela nrsquoempecircchera toutefois pas lrsquoutilisateurde les supprimer directement au niveau du systegraveme de fichiers dans son profil utilisateur)
Nom de paramegravetre Description Valeur recommandeacuteeprivacycpdcache Supprimer le cache lors drsquoune suppression des donneacutees
priveacuteesAu choix de lrsquoentiteacute
privacycpdcookies Supprimer les cookies lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpddownloads Supprimer lrsquohistorique des teacuteleacutechargements lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdformdata Supprimer lrsquohistorique de remplissage automatique desformulaire lors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdhistory Supprimer lrsquohistorique lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpdofflineApps Supprimer les applications disponibles hors connexionlors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdpasswords Supprimer les mots de passe enregistreacutes lors drsquoune sup-pression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsessions Supprimer les sessions en cours enregistreacutees lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsiteSettings Supprimer les paramegravetres par site lors drsquoune suppressiondes donneacutees priveacutees
Au choix de lrsquoentiteacute
privacysanitizesanitizeOnShutdown
Supprimer les donneacutees priveacutees agrave la fermeture du naviga-teur
En cas de besoin speacute-cifique de lrsquoentiteacute
Viennent pour finir divers autres paramegravetres lieacutes agrave la confidentialiteacute
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownsessions effacer les sessions de navigation en cours lors
de la fermeture du navigateurtrue
privacyclearOnShutdowncookies effacer les cookies de navigation lors de lafermeture du navigateur
true
privacydonottrackheaderenabled Activer Do-Not-Track true
geoenabled activer la geacuteolocalisation false
geowifiuri URI du service de geacuteolocalisation agrave utiliser Mettre agrave videnetworkprefetch-next Teacuteleacutechargement preacutedictif anticipeacute des docu-
ments lieacutes agrave la page Web visiteacutes (link prefetch-ing)26
false pour eacuteviter lrsquoeacutetablisse-ment de connexions et leteacuteleacutechargement de contenunon solliciteacutes
medianavigatorpermissiondisabled Contourne la permission drsquoacceacuteder agrave la web-cam
false
networkhttpsendRefererHeader Activer lrsquoenvoi de lrsquoentecircte referer 0 pour plus drsquoanonymat ou 2pour ne pas empecirccher le fonc-tionnement de certains sites
browsersend_pings Activer lrsquoenvoi de requecircte POST lors du clicsur un lien (fonctionnaliteacute souvent utiliseacuteepour tracer les clics)
false
26 Le link prefetching permet drsquoacceacuteleacuterer le surf en anticipant le chargement des documents lieacutes agrave la page visiteacutesLrsquoimpleacutementation de ce meacutecanisme dans Firefox ne transmet aucune information agrave Mozilla Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsWebHTTPLink_prefetching_FAQ
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 22 sur 40
Filtrage de contenu
Actions autoriseacutees aux les scripts
Nom de paramegravetre Description Valeur recommandeacuteedomallow_scripts_to_close_windows Autoriser les scripts agrave fermer
une fenecirctrefalse
domdisable_image_src_set Interdire la modification desimages sources par script
false
domdisable_window_flip Interdire le changement defenecirctre active par script
true
domdisable_window_move_resize Deacutetermine si les fenecirctrespeuvent ecirctre bougeacutees or red-imensionneacutees par script
false
domdisable_window_open_featureclose Interdire la creacuteation defenecirctre sans bouton defermeture
true pour eacuteviter les popups in-vasifs
domdisable_window_open_featurelocation Interdire la creacuteation defenecirctre sans barre drsquoadresse
true pour que lrsquoutilisateur puissetoujours veacuterifier ecirctre agrave lrsquoadressepreacutevue
domdisable_window_open_featurestatus Interdire la creacuteation defenecirctre sans barre de status
true pour que lrsquoutilisateur puissese rendre contre plus facilementdes tentatives de spoofing
domdisable_window_open_featuretitlebar Interdire la creacuteation defenecirctre sans barre de titre
true pour que lrsquoutilisateur puissebien voir qursquoil srsquoagit drsquoun popupFirefox
domdisable_window_open_featuretoolbar Interdire la creacuteation defenecirctre sans barre drsquooutils
false
domeventclipboardeventsenabled Permettre agrave un script desaisir les eacuteveacutenements dupresse papier
false
domeventcontextmenuenabled Permettre agrave un script desaisir les eacuteveacutenements drsquoac-cegraves au menu contextuel (clicdroit)
false
dominter-app-communication-apienabled Activer la communicationpar API entre applications
false
domipcpluginsenabled Activation du plugin con-tainer
true pour exeacutecuter les pluginsdans le plugin-container
domipcpluginsjavaenabled Exeacutecuter Java au sein duplugin-container
false pour eacuteviter des problegravemesde stabiliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 23 sur 40
Nom de strateacutegie Description Valeur recommandeacuteebrowsersafebrowsingenabled Utiliser la navigation seacutecuriseacutee
(protection contre le phishing etles logiciels malveillants)27
true
javascriptenabled Activation de Javascript true
securityxpconnectpluginunrestricted Autoriser le scripting de pluginspar des scripts qui ne sont pasde confiance
false agrave moins drsquoune incompatibiliteacute avecdes plugins etou pages Web neacutecessaires agravelrsquoentiteacute
securitymixed_contentblock_active_content
Bloquer le contenu mixte actif true
securitymixed_contentblock_display_content
Bloquer le contenu mixte passif false
securityfileuristrict_origin_policy
Politique drsquoorigine stricte pourles URi de type fichiers
true sauf pour les populations dedeacuteveloppeurs qursquoun tel paramegravetre pourraitbloquer pour le deacuteveloppement en local
networkcookiecookieBehavior Politique de gestion des cookies 1 pour nrsquoautoriser que les cookies duserveur drsquoorigine et bloquer les cookiestiers
networkcookielifetimePolicy Politique drsquoexpiration des cook-ies
2 pour conserver les cookies pendant toutela dureacutee de la session seulement
networkcookiethirdpartysessionOnly Restreindre les cookies tiers agrave ladureacutee de la session seulement
true
networkjaropen-unsafe-types Nrsquoouvrir que les jar servis avecun content-type adeacutequat
false
privacypopupspolicy Politique de popups 1 pour activer les popups ou 2 pour lesrejeter mais cela rendrait la navigationdifficile voire impossible sur une quantiteacutede sites Internet non neacutegligeable
privacypopupsshowBrowserMessage Afficher un message lorsqursquounpopup a eacuteteacute bloqueacute
true
browserpopupsshowPopupBlocker Afficher lrsquoicocircne du bloqueur depopups dans la barre de status
true
securitycspenable Activer la Content Security Pol-icy (politique de seacutecuriteacute descontenus) qui permet de deacute-tecter et de limiter lrsquoimpact decertains types drsquoattaques
true
full-screen-apienabled Activer lrsquoAPI permettant drsquoaf-ficher du contenu en plein eacutecranpour les modules compleacutemen-taires
false
notificationfeatureenabled Permettre les notifications sur lebureau
false
27 La fonctionnaliteacute de navigation seacutecuriseacutee consiste agrave synchroniser une liste locale drsquoadresses de sites maveillants(depuis les serveurs de Google par deacutefaut depuis que Firefox utilise leur service) pour alerter lrsquoutilisateur srsquoil srsquoapprecircte agraveen visiter un Elle consiste eacutegalement agrave analyser le contenu des pages pour repeacuterer drsquoeacuteventuelles tentatives drsquohameccedilonnage
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 24 sur 40
Moteur de recherche par deacutefaut
La configuration drsquoun moteur de recherche personnaliseacute ne peut pas se faire simplement par fichierde configuration et neacutecessite le deacuteploiement drsquoun module de recherche (search engine plugin) LrsquoannexeIV illustre la teacuteleacute-deacuteploiement drsquoun module de recherche utilisant le moteur franccedilais httpswwwqwantcom 28
Nom de paramegravetre Description Exemplebrowsersearchdefaultenginename Moteur de recherche par deacutefaut Qwantcom
browsersearchdefaulturl URL du moteur de recherche pardeacutefaut
httpswwwqwantcomq=searchTerms
browsersearchlog Journalisation de lrsquoutilisation desservices de recherche agrave des fins dedeacuteboggage
false
browsersearchopenintab Ouvrir les reacutesultats de recherchedans un nouvel onglet
false
browsersearchorder1 Moteur de recherche agrave utiliser enprioriteacute 1
Qwantcom
browsersearchsuggestenabled activer les suggestions false
browsersearchupdate Recherche de mises agrave jour pour lesmodules de recherche
false
keywordenabled Permettre de faire une recherchedepuis la barre drsquoadresse
true
Page(s) drsquoaccueil
Nom de strateacutegie Description Valeur recommandeacuteestartuphomepage_override_url Page drsquoaccueil apregraves une mise agrave jour de Firefox En fonction du choix de lrsquoentiteacutestartuphomepage_welcome_url Page drsquoaccueil au premier deacutemarrage En fonction du choix de lrsquoentiteacutebrowserstartuphomepage Page drsquoaccueil about blank pour une page vide
ou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
browserstartuppage Page drsquoaccueil 1 pour ouvrir la page drsquoac-cueil indiqueacutee par le paramegravetrebrowserstartuphomepage
browsersessionstoreresume_from_crash
Restauration de session apregraves crash false
browsersessionstoreenabled Activer le service de restauration de session false
browsernewtaburl Page ouverte par deacutefaut lors de la creacuteationdrsquoun nouvel onglet de navigation
about blank pour une page videou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
28 Ceci nrsquoest en aucun cas une recommandation ni une incitation agrave son utilisation mais un simple exemple
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 25 sur 40
Authentification HTTP
Nom de strateacutegie Description Valeur recommandeacuteenetworkauthforce-generic-ntlm Utiliser le module drsquoauthen-
tification NTLM de Firefoxplutocirct que celui fourni parles APIs du systegraveme
false
networkauthuse-sspi Utiliser SSPI plutocirct queGSSAPI pour lrsquoauthentifica-tion Kerberos
true sous Windows
networkntlmsend-lm-response Envoyer le LM Hash dans lareacuteponse NTLM
false
networkautomatic-ntlm-authallow-proxies
Authentification par NTLMautomatique avec lesserveurs proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networkautomatic-ntlm-authtrusted-uris
Liste des URIs autoriseacuteespour lrsquoauthentification parNTLM automatique
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationNTLM automatique
networkautomatic-ntlm-authallow-non-fqdn
Autoriser lrsquoauthentificationNTLM automatique avecdes sites sans FQDN
false agrave moins que la liste networkautomatic-ntlm-authtrusted-uris comporte des adressessans FQDN
networknegotiate-authallow-non-fqdn
Autoriser lrsquoauthentificationSPNEGO avec des sites sansFQDN
En fonction de lrsquoentiteacute
networknegotiate-authallow-proxies
Autoriser SPNEGO29si de-mandeacute par un serveur proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networknegotiate-authdelegation-uris
Liste des URIs autoriseacuteespour lesquels le navigateurpeut deacuteleacuteguer lrsquoautorisationde lrsquoutilisateur
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites auxquels elle souhaite permettre ladeacuteleacutegation SPNEGO
networknegotiate-authtrusted-uris Liste des URIs autoriseacuteespour engager une authentifi-cation SPNEGO
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationSPNEGO
networknegotiate-authgsslib Chemin vers une librairieGSSLIB speacutecifique
Mettre agrave vide
networknegotiate-authusing-native-gsslib
Utiliser la librairie GSSLIBnative du systegraveme
true
securitydefault_personal_cert Choix du certificat drsquoau-thentification client
Ask Every Time
29 SPNEGO est un standard qui permet de neacutegocier de lrsquoauthentification Kerberos NTLM ainsi que drsquoautresprotocoles supporteacutes pour le systegraveme SPNEGO est eacutegalement connu sous le nom du protocole drsquoauthentificationlaquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 26 sur 40
Serveur mandataire
Nom de paramegravetre Description Valeur recommandeacuteenetworkproxyautoconfig_url URL de configuration automatique du
proxyLaisser agrave vide
networkproxyftp Adresse du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyftp_port port du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp Adresse du proxy proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp_port port du proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyno_proxies_on Liste drsquoexceptions agrave lrsquoutilisation du serveurproxy
A minima localhost 127001 etdavantage en fonction de lrsquoentiteacute etdu peacuterimegravetre drsquoutilisation du naviga-teur
networkproxyshare_proxy_settings
Utiliser le mecircme proxy pour tous les pro-tocoles
false
networkproxysocks Adresse du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_port port du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_remote_dns
Reacutealiser les requecirctes DNS via le proxysocks
false
networkproxysocks_version Version du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl Adresse du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl_port port du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxytype Type drsquoutilisation du proxy 1 pour utiliser les valeurs in-diqueacutees par les paramegravetres ci-dessus(networkproxy)
networkhttpproxyversion version de proxy 11 par deacutefaut et en fonction duserveur proxy de lrsquoentiteacute
networkhttpproxypipelining Activer le pipelining30par proxy false pour des raisons de compat-ibiliteacute Lrsquoentiteacute peut choisir de lrsquoac-tiver si le pipelining est supporteacute parson serveur proxy drsquoentreprise
signonautologinproxy Saisie automatique du mot de passe deproxy
false
30 Le pipelining permet de faire plusieurs requecirctes HTTP simultaneacutement plutocirct que de les faire seacutequentiellement enattendant les reacuteponses de chacune drsquoentre elles Pour plus drsquoinformations httpwww-archivemozillaorgprojectsnetlibhttppipelining-faqhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 27 sur 40
Peacuterimegravetre de navigation
Nom de paramegravetre Description Valeur recommandeacuteenetworkprotocol-handlerexpose-all
Deacutetermine si le navigateur essayedrsquoouvrir les liens cliqueacutes dans lenavigateur en prioriteacute avant delaisser le systegraveme srsquoen charger en casdrsquoeacutechec (si le protocole du lien enquestion nrsquoest pas supporteacute par lenavigateur)
true
networkprotocol-handlerwarn-external-default
Avertir lrsquoutilisateur avant decharger un gestionnaire deprotocole tiers
true
networkprotocol-handlerexternal-default
Action pour lrsquoouverture drsquoun pro-tocole non pris en charge par lenavigateur
false de maniegravere agrave ne pas essayerde charger des protocoles non pris encharge nativement par le navigateur Lrsquoen-titeacute renseignera eacuteventuellement des ges-tionnaires de protocoles tiers pour desprotocoles qursquoelle souhaite explicitementpermettre tels que NNTP Mailto etc Pour illustrer par lrsquoexemple avecMailto le paramegravetre networkprotocol-handlerexternalmailto aurait pour valeurtrue et le paramegravetre networkprotocol-handlerappmailto avec pour valeur lechemin drsquoun exeacutecutable comme MozillaThunderbird ou Microsoft Outlook
networkprotocol-handlerexternalfile
Gestionnaire de protocole filesous Firefox
false
networkprotocol-handlerexternalftp
Gestionnaire de protocole ftpsous Firefox
false
geckohandlerServiceallowRegisterFromDifferentHost
Autoriser les sites Web agrave installerdes gestionnaires de protocoles oude contenus utilisable pour deshocirctes tiers
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 28 sur 40
Administration systegraveme maintenance et options diverses
Parameacutetrage des mises agrave jour
Nom de paramegravetre Description Valeur recommandeacuteeappupdateenabled Activation de la mise agrave jour automatique true
appupdateauto Teacuteleacutechargement et installationautomatiques (neacutecessite que le paramegravetreappupdateenabled ait pour valeurtrue)
true
appupdatecertcheckAttributes Veacuterifie les attributs du certificat du serveurde mise agrave jour
false
appupdatecertrequireBuiltIn Requiert lrsquointeacutegration des certificats duserveur de mise agrave jour et de toutes lesredirections intermeacutediaires
false
appupdatechannel Canal de mise agrave jour esr pour la version ESR de FirefoxappupdatedownloadbackgroundInterval
Temps de pause (en secondes) entrechaque teacuteleacutechargement en arriegravere plandrsquoun morceau de 300 Kb de mise agrave jour
Au choix de lrsquoentiteacute
appupdateidletime Temps de pause (en secondes) entre chaqueteacuteleacutechargement agrave la demande de lrsquoutilisa-teur) drsquoun morceau de 300 Kb de mise agravejour
60
appupdateinterval Intervalle de temps entre chaque veacuterifica-tion de disponibiliteacute de nouvelles mises agravejour
43200
appupdatemode Deacutetermine quelles mises agrave jour sontteacuteleacutechargeacutees en arriegravere plan
0 pour teacuteleacutecharger toutes les mises agravejour sans intervention de lrsquoutilisateur
appupdateserviceenabled Active le service de mise agrave jour de Firefox true
appupdateshowInstalledUI Deacutetermine si apregraves installation de mise agravejour une boicircte de dialogue informe lrsquoutil-isateur qursquoune mise agrave jour a eacuteteacute installeacutee
Au choix de lrsquoentiteacute
appupdatesilent Active le mode de mise agrave jour silencieux true pour une mise agrave jour silencieuseen arriegravere plan
appupdateurl URL de reacutecupeacuteration des mises agrave jour deFirefox
En fonction de la strateacutegie de mise agravejour de lrsquoentiteacute Pour une mise agrave jourdepuis les serveurs de Mozilla httpsaus3mozillaorgupdate3PRODUCTVERSIONBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONupdatexml sinon lrsquoURLdu serveur de mise agrave jour internede lrsquoentiteacute (qursquoil faudra eacutegalementrenseigner dans le paramegravetreappupdateurloverride)
appupdateurloverride URL de reacutecupeacuteration des mises agrave jour deFirefox
Paramegravetre agrave renseigner uniquementdans le cas ou la mise agrave jour deFirefox se fait depuis lrsquoURL drsquounserveur de mise agrave jour interne delrsquoentiteacute (agrave renseigner en plus duparamegravetre appupdateurl)
appupdateurldetails URL de consultation des informations rel-atives aux mises agrave jour disponibles
Laisser la valeur par deacutefautrhttpswwwmozillaorgLOCALEfirefoxnotes
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 29 sur 40
Configuration du cache
Nom de paramegravetre Description Valeur recommandeacuteebrowsercachecheck_doc_frequency Quand veacuterifier la mise agrave jour drsquoune page en
cache disque3 (veacuterifier quand la page estpeacuterimeacutee)
browsercachecompression_level Niveau de compression du cache disque Au choix de lrsquoentiteacute de 0(pas de compression) agrave 9(haut taux de compressionavec forte sollicitation du pro-cesseur)
browsercachediskcapacity Espace disque alloueacute au cache disque enKb
Au choix de lrsquoentiteacute
browsercachediskenable Utiliser le cache disque true
browsercachediskmax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache disque
Au choix de lrsquoentiteacute
browsercachedisksmart_sizeenabled Allocation intelligente de lrsquoespace disquealloueacute au cache en fonction de lrsquoespacedisponible
Au choix de lrsquoentiteacute
browsercachedisk_cache_ssl Mettre en cache disque les pages visiteacuteesen HTTPS
False de maniegravere agrave ne pasmettre en cache le contenuSSL
browsercachememoryenable Utiliser le cache meacutemoire true
browsercachememorymax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache meacutemoire
Au choix de lrsquoentiteacute
browsercachememory_limit Meacutemoire maximum utiliseacutee pour le cachemeacutemoire en Kb
Au choix de lrsquoentiteacute
browsercacheofflinecapacity Espace disque alloueacute au cache des applica-tions Web
Au choix de lrsquoentiteacute
browsercacheofflineenable Utiliser le cache des applications Web per-mettant une utilisation hors ligne
Au choix de lrsquoentiteacute
browsercacheuse_new_backend Utilisation du nouveau systegraveme de cache 0 (ne pas utiliser pour desquestions de stabiliteacute)
networkhttpuse-cache Utiliser le cache des documents HTTP true
mediacache_size Taille du cache pour les fichiers multimedia Au choix de lrsquoentiteacute par deacute-faut 512000
domstoragedefault_quota Quota de stockage cocircteacute client pour lespages Web
5120 taille par deacutefaut
domstorageenabled Active le stockage cocircteacute client pour les pagesWeb
true agrave deacutefaut de vulneacuterabil-iteacutes connues pour cette fonc-tionnaliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 30 sur 40
Deacutesactiver les options de deacuteveloppement (sauf pour les populations de deacuteveloppeurs)
Nom de paramegravetre Description Valeur recommandeacuteedevtoolsappmanagerenabled Activation des outils de deacuteveloppement module appmanager false
devtoolsdebuggerenabled Activation des outils de deacuteveloppement module deacutebogueur false
devtoolserrorconsoleenabled Activation des outils de deacuteveloppement module consoledrsquoerreurs
false
devtoolsfontinspectorenabled Activation des outils de deacuteveloppement module inspecteurde polices
false
devtoolsinspectorenabled Activation des outils de deacuteveloppement module inspecteur false
devtoolsnetmonitorenabled Activation des outils de deacuteveloppement module reacuteseau false
devtoolsprofilerenabled Activation des outils de deacuteveloppement module profileur false
devtoolsshadereditorenabled Activation des outils de deacuteveloppement module vue adaptive false
devtoolsstyleeditorenabled Activation des outils de deacuteveloppement module editeur destyles
false
devtoolstiltenabled Activation des outils de deacuteveloppement module tilt false
devtoolstoolbarenabled Activation des outils de deacuteveloppement module barre dedeacuteveloppement
false
Configurations diverses
Nom de paramegravetre Description Valeur recommandeacuteenetworkseerenable-hover-on-ssl Activer seer sur SSL false
networkseerenabled Activer seer false
networkhttppipelining Activer le pipelining pour le surfHTTP11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttppipeliningssl Activer le pipelining pour le surfHTTPS11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttpspdyenabled Activer SPDY31 false
networkhttpspdyenabledv2 Activer SPDY v2 false
networkhttpspdyenabledv3 Activer SPDY v3 false
networkhttpspdyenabledv3-1 Activer SPDY v31 false
browsershellcheckDefaultBrowser Veacuterifier si Firefox est configureacutecomme navigateur par deacutefaut
false dans le cadre de double naviga-teurs
browserdownloadmanagerscanWhenDone
Scan antivirus drsquoun fichier lorsqueson teacuteleacutechargement est termineacute
true
browserdownloaduseDownloadDir Utiliser le reacutepertoire de teacuteleacutecharge-ment par deacutefaut
false pour que lrsquoutilisateur indique agravequel emplacement il souhaite teacuteleacutechargerle fichier
browserfullscreenautohide Cacher la barre drsquooutils et drsquoongletsen mode plein eacutecran
false
31 SPDY est un protocole reacuteseau expeacuterimental de Google visant agrave augmenter les capaciteacutes du protocole HTTP pourreacuteduire le temps de chargement des pages Web en classant les objets par ordre de prioriteacute et en multiplexant les transfertspour ne neacutecessiter qursquoune seule connexion Ce protocole est vulneacuterable aux attaques CRIME (Compression Ratio Info-leakMade Easy) lorsqursquoil est utiliseacute avec HTTPS (ce qui est geacuteneacuteralement le cas)
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 31 sur 40
Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP
Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory
Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation
La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32
Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers
Fichiers de configuration
La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte
ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet
ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes
Fichier local-settingsjs
pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)
Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 32 sur 40
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
Le tableau comparatif suivant preacutesente les avantages et inconveacutenients de chaque version
Version Avantages Inconveacutenients
Versionstandard
Le navigateur eacutevolue reacuteguliegraverement etles utilisateurs disposent ainsi rapidementdes nouvelles fonctionnaliteacutes qui font leurapparition
Les eacutequipes informatiques doiventreacuteguliegraverement deacuteployer les nouvellesversions de Firefox pour le maintenir enconditions de seacutecuriteacute Ces deacuteploiementsengendrent une charge de travail nonneacutegligeable puisqursquoil est neacutecessairede veacuterifier la compatibiliteacute avec lesapplications Web internes compleacuteter laconfiguration centraliseacutee vis-agrave-vis desnouvelles fonctionnaliteacutes etc
VersionESR
Les eacutequipes informatiques nrsquoont pas agrave sesoucier des eacutevolutions fonctionnelles dunavigateur Une fois la derniegravere versionmajeure de Firefox ESR deacuteployeacutee ellesse contentent de garantir sa stabiliteacute etson maintien en conditions de seacutecuriteacuteen deacuteployant les correctifs publieacutes parMozilla Les cycles de vie des versions deFirefox ESR eacutetant drsquoenviron un an lescorrectifs de seacutecuriteacute sont publieacutes pendanttoute cette dureacutee de vie
ESR ne dispose pas des nouvellesfonctionnaliteacutes qui apparaissent dans lesversions successives de Firefox standardle navigateur peut alors paraicirctre pauvreen fonctionnaliteacutes du point de vue desutilisateurs
Au sein drsquoun systegraveme drsquoinformation administreacute de maniegravere centraliseacutee il est donc plutocirct conseilleacutede deacuteployer la version ESR de Firefox La preacutesente note technique srsquoappuie sur le deacuteploiement et laconfiguration de Firefox ESR dans sa version 31
4 Maicirctrise du navigateur
Les principaux enjeux drsquoun deacuteploiement de navigateur au sein drsquoun systegraveme drsquoinformation sont saseacutecuriteacute et sa maicirctrise Pour cela il est neacutecessaire de pouvoir controcircler sa configuration de maniegraverecentraliseacutee tout en proceacutedant agrave des deacuteploiements et agrave des mises agrave jour (automatiques ou non) selon lapolitique de mise agrave jour de lrsquoentiteacute et sans intervention de lrsquoutilisateur
Firefox ne prend pas nativement en charge la configuration par strateacutegies de groupes (GPO) enenvironnement Active Directory Il est pour cela neacutecessaire de recourir agrave des extensions tierces Il esten revanche possible de parameacutetrer le navigateur agrave lrsquoaide de fichiers de configuration agrave deacuteployer surles postes des utilisateurs Cette meacutethode preacutesente lrsquointeacuterecirct drsquoecirctre utilisable simplement dans nom-breux contextes et aussi bien sous Linux que Windows sans distinction Ces fichiers de configurationpermettent eacutegalement drsquoimposer des paramegravetres verrouilleacutes et non modifiables par les utilisateurs
R1 Avant tout deacuteploiement de Firefox au sein drsquoun systegraveme drsquoinformation il est primordial dedeacutefinir preacuteciseacutement une strateacutegie de parameacutetrage qui garantira lrsquoutilisation du navigateurdans une configuration durcie et verrouilleacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 4 sur 40
Il est important de commencer par clarifier les termes utiliseacutes par Mozilla et ce qursquoils deacutesignent Leterme de laquo module raquo (Add-on) ou de laquo module compleacutementaire raquo inclut
ndash les plugins ou greffons qui sont des composants compileacutes ndash les extensions (qui sont des composants en langage interpreacuteteacute comme XUL ou JavaScript) ndash les thegravemes (qui ne font lrsquoobjet drsquoaucune recommandation de seacutecuriteacute) ndash les modules de moteur de recherche
Les recommandations de parameacutetrage figurant dans ce document sont donneacutees agrave titre indicatifdans lrsquooptique drsquoune configuration durcie Elles doivent donc ecirctre moduleacutees selon les besoins propres agravechaque entiteacute et bien entendu selon le peacuterimegravetre drsquoutilisation du navigateur (Internet Intranet etc)Leur application ne doit pas se faire sans validation preacutealable Lrsquoannexe I de ce document preacutecise lesparamegravetres de configuration permettant drsquoappliquer toutes les recommandations de configuration deFirefox indiqueacutees dans ce document En environnement professionnel il est par ailleurs conseilleacute dedeacuteployer une telle configuration par GPP de maniegravere centraliseacutee comme expliqueacute en annexe II
41 Choix des plugins
Les plugins Firefox ne peuvent ecirctre deacuteveloppeacutes qursquoagrave partir de lrsquointerface de programmation NPAPI(Netscape Plugin Application Programming Interface) Cette architecture qui date de Netscape nrsquoestpas seacutecuriseacutee et exeacutecute les plugins avec le niveau de privilegravege de lrsquoutilisateur Bien qursquoil soit possibledrsquoexeacutecuter certains plugins dans un processus seacutepareacute (le plugin-container) cette seacuteparation ne protegravegeque le processus du navigateur drsquoun eacuteventuel arrecirct brusque de fonctionnement drsquoun plugin Unevulneacuterabiliteacute affectant un plugin permet en revanche de compromettre la session ou le systegraveme Leplugin Flash Player fait toutefois exception en inteacutegrant un meacutecanisme de bac agrave sable qui lui est propre(laquo Mode Proteacutegeacute de Flash Player pour Firefox raquo 5) Le processus Flash Player exeacutecuteacute dans le plugin-container ne sert alors qursquoagrave instancier des processus enfants auxquels srsquoappliquent des restrictions deseacutecuriteacute plus importantes Le plugin Flash continue toutefois de faire lrsquoobjet de vulneacuterabiliteacutes critiques 6
R2 Tout plugin ajouteacute agrave Firefox fait courir un risque de seacutecuriteacute suppleacutementaire il est alorsimportant de les limiter au strict neacutecessaire
Note Le risque induit par lrsquoutilisation du plugin Flash Player peut ecirctre toleacutereacute degraves lors que la lecturedes contenus Flash constitue un besoin incontournable Compleacuteteacute par la visionneuse PDF inteacutegreacutee agraveFirefox (eacutecrite en JavaScript) la prise en charge de ces deux types de contenus devrait suffire pour laplupart des usages
Lrsquoajout la mise agrave jour et la suppression de plugins pour Firefox de maniegravere centraliseacutee peut sefaire simplement par base de registre 7et par GPP (Group Policy Preferences)
42 Choix des extensions
Le meacutecanisme drsquoextension rend possible lrsquoeacutecriture de programmes (extensions) en langage interpreacuteteacute(XUL ou JavaScript entre autres) permettant lrsquoajout de fonctionnaliteacutes ou la personnalisation dunavigateur Contrairement aux plugins qui sont des programmes compileacutes les extensions srsquoexeacutecutentdans le processus du navigateur et sans systegraveme de permission permettant de restreindre les liberteacutesqui leur sont accordeacutees Il convient donc drsquoecirctre particuliegraverement vigilant eacutetant donneacute les risques deseacutecuriteacute non neacutegligeables qursquoelles introduisent
5 httpblogsadobecomsecurity201206inside-flash-player-protected-mode-for-firefoxhtml6 Les multiples avis de seacutecuriteacute peuvent ecirctre consulteacutes sur le site du CERT-FR (wwwcertssigouvfr)7 Un article de Mozilla explique lrsquoajout la mise agrave jour et la suppression drsquoextensions et de plugins pour Firefox par
base de registre httpsdevelopermozillaorgen-USdocsAdding_Extensions_using_the_Windows_Registry
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 5 sur 40
Ainsi une extension malveillante pourrait acceacuteder agrave des informations sensibles concernant la naviga-tion de lrsquoutilisateur puis les envoyer agrave un serveur illeacutegitime sur Internet Une extension peut eacutegalementintroduire de nouveaux comportements indeacutesirables suite agrave une mise agrave jour Rien ne laisse preacutesagerqursquoune extension aujourdrsquohui non malveillante ne le sera pas demain En parallegravele de nombreusesextensions preacutesentent des vulneacuterabiliteacutes qui peuvent ecirctre exploiteacutees (par le contenu des pages visiteacuteesou encore par courriels speacutecifiquement forgeacutes et consulteacutes par webmail) Ces extensions vulneacuterablespeuvent eacutegalement servir agrave exploiter par rebond les vulneacuterabiliteacutes drsquoeacuteventuels plugins activeacutes et ainsiobtenir un accegraves complet au systegraveme
R3 Ne deacuteployer que des extensions de confiance et neacutecessaires aux besoins meacutetiers
Note Dans le cas drsquoextensions deacuteveloppeacutees en interne il convient de precircter une attention particuliegravereagrave la seacutecuriteacute de leur code 8
Lrsquoajout la mise agrave jour et la suppression drsquoextensions pour Firefox de maniegravere centraliseacutee peut sefaire simplement dans la base de registre et par GPP (Group Policy Preferences)
421 SSLTLS et certificats
Firefox a comme particulariteacute drsquoutiliser ses propres bibliothegraveques de gestion des eacutechanges seacutecuriseacutesclientserveur deacuteveloppeacutees par la fondation Mozilla (bibliothegraveques NSS Network Security Services) cequi lui permet de disposer par exemple de son propre magasin de certificats et de sa propre liste deCRL (listes de reacutevocations de certificats) Il est ainsi possible drsquoappliquer des restrictions speacutecifiquesau navigateur sur certains certificats sans que cela ne srsquoapplique au systegraveme drsquoexploitation dans sonensemble ce qui le diffeacuterencie drsquoautres navigateurs Il est eacutegalement possible de restreindre simplementles versions de protocoles SSLTLS ainsi que les suites cryptographiques utiliseacutees Cette indeacutependancevis-agrave-vis du meacutecanisme fourni par le systegraveme drsquoexploitation lui confegravere une plus grande portabiliteacute etune souplesse dans sa configuration SSLTLS mais se traduit en contrepartie par une deacutemarche deseacutecurisation plus complexe
R4 Deacutesactiver lrsquoutilisation de SSL et nrsquoautoriser que les protocoles TLS v11 et supeacuterieures(la v10 eacutetant vulneacuterable) Pour aller plus loin il est eacutegalement possible de restreindreles suites cryptographiques utilisables en deacutesactivant celles reposant sur des algorithmesobsolegravetes comme RC4
Note Pour plus drsquoinformations le lecteur est inviteacute agrave se reacutefeacuterer agrave la section correspondante delrsquoannexe I ainsi qursquoaux publications de lrsquoANSSI 9 Par ailleurs les suites nrsquoutilisant pas de meacutecanismesde PFS (Perfect Forward Secrecy) devraient ideacutealement ecirctre deacutesactiveacutees elles aussi mais des difficulteacutesde navigation seraient agrave preacutevoir sur Internet du fait de lrsquo incompatibiliteacute avec de nombreux serveursWeb
Chaque utilisateur drsquoun poste de travail dispose de son propre profil Firefox Les informations deseacutecuriteacute relatives aux certificats sont stockeacutees pour chaque profil firefox dans 3 fichiers
ndash cert8db (objets accessibles publiquement certificats CRLs enregistrements SMIME) ndash key3db (cleacutes priveacutees mots de passe) ndash secmoddb (informations de configuration des modules de seacutecuriteacute)
8 Lrsquoarticle Security best practices in extensions expose certains fondamentaux agrave respecter pour le deacuteveloppementdrsquoextension seacutecuriseacutees httpsdevelopermozillaorgen-USAdd-onsSecurity_best_practices_in_extensions
9 La note laquo Recommandations de seacutecuriteacute concernant lrsquoanalyse des flux HTTPS raquo est disponible agrave lrsquoadresse httpwwwssigouvfrfrguides-et-bonnes-pratiquesrecommandations-et-guidesauthentification-et-mecanismes-cryptographiquesrecommandations-de-securite-concernant-l-analyse-des-flux-httpshtmlLrsquoarticle laquo SSLTLS eacutetat des lieux et recommandations raquo est disponible agrave lrsquoadresse httpwwwssigouvfrfranssipublicationspublications-scientifiquesarticles-de-conferencesssl-tls-etat-des-lieux-et-recommandationshtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 6 sur 40
Lrsquoaccegraves aux fichiers key3db et cert8db non chiffreacutes drsquoun profil Firefox permet la reacutecupeacuterationet la reacuteutilisation des certificats utilisateurs qursquoils contiennent Tout compte disposant de droits admi-nistrateurs sur un ordinateur a la possibiliteacute de reacutecupeacuterer lrsquoensemble des fichiers key3db et cert8dbqui y sont stockeacutes (voire tout utilisateur non privileacutegieacute dans le cas drsquoun systegraveme de fichiers FAT32) Laconfidentialiteacute des donneacutees utilisateurs nrsquoest donc pas assureacutee degraves lors que ces fichiers ne sont pas chiffreacutesLa deacutefinition drsquoun mot de passe principal deacuteclenche le chiffrement du fichier key3db par algorithme3DES-CBC avec une cleacute deacuteriveacutee de ce mot de passe La seacutecuriteacute apporteacutee par une telle mesure restemodeacutereacutee des outils performants permettent de rapidement retrouver ce mot de passe maicirctre par forcebrute Le stockage du profil Firefox dans un conteneur chiffreacute par une solution qualifieacutee par lrsquoANSSIpeut ecirctre dans certains cas la solution agrave privileacutegier
R5 Degraves lors que des certificats utilisateurs sont stockeacutes dans les magasins de certificats deFirefox il est recommandeacute drsquoassurer la seacutecuriteacute de leurs conteneurs de cleacutes priveacutees (fichierskey3db) par chiffrement
Tout utilisateur de Firefox peut aussi ajouter des certificats serveurs et des autoriteacutes de confiancedans son propre magasin de certificats Selon le contexte drsquoutilisation du navigateur il peut doncecirctre important de mettre en œuvre des mesures techniques permettant de maicirctriser les magasins decertificats des profils Firefox et de srsquoassurer de leur conformiteacute vis agrave vis de la strateacutegie de lrsquoentiteacute
R6 Maicirctriser les magasins de certificats des profils Firefox et notamment les autoriteacutes decertification racines de confiance et les certificats serveurs qui y sont configureacutes
Note lrsquoapplication de cette recommandation est simple degraves lors que les utilisateurs ne stockent pasde certificats utilisateurs dans leurs magasins de certificats Firefox mais cela devient plus compliqueacutedans le cas contraire La probleacutematique est abordeacutee plus en deacutetail en annexe III
Il agrave noter eacutegalement que depuis sa version 24 Firefox se deacutetourne de lrsquousage classique des CRLsen ligne au profit drsquoune liste de reacutevocations mise agrave jour reacuteguliegraverement pour consultation locale Lesbibliothegraveques NSS supportent toujours la gestion des CRLs classiques (modifiables par lrsquooutil crlutilet non plus par interface graphique) mais il est preacutevu qursquoelles ne soient plus utiliseacutees dans un avenirproche Les autoriteacutes de certification sont drsquoailleurs inviteacutees agrave envoyer leurs certificats reacutevoqueacutes agrave Mozillapour ecirctre inteacutegreacutes agrave la liste de reacutevocation maintenue par Mozilla 10
422 Gestionnaire de mots de passe
Le gestionnaire de mots de passe de Firefox permet de meacutemoriser les mots de passe saisis dansles formulaires Web Tout comme pour les magasins de certificats lrsquoutilisation drsquoun laquo mot de passeprincipal raquo 11 permet de chiffrer les mots de passe stockeacutes par un algorithme 3DES-CBC avec une cleacutedeacuteriveacutee du mot de passe principal La seacutecuriteacute apporteacutee par une telle mesure reste modeacutereacutee des outilsperformants permettent de rapidement retrouver ce mot de passe maicirctre par force brute Lrsquoutilisationdrsquoun gestionnaire de mots de passe alternatif seacutecuriseacute est donc conseilleacute
R7 Il est conseilleacute de deacutesactiver le gestionnaire de mots de passe pour imposer la saisiesysteacutematique de ces derniers Lrsquoapplication drsquoun tel durcissement est leacutegitime sur un reacuteseauameneacute agrave traiter des donneacutees sensibles ou confidentielles mais peut toutefois ecirctre difficileagrave imposer aux utilisateurs sur des reacuteseaux moins sensibles Sa deacutesactivation pourrait alorssrsquoaccompagner du deacuteploiement drsquoun gestionnaire de mots de passe alternatif et seacutecuriseacute 12
10 Le Wiki de Mozilla deacutetaille la probleacutematique de reacutevocation de certificats au sein de Firefox httpswikimozillaorgCAImprovingRevocation11 httpssupportmozillaorgfrkbutiliser-mot-passe-principal-proteger-identifiants
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 7 sur 40
423 Confidentialiteacute
Le lecteur est inviteacute agrave prendre connaissance de la laquo deacuteclaration de confidentialiteacute de Firefox raquo 13Selon les fonctionnaliteacutes activeacutees diverses informations sont susceptibles drsquoecirctre envoyeacutees agrave Mozilla Laplupart sont en rapport avec
ndash les informations lieacutees aux modules compleacutementaires installeacutes et le blocage automatique desmodules en liste noire
ndash les rapports de plantage ndash le service de mise agrave jour automatique ndash le service de protection contre les sites malveillants ndash le service de synchronisation Firefox Sync
Il est donc important de deacutesactiver certaines de ces fonctionnaliteacutes pour limiter les donneacutees envoyeacuteesagrave Mozilla
R8 Deacutesactiver les divers rapports disponibles de plantage de performance etc
R9 Deacutesactiver le service de synchronisation Firefox Sync
R10 La fonctionnaliteacute de blocage des sites contrefaits envoie agrave des fournisseurs tiers de Mozillales adresses Web des sites visiteacutes pour veacuterifier qursquoils ne soient pas connus comme eacutetantmalveillants et en bloquer lrsquoaccegraves si neacutecessaire Bien qursquoil soit conseilleacute de laisser ce filtreactiveacute pour des raisons de seacutecuriteacute une entiteacute pourra juger suffisamment confidentielles lesadresses des pages Web visiteacutees pour qursquoune deacutesactivation de ce meacutecanisme srsquoimpose
La navigation priveacutee ainsi que la protection contre le pistage (Do Not Track) sont des fonction-naliteacutes inteacuteressantes du point de vue du respect de la vie priveacutee lors de la navigation sur Internetet qui pourraient ecirctre deacutesactiveacutees pour de la navigation en Intranet La strateacutegie de configurationdes paramegravetres de confidentialiteacute deacutependra donc du peacuterimegravetre drsquoutilisation du navigateur Degraves lors quele navigateur Firefox dispose drsquoune connectiviteacute agrave Internet les recommandations suivantes srsquoappliquent
R11 Activer les fonctionnaliteacutes de protection de la confidentialiteacute (anti pistage navigationpriveacutee suppression des donneacutees priveacutees etc) lorsque le navigateur nrsquoest pas deacutedieacute agrave unenavigation Intranet
Note Le nouveau standard de protection contre le-pistage (Do Not Track) nrsquoest qursquoune sollicitation duclient Sa prise en compte par les serveurs Web ne deacutepend donc que de leurs pratiques de confidentialiteacuterespectives et nrsquoapporte aucune garantie au client
R12 Interdire les fonctions de geacuteolocalisation
R13 Degraves lors que la confidentialiteacute des recherches est jugeacutee primordiale il conviendra drsquoimposerun moteur de recherche de confiance et de deacutesactiver les fonctionnaliteacutes de rechercheinstantaneacutee ou de suggestion de recherche
12 KeePass est un exemple de solution disposant drsquoun certificat de seacutecuriteacute de premier niveau (CSPN) deacutelivreacute parlrsquoANSSI qui peut ecirctre utiliseacutee avec Firefox13 Deacuteclaration disponible en anglais agrave lrsquoadresse
httpwwwmozillaorgen-USlegalprivacyfirefoxhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 8 sur 40
424 Moteur de recherche par deacutefaut
Imposer un moteur de recherche et certains paramegravetres de recherche peut avoir un sens dans certainscontextes Crsquoest le cas principalement lorsque le navigateur se trouve deacutedieacute agrave lrsquoIntranet Lrsquoentiteacute pourraalors imposer et configurer le moteur de recherche de lrsquoIntranet Ces regravegles de configuration peuventeacutegalement avoir une utiliteacute pour la recherche sur Internet si par exemple lrsquoentiteacute veut imposer unmoteur de recherche franccedilais qui srsquoappuie sur une connexion chiffreacutee En parallegravele lrsquoentiteacute peut alorsbloquer lrsquoaccegraves aux adresses des moteurs de recherche qursquoelle souhaite interdire
R14 Pour des questions de respect de la vie priveacutee il est conseilleacute drsquoimposer un moteur derecherche srsquoappuyant sur une connexion chiffreacutee (HTTPS)
Note Cela nrsquoempecircche pas lrsquointerception des donneacutees par le moteur de recherche ce dernier eacutetant danstous les cas destinataire des donneacutees de recherche en clair
425 Filtrage de contenu
Le filtrage du contenu participe agrave renforcer la seacutecuriteacute de la navigation en bloquant les contenuspotentiellement malveillants Certains meacutecanismes de filtrage peuvent toutefois avoir une incidence surla faculteacute des utilisateurs agrave naviguer sur certains sites
R15 Activer les fonctionnaliteacutes de filtrage de contenu telles que la navigation seacutecuriseacutee(protection contre le hameccedilonnage et les logiciels malveillants) ou la Content SecurityPolicy 14
R16 Interdire ou a minima restreindre les scripts les contenus mixtes actifs 15 les cookies tiersetc
La section correspondante de lrsquoannexe I liste en deacutetail le parameacutetrage recommandeacute pour ces types decontenus
426 Page(s) drsquoaccueil
Si le navigateur est configureacute pour restaurer la session preacuteceacutedente les donneacutees ainsi que les cookiesde session seront sauvegardeacutes puis restaureacutes au prochain deacutemarrage du navigateur (sauf en mode denavigation priveacutee) Il est alors possible de reacutecupeacuterer ces cookies sauvegardeacutes pour srsquoauthentifier agrave laplace de lrsquoutilisateur sans mot de passe voire de reacutecupeacuterer une session HTTPS preacutealablement initieacutee
R17 Il est preacutefeacuterable que le navigateur nrsquoenregistre pas les sessions de navigation Lors dudeacutemarrage du navigateur (apregraves un arrecirct normal ou brusque) il est en effet conseilleacutede ne pas restaurer la session preacuteceacutedente de lrsquoutilisateur mais drsquoafficher une(des) page(s)connue(s) et de confiance
427 Serveur mandataire
Il est primordial de controcircler les flux non seulement en entreacutee mais eacutegalement en sortie Lorsqursquounindividu malveillant atteint en inteacutegriteacute un poste de travail il peut ensuite proceacuteder agrave lrsquoeacutetablissementdrsquoun canal de controcircle depuis le poste de travail vers un serveur situeacute sur Internet Lrsquoutilisation de
14 Cette couche de seacutecuriteacute qui permet de se preacutemunir contre certains types drsquoattaques est deacutetailleacutee dans un article duMozilla Developer Network httpsdevelopermozillaorgen-USdocsWebSecurityCSPIntroducing_Content_Security_Policy15 httpsdevelopermozillaorgen-USdocsSecurityMixedContent
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 9 sur 40
serveurs mandataires avec authentification peut donc bloquer des connexions sortantes malveillantesIl srsquoavegravere alors judicieux drsquoimposer lrsquoutilisation du serveur mandataire (proxy) par configuration cen-traliseacutee sur les postes utilisateurs
R18 Privileacutegier lrsquoutilisation de serveurs mandataires avec authentification
Note Cette recommandation peut ecirctre renforceacutee par des regravegles de filtrage de pare-feu
428 Authentification HTTP
Il est possible de durcir la seacutecuriteacute des authentifications utilisant NTLM 16 ou SPNEGO 17 surFirefox degraves lors que lrsquoune drsquoentre elles est utiliseacutee par lrsquoentiteacute qui le deacuteploie Il est par exemplerecommandeacute de speacutecifier la liste des serveurs autoriseacutes agrave engager une authentification SPNEGO ouune authentification NTLM automatique
R19 Speacutecifier la liste des serveurs autoriseacutes agrave engager une authentification SPNEGO ou uneauthentification NTLM automatique
Note Lrsquoutilisation de NTLM nrsquoest pas conseilleacutee Kerberos eacutetant le protocole drsquoauthentification agraveprivileacutegier
429 Peacuterimegravetre de navigation
Il est recommandeacute de restreindre le peacuterimegravetre de navigation en interdisant certains scheacutemas drsquoadressesavec les protocol-handlers
R20 Interdire a minima le scheacutema drsquoadresses file pour un navigateur deacutedieacute agrave la navigationsur Internet de maniegravere agrave eacuteviter des accegraves arbitraires au systegraveme de fichiers Le scheacutemaftp pourrait eacutegalement ecirctre interdit au profit de lrsquoutilisation drsquoun client FTP tiers
Note Lrsquoutilisation du navigateur Firefox ne sera alors plus possible pour afficher des pages htmldirectement depuis un systegraveme de fichiers (CD-ROM disque local ou distant via un partage reacuteseauetc)
Ces listes preacutesentent eacutegalement un inteacuterecirct particulier dans le cadre drsquoune strateacutegie de doublenavigateur Ce sujet est deacutetailleacute en section laquo Strateacutegie de double navigateur raquo
4210 Administration systegraveme et maintenance
Divers paramegravetres de Firefox relegravevent de sa maintenance et certaines preacutecautions doivent ecirctreprises pour eacuteviter des problegravemes de compatibiliteacute de confidentialiteacute des donneacutees utilisateurs voire dedisponibiliteacute des postes de travail La liste complegravete de ces paramegravetres figure en annexe I
43 Teacuteleacute-deacuteploiement initial
Firefox au mecircme titre que les autres logiciels devrait ideacutealement ecirctre installeacute sur les postes detravail par teacuteleacute-deacuteploiement Une telle meacutethode de deacuteploiement est un des fondamentaux drsquoun systegravemedrsquoinformation controcircleacute et maicirctriseacute En effet il permet de maicirctriser les installations drsquohomogeacuteneacuteiser les
16 NTLM (NT Lan Manager) est une suite de protocoles drsquoauthentification de Microsoft qui ne supporte pas lesmeacutethodes cryptographiques reacutecentes comme AES ou SHA-25617 SPNEGO (Simple and Protected GSSAPI Negociation Mechanism) est un standard qui permet de neacutegocier de
lrsquoauthentification Kerberos NTLM ainsi que drsquoautres protocoles supporteacutes pour le systegraveme SPNEGO est eacutegalementconnu sous le nom du protocole drsquoauthentification laquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 10 sur 40
versions et configurations mais aussi de proceacuteder aux mises agrave jour de maniegravere reacuteactive et efficace
Le teacuteleacute-deacuteploiement de logiciel peut se faire de plusieurs maniegraveres ndash au format MSI par GPO (strateacutegies de groupe pour la gestion centraliseacutee) dans un domaine
Microsoft Active Directory Attention toutefois puisque Mozilla ne fournit Firefox qursquoau formatexeacutecutable il sera donc neacutecessaire de construire un package Firefox au format MSI Des eacutediteurstiers proposent de tels paquets mais ces eacutediteurs nrsquooffrent pas de garantie forte de lrsquointeacutegriteacute deslogiciels qursquoils fournissent Il est par conseacutequent preacutefeacuterable que lrsquoorganisation utilisatrice geacutenegravereses propres fichiers MSI
ndash au format exeacutecutable agrave lrsquoaide drsquoun outil de gestion de parc ou de tout autre produit tiers preacutevuagrave cet effet
44 Gestion des mises agrave jour
La mise agrave jour reacuteactive du navigateur est primordiale pour se preacutemunir des vulneacuterabiliteacutes reacuteguliegravere-ment deacutetecteacutees et corrigeacutees Lrsquoutilisation drsquoun navigateur preacutesentant des vulneacuterabiliteacutes connues par despersonnes malveillantes expose le poste de travail agrave une attaque Deux strateacutegies diffeacuterentes de mise agravejour de Firefox peuvent alors ecirctre envisageacutees
ndash la premiegravere consiste agrave simplement laisser la configuration par deacutefaut le navigateur va alorsautomatiquement teacuteleacutecharger les mises agrave jour aupregraves des serveurs de Mozilla Il convient dans cecas de srsquoassurer que les postes de travail sont en mesure drsquoacceacuteder aux serveurs de mise agrave jour deMozilla sur Internet ideacutealement au travers du proxy drsquoentreprise qui pourra notamment mettreen cache les binaires
ndash la configuration alternative consiste agrave remplacer lrsquoURL de mise agrave jour (agrave lrsquoaide du paramegravetre deconfiguration appupdateurloverride) 18 par une URL locale qui mettra les mises agrave jour agravedisposition des postes de travail
Le tableau suivant syntheacutetise les avantages et inconveacutenients des deux meacutethodes
Meacutethode Avantages Inconveacutenientsclassique par deacutefautles navigateurs se mettentagrave jour automatiquementaupregraves des serveurs deMozilla par Internet
- mise en œuvre aiseacutee par les servicesinformatiques - haut taux de disponibiliteacute desserveurs de mise agrave jour de Mozilla
- ne permet pas aux ser-vices informatiques de testeret valider les mises agrave jouravant leur deacuteploiement no-tamment lors de lrsquoutilisationdrsquoapplications Web meacutetier peureacutepandues - peu adapteacute pour un naviga-teur deacutedieacute agrave lrsquoIntranet
controcircleacutee la mise agrave jourautomatique de Firefox estdeacutesactiveacutee et les servicesinformatiques mettent lesmises agrave jour agrave dispositiondes postes de travail depuisun serveur local
- permet de tester et valider les misesagrave jour avant deacuteploiement - permet drsquoadapter les configu-rations centraliseacutees du navigateurpour tenir compte des eacuteventuellesnouvelles fonctionnaliteacutes avant deacute-ploiement - permet de bloquer tout le trafic agravedestination des serveurs de Mozilla
- freine la reacuteactiviteacute des misesagrave jour - neacutecessite des moyens hu-mains importants
18 Pour plus drsquoinformations sur la mise en œuvre drsquoun serveur de mises agrave jour local httpsdevelopermozillaorgen-USdocsMozillaSetting_an_update_server
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 11 sur 40
Il sera nettement moins risqueacute (du point de la compatibiliteacute) de retenir le mode classique (automa-tique) pour les versions ESR de Firefox eacutetant donneacute que les mises agrave jour concernent des correctifs deseacutecuriteacute agrave haut risque et nrsquoapportent aucune nouvelle fonctionnaliteacute En revanche les versions standardsde Firefox peuvent recevoir des mises agrave jour fonctionnelles importantes qursquoil serait plus pertinent decontrocircler preacutealablement
La probleacutematique des mises agrave jour concerne eacutegalement les extensions Bien qursquoil soit recommandeacutede les interdire dans le cadre drsquoune configuration durcie une entiteacute peut vouloir en deacuteployer certainespour de bonnes raisons La mise agrave jour des extensions est indeacutependante du meacutecanisme de mise agravejour du navigateur Elles peuvent ecirctre mises agrave jour automatiquement (comportement par deacutefaut) oumanuellement quelle que soit la strateacutegie de mise agrave jour choisie pour le navigateur
Le maintien en conditions de seacutecuriteacute des plugins devra par ailleurs ecirctre geacutereacute indeacutependamment dunavigateur chaque plugin ayant ses speacutecificiteacutes quant aux meacutecanismes de mise agrave jour utiliseacutes
Concernant le service Mozilla Maintenance Service (service chargeacute des mises agrave jour de Firefox) cedernier srsquoexeacutecute avec les droits qui lui sont propres pour la mise agrave jour du navigateur et ce quels quesoient les droits de lrsquoutilisateur
5 Strateacutegie de double navigateur
La seacutecuriteacute des systegravemes drsquoinformation impose souvent un navigateur qui doit ecirctre durci pourlrsquoaccegraves agrave Internet mais plus permissif pour lrsquoaccegraves aux applications internes Lorsque certains serveursWeb internes utilisent des appliquettes Java par exemple neacutecessitant le deacuteploiement de modulescompleacutementaires Java le navigateur finit par avoir une surface drsquoattaque tregraves importante et exposeainsi lrsquoentiteacute agrave un des vecteurs drsquoattaque les plus critiques et massivement exploiteacutes 19
Pour traiter cette probleacutematique lorsqursquoelles disposent des ressources neacutecessaires en particulierpour en assurer le maintien en conditions de seacutecuriteacute de plus en plus drsquoentiteacutes srsquoorientent vers lrsquousagede deux navigateurs diffeacuterents Il devient alors possible
ndash drsquoen deacutedier un agrave la navigation sur Internet De par sa configuration durcie sa surface drsquoattaqueest reacuteduite au maximum Il est maintenu en conditions de seacutecuriteacute avec la plus grande attentionLes eacutequipes de veille scrutent la moindre vulneacuterabiliteacute dont le navigateur Internet fait lrsquoobjetLes eacutequipements de filtrage et drsquoanalyse du trafic sont utiliseacutes pour repeacuterer tout comportementsuspect de navigation sur Internet
ndash drsquoen deacutedier un deuxiegraveme agrave lrsquoaccegraves aux serveurs internes neacutecessitant par exemple un module com-pleacutementaire qui peut faire lrsquoobjet de vulneacuterabiliteacutes freacutequentes ou qui neacutecessite une configurationplus permissive Il est alors possible de le configurer pour permettre uniquement lrsquoaccegraves et lrsquousagede lrsquoensemble des sites et applications leacutegegraveres de lrsquoIntranet
Une telle strateacutegie de double navigateur doit neacutecessairement srsquoaccompagner de mesures de seacutecuriteacutetechniques permettant de garantir le peacuterimegravetre drsquoutilisation de chaque navigateur par des paramegravetresde configuration verrouilleacutes Le tableau suivant en donne quelques exemples
19 Voir les recommandations de seacutecuriteacute publieacutees par lrsquoANSSI relatives aux environnements drsquoexeacute-cution Java sur les postes de travail Microsoft Windows agrave lrsquoadresse httpwwwssigouvfrfrguides-et-bonnes-pratiquesrecommandations-et-guidessecurite-du-poste-de-travail-et-des-serveursrecommandations-de-securite-relatives-aux-environnements-d-execution-java-surhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 12 sur 40
Composant Action ValeurServeur mandataire Autoriser User-Agent du navigateur Internet (ou plus strictement de la
derniegravere version de ce dernier)Bloquer Tout autre User-Agent non autoriseacute
Pare-feu locaux despostes de travail
Autoriser TCP en sortie vers le serveur mandataire depuis - le processus du navigateur Internet (chemin complet delrsquoexeacutecutable) - les autres processus eacuteventuels autoriseacutes agrave acceacuteder agrave Internetvia le serveur mandataire
Bloquer TCP en sortie vers le serveur mandataire depuis tout autreprocessus
Pare-feu de passerelleInternet
Autoriser TCP en sortie vers les ports 443 et 80 depuis - lrsquoIP source du serveur mandataire - les autres IP sources eacuteventuelles autoriseacutees agrave sortir en directsur Internet sans passer par le serveur mandataire
Bloquer TCP en sortie vers ports 443 et 80 depuis toute autre IP sourceApplocker (ou SRP) surles postes de travail
Autoriser lrsquoexeacutecution Chemin complet de lrsquoexeacutecutable des navigateurs autoriseacutes
Bloquer lrsquoexeacutecution Tout autre exeacutecutable de navigateur interdit
Les regravegles de configuration deacutecrites en annexe I section laquo Peacuterimegravetre de navigation raquo permettentalors de mettre en œuvre une partie de ces mesures de seacutecuriteacute et de restreindre le peacuterimegravetre denavigation possible de chacun des navigateurs
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 13 sur 40
Les figures suivantes illustrent de maniegravere syntheacutetique les mesures de seacutecuriteacute appliqueacutees agrave unestrateacutegie de double navigateur
Figure 1 ndash Illustration drsquoune strateacutegie de double navigateur cas ougrave Firefox est utiliseacute commenavigateur Internet
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 14 sur 40
Figure 2 ndash Illustration drsquoune strateacutegie de double navigateur cas ougrave Firefox est utiliseacute commenavigateur Intranet
Ces figures illustrent deux cas distincts Le navigateur Firefox y est repreacutesenteacute mais la strateacutegieserait eacutequivalente avec drsquoautres navigateurs
Les regravegles de configuration recommandeacutees en annexe I se precirctent agrave un contexte ougrave le navigateur estdeacutedieacute agrave la navigation sur Internet
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 15 sur 40
Annexe I Strateacutegies de seacutecurisation de Firefox
Cette annexe liste sous forme de tableaux les valeurs recommandeacutees permettant de mettre en œuvreles recommandations formuleacutees dans cette note technique La liste des paramegravetres de configurationdisponibles est sujette agrave des eacutevolutions freacutequentes et certains sont peu voire pas documenteacutes Lesrecommandations et leurs indications de mise en œuvre figurant dans ce document sont baseacutees sur lesparamegravetres de configuration de Firefox dans sa version ESR 31 Ces derniers pourront ecirctre adapteacutesselon la version du navigateur deacuteployeacutee agrave la date de lecture du document
Depuis un navigateur Firefox il est possible drsquoafficher et de modifier les paramegravetres de configurationappliqueacutes en tapant aboutconfig dans la barre drsquoadresse Les paramegravetres verrouilleacutes sont afficheacutes enitalique La page aboutsupport affiche quant agrave elle un reacutecapitulatif des informations systegravemes etde version ainsi que les modifications importantes apporteacutees agrave la configuration par deacutefaut du navigateur
En environnement professionnel il est conseilleacute de deacuteployer une configuration de maniegravere centraliseacuteecomme expliqueacute en annexe II Pour un usage personnel de Firefox il est eacutegalement possible de srsquoinspirerde tout ou partie des paramegravetres indiqueacutes dans ce document agrave partir de la page aboutconfig
Seacutecuriteacute des modules compleacutementaires
Les regravegles de configuration preacutefixeacutees par le terme laquo extensions raquo ne srsquoappliquent pas toujoursuniquement aux extensions comme elles pourraient le laisser entendre mais parfois plus largementaux plugins voire aux modules compleacutementaires dans leur ensemble Il convient donc drsquoecirctre vigilantquant au peacuterimegravetre reacuteel drsquoapplication des regravegles de configuration dont les noms pourraient precircter agraveconfusion
Nom de strateacutegie Description Valeur recommandeacuteeextensionsautoDisableScopes Les extensions peuvent
ecirctre deacutesactiveacuteesautomatiquement enfonction de leur localisation
3 (les extensions deacuteposeacutees dans le profil Firefox delrsquoutilisateur ou dans le profil utilisateur Windowsseront automatiquement deacutesactiveacutees20)
extensionsenabledScopes Les extensions peuvent ecirctreactiveacutees automatiquementen fonction de leurlocalisation21
12 (seules les extensions reacutefeacuterenceacutees par une entreacutee enbase de registres22 ou deacuteposeacutees dans le sous-dossierdrsquoextensions agrave lrsquoemplacement de lrsquoexeacutecutable FireFoxseront activeacutees Attention ce paramegravetre a prioriteacute surextensionsautoDisableScopes
20 Contrairement agrave ce qursquoindique la MozillaZine Knownledge Base le paramegravetre extensionsautoDisableScopes nepermet pas de deacutesactiver un plugin pour ce faire il convient drsquoutiliser les paramegravetres pluginstatex21 Pour plus drsquoinformations sur le paramegravetre extensionsenabledScopes httpsdevelopermozillaorgen-US
Add-onsInstalling_extensions22 Article de Mozilla expliquant lrsquoajout la mise agrave jour et la suppression drsquoextensions ou de plugins pour Firefox par
base de registre httpsdevelopermozillaorgen-USdocsAdding_Extensions_using_the_Windows_Registry
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 16 sur 40
Nom de paramegravetre Description Valeur recommandeacuteeextensionsblocklistenabled Teacuteleacutechargement reacutegulier drsquoune
liste noire de modules reacutefeacuterenceacutescomme eacutetant malveillants
false si seuls les modules teacuteleacute-deacuteployeacutes par leseacutequipes informatique sont installeacutes ou true silrsquoutilisateur est en mesure drsquoinstaller des moduleslui-mecircme
extensionsblocklistdetailsURL
URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules
Celle par deacutefaut (httpswwwmozillaorgLOCALEblocklist)
extensionsblocklistitemURL URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules(variante)
Celle par deacutefaut (httpsaddonsmozillaorgLOCALEAPPblockedblockID)
extensionsblocklistinterval Intervalle de teacuteleacutechargement dela liste noire de modules ensecondes
86400 (soit 1 fois par jour)
extensionsblocklistlevel Niveau de blocage 2 (pour bloquer les extensions de la liste)extensionsblocklisturl Adresse de teacuteleacutechargement de la
liste noire de modulesCelle par deacutefaut (httpsaddonsmozillaorgblocklist3APP_IDAPP_VERSIONPRODUCTBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONPING_COUNTTOTAL_PING_COUNTDAYS_SINCE_LAST_PING)
extensionsenabledAddons Modules activeacutes au deacutemarragede Firefox
Mettre agrave vide
pdfjsdisabled Deacutesactiver la visionneuse PDFinteacutegreacutee agrave Firefox (pdfjs)
true pour que lrsquoutilisateur teacuteleacutecharge les PDF etles visionne via un lecteur PDF tiers maintenu enconditions de seacutecuriteacute par lrsquoentiteacute et ne faisant paslrsquoobjet de vulneacuterabiliteacutes freacutequentes ou false pourautoriser lrsquousage du lecteur de PDF inteacutegreacute
pluginstateflash Configuration drsquoactivation duplugin Flash
1 (demander lrsquoautorisation agrave lrsquoutilisateur avantchaque exeacutecution du plugin Flash) ou 2 (toujoursactiver) au choix de lrsquoentiteacute et en fonction desutilisateurs et des contraintes de seacutecuriteacute
pluginstatejava Configuration drsquoactivation duplugin Java
0 pour ne jamais activer le plugin Java (agrave moinsque lrsquoentiteacute souhaite utiliser ce plugin malgreacute lesrisques de seacutecuriteacute encourus auquel cas la valeuragrave donner serait 1 pour demander lrsquoautorisation agravelrsquoutilisateur agrave chaque exeacutecution du plugin Java)
pluginstatex Configuration drsquoactivation duplugin x ougrave x est agrave remplacerpar le nom court du pluginagrave deacutesactiver (exemple npctrlpour Microsoft Silverlight Lesnoms courts des plugins sontindiqueacutes en affichant leurs infor-mations deacutetailleacutees depuis lrsquointer-face graphique)
0 pour ne jamais activer le plugin ou 1 pourdemander lrsquoautorisation agrave lrsquoutilisateur avant chaqueexeacutecution du plugin
plugindefaultstate Configuration drsquoactivation desautres plugins
0 pour ne jamais activer un plugin non explicite-ment autoriseacute par les regravegles preacuteceacutedentes
plugindefaultXpistate Configuration drsquoactivation desautres plugins au format XPI
0 pour ne jamais activer un plugin au format XPInon explicitement autoriseacute par les regravegles preacuteceacute-dentes
pluginsclick_to_play Cliquer pour lire le contenu neacute-cessitant un plugin
true pour activer le mode laquo Cliquer pour lire raquo
pluginsload_appdir_plugins Chargement automatique desplugins depuis des emplace-ments utiliseacutes avant Firefox 21
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 17 sur 40
Eacutetant donneacute que seuls les modules compleacutementaires teacuteleacute-deacuteployeacutes par les eacutequipes informatiquessont autoriseacutes il est recommandeacute de bloquer toute possibiliteacute drsquoajout de modules compleacutementaires parlrsquoutilisateur
Nom de strateacutegie Description Valeur recommandeacuteeextensionsgetAddonsgetWithPerformanceurl
URL de reacutecupeacuteration drsquoun module compleacutementaire Mettre agrave vide
extensionsgetAddonsmaxResults Nombre de reacutesultats maximum 0extensionsgetAddonsgeturl URL de consultation drsquoun module compleacutementaire Mettre agrave videextensionsgetAddonsrecommendedbrowseURL
URL de consultation des modules compleacutementairesrecommandeacutes
Mettre agrave vide
extensionsgetAddonsrecommendedurl
URL de consultation des modules compleacutementairesrecommandeacutes par API
Mettre agrave vide
extensionsgetAddonssearchbrowseURL
URL de recherche de modules compleacutementaires Mettre agrave vide
extensionsgetAddonssearchurl URL de recherche de modules compleacutementaires parAPI
Mettre agrave vide
extensionsgetAddonsshowPane Afficher le panneau drsquoajout de modules compleacutemen-taires
false
extensionshideInstallButton Cacher le bouton drsquoinstallation manuelle drsquoextensions true
extensionswebservicediscoverURL URL du catalogue drsquoextensions Mettre agrave videxpinstallenabled Autoriser lrsquoinstallation manuelle de modules au format
XPIfalse
xpinstallwhitelistrequired Obligation pour une archive XPI drsquoecirctre en liste blanchepour ecirctre installeacutee manuellement
true
xpinstallwhitelistaddxpinstallwhitelistadd
Liste blanche drsquoarchives XPI pouvant ecirctre installeacuteesmanuellement
Mettre agrave vide
Pour finir lrsquoentiteacute devra choisir sa strateacutegie de mise agrave jour des extensions teacuteleacute-deacuteployeacutees Lrsquoentiteacutequi voudra teacuteleacute-deacuteployer elle-mecircme les versions agrave jour des modules compleacutementaires apregraves une phase devalidation optera pour le parameacutetrage donneacute ci-dessous la responsabiliteacute du maintien en conditions deseacutecuriteacute sera alors deacuteporteacutee sur les services informatiques en charge du deacuteploiement de ces mises agrave jourDans le cas contraire les valeurs par deacutefaut permettent une mise agrave jour automatique des extensionspar Internet
Nom de strateacutegie Description Valeur recommandeacuteeextensionshotfixcertcheckAttributes
Veacuterifie les attributs du certificat de signature descorrectifs teacuteleacutechargeacutes
true
extensionshotfixcerts1sha1Fingerprint
Empreintes attendues du certificat de signature descorrectifs teacuteleacutechargeacutes
Laisser la valeur par deacutefaut(9153980CC186DF478F35229E11C9A7310449A1AA en date dereacutedaction de ce document)
extensionsupdateautoUpdateDefault
Teacuteleacutecharger et installer automatiquement les mises agravejour drsquoextensions
false
extensionsupdatebackgroundURL
URL de teacuteleacutechargement des mises agrave jour drsquoextensionsen arriegravere plan
Mettre agrave vide
extensionsupdateenabled Activer la mise agrave jour des extensions false
extensionsupdateinterval Intervalle de teacuteleacutechargement des mises agrave jour desextensions
86400 (soit 1 fois par jour)
pluginsupdatenotifyUser Notifier lrsquoutilisateur de la preacutesence drsquoune mise agrave jourpour ses modules compleacutementaires
false
pluginsupdateurl URL de mise agrave jour des modules compleacutementaires Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 18 sur 40
SSLTLS et certificats
Le parameacutetrage des suites cryptographiques autoriseacutees peut engendrer des problegravemes de compa-tibiliteacute selon le contexte Il est donc leacutegitime de preacutefeacuterer ne pas modifier la configuration par deacutefautDans un soucis de durcissement les recommandations suivantes pourraient toutefois ecirctre appliqueacutees
Nom de paramegravetre Description Valeur recommandeacuteesecurityssl3dhe_dss_aes_128_sha Autoriser ssl3dhe_dss_aes_128_sha false
securityssl3dhe_dss_aes_256_sha Autoriser ssl3dhe_dss_aes_256_sha false
securityssl3dhe_dss_camellia_128_sha Autoriser ssl3dhe_dss_camellia_128_sha false
securityssl3dhe_dss_camellia_256_sha Autoriser ssl3dhe_dss_camellia_256_sha false
securityssl3dhe_rsa_aes_128_sha Autoriser ssl3dhe_rsa_aes_128_sha true
securityssl3dhe_rsa_aes_256_sha Autoriser ssl3dhe_rsa_aes_256_sha true
securityssl3dhe_rsa_camellia_128_sha Autoriser ssl3dhe_rsa_camellia_128_sha false
securityssl3dhe_rsa_camellia_256_sha Autoriser ssl3dhe_rsa_camellia_256_sha false
securityssl3dhe_rsa_des_ede3_sha Autoriser ssl3dhe_rsa_des_ede3_sha false
securityssl3ecdhe_ecdsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_ecdsa_aes_128_gcm_sha256
true
securityssl3ecdhe_ecdsa_aes_128_sha Autoriser ssl3ecdhe_ecdsa_aes_128_sha true
securityssl3ecdhe_ecdsa_aes_256_sha Autoriser ssl3ecdhe_ecdsa_aes_256_sha true
securityssl3ecdhe_ecdsa_rc4_128_sha Autoriser ssl3ecdhe_ecdsa_rc4_128_sha false
securityssl3ecdhe_rsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_rsa_aes_128_gcm_sha256
true
securityssl3ecdhe_rsa_aes_128_sha Autoriser ssl3ecdhe_rsa_aes_128_sha true
securityssl3ecdhe_rsa_aes_256_sha Autoriser ssl3ecdhe_rsa_aes_256_sha true
securityssl3ecdhe_rsa_des_ede3_sha Autoriser ssl3ecdhe_rsa_des_ede3_sha false
securityssl3ecdhe_rsa_rc4_128_sha Autoriser ssl3ecdhe_rsa_rc4_128_sha false
securityssl3rsa_aes_128_sha Autoriser ssl3rsa_aes_128_sha true
securityssl3rsa_aes_256_sha Autoriser ssl3rsa_aes_256_sha true
securityssl3rsa_camellia_128_sha Autoriser ssl3rsa_camellia_128_sha false
securityssl3rsa_camellia_256_sha Autoriser ssl3rsa_camellia_256_sha false
securityssl3rsa_des_ede3_sha Autoriser ssl3rsa_des_ede3_sha false
securityssl3rsa_fips_des_ede3_sha Autoriser ssl3rsa_fips_des_ede3_sha false
securityssl3rsa_rc4_128_md5 Autoriser ssl3rsa_rc4_128_md5 false
securityssl3rsa_rc4_128_sha Autoriser ssl3rsa_rc4_128_sha false
securityssl3rsa_seed_sha Autoriser ssl3rsa_seed_sha false
Autres paramegravetres
Nom de paramegravetre Description Valeur recommandeacuteesecuritytlsversionmax Version maximum de
SSLTLS3 (ce qui correspond agrave TLS 12)
securitytlsversionmin Version minimum de SSLTLS 2 (ce qui correspond agrave TLS 11)securitysslallow_unrestricted_renego_everywhere__temporarily_available_pref
Activer la reneacutegociation SSL false pour remeacutedier agrave une attaque parle milieu connue
securitysslenable_false_start Activer laquo SSL False Start raquo false car non standardiseacute et amenantde potentielles vulneacuterabiliteacutes
securitysslenable_ocsp_stapling Activer lrsquoOCSP stapling23 true
23 httpsblogmozillaorgsecurity20130729ocsp-stapling-in-firefox
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 19 sur 40
Nom de paramegravetre Description Valeur recommandeacuteesecuritysslrequire_safe_negotiation
Neacutecessite une neacutegociation SSL qui nrsquoutilisepas une ancienne version SSLTLS vul-neacuterable agrave des attaques par le milieu
true est la valeur ideacuteale en termesde seacutecuriteacute mais false reste conseilleacutepour eacuteviter que de nombreux sitescouramment visiteacutes ne soient plus uti-lisables
securitysslrenego_unrestricted_hosts
Liste drsquohocirctes autoriseacutes agrave faire de la reneacute-gociation SSL avec drsquoanciennes versionsvulneacuterables du protocole
Liste drsquohocirctes seacutepareacutes par des virgules(ne supportant pas les wildcards)et qursquoil est utile de renseigner sisecuritysslrequire_safe_negotiationest configureacute agrave true
securityssltreat_unsafe_negotiation_as_broken
Informer lrsquoutilisateur (cadenas casseacute rougedans la barre de status) lorsque les neacutegoci-ations SSLTLS sont non seacutecuriseacutees
true
networkstricttransportsecuritypreloadlist
Charger la liste de sites deacuteclareacutes commeutilisant HSTS (HTTP Strict TransportSecurity24)
true
networkwebsocketallowInsecureFromHTTPS
Autoriser les WebSockets non seacutecuriseacuteepour un site consulteacute en HTTPS
false
securityOCSPenabled Activer OCSP 2 pour veacuterifier le certificat agrave partir delrsquoURL de service OCSP et de lrsquoautoriteacutede certification ayant signeacute le certifi-cat Notons que cette fonctionnaliteacuteest critiqueacutee pour des questions delatence des reacutepondeurs OCSP (de lrsquoor-dre de 300ms pour les plus rapides agraveplus drsquoune seconde pour les plus lents)OCSP tend donc agrave ecirctre remplaceacute pardes listes locales de certificats reacutevo-queacutes dans drsquoautres navigateurs maisFirefox ne dispose pas encore drsquounetelle liste Une entiteacute ayant des con-traintes particuliegraveres quant agrave la la-tence induite par OSCP pourrait opterpour une deacutesactivation drsquoOCSP avecla valeur 0
securityOCSPrequire Neacutecessite la validation du certificat parOCSP avant de continuer la navigation surle site
true si securityOCSPenabled a eacuteteacuteconfigureacute agrave true ou false dans le cascontraire
securitycert_pinningenforcement_level
Niveau de certificate pinning (eacutepinglage decertificats)25(agrave partir de Firefox 32)
2 pour utiliser lrsquoeacutepinglage strict
Gestionnaire de mots de passe
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownpasswords Effacer les mots de passe enregistreacutes agrave la
fermeture du navigateurtrue
signonrememberSignons Active le gestionnaire de mots de passe false
signonautofillForms Remplissage automatique des formulairesde login
false
24 httpsdevelopermozillaorgfrdocsSC3A9curitC3A9HTTP_Strict_Transport_Security25 Lrsquoeacutepinglage de certificats permet drsquoavoir une base locale de certificats connus et attendus pour certains sites Web
consulteacutes en HTTPS Ainsi si le certificat preacutesenteacute par le serveur est valide en tous points de vue mais nrsquoest pas lecertificat attendu la connexion sera coupeacutee Ce meacutecanisme permet drsquoeacuteviter une attaque par le milieu preacutesentant un fauxcertificat issu drsquoune autoriteacute de certification de confiance
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 20 sur 40
Confidentialiteacute
Il nrsquoexiste pas en date de reacutedaction de cette note de regravegle globale pour la deacutesactivation de FirefoxSync Sa deacutesactivation se fait par conseacutequent agrave travers plusieurs regravegles de configuration
Nom de paramegravetre Description Valeur recommandeacuteeservicessyncengineaddons Synchronisation des modules compleacutementaires false
servicessyncenginebookmarks Synchronisation des marque-pages false
servicessyncenginehistory Synchronisation de lrsquohistorique de navigation false
servicessyncenginepasswords Synchronisation des mots de passe stockeacutes false
servicessyncengineprefs Synchronisation des preacutefeacuterences false
servicessyncenginetabs Synchronisation des onglets ouverts false
servicessyncregisterEngines Moteurs de synchronisation enregistreacutes Mettre agrave videservicessyncjpakeserverURL URL du serveur synchronisation jpake Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessynctokenServerURI URI du serveur de jetons Mettre agrave videservicessyncnextSync Planification de la prochaine synchronisation 0
Il convient eacutegalement de deacutesactiver les diffeacuterents rapports agrave Mozilla
Nom de paramegravetre Description Valeur recommandeacuteedatareportinghealthreportaboutreportUrl URL de rapport de santeacute Mettre agrave videdatareportinghealthreportloggingconsoleEnabled
Activer la journalisation (console) du ser-vice de rapports de santeacute
false
datareportinghealthreportloggingdumpEnabled
Activer la journalisation (dumps) du ser-vice de rapports de santeacute
false
datareportinghealthreportnextDataSubmissionTime
Date de prochaine soumission de rapportde santeacute
Mettre agrave vide
datareportinghealthreportserviceenabled Activer le service de rapport de santeacute false
datareportinghealthreportuploadEnabled Autoriser lrsquoenvoi de donneacutees au serveur derapports de santeacute
false
datareportingpolicydataSubmissionEnabled Activer lrsquoenvoi de donneacutees agrave Mozilla agrave desfins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyAccepted
Accepter les conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyBypassAcceptance
Contourner lrsquoacceptation des conditionsdrsquoenvoi de donneacutees agrave Mozilla agrave des finsdrsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyResponseType
Reacuteponse aux conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
accepted-info-bar-dismissed
domipcpluginsreportCrashURL Inteacutegrer lrsquoURL au rapport de crash deplugins
false
domipcpluginsflashsubprocesscrashreporterenabled
Activer le rapport de crash du sous-processus flash
false
toolkittelemetryenabled Activer la fonctionnaliteacute de teacuteleacutemeacutetrie false
toolkittelemetryserver Adresse du serveur de teacuteleacutemeacutetrie Mettre agrave videbreakpadreportURL URL du rapport de crash Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 21 sur 40
Il peut eacutegalement ecirctre utile de configurer lrsquooption de suppression des donneacutees priveacutees (Clear PrivateData) en seacutelectionnant les eacuteleacutements qui seront supprimeacutes Lrsquoentiteacute pourra par exemple permettre auxutilisateurs de supprimer leurs donneacutees priveacutees dans le cadre drsquoune navigation sur internet ou bien delrsquointerdire srsquoil srsquoagit drsquoun navigateur deacutedieacute agrave lrsquointranet Une entiteacute pourrait eacutegalement vouloir toujoursgarder les historiques et le cache agrave des fins drsquoinvestigation (cela nrsquoempecircchera toutefois pas lrsquoutilisateurde les supprimer directement au niveau du systegraveme de fichiers dans son profil utilisateur)
Nom de paramegravetre Description Valeur recommandeacuteeprivacycpdcache Supprimer le cache lors drsquoune suppression des donneacutees
priveacuteesAu choix de lrsquoentiteacute
privacycpdcookies Supprimer les cookies lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpddownloads Supprimer lrsquohistorique des teacuteleacutechargements lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdformdata Supprimer lrsquohistorique de remplissage automatique desformulaire lors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdhistory Supprimer lrsquohistorique lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpdofflineApps Supprimer les applications disponibles hors connexionlors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdpasswords Supprimer les mots de passe enregistreacutes lors drsquoune sup-pression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsessions Supprimer les sessions en cours enregistreacutees lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsiteSettings Supprimer les paramegravetres par site lors drsquoune suppressiondes donneacutees priveacutees
Au choix de lrsquoentiteacute
privacysanitizesanitizeOnShutdown
Supprimer les donneacutees priveacutees agrave la fermeture du naviga-teur
En cas de besoin speacute-cifique de lrsquoentiteacute
Viennent pour finir divers autres paramegravetres lieacutes agrave la confidentialiteacute
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownsessions effacer les sessions de navigation en cours lors
de la fermeture du navigateurtrue
privacyclearOnShutdowncookies effacer les cookies de navigation lors de lafermeture du navigateur
true
privacydonottrackheaderenabled Activer Do-Not-Track true
geoenabled activer la geacuteolocalisation false
geowifiuri URI du service de geacuteolocalisation agrave utiliser Mettre agrave videnetworkprefetch-next Teacuteleacutechargement preacutedictif anticipeacute des docu-
ments lieacutes agrave la page Web visiteacutes (link prefetch-ing)26
false pour eacuteviter lrsquoeacutetablisse-ment de connexions et leteacuteleacutechargement de contenunon solliciteacutes
medianavigatorpermissiondisabled Contourne la permission drsquoacceacuteder agrave la web-cam
false
networkhttpsendRefererHeader Activer lrsquoenvoi de lrsquoentecircte referer 0 pour plus drsquoanonymat ou 2pour ne pas empecirccher le fonc-tionnement de certains sites
browsersend_pings Activer lrsquoenvoi de requecircte POST lors du clicsur un lien (fonctionnaliteacute souvent utiliseacuteepour tracer les clics)
false
26 Le link prefetching permet drsquoacceacuteleacuterer le surf en anticipant le chargement des documents lieacutes agrave la page visiteacutesLrsquoimpleacutementation de ce meacutecanisme dans Firefox ne transmet aucune information agrave Mozilla Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsWebHTTPLink_prefetching_FAQ
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 22 sur 40
Filtrage de contenu
Actions autoriseacutees aux les scripts
Nom de paramegravetre Description Valeur recommandeacuteedomallow_scripts_to_close_windows Autoriser les scripts agrave fermer
une fenecirctrefalse
domdisable_image_src_set Interdire la modification desimages sources par script
false
domdisable_window_flip Interdire le changement defenecirctre active par script
true
domdisable_window_move_resize Deacutetermine si les fenecirctrespeuvent ecirctre bougeacutees or red-imensionneacutees par script
false
domdisable_window_open_featureclose Interdire la creacuteation defenecirctre sans bouton defermeture
true pour eacuteviter les popups in-vasifs
domdisable_window_open_featurelocation Interdire la creacuteation defenecirctre sans barre drsquoadresse
true pour que lrsquoutilisateur puissetoujours veacuterifier ecirctre agrave lrsquoadressepreacutevue
domdisable_window_open_featurestatus Interdire la creacuteation defenecirctre sans barre de status
true pour que lrsquoutilisateur puissese rendre contre plus facilementdes tentatives de spoofing
domdisable_window_open_featuretitlebar Interdire la creacuteation defenecirctre sans barre de titre
true pour que lrsquoutilisateur puissebien voir qursquoil srsquoagit drsquoun popupFirefox
domdisable_window_open_featuretoolbar Interdire la creacuteation defenecirctre sans barre drsquooutils
false
domeventclipboardeventsenabled Permettre agrave un script desaisir les eacuteveacutenements dupresse papier
false
domeventcontextmenuenabled Permettre agrave un script desaisir les eacuteveacutenements drsquoac-cegraves au menu contextuel (clicdroit)
false
dominter-app-communication-apienabled Activer la communicationpar API entre applications
false
domipcpluginsenabled Activation du plugin con-tainer
true pour exeacutecuter les pluginsdans le plugin-container
domipcpluginsjavaenabled Exeacutecuter Java au sein duplugin-container
false pour eacuteviter des problegravemesde stabiliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 23 sur 40
Nom de strateacutegie Description Valeur recommandeacuteebrowsersafebrowsingenabled Utiliser la navigation seacutecuriseacutee
(protection contre le phishing etles logiciels malveillants)27
true
javascriptenabled Activation de Javascript true
securityxpconnectpluginunrestricted Autoriser le scripting de pluginspar des scripts qui ne sont pasde confiance
false agrave moins drsquoune incompatibiliteacute avecdes plugins etou pages Web neacutecessaires agravelrsquoentiteacute
securitymixed_contentblock_active_content
Bloquer le contenu mixte actif true
securitymixed_contentblock_display_content
Bloquer le contenu mixte passif false
securityfileuristrict_origin_policy
Politique drsquoorigine stricte pourles URi de type fichiers
true sauf pour les populations dedeacuteveloppeurs qursquoun tel paramegravetre pourraitbloquer pour le deacuteveloppement en local
networkcookiecookieBehavior Politique de gestion des cookies 1 pour nrsquoautoriser que les cookies duserveur drsquoorigine et bloquer les cookiestiers
networkcookielifetimePolicy Politique drsquoexpiration des cook-ies
2 pour conserver les cookies pendant toutela dureacutee de la session seulement
networkcookiethirdpartysessionOnly Restreindre les cookies tiers agrave ladureacutee de la session seulement
true
networkjaropen-unsafe-types Nrsquoouvrir que les jar servis avecun content-type adeacutequat
false
privacypopupspolicy Politique de popups 1 pour activer les popups ou 2 pour lesrejeter mais cela rendrait la navigationdifficile voire impossible sur une quantiteacutede sites Internet non neacutegligeable
privacypopupsshowBrowserMessage Afficher un message lorsqursquounpopup a eacuteteacute bloqueacute
true
browserpopupsshowPopupBlocker Afficher lrsquoicocircne du bloqueur depopups dans la barre de status
true
securitycspenable Activer la Content Security Pol-icy (politique de seacutecuriteacute descontenus) qui permet de deacute-tecter et de limiter lrsquoimpact decertains types drsquoattaques
true
full-screen-apienabled Activer lrsquoAPI permettant drsquoaf-ficher du contenu en plein eacutecranpour les modules compleacutemen-taires
false
notificationfeatureenabled Permettre les notifications sur lebureau
false
27 La fonctionnaliteacute de navigation seacutecuriseacutee consiste agrave synchroniser une liste locale drsquoadresses de sites maveillants(depuis les serveurs de Google par deacutefaut depuis que Firefox utilise leur service) pour alerter lrsquoutilisateur srsquoil srsquoapprecircte agraveen visiter un Elle consiste eacutegalement agrave analyser le contenu des pages pour repeacuterer drsquoeacuteventuelles tentatives drsquohameccedilonnage
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 24 sur 40
Moteur de recherche par deacutefaut
La configuration drsquoun moteur de recherche personnaliseacute ne peut pas se faire simplement par fichierde configuration et neacutecessite le deacuteploiement drsquoun module de recherche (search engine plugin) LrsquoannexeIV illustre la teacuteleacute-deacuteploiement drsquoun module de recherche utilisant le moteur franccedilais httpswwwqwantcom 28
Nom de paramegravetre Description Exemplebrowsersearchdefaultenginename Moteur de recherche par deacutefaut Qwantcom
browsersearchdefaulturl URL du moteur de recherche pardeacutefaut
httpswwwqwantcomq=searchTerms
browsersearchlog Journalisation de lrsquoutilisation desservices de recherche agrave des fins dedeacuteboggage
false
browsersearchopenintab Ouvrir les reacutesultats de recherchedans un nouvel onglet
false
browsersearchorder1 Moteur de recherche agrave utiliser enprioriteacute 1
Qwantcom
browsersearchsuggestenabled activer les suggestions false
browsersearchupdate Recherche de mises agrave jour pour lesmodules de recherche
false
keywordenabled Permettre de faire une recherchedepuis la barre drsquoadresse
true
Page(s) drsquoaccueil
Nom de strateacutegie Description Valeur recommandeacuteestartuphomepage_override_url Page drsquoaccueil apregraves une mise agrave jour de Firefox En fonction du choix de lrsquoentiteacutestartuphomepage_welcome_url Page drsquoaccueil au premier deacutemarrage En fonction du choix de lrsquoentiteacutebrowserstartuphomepage Page drsquoaccueil about blank pour une page vide
ou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
browserstartuppage Page drsquoaccueil 1 pour ouvrir la page drsquoac-cueil indiqueacutee par le paramegravetrebrowserstartuphomepage
browsersessionstoreresume_from_crash
Restauration de session apregraves crash false
browsersessionstoreenabled Activer le service de restauration de session false
browsernewtaburl Page ouverte par deacutefaut lors de la creacuteationdrsquoun nouvel onglet de navigation
about blank pour une page videou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
28 Ceci nrsquoest en aucun cas une recommandation ni une incitation agrave son utilisation mais un simple exemple
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 25 sur 40
Authentification HTTP
Nom de strateacutegie Description Valeur recommandeacuteenetworkauthforce-generic-ntlm Utiliser le module drsquoauthen-
tification NTLM de Firefoxplutocirct que celui fourni parles APIs du systegraveme
false
networkauthuse-sspi Utiliser SSPI plutocirct queGSSAPI pour lrsquoauthentifica-tion Kerberos
true sous Windows
networkntlmsend-lm-response Envoyer le LM Hash dans lareacuteponse NTLM
false
networkautomatic-ntlm-authallow-proxies
Authentification par NTLMautomatique avec lesserveurs proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networkautomatic-ntlm-authtrusted-uris
Liste des URIs autoriseacuteespour lrsquoauthentification parNTLM automatique
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationNTLM automatique
networkautomatic-ntlm-authallow-non-fqdn
Autoriser lrsquoauthentificationNTLM automatique avecdes sites sans FQDN
false agrave moins que la liste networkautomatic-ntlm-authtrusted-uris comporte des adressessans FQDN
networknegotiate-authallow-non-fqdn
Autoriser lrsquoauthentificationSPNEGO avec des sites sansFQDN
En fonction de lrsquoentiteacute
networknegotiate-authallow-proxies
Autoriser SPNEGO29si de-mandeacute par un serveur proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networknegotiate-authdelegation-uris
Liste des URIs autoriseacuteespour lesquels le navigateurpeut deacuteleacuteguer lrsquoautorisationde lrsquoutilisateur
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites auxquels elle souhaite permettre ladeacuteleacutegation SPNEGO
networknegotiate-authtrusted-uris Liste des URIs autoriseacuteespour engager une authentifi-cation SPNEGO
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationSPNEGO
networknegotiate-authgsslib Chemin vers une librairieGSSLIB speacutecifique
Mettre agrave vide
networknegotiate-authusing-native-gsslib
Utiliser la librairie GSSLIBnative du systegraveme
true
securitydefault_personal_cert Choix du certificat drsquoau-thentification client
Ask Every Time
29 SPNEGO est un standard qui permet de neacutegocier de lrsquoauthentification Kerberos NTLM ainsi que drsquoautresprotocoles supporteacutes pour le systegraveme SPNEGO est eacutegalement connu sous le nom du protocole drsquoauthentificationlaquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 26 sur 40
Serveur mandataire
Nom de paramegravetre Description Valeur recommandeacuteenetworkproxyautoconfig_url URL de configuration automatique du
proxyLaisser agrave vide
networkproxyftp Adresse du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyftp_port port du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp Adresse du proxy proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp_port port du proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyno_proxies_on Liste drsquoexceptions agrave lrsquoutilisation du serveurproxy
A minima localhost 127001 etdavantage en fonction de lrsquoentiteacute etdu peacuterimegravetre drsquoutilisation du naviga-teur
networkproxyshare_proxy_settings
Utiliser le mecircme proxy pour tous les pro-tocoles
false
networkproxysocks Adresse du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_port port du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_remote_dns
Reacutealiser les requecirctes DNS via le proxysocks
false
networkproxysocks_version Version du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl Adresse du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl_port port du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxytype Type drsquoutilisation du proxy 1 pour utiliser les valeurs in-diqueacutees par les paramegravetres ci-dessus(networkproxy)
networkhttpproxyversion version de proxy 11 par deacutefaut et en fonction duserveur proxy de lrsquoentiteacute
networkhttpproxypipelining Activer le pipelining30par proxy false pour des raisons de compat-ibiliteacute Lrsquoentiteacute peut choisir de lrsquoac-tiver si le pipelining est supporteacute parson serveur proxy drsquoentreprise
signonautologinproxy Saisie automatique du mot de passe deproxy
false
30 Le pipelining permet de faire plusieurs requecirctes HTTP simultaneacutement plutocirct que de les faire seacutequentiellement enattendant les reacuteponses de chacune drsquoentre elles Pour plus drsquoinformations httpwww-archivemozillaorgprojectsnetlibhttppipelining-faqhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 27 sur 40
Peacuterimegravetre de navigation
Nom de paramegravetre Description Valeur recommandeacuteenetworkprotocol-handlerexpose-all
Deacutetermine si le navigateur essayedrsquoouvrir les liens cliqueacutes dans lenavigateur en prioriteacute avant delaisser le systegraveme srsquoen charger en casdrsquoeacutechec (si le protocole du lien enquestion nrsquoest pas supporteacute par lenavigateur)
true
networkprotocol-handlerwarn-external-default
Avertir lrsquoutilisateur avant decharger un gestionnaire deprotocole tiers
true
networkprotocol-handlerexternal-default
Action pour lrsquoouverture drsquoun pro-tocole non pris en charge par lenavigateur
false de maniegravere agrave ne pas essayerde charger des protocoles non pris encharge nativement par le navigateur Lrsquoen-titeacute renseignera eacuteventuellement des ges-tionnaires de protocoles tiers pour desprotocoles qursquoelle souhaite explicitementpermettre tels que NNTP Mailto etc Pour illustrer par lrsquoexemple avecMailto le paramegravetre networkprotocol-handlerexternalmailto aurait pour valeurtrue et le paramegravetre networkprotocol-handlerappmailto avec pour valeur lechemin drsquoun exeacutecutable comme MozillaThunderbird ou Microsoft Outlook
networkprotocol-handlerexternalfile
Gestionnaire de protocole filesous Firefox
false
networkprotocol-handlerexternalftp
Gestionnaire de protocole ftpsous Firefox
false
geckohandlerServiceallowRegisterFromDifferentHost
Autoriser les sites Web agrave installerdes gestionnaires de protocoles oude contenus utilisable pour deshocirctes tiers
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 28 sur 40
Administration systegraveme maintenance et options diverses
Parameacutetrage des mises agrave jour
Nom de paramegravetre Description Valeur recommandeacuteeappupdateenabled Activation de la mise agrave jour automatique true
appupdateauto Teacuteleacutechargement et installationautomatiques (neacutecessite que le paramegravetreappupdateenabled ait pour valeurtrue)
true
appupdatecertcheckAttributes Veacuterifie les attributs du certificat du serveurde mise agrave jour
false
appupdatecertrequireBuiltIn Requiert lrsquointeacutegration des certificats duserveur de mise agrave jour et de toutes lesredirections intermeacutediaires
false
appupdatechannel Canal de mise agrave jour esr pour la version ESR de FirefoxappupdatedownloadbackgroundInterval
Temps de pause (en secondes) entrechaque teacuteleacutechargement en arriegravere plandrsquoun morceau de 300 Kb de mise agrave jour
Au choix de lrsquoentiteacute
appupdateidletime Temps de pause (en secondes) entre chaqueteacuteleacutechargement agrave la demande de lrsquoutilisa-teur) drsquoun morceau de 300 Kb de mise agravejour
60
appupdateinterval Intervalle de temps entre chaque veacuterifica-tion de disponibiliteacute de nouvelles mises agravejour
43200
appupdatemode Deacutetermine quelles mises agrave jour sontteacuteleacutechargeacutees en arriegravere plan
0 pour teacuteleacutecharger toutes les mises agravejour sans intervention de lrsquoutilisateur
appupdateserviceenabled Active le service de mise agrave jour de Firefox true
appupdateshowInstalledUI Deacutetermine si apregraves installation de mise agravejour une boicircte de dialogue informe lrsquoutil-isateur qursquoune mise agrave jour a eacuteteacute installeacutee
Au choix de lrsquoentiteacute
appupdatesilent Active le mode de mise agrave jour silencieux true pour une mise agrave jour silencieuseen arriegravere plan
appupdateurl URL de reacutecupeacuteration des mises agrave jour deFirefox
En fonction de la strateacutegie de mise agravejour de lrsquoentiteacute Pour une mise agrave jourdepuis les serveurs de Mozilla httpsaus3mozillaorgupdate3PRODUCTVERSIONBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONupdatexml sinon lrsquoURLdu serveur de mise agrave jour internede lrsquoentiteacute (qursquoil faudra eacutegalementrenseigner dans le paramegravetreappupdateurloverride)
appupdateurloverride URL de reacutecupeacuteration des mises agrave jour deFirefox
Paramegravetre agrave renseigner uniquementdans le cas ou la mise agrave jour deFirefox se fait depuis lrsquoURL drsquounserveur de mise agrave jour interne delrsquoentiteacute (agrave renseigner en plus duparamegravetre appupdateurl)
appupdateurldetails URL de consultation des informations rel-atives aux mises agrave jour disponibles
Laisser la valeur par deacutefautrhttpswwwmozillaorgLOCALEfirefoxnotes
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 29 sur 40
Configuration du cache
Nom de paramegravetre Description Valeur recommandeacuteebrowsercachecheck_doc_frequency Quand veacuterifier la mise agrave jour drsquoune page en
cache disque3 (veacuterifier quand la page estpeacuterimeacutee)
browsercachecompression_level Niveau de compression du cache disque Au choix de lrsquoentiteacute de 0(pas de compression) agrave 9(haut taux de compressionavec forte sollicitation du pro-cesseur)
browsercachediskcapacity Espace disque alloueacute au cache disque enKb
Au choix de lrsquoentiteacute
browsercachediskenable Utiliser le cache disque true
browsercachediskmax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache disque
Au choix de lrsquoentiteacute
browsercachedisksmart_sizeenabled Allocation intelligente de lrsquoespace disquealloueacute au cache en fonction de lrsquoespacedisponible
Au choix de lrsquoentiteacute
browsercachedisk_cache_ssl Mettre en cache disque les pages visiteacuteesen HTTPS
False de maniegravere agrave ne pasmettre en cache le contenuSSL
browsercachememoryenable Utiliser le cache meacutemoire true
browsercachememorymax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache meacutemoire
Au choix de lrsquoentiteacute
browsercachememory_limit Meacutemoire maximum utiliseacutee pour le cachemeacutemoire en Kb
Au choix de lrsquoentiteacute
browsercacheofflinecapacity Espace disque alloueacute au cache des applica-tions Web
Au choix de lrsquoentiteacute
browsercacheofflineenable Utiliser le cache des applications Web per-mettant une utilisation hors ligne
Au choix de lrsquoentiteacute
browsercacheuse_new_backend Utilisation du nouveau systegraveme de cache 0 (ne pas utiliser pour desquestions de stabiliteacute)
networkhttpuse-cache Utiliser le cache des documents HTTP true
mediacache_size Taille du cache pour les fichiers multimedia Au choix de lrsquoentiteacute par deacute-faut 512000
domstoragedefault_quota Quota de stockage cocircteacute client pour lespages Web
5120 taille par deacutefaut
domstorageenabled Active le stockage cocircteacute client pour les pagesWeb
true agrave deacutefaut de vulneacuterabil-iteacutes connues pour cette fonc-tionnaliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 30 sur 40
Deacutesactiver les options de deacuteveloppement (sauf pour les populations de deacuteveloppeurs)
Nom de paramegravetre Description Valeur recommandeacuteedevtoolsappmanagerenabled Activation des outils de deacuteveloppement module appmanager false
devtoolsdebuggerenabled Activation des outils de deacuteveloppement module deacutebogueur false
devtoolserrorconsoleenabled Activation des outils de deacuteveloppement module consoledrsquoerreurs
false
devtoolsfontinspectorenabled Activation des outils de deacuteveloppement module inspecteurde polices
false
devtoolsinspectorenabled Activation des outils de deacuteveloppement module inspecteur false
devtoolsnetmonitorenabled Activation des outils de deacuteveloppement module reacuteseau false
devtoolsprofilerenabled Activation des outils de deacuteveloppement module profileur false
devtoolsshadereditorenabled Activation des outils de deacuteveloppement module vue adaptive false
devtoolsstyleeditorenabled Activation des outils de deacuteveloppement module editeur destyles
false
devtoolstiltenabled Activation des outils de deacuteveloppement module tilt false
devtoolstoolbarenabled Activation des outils de deacuteveloppement module barre dedeacuteveloppement
false
Configurations diverses
Nom de paramegravetre Description Valeur recommandeacuteenetworkseerenable-hover-on-ssl Activer seer sur SSL false
networkseerenabled Activer seer false
networkhttppipelining Activer le pipelining pour le surfHTTP11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttppipeliningssl Activer le pipelining pour le surfHTTPS11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttpspdyenabled Activer SPDY31 false
networkhttpspdyenabledv2 Activer SPDY v2 false
networkhttpspdyenabledv3 Activer SPDY v3 false
networkhttpspdyenabledv3-1 Activer SPDY v31 false
browsershellcheckDefaultBrowser Veacuterifier si Firefox est configureacutecomme navigateur par deacutefaut
false dans le cadre de double naviga-teurs
browserdownloadmanagerscanWhenDone
Scan antivirus drsquoun fichier lorsqueson teacuteleacutechargement est termineacute
true
browserdownloaduseDownloadDir Utiliser le reacutepertoire de teacuteleacutecharge-ment par deacutefaut
false pour que lrsquoutilisateur indique agravequel emplacement il souhaite teacuteleacutechargerle fichier
browserfullscreenautohide Cacher la barre drsquooutils et drsquoongletsen mode plein eacutecran
false
31 SPDY est un protocole reacuteseau expeacuterimental de Google visant agrave augmenter les capaciteacutes du protocole HTTP pourreacuteduire le temps de chargement des pages Web en classant les objets par ordre de prioriteacute et en multiplexant les transfertspour ne neacutecessiter qursquoune seule connexion Ce protocole est vulneacuterable aux attaques CRIME (Compression Ratio Info-leakMade Easy) lorsqursquoil est utiliseacute avec HTTPS (ce qui est geacuteneacuteralement le cas)
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 31 sur 40
Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP
Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory
Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation
La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32
Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers
Fichiers de configuration
La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte
ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet
ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes
Fichier local-settingsjs
pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)
Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 32 sur 40
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
Il est important de commencer par clarifier les termes utiliseacutes par Mozilla et ce qursquoils deacutesignent Leterme de laquo module raquo (Add-on) ou de laquo module compleacutementaire raquo inclut
ndash les plugins ou greffons qui sont des composants compileacutes ndash les extensions (qui sont des composants en langage interpreacuteteacute comme XUL ou JavaScript) ndash les thegravemes (qui ne font lrsquoobjet drsquoaucune recommandation de seacutecuriteacute) ndash les modules de moteur de recherche
Les recommandations de parameacutetrage figurant dans ce document sont donneacutees agrave titre indicatifdans lrsquooptique drsquoune configuration durcie Elles doivent donc ecirctre moduleacutees selon les besoins propres agravechaque entiteacute et bien entendu selon le peacuterimegravetre drsquoutilisation du navigateur (Internet Intranet etc)Leur application ne doit pas se faire sans validation preacutealable Lrsquoannexe I de ce document preacutecise lesparamegravetres de configuration permettant drsquoappliquer toutes les recommandations de configuration deFirefox indiqueacutees dans ce document En environnement professionnel il est par ailleurs conseilleacute dedeacuteployer une telle configuration par GPP de maniegravere centraliseacutee comme expliqueacute en annexe II
41 Choix des plugins
Les plugins Firefox ne peuvent ecirctre deacuteveloppeacutes qursquoagrave partir de lrsquointerface de programmation NPAPI(Netscape Plugin Application Programming Interface) Cette architecture qui date de Netscape nrsquoestpas seacutecuriseacutee et exeacutecute les plugins avec le niveau de privilegravege de lrsquoutilisateur Bien qursquoil soit possibledrsquoexeacutecuter certains plugins dans un processus seacutepareacute (le plugin-container) cette seacuteparation ne protegravegeque le processus du navigateur drsquoun eacuteventuel arrecirct brusque de fonctionnement drsquoun plugin Unevulneacuterabiliteacute affectant un plugin permet en revanche de compromettre la session ou le systegraveme Leplugin Flash Player fait toutefois exception en inteacutegrant un meacutecanisme de bac agrave sable qui lui est propre(laquo Mode Proteacutegeacute de Flash Player pour Firefox raquo 5) Le processus Flash Player exeacutecuteacute dans le plugin-container ne sert alors qursquoagrave instancier des processus enfants auxquels srsquoappliquent des restrictions deseacutecuriteacute plus importantes Le plugin Flash continue toutefois de faire lrsquoobjet de vulneacuterabiliteacutes critiques 6
R2 Tout plugin ajouteacute agrave Firefox fait courir un risque de seacutecuriteacute suppleacutementaire il est alorsimportant de les limiter au strict neacutecessaire
Note Le risque induit par lrsquoutilisation du plugin Flash Player peut ecirctre toleacutereacute degraves lors que la lecturedes contenus Flash constitue un besoin incontournable Compleacuteteacute par la visionneuse PDF inteacutegreacutee agraveFirefox (eacutecrite en JavaScript) la prise en charge de ces deux types de contenus devrait suffire pour laplupart des usages
Lrsquoajout la mise agrave jour et la suppression de plugins pour Firefox de maniegravere centraliseacutee peut sefaire simplement par base de registre 7et par GPP (Group Policy Preferences)
42 Choix des extensions
Le meacutecanisme drsquoextension rend possible lrsquoeacutecriture de programmes (extensions) en langage interpreacuteteacute(XUL ou JavaScript entre autres) permettant lrsquoajout de fonctionnaliteacutes ou la personnalisation dunavigateur Contrairement aux plugins qui sont des programmes compileacutes les extensions srsquoexeacutecutentdans le processus du navigateur et sans systegraveme de permission permettant de restreindre les liberteacutesqui leur sont accordeacutees Il convient donc drsquoecirctre particuliegraverement vigilant eacutetant donneacute les risques deseacutecuriteacute non neacutegligeables qursquoelles introduisent
5 httpblogsadobecomsecurity201206inside-flash-player-protected-mode-for-firefoxhtml6 Les multiples avis de seacutecuriteacute peuvent ecirctre consulteacutes sur le site du CERT-FR (wwwcertssigouvfr)7 Un article de Mozilla explique lrsquoajout la mise agrave jour et la suppression drsquoextensions et de plugins pour Firefox par
base de registre httpsdevelopermozillaorgen-USdocsAdding_Extensions_using_the_Windows_Registry
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 5 sur 40
Ainsi une extension malveillante pourrait acceacuteder agrave des informations sensibles concernant la naviga-tion de lrsquoutilisateur puis les envoyer agrave un serveur illeacutegitime sur Internet Une extension peut eacutegalementintroduire de nouveaux comportements indeacutesirables suite agrave une mise agrave jour Rien ne laisse preacutesagerqursquoune extension aujourdrsquohui non malveillante ne le sera pas demain En parallegravele de nombreusesextensions preacutesentent des vulneacuterabiliteacutes qui peuvent ecirctre exploiteacutees (par le contenu des pages visiteacuteesou encore par courriels speacutecifiquement forgeacutes et consulteacutes par webmail) Ces extensions vulneacuterablespeuvent eacutegalement servir agrave exploiter par rebond les vulneacuterabiliteacutes drsquoeacuteventuels plugins activeacutes et ainsiobtenir un accegraves complet au systegraveme
R3 Ne deacuteployer que des extensions de confiance et neacutecessaires aux besoins meacutetiers
Note Dans le cas drsquoextensions deacuteveloppeacutees en interne il convient de precircter une attention particuliegravereagrave la seacutecuriteacute de leur code 8
Lrsquoajout la mise agrave jour et la suppression drsquoextensions pour Firefox de maniegravere centraliseacutee peut sefaire simplement dans la base de registre et par GPP (Group Policy Preferences)
421 SSLTLS et certificats
Firefox a comme particulariteacute drsquoutiliser ses propres bibliothegraveques de gestion des eacutechanges seacutecuriseacutesclientserveur deacuteveloppeacutees par la fondation Mozilla (bibliothegraveques NSS Network Security Services) cequi lui permet de disposer par exemple de son propre magasin de certificats et de sa propre liste deCRL (listes de reacutevocations de certificats) Il est ainsi possible drsquoappliquer des restrictions speacutecifiquesau navigateur sur certains certificats sans que cela ne srsquoapplique au systegraveme drsquoexploitation dans sonensemble ce qui le diffeacuterencie drsquoautres navigateurs Il est eacutegalement possible de restreindre simplementles versions de protocoles SSLTLS ainsi que les suites cryptographiques utiliseacutees Cette indeacutependancevis-agrave-vis du meacutecanisme fourni par le systegraveme drsquoexploitation lui confegravere une plus grande portabiliteacute etune souplesse dans sa configuration SSLTLS mais se traduit en contrepartie par une deacutemarche deseacutecurisation plus complexe
R4 Deacutesactiver lrsquoutilisation de SSL et nrsquoautoriser que les protocoles TLS v11 et supeacuterieures(la v10 eacutetant vulneacuterable) Pour aller plus loin il est eacutegalement possible de restreindreles suites cryptographiques utilisables en deacutesactivant celles reposant sur des algorithmesobsolegravetes comme RC4
Note Pour plus drsquoinformations le lecteur est inviteacute agrave se reacutefeacuterer agrave la section correspondante delrsquoannexe I ainsi qursquoaux publications de lrsquoANSSI 9 Par ailleurs les suites nrsquoutilisant pas de meacutecanismesde PFS (Perfect Forward Secrecy) devraient ideacutealement ecirctre deacutesactiveacutees elles aussi mais des difficulteacutesde navigation seraient agrave preacutevoir sur Internet du fait de lrsquo incompatibiliteacute avec de nombreux serveursWeb
Chaque utilisateur drsquoun poste de travail dispose de son propre profil Firefox Les informations deseacutecuriteacute relatives aux certificats sont stockeacutees pour chaque profil firefox dans 3 fichiers
ndash cert8db (objets accessibles publiquement certificats CRLs enregistrements SMIME) ndash key3db (cleacutes priveacutees mots de passe) ndash secmoddb (informations de configuration des modules de seacutecuriteacute)
8 Lrsquoarticle Security best practices in extensions expose certains fondamentaux agrave respecter pour le deacuteveloppementdrsquoextension seacutecuriseacutees httpsdevelopermozillaorgen-USAdd-onsSecurity_best_practices_in_extensions
9 La note laquo Recommandations de seacutecuriteacute concernant lrsquoanalyse des flux HTTPS raquo est disponible agrave lrsquoadresse httpwwwssigouvfrfrguides-et-bonnes-pratiquesrecommandations-et-guidesauthentification-et-mecanismes-cryptographiquesrecommandations-de-securite-concernant-l-analyse-des-flux-httpshtmlLrsquoarticle laquo SSLTLS eacutetat des lieux et recommandations raquo est disponible agrave lrsquoadresse httpwwwssigouvfrfranssipublicationspublications-scientifiquesarticles-de-conferencesssl-tls-etat-des-lieux-et-recommandationshtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 6 sur 40
Lrsquoaccegraves aux fichiers key3db et cert8db non chiffreacutes drsquoun profil Firefox permet la reacutecupeacuterationet la reacuteutilisation des certificats utilisateurs qursquoils contiennent Tout compte disposant de droits admi-nistrateurs sur un ordinateur a la possibiliteacute de reacutecupeacuterer lrsquoensemble des fichiers key3db et cert8dbqui y sont stockeacutes (voire tout utilisateur non privileacutegieacute dans le cas drsquoun systegraveme de fichiers FAT32) Laconfidentialiteacute des donneacutees utilisateurs nrsquoest donc pas assureacutee degraves lors que ces fichiers ne sont pas chiffreacutesLa deacutefinition drsquoun mot de passe principal deacuteclenche le chiffrement du fichier key3db par algorithme3DES-CBC avec une cleacute deacuteriveacutee de ce mot de passe La seacutecuriteacute apporteacutee par une telle mesure restemodeacutereacutee des outils performants permettent de rapidement retrouver ce mot de passe maicirctre par forcebrute Le stockage du profil Firefox dans un conteneur chiffreacute par une solution qualifieacutee par lrsquoANSSIpeut ecirctre dans certains cas la solution agrave privileacutegier
R5 Degraves lors que des certificats utilisateurs sont stockeacutes dans les magasins de certificats deFirefox il est recommandeacute drsquoassurer la seacutecuriteacute de leurs conteneurs de cleacutes priveacutees (fichierskey3db) par chiffrement
Tout utilisateur de Firefox peut aussi ajouter des certificats serveurs et des autoriteacutes de confiancedans son propre magasin de certificats Selon le contexte drsquoutilisation du navigateur il peut doncecirctre important de mettre en œuvre des mesures techniques permettant de maicirctriser les magasins decertificats des profils Firefox et de srsquoassurer de leur conformiteacute vis agrave vis de la strateacutegie de lrsquoentiteacute
R6 Maicirctriser les magasins de certificats des profils Firefox et notamment les autoriteacutes decertification racines de confiance et les certificats serveurs qui y sont configureacutes
Note lrsquoapplication de cette recommandation est simple degraves lors que les utilisateurs ne stockent pasde certificats utilisateurs dans leurs magasins de certificats Firefox mais cela devient plus compliqueacutedans le cas contraire La probleacutematique est abordeacutee plus en deacutetail en annexe III
Il agrave noter eacutegalement que depuis sa version 24 Firefox se deacutetourne de lrsquousage classique des CRLsen ligne au profit drsquoune liste de reacutevocations mise agrave jour reacuteguliegraverement pour consultation locale Lesbibliothegraveques NSS supportent toujours la gestion des CRLs classiques (modifiables par lrsquooutil crlutilet non plus par interface graphique) mais il est preacutevu qursquoelles ne soient plus utiliseacutees dans un avenirproche Les autoriteacutes de certification sont drsquoailleurs inviteacutees agrave envoyer leurs certificats reacutevoqueacutes agrave Mozillapour ecirctre inteacutegreacutes agrave la liste de reacutevocation maintenue par Mozilla 10
422 Gestionnaire de mots de passe
Le gestionnaire de mots de passe de Firefox permet de meacutemoriser les mots de passe saisis dansles formulaires Web Tout comme pour les magasins de certificats lrsquoutilisation drsquoun laquo mot de passeprincipal raquo 11 permet de chiffrer les mots de passe stockeacutes par un algorithme 3DES-CBC avec une cleacutedeacuteriveacutee du mot de passe principal La seacutecuriteacute apporteacutee par une telle mesure reste modeacutereacutee des outilsperformants permettent de rapidement retrouver ce mot de passe maicirctre par force brute Lrsquoutilisationdrsquoun gestionnaire de mots de passe alternatif seacutecuriseacute est donc conseilleacute
R7 Il est conseilleacute de deacutesactiver le gestionnaire de mots de passe pour imposer la saisiesysteacutematique de ces derniers Lrsquoapplication drsquoun tel durcissement est leacutegitime sur un reacuteseauameneacute agrave traiter des donneacutees sensibles ou confidentielles mais peut toutefois ecirctre difficileagrave imposer aux utilisateurs sur des reacuteseaux moins sensibles Sa deacutesactivation pourrait alorssrsquoaccompagner du deacuteploiement drsquoun gestionnaire de mots de passe alternatif et seacutecuriseacute 12
10 Le Wiki de Mozilla deacutetaille la probleacutematique de reacutevocation de certificats au sein de Firefox httpswikimozillaorgCAImprovingRevocation11 httpssupportmozillaorgfrkbutiliser-mot-passe-principal-proteger-identifiants
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 7 sur 40
423 Confidentialiteacute
Le lecteur est inviteacute agrave prendre connaissance de la laquo deacuteclaration de confidentialiteacute de Firefox raquo 13Selon les fonctionnaliteacutes activeacutees diverses informations sont susceptibles drsquoecirctre envoyeacutees agrave Mozilla Laplupart sont en rapport avec
ndash les informations lieacutees aux modules compleacutementaires installeacutes et le blocage automatique desmodules en liste noire
ndash les rapports de plantage ndash le service de mise agrave jour automatique ndash le service de protection contre les sites malveillants ndash le service de synchronisation Firefox Sync
Il est donc important de deacutesactiver certaines de ces fonctionnaliteacutes pour limiter les donneacutees envoyeacuteesagrave Mozilla
R8 Deacutesactiver les divers rapports disponibles de plantage de performance etc
R9 Deacutesactiver le service de synchronisation Firefox Sync
R10 La fonctionnaliteacute de blocage des sites contrefaits envoie agrave des fournisseurs tiers de Mozillales adresses Web des sites visiteacutes pour veacuterifier qursquoils ne soient pas connus comme eacutetantmalveillants et en bloquer lrsquoaccegraves si neacutecessaire Bien qursquoil soit conseilleacute de laisser ce filtreactiveacute pour des raisons de seacutecuriteacute une entiteacute pourra juger suffisamment confidentielles lesadresses des pages Web visiteacutees pour qursquoune deacutesactivation de ce meacutecanisme srsquoimpose
La navigation priveacutee ainsi que la protection contre le pistage (Do Not Track) sont des fonction-naliteacutes inteacuteressantes du point de vue du respect de la vie priveacutee lors de la navigation sur Internetet qui pourraient ecirctre deacutesactiveacutees pour de la navigation en Intranet La strateacutegie de configurationdes paramegravetres de confidentialiteacute deacutependra donc du peacuterimegravetre drsquoutilisation du navigateur Degraves lors quele navigateur Firefox dispose drsquoune connectiviteacute agrave Internet les recommandations suivantes srsquoappliquent
R11 Activer les fonctionnaliteacutes de protection de la confidentialiteacute (anti pistage navigationpriveacutee suppression des donneacutees priveacutees etc) lorsque le navigateur nrsquoest pas deacutedieacute agrave unenavigation Intranet
Note Le nouveau standard de protection contre le-pistage (Do Not Track) nrsquoest qursquoune sollicitation duclient Sa prise en compte par les serveurs Web ne deacutepend donc que de leurs pratiques de confidentialiteacuterespectives et nrsquoapporte aucune garantie au client
R12 Interdire les fonctions de geacuteolocalisation
R13 Degraves lors que la confidentialiteacute des recherches est jugeacutee primordiale il conviendra drsquoimposerun moteur de recherche de confiance et de deacutesactiver les fonctionnaliteacutes de rechercheinstantaneacutee ou de suggestion de recherche
12 KeePass est un exemple de solution disposant drsquoun certificat de seacutecuriteacute de premier niveau (CSPN) deacutelivreacute parlrsquoANSSI qui peut ecirctre utiliseacutee avec Firefox13 Deacuteclaration disponible en anglais agrave lrsquoadresse
httpwwwmozillaorgen-USlegalprivacyfirefoxhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 8 sur 40
424 Moteur de recherche par deacutefaut
Imposer un moteur de recherche et certains paramegravetres de recherche peut avoir un sens dans certainscontextes Crsquoest le cas principalement lorsque le navigateur se trouve deacutedieacute agrave lrsquoIntranet Lrsquoentiteacute pourraalors imposer et configurer le moteur de recherche de lrsquoIntranet Ces regravegles de configuration peuventeacutegalement avoir une utiliteacute pour la recherche sur Internet si par exemple lrsquoentiteacute veut imposer unmoteur de recherche franccedilais qui srsquoappuie sur une connexion chiffreacutee En parallegravele lrsquoentiteacute peut alorsbloquer lrsquoaccegraves aux adresses des moteurs de recherche qursquoelle souhaite interdire
R14 Pour des questions de respect de la vie priveacutee il est conseilleacute drsquoimposer un moteur derecherche srsquoappuyant sur une connexion chiffreacutee (HTTPS)
Note Cela nrsquoempecircche pas lrsquointerception des donneacutees par le moteur de recherche ce dernier eacutetant danstous les cas destinataire des donneacutees de recherche en clair
425 Filtrage de contenu
Le filtrage du contenu participe agrave renforcer la seacutecuriteacute de la navigation en bloquant les contenuspotentiellement malveillants Certains meacutecanismes de filtrage peuvent toutefois avoir une incidence surla faculteacute des utilisateurs agrave naviguer sur certains sites
R15 Activer les fonctionnaliteacutes de filtrage de contenu telles que la navigation seacutecuriseacutee(protection contre le hameccedilonnage et les logiciels malveillants) ou la Content SecurityPolicy 14
R16 Interdire ou a minima restreindre les scripts les contenus mixtes actifs 15 les cookies tiersetc
La section correspondante de lrsquoannexe I liste en deacutetail le parameacutetrage recommandeacute pour ces types decontenus
426 Page(s) drsquoaccueil
Si le navigateur est configureacute pour restaurer la session preacuteceacutedente les donneacutees ainsi que les cookiesde session seront sauvegardeacutes puis restaureacutes au prochain deacutemarrage du navigateur (sauf en mode denavigation priveacutee) Il est alors possible de reacutecupeacuterer ces cookies sauvegardeacutes pour srsquoauthentifier agrave laplace de lrsquoutilisateur sans mot de passe voire de reacutecupeacuterer une session HTTPS preacutealablement initieacutee
R17 Il est preacutefeacuterable que le navigateur nrsquoenregistre pas les sessions de navigation Lors dudeacutemarrage du navigateur (apregraves un arrecirct normal ou brusque) il est en effet conseilleacutede ne pas restaurer la session preacuteceacutedente de lrsquoutilisateur mais drsquoafficher une(des) page(s)connue(s) et de confiance
427 Serveur mandataire
Il est primordial de controcircler les flux non seulement en entreacutee mais eacutegalement en sortie Lorsqursquounindividu malveillant atteint en inteacutegriteacute un poste de travail il peut ensuite proceacuteder agrave lrsquoeacutetablissementdrsquoun canal de controcircle depuis le poste de travail vers un serveur situeacute sur Internet Lrsquoutilisation de
14 Cette couche de seacutecuriteacute qui permet de se preacutemunir contre certains types drsquoattaques est deacutetailleacutee dans un article duMozilla Developer Network httpsdevelopermozillaorgen-USdocsWebSecurityCSPIntroducing_Content_Security_Policy15 httpsdevelopermozillaorgen-USdocsSecurityMixedContent
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 9 sur 40
serveurs mandataires avec authentification peut donc bloquer des connexions sortantes malveillantesIl srsquoavegravere alors judicieux drsquoimposer lrsquoutilisation du serveur mandataire (proxy) par configuration cen-traliseacutee sur les postes utilisateurs
R18 Privileacutegier lrsquoutilisation de serveurs mandataires avec authentification
Note Cette recommandation peut ecirctre renforceacutee par des regravegles de filtrage de pare-feu
428 Authentification HTTP
Il est possible de durcir la seacutecuriteacute des authentifications utilisant NTLM 16 ou SPNEGO 17 surFirefox degraves lors que lrsquoune drsquoentre elles est utiliseacutee par lrsquoentiteacute qui le deacuteploie Il est par exemplerecommandeacute de speacutecifier la liste des serveurs autoriseacutes agrave engager une authentification SPNEGO ouune authentification NTLM automatique
R19 Speacutecifier la liste des serveurs autoriseacutes agrave engager une authentification SPNEGO ou uneauthentification NTLM automatique
Note Lrsquoutilisation de NTLM nrsquoest pas conseilleacutee Kerberos eacutetant le protocole drsquoauthentification agraveprivileacutegier
429 Peacuterimegravetre de navigation
Il est recommandeacute de restreindre le peacuterimegravetre de navigation en interdisant certains scheacutemas drsquoadressesavec les protocol-handlers
R20 Interdire a minima le scheacutema drsquoadresses file pour un navigateur deacutedieacute agrave la navigationsur Internet de maniegravere agrave eacuteviter des accegraves arbitraires au systegraveme de fichiers Le scheacutemaftp pourrait eacutegalement ecirctre interdit au profit de lrsquoutilisation drsquoun client FTP tiers
Note Lrsquoutilisation du navigateur Firefox ne sera alors plus possible pour afficher des pages htmldirectement depuis un systegraveme de fichiers (CD-ROM disque local ou distant via un partage reacuteseauetc)
Ces listes preacutesentent eacutegalement un inteacuterecirct particulier dans le cadre drsquoune strateacutegie de doublenavigateur Ce sujet est deacutetailleacute en section laquo Strateacutegie de double navigateur raquo
4210 Administration systegraveme et maintenance
Divers paramegravetres de Firefox relegravevent de sa maintenance et certaines preacutecautions doivent ecirctreprises pour eacuteviter des problegravemes de compatibiliteacute de confidentialiteacute des donneacutees utilisateurs voire dedisponibiliteacute des postes de travail La liste complegravete de ces paramegravetres figure en annexe I
43 Teacuteleacute-deacuteploiement initial
Firefox au mecircme titre que les autres logiciels devrait ideacutealement ecirctre installeacute sur les postes detravail par teacuteleacute-deacuteploiement Une telle meacutethode de deacuteploiement est un des fondamentaux drsquoun systegravemedrsquoinformation controcircleacute et maicirctriseacute En effet il permet de maicirctriser les installations drsquohomogeacuteneacuteiser les
16 NTLM (NT Lan Manager) est une suite de protocoles drsquoauthentification de Microsoft qui ne supporte pas lesmeacutethodes cryptographiques reacutecentes comme AES ou SHA-25617 SPNEGO (Simple and Protected GSSAPI Negociation Mechanism) est un standard qui permet de neacutegocier de
lrsquoauthentification Kerberos NTLM ainsi que drsquoautres protocoles supporteacutes pour le systegraveme SPNEGO est eacutegalementconnu sous le nom du protocole drsquoauthentification laquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 10 sur 40
versions et configurations mais aussi de proceacuteder aux mises agrave jour de maniegravere reacuteactive et efficace
Le teacuteleacute-deacuteploiement de logiciel peut se faire de plusieurs maniegraveres ndash au format MSI par GPO (strateacutegies de groupe pour la gestion centraliseacutee) dans un domaine
Microsoft Active Directory Attention toutefois puisque Mozilla ne fournit Firefox qursquoau formatexeacutecutable il sera donc neacutecessaire de construire un package Firefox au format MSI Des eacutediteurstiers proposent de tels paquets mais ces eacutediteurs nrsquooffrent pas de garantie forte de lrsquointeacutegriteacute deslogiciels qursquoils fournissent Il est par conseacutequent preacutefeacuterable que lrsquoorganisation utilisatrice geacutenegravereses propres fichiers MSI
ndash au format exeacutecutable agrave lrsquoaide drsquoun outil de gestion de parc ou de tout autre produit tiers preacutevuagrave cet effet
44 Gestion des mises agrave jour
La mise agrave jour reacuteactive du navigateur est primordiale pour se preacutemunir des vulneacuterabiliteacutes reacuteguliegravere-ment deacutetecteacutees et corrigeacutees Lrsquoutilisation drsquoun navigateur preacutesentant des vulneacuterabiliteacutes connues par despersonnes malveillantes expose le poste de travail agrave une attaque Deux strateacutegies diffeacuterentes de mise agravejour de Firefox peuvent alors ecirctre envisageacutees
ndash la premiegravere consiste agrave simplement laisser la configuration par deacutefaut le navigateur va alorsautomatiquement teacuteleacutecharger les mises agrave jour aupregraves des serveurs de Mozilla Il convient dans cecas de srsquoassurer que les postes de travail sont en mesure drsquoacceacuteder aux serveurs de mise agrave jour deMozilla sur Internet ideacutealement au travers du proxy drsquoentreprise qui pourra notamment mettreen cache les binaires
ndash la configuration alternative consiste agrave remplacer lrsquoURL de mise agrave jour (agrave lrsquoaide du paramegravetre deconfiguration appupdateurloverride) 18 par une URL locale qui mettra les mises agrave jour agravedisposition des postes de travail
Le tableau suivant syntheacutetise les avantages et inconveacutenients des deux meacutethodes
Meacutethode Avantages Inconveacutenientsclassique par deacutefautles navigateurs se mettentagrave jour automatiquementaupregraves des serveurs deMozilla par Internet
- mise en œuvre aiseacutee par les servicesinformatiques - haut taux de disponibiliteacute desserveurs de mise agrave jour de Mozilla
- ne permet pas aux ser-vices informatiques de testeret valider les mises agrave jouravant leur deacuteploiement no-tamment lors de lrsquoutilisationdrsquoapplications Web meacutetier peureacutepandues - peu adapteacute pour un naviga-teur deacutedieacute agrave lrsquoIntranet
controcircleacutee la mise agrave jourautomatique de Firefox estdeacutesactiveacutee et les servicesinformatiques mettent lesmises agrave jour agrave dispositiondes postes de travail depuisun serveur local
- permet de tester et valider les misesagrave jour avant deacuteploiement - permet drsquoadapter les configu-rations centraliseacutees du navigateurpour tenir compte des eacuteventuellesnouvelles fonctionnaliteacutes avant deacute-ploiement - permet de bloquer tout le trafic agravedestination des serveurs de Mozilla
- freine la reacuteactiviteacute des misesagrave jour - neacutecessite des moyens hu-mains importants
18 Pour plus drsquoinformations sur la mise en œuvre drsquoun serveur de mises agrave jour local httpsdevelopermozillaorgen-USdocsMozillaSetting_an_update_server
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 11 sur 40
Il sera nettement moins risqueacute (du point de la compatibiliteacute) de retenir le mode classique (automa-tique) pour les versions ESR de Firefox eacutetant donneacute que les mises agrave jour concernent des correctifs deseacutecuriteacute agrave haut risque et nrsquoapportent aucune nouvelle fonctionnaliteacute En revanche les versions standardsde Firefox peuvent recevoir des mises agrave jour fonctionnelles importantes qursquoil serait plus pertinent decontrocircler preacutealablement
La probleacutematique des mises agrave jour concerne eacutegalement les extensions Bien qursquoil soit recommandeacutede les interdire dans le cadre drsquoune configuration durcie une entiteacute peut vouloir en deacuteployer certainespour de bonnes raisons La mise agrave jour des extensions est indeacutependante du meacutecanisme de mise agravejour du navigateur Elles peuvent ecirctre mises agrave jour automatiquement (comportement par deacutefaut) oumanuellement quelle que soit la strateacutegie de mise agrave jour choisie pour le navigateur
Le maintien en conditions de seacutecuriteacute des plugins devra par ailleurs ecirctre geacutereacute indeacutependamment dunavigateur chaque plugin ayant ses speacutecificiteacutes quant aux meacutecanismes de mise agrave jour utiliseacutes
Concernant le service Mozilla Maintenance Service (service chargeacute des mises agrave jour de Firefox) cedernier srsquoexeacutecute avec les droits qui lui sont propres pour la mise agrave jour du navigateur et ce quels quesoient les droits de lrsquoutilisateur
5 Strateacutegie de double navigateur
La seacutecuriteacute des systegravemes drsquoinformation impose souvent un navigateur qui doit ecirctre durci pourlrsquoaccegraves agrave Internet mais plus permissif pour lrsquoaccegraves aux applications internes Lorsque certains serveursWeb internes utilisent des appliquettes Java par exemple neacutecessitant le deacuteploiement de modulescompleacutementaires Java le navigateur finit par avoir une surface drsquoattaque tregraves importante et exposeainsi lrsquoentiteacute agrave un des vecteurs drsquoattaque les plus critiques et massivement exploiteacutes 19
Pour traiter cette probleacutematique lorsqursquoelles disposent des ressources neacutecessaires en particulierpour en assurer le maintien en conditions de seacutecuriteacute de plus en plus drsquoentiteacutes srsquoorientent vers lrsquousagede deux navigateurs diffeacuterents Il devient alors possible
ndash drsquoen deacutedier un agrave la navigation sur Internet De par sa configuration durcie sa surface drsquoattaqueest reacuteduite au maximum Il est maintenu en conditions de seacutecuriteacute avec la plus grande attentionLes eacutequipes de veille scrutent la moindre vulneacuterabiliteacute dont le navigateur Internet fait lrsquoobjetLes eacutequipements de filtrage et drsquoanalyse du trafic sont utiliseacutes pour repeacuterer tout comportementsuspect de navigation sur Internet
ndash drsquoen deacutedier un deuxiegraveme agrave lrsquoaccegraves aux serveurs internes neacutecessitant par exemple un module com-pleacutementaire qui peut faire lrsquoobjet de vulneacuterabiliteacutes freacutequentes ou qui neacutecessite une configurationplus permissive Il est alors possible de le configurer pour permettre uniquement lrsquoaccegraves et lrsquousagede lrsquoensemble des sites et applications leacutegegraveres de lrsquoIntranet
Une telle strateacutegie de double navigateur doit neacutecessairement srsquoaccompagner de mesures de seacutecuriteacutetechniques permettant de garantir le peacuterimegravetre drsquoutilisation de chaque navigateur par des paramegravetresde configuration verrouilleacutes Le tableau suivant en donne quelques exemples
19 Voir les recommandations de seacutecuriteacute publieacutees par lrsquoANSSI relatives aux environnements drsquoexeacute-cution Java sur les postes de travail Microsoft Windows agrave lrsquoadresse httpwwwssigouvfrfrguides-et-bonnes-pratiquesrecommandations-et-guidessecurite-du-poste-de-travail-et-des-serveursrecommandations-de-securite-relatives-aux-environnements-d-execution-java-surhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 12 sur 40
Composant Action ValeurServeur mandataire Autoriser User-Agent du navigateur Internet (ou plus strictement de la
derniegravere version de ce dernier)Bloquer Tout autre User-Agent non autoriseacute
Pare-feu locaux despostes de travail
Autoriser TCP en sortie vers le serveur mandataire depuis - le processus du navigateur Internet (chemin complet delrsquoexeacutecutable) - les autres processus eacuteventuels autoriseacutes agrave acceacuteder agrave Internetvia le serveur mandataire
Bloquer TCP en sortie vers le serveur mandataire depuis tout autreprocessus
Pare-feu de passerelleInternet
Autoriser TCP en sortie vers les ports 443 et 80 depuis - lrsquoIP source du serveur mandataire - les autres IP sources eacuteventuelles autoriseacutees agrave sortir en directsur Internet sans passer par le serveur mandataire
Bloquer TCP en sortie vers ports 443 et 80 depuis toute autre IP sourceApplocker (ou SRP) surles postes de travail
Autoriser lrsquoexeacutecution Chemin complet de lrsquoexeacutecutable des navigateurs autoriseacutes
Bloquer lrsquoexeacutecution Tout autre exeacutecutable de navigateur interdit
Les regravegles de configuration deacutecrites en annexe I section laquo Peacuterimegravetre de navigation raquo permettentalors de mettre en œuvre une partie de ces mesures de seacutecuriteacute et de restreindre le peacuterimegravetre denavigation possible de chacun des navigateurs
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 13 sur 40
Les figures suivantes illustrent de maniegravere syntheacutetique les mesures de seacutecuriteacute appliqueacutees agrave unestrateacutegie de double navigateur
Figure 1 ndash Illustration drsquoune strateacutegie de double navigateur cas ougrave Firefox est utiliseacute commenavigateur Internet
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 14 sur 40
Figure 2 ndash Illustration drsquoune strateacutegie de double navigateur cas ougrave Firefox est utiliseacute commenavigateur Intranet
Ces figures illustrent deux cas distincts Le navigateur Firefox y est repreacutesenteacute mais la strateacutegieserait eacutequivalente avec drsquoautres navigateurs
Les regravegles de configuration recommandeacutees en annexe I se precirctent agrave un contexte ougrave le navigateur estdeacutedieacute agrave la navigation sur Internet
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 15 sur 40
Annexe I Strateacutegies de seacutecurisation de Firefox
Cette annexe liste sous forme de tableaux les valeurs recommandeacutees permettant de mettre en œuvreles recommandations formuleacutees dans cette note technique La liste des paramegravetres de configurationdisponibles est sujette agrave des eacutevolutions freacutequentes et certains sont peu voire pas documenteacutes Lesrecommandations et leurs indications de mise en œuvre figurant dans ce document sont baseacutees sur lesparamegravetres de configuration de Firefox dans sa version ESR 31 Ces derniers pourront ecirctre adapteacutesselon la version du navigateur deacuteployeacutee agrave la date de lecture du document
Depuis un navigateur Firefox il est possible drsquoafficher et de modifier les paramegravetres de configurationappliqueacutes en tapant aboutconfig dans la barre drsquoadresse Les paramegravetres verrouilleacutes sont afficheacutes enitalique La page aboutsupport affiche quant agrave elle un reacutecapitulatif des informations systegravemes etde version ainsi que les modifications importantes apporteacutees agrave la configuration par deacutefaut du navigateur
En environnement professionnel il est conseilleacute de deacuteployer une configuration de maniegravere centraliseacuteecomme expliqueacute en annexe II Pour un usage personnel de Firefox il est eacutegalement possible de srsquoinspirerde tout ou partie des paramegravetres indiqueacutes dans ce document agrave partir de la page aboutconfig
Seacutecuriteacute des modules compleacutementaires
Les regravegles de configuration preacutefixeacutees par le terme laquo extensions raquo ne srsquoappliquent pas toujoursuniquement aux extensions comme elles pourraient le laisser entendre mais parfois plus largementaux plugins voire aux modules compleacutementaires dans leur ensemble Il convient donc drsquoecirctre vigilantquant au peacuterimegravetre reacuteel drsquoapplication des regravegles de configuration dont les noms pourraient precircter agraveconfusion
Nom de strateacutegie Description Valeur recommandeacuteeextensionsautoDisableScopes Les extensions peuvent
ecirctre deacutesactiveacuteesautomatiquement enfonction de leur localisation
3 (les extensions deacuteposeacutees dans le profil Firefox delrsquoutilisateur ou dans le profil utilisateur Windowsseront automatiquement deacutesactiveacutees20)
extensionsenabledScopes Les extensions peuvent ecirctreactiveacutees automatiquementen fonction de leurlocalisation21
12 (seules les extensions reacutefeacuterenceacutees par une entreacutee enbase de registres22 ou deacuteposeacutees dans le sous-dossierdrsquoextensions agrave lrsquoemplacement de lrsquoexeacutecutable FireFoxseront activeacutees Attention ce paramegravetre a prioriteacute surextensionsautoDisableScopes
20 Contrairement agrave ce qursquoindique la MozillaZine Knownledge Base le paramegravetre extensionsautoDisableScopes nepermet pas de deacutesactiver un plugin pour ce faire il convient drsquoutiliser les paramegravetres pluginstatex21 Pour plus drsquoinformations sur le paramegravetre extensionsenabledScopes httpsdevelopermozillaorgen-US
Add-onsInstalling_extensions22 Article de Mozilla expliquant lrsquoajout la mise agrave jour et la suppression drsquoextensions ou de plugins pour Firefox par
base de registre httpsdevelopermozillaorgen-USdocsAdding_Extensions_using_the_Windows_Registry
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 16 sur 40
Nom de paramegravetre Description Valeur recommandeacuteeextensionsblocklistenabled Teacuteleacutechargement reacutegulier drsquoune
liste noire de modules reacutefeacuterenceacutescomme eacutetant malveillants
false si seuls les modules teacuteleacute-deacuteployeacutes par leseacutequipes informatique sont installeacutes ou true silrsquoutilisateur est en mesure drsquoinstaller des moduleslui-mecircme
extensionsblocklistdetailsURL
URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules
Celle par deacutefaut (httpswwwmozillaorgLOCALEblocklist)
extensionsblocklistitemURL URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules(variante)
Celle par deacutefaut (httpsaddonsmozillaorgLOCALEAPPblockedblockID)
extensionsblocklistinterval Intervalle de teacuteleacutechargement dela liste noire de modules ensecondes
86400 (soit 1 fois par jour)
extensionsblocklistlevel Niveau de blocage 2 (pour bloquer les extensions de la liste)extensionsblocklisturl Adresse de teacuteleacutechargement de la
liste noire de modulesCelle par deacutefaut (httpsaddonsmozillaorgblocklist3APP_IDAPP_VERSIONPRODUCTBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONPING_COUNTTOTAL_PING_COUNTDAYS_SINCE_LAST_PING)
extensionsenabledAddons Modules activeacutes au deacutemarragede Firefox
Mettre agrave vide
pdfjsdisabled Deacutesactiver la visionneuse PDFinteacutegreacutee agrave Firefox (pdfjs)
true pour que lrsquoutilisateur teacuteleacutecharge les PDF etles visionne via un lecteur PDF tiers maintenu enconditions de seacutecuriteacute par lrsquoentiteacute et ne faisant paslrsquoobjet de vulneacuterabiliteacutes freacutequentes ou false pourautoriser lrsquousage du lecteur de PDF inteacutegreacute
pluginstateflash Configuration drsquoactivation duplugin Flash
1 (demander lrsquoautorisation agrave lrsquoutilisateur avantchaque exeacutecution du plugin Flash) ou 2 (toujoursactiver) au choix de lrsquoentiteacute et en fonction desutilisateurs et des contraintes de seacutecuriteacute
pluginstatejava Configuration drsquoactivation duplugin Java
0 pour ne jamais activer le plugin Java (agrave moinsque lrsquoentiteacute souhaite utiliser ce plugin malgreacute lesrisques de seacutecuriteacute encourus auquel cas la valeuragrave donner serait 1 pour demander lrsquoautorisation agravelrsquoutilisateur agrave chaque exeacutecution du plugin Java)
pluginstatex Configuration drsquoactivation duplugin x ougrave x est agrave remplacerpar le nom court du pluginagrave deacutesactiver (exemple npctrlpour Microsoft Silverlight Lesnoms courts des plugins sontindiqueacutes en affichant leurs infor-mations deacutetailleacutees depuis lrsquointer-face graphique)
0 pour ne jamais activer le plugin ou 1 pourdemander lrsquoautorisation agrave lrsquoutilisateur avant chaqueexeacutecution du plugin
plugindefaultstate Configuration drsquoactivation desautres plugins
0 pour ne jamais activer un plugin non explicite-ment autoriseacute par les regravegles preacuteceacutedentes
plugindefaultXpistate Configuration drsquoactivation desautres plugins au format XPI
0 pour ne jamais activer un plugin au format XPInon explicitement autoriseacute par les regravegles preacuteceacute-dentes
pluginsclick_to_play Cliquer pour lire le contenu neacute-cessitant un plugin
true pour activer le mode laquo Cliquer pour lire raquo
pluginsload_appdir_plugins Chargement automatique desplugins depuis des emplace-ments utiliseacutes avant Firefox 21
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 17 sur 40
Eacutetant donneacute que seuls les modules compleacutementaires teacuteleacute-deacuteployeacutes par les eacutequipes informatiquessont autoriseacutes il est recommandeacute de bloquer toute possibiliteacute drsquoajout de modules compleacutementaires parlrsquoutilisateur
Nom de strateacutegie Description Valeur recommandeacuteeextensionsgetAddonsgetWithPerformanceurl
URL de reacutecupeacuteration drsquoun module compleacutementaire Mettre agrave vide
extensionsgetAddonsmaxResults Nombre de reacutesultats maximum 0extensionsgetAddonsgeturl URL de consultation drsquoun module compleacutementaire Mettre agrave videextensionsgetAddonsrecommendedbrowseURL
URL de consultation des modules compleacutementairesrecommandeacutes
Mettre agrave vide
extensionsgetAddonsrecommendedurl
URL de consultation des modules compleacutementairesrecommandeacutes par API
Mettre agrave vide
extensionsgetAddonssearchbrowseURL
URL de recherche de modules compleacutementaires Mettre agrave vide
extensionsgetAddonssearchurl URL de recherche de modules compleacutementaires parAPI
Mettre agrave vide
extensionsgetAddonsshowPane Afficher le panneau drsquoajout de modules compleacutemen-taires
false
extensionshideInstallButton Cacher le bouton drsquoinstallation manuelle drsquoextensions true
extensionswebservicediscoverURL URL du catalogue drsquoextensions Mettre agrave videxpinstallenabled Autoriser lrsquoinstallation manuelle de modules au format
XPIfalse
xpinstallwhitelistrequired Obligation pour une archive XPI drsquoecirctre en liste blanchepour ecirctre installeacutee manuellement
true
xpinstallwhitelistaddxpinstallwhitelistadd
Liste blanche drsquoarchives XPI pouvant ecirctre installeacuteesmanuellement
Mettre agrave vide
Pour finir lrsquoentiteacute devra choisir sa strateacutegie de mise agrave jour des extensions teacuteleacute-deacuteployeacutees Lrsquoentiteacutequi voudra teacuteleacute-deacuteployer elle-mecircme les versions agrave jour des modules compleacutementaires apregraves une phase devalidation optera pour le parameacutetrage donneacute ci-dessous la responsabiliteacute du maintien en conditions deseacutecuriteacute sera alors deacuteporteacutee sur les services informatiques en charge du deacuteploiement de ces mises agrave jourDans le cas contraire les valeurs par deacutefaut permettent une mise agrave jour automatique des extensionspar Internet
Nom de strateacutegie Description Valeur recommandeacuteeextensionshotfixcertcheckAttributes
Veacuterifie les attributs du certificat de signature descorrectifs teacuteleacutechargeacutes
true
extensionshotfixcerts1sha1Fingerprint
Empreintes attendues du certificat de signature descorrectifs teacuteleacutechargeacutes
Laisser la valeur par deacutefaut(9153980CC186DF478F35229E11C9A7310449A1AA en date dereacutedaction de ce document)
extensionsupdateautoUpdateDefault
Teacuteleacutecharger et installer automatiquement les mises agravejour drsquoextensions
false
extensionsupdatebackgroundURL
URL de teacuteleacutechargement des mises agrave jour drsquoextensionsen arriegravere plan
Mettre agrave vide
extensionsupdateenabled Activer la mise agrave jour des extensions false
extensionsupdateinterval Intervalle de teacuteleacutechargement des mises agrave jour desextensions
86400 (soit 1 fois par jour)
pluginsupdatenotifyUser Notifier lrsquoutilisateur de la preacutesence drsquoune mise agrave jourpour ses modules compleacutementaires
false
pluginsupdateurl URL de mise agrave jour des modules compleacutementaires Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 18 sur 40
SSLTLS et certificats
Le parameacutetrage des suites cryptographiques autoriseacutees peut engendrer des problegravemes de compa-tibiliteacute selon le contexte Il est donc leacutegitime de preacutefeacuterer ne pas modifier la configuration par deacutefautDans un soucis de durcissement les recommandations suivantes pourraient toutefois ecirctre appliqueacutees
Nom de paramegravetre Description Valeur recommandeacuteesecurityssl3dhe_dss_aes_128_sha Autoriser ssl3dhe_dss_aes_128_sha false
securityssl3dhe_dss_aes_256_sha Autoriser ssl3dhe_dss_aes_256_sha false
securityssl3dhe_dss_camellia_128_sha Autoriser ssl3dhe_dss_camellia_128_sha false
securityssl3dhe_dss_camellia_256_sha Autoriser ssl3dhe_dss_camellia_256_sha false
securityssl3dhe_rsa_aes_128_sha Autoriser ssl3dhe_rsa_aes_128_sha true
securityssl3dhe_rsa_aes_256_sha Autoriser ssl3dhe_rsa_aes_256_sha true
securityssl3dhe_rsa_camellia_128_sha Autoriser ssl3dhe_rsa_camellia_128_sha false
securityssl3dhe_rsa_camellia_256_sha Autoriser ssl3dhe_rsa_camellia_256_sha false
securityssl3dhe_rsa_des_ede3_sha Autoriser ssl3dhe_rsa_des_ede3_sha false
securityssl3ecdhe_ecdsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_ecdsa_aes_128_gcm_sha256
true
securityssl3ecdhe_ecdsa_aes_128_sha Autoriser ssl3ecdhe_ecdsa_aes_128_sha true
securityssl3ecdhe_ecdsa_aes_256_sha Autoriser ssl3ecdhe_ecdsa_aes_256_sha true
securityssl3ecdhe_ecdsa_rc4_128_sha Autoriser ssl3ecdhe_ecdsa_rc4_128_sha false
securityssl3ecdhe_rsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_rsa_aes_128_gcm_sha256
true
securityssl3ecdhe_rsa_aes_128_sha Autoriser ssl3ecdhe_rsa_aes_128_sha true
securityssl3ecdhe_rsa_aes_256_sha Autoriser ssl3ecdhe_rsa_aes_256_sha true
securityssl3ecdhe_rsa_des_ede3_sha Autoriser ssl3ecdhe_rsa_des_ede3_sha false
securityssl3ecdhe_rsa_rc4_128_sha Autoriser ssl3ecdhe_rsa_rc4_128_sha false
securityssl3rsa_aes_128_sha Autoriser ssl3rsa_aes_128_sha true
securityssl3rsa_aes_256_sha Autoriser ssl3rsa_aes_256_sha true
securityssl3rsa_camellia_128_sha Autoriser ssl3rsa_camellia_128_sha false
securityssl3rsa_camellia_256_sha Autoriser ssl3rsa_camellia_256_sha false
securityssl3rsa_des_ede3_sha Autoriser ssl3rsa_des_ede3_sha false
securityssl3rsa_fips_des_ede3_sha Autoriser ssl3rsa_fips_des_ede3_sha false
securityssl3rsa_rc4_128_md5 Autoriser ssl3rsa_rc4_128_md5 false
securityssl3rsa_rc4_128_sha Autoriser ssl3rsa_rc4_128_sha false
securityssl3rsa_seed_sha Autoriser ssl3rsa_seed_sha false
Autres paramegravetres
Nom de paramegravetre Description Valeur recommandeacuteesecuritytlsversionmax Version maximum de
SSLTLS3 (ce qui correspond agrave TLS 12)
securitytlsversionmin Version minimum de SSLTLS 2 (ce qui correspond agrave TLS 11)securitysslallow_unrestricted_renego_everywhere__temporarily_available_pref
Activer la reneacutegociation SSL false pour remeacutedier agrave une attaque parle milieu connue
securitysslenable_false_start Activer laquo SSL False Start raquo false car non standardiseacute et amenantde potentielles vulneacuterabiliteacutes
securitysslenable_ocsp_stapling Activer lrsquoOCSP stapling23 true
23 httpsblogmozillaorgsecurity20130729ocsp-stapling-in-firefox
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 19 sur 40
Nom de paramegravetre Description Valeur recommandeacuteesecuritysslrequire_safe_negotiation
Neacutecessite une neacutegociation SSL qui nrsquoutilisepas une ancienne version SSLTLS vul-neacuterable agrave des attaques par le milieu
true est la valeur ideacuteale en termesde seacutecuriteacute mais false reste conseilleacutepour eacuteviter que de nombreux sitescouramment visiteacutes ne soient plus uti-lisables
securitysslrenego_unrestricted_hosts
Liste drsquohocirctes autoriseacutes agrave faire de la reneacute-gociation SSL avec drsquoanciennes versionsvulneacuterables du protocole
Liste drsquohocirctes seacutepareacutes par des virgules(ne supportant pas les wildcards)et qursquoil est utile de renseigner sisecuritysslrequire_safe_negotiationest configureacute agrave true
securityssltreat_unsafe_negotiation_as_broken
Informer lrsquoutilisateur (cadenas casseacute rougedans la barre de status) lorsque les neacutegoci-ations SSLTLS sont non seacutecuriseacutees
true
networkstricttransportsecuritypreloadlist
Charger la liste de sites deacuteclareacutes commeutilisant HSTS (HTTP Strict TransportSecurity24)
true
networkwebsocketallowInsecureFromHTTPS
Autoriser les WebSockets non seacutecuriseacuteepour un site consulteacute en HTTPS
false
securityOCSPenabled Activer OCSP 2 pour veacuterifier le certificat agrave partir delrsquoURL de service OCSP et de lrsquoautoriteacutede certification ayant signeacute le certifi-cat Notons que cette fonctionnaliteacuteest critiqueacutee pour des questions delatence des reacutepondeurs OCSP (de lrsquoor-dre de 300ms pour les plus rapides agraveplus drsquoune seconde pour les plus lents)OCSP tend donc agrave ecirctre remplaceacute pardes listes locales de certificats reacutevo-queacutes dans drsquoautres navigateurs maisFirefox ne dispose pas encore drsquounetelle liste Une entiteacute ayant des con-traintes particuliegraveres quant agrave la la-tence induite par OSCP pourrait opterpour une deacutesactivation drsquoOCSP avecla valeur 0
securityOCSPrequire Neacutecessite la validation du certificat parOCSP avant de continuer la navigation surle site
true si securityOCSPenabled a eacuteteacuteconfigureacute agrave true ou false dans le cascontraire
securitycert_pinningenforcement_level
Niveau de certificate pinning (eacutepinglage decertificats)25(agrave partir de Firefox 32)
2 pour utiliser lrsquoeacutepinglage strict
Gestionnaire de mots de passe
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownpasswords Effacer les mots de passe enregistreacutes agrave la
fermeture du navigateurtrue
signonrememberSignons Active le gestionnaire de mots de passe false
signonautofillForms Remplissage automatique des formulairesde login
false
24 httpsdevelopermozillaorgfrdocsSC3A9curitC3A9HTTP_Strict_Transport_Security25 Lrsquoeacutepinglage de certificats permet drsquoavoir une base locale de certificats connus et attendus pour certains sites Web
consulteacutes en HTTPS Ainsi si le certificat preacutesenteacute par le serveur est valide en tous points de vue mais nrsquoest pas lecertificat attendu la connexion sera coupeacutee Ce meacutecanisme permet drsquoeacuteviter une attaque par le milieu preacutesentant un fauxcertificat issu drsquoune autoriteacute de certification de confiance
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 20 sur 40
Confidentialiteacute
Il nrsquoexiste pas en date de reacutedaction de cette note de regravegle globale pour la deacutesactivation de FirefoxSync Sa deacutesactivation se fait par conseacutequent agrave travers plusieurs regravegles de configuration
Nom de paramegravetre Description Valeur recommandeacuteeservicessyncengineaddons Synchronisation des modules compleacutementaires false
servicessyncenginebookmarks Synchronisation des marque-pages false
servicessyncenginehistory Synchronisation de lrsquohistorique de navigation false
servicessyncenginepasswords Synchronisation des mots de passe stockeacutes false
servicessyncengineprefs Synchronisation des preacutefeacuterences false
servicessyncenginetabs Synchronisation des onglets ouverts false
servicessyncregisterEngines Moteurs de synchronisation enregistreacutes Mettre agrave videservicessyncjpakeserverURL URL du serveur synchronisation jpake Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessynctokenServerURI URI du serveur de jetons Mettre agrave videservicessyncnextSync Planification de la prochaine synchronisation 0
Il convient eacutegalement de deacutesactiver les diffeacuterents rapports agrave Mozilla
Nom de paramegravetre Description Valeur recommandeacuteedatareportinghealthreportaboutreportUrl URL de rapport de santeacute Mettre agrave videdatareportinghealthreportloggingconsoleEnabled
Activer la journalisation (console) du ser-vice de rapports de santeacute
false
datareportinghealthreportloggingdumpEnabled
Activer la journalisation (dumps) du ser-vice de rapports de santeacute
false
datareportinghealthreportnextDataSubmissionTime
Date de prochaine soumission de rapportde santeacute
Mettre agrave vide
datareportinghealthreportserviceenabled Activer le service de rapport de santeacute false
datareportinghealthreportuploadEnabled Autoriser lrsquoenvoi de donneacutees au serveur derapports de santeacute
false
datareportingpolicydataSubmissionEnabled Activer lrsquoenvoi de donneacutees agrave Mozilla agrave desfins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyAccepted
Accepter les conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyBypassAcceptance
Contourner lrsquoacceptation des conditionsdrsquoenvoi de donneacutees agrave Mozilla agrave des finsdrsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyResponseType
Reacuteponse aux conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
accepted-info-bar-dismissed
domipcpluginsreportCrashURL Inteacutegrer lrsquoURL au rapport de crash deplugins
false
domipcpluginsflashsubprocesscrashreporterenabled
Activer le rapport de crash du sous-processus flash
false
toolkittelemetryenabled Activer la fonctionnaliteacute de teacuteleacutemeacutetrie false
toolkittelemetryserver Adresse du serveur de teacuteleacutemeacutetrie Mettre agrave videbreakpadreportURL URL du rapport de crash Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 21 sur 40
Il peut eacutegalement ecirctre utile de configurer lrsquooption de suppression des donneacutees priveacutees (Clear PrivateData) en seacutelectionnant les eacuteleacutements qui seront supprimeacutes Lrsquoentiteacute pourra par exemple permettre auxutilisateurs de supprimer leurs donneacutees priveacutees dans le cadre drsquoune navigation sur internet ou bien delrsquointerdire srsquoil srsquoagit drsquoun navigateur deacutedieacute agrave lrsquointranet Une entiteacute pourrait eacutegalement vouloir toujoursgarder les historiques et le cache agrave des fins drsquoinvestigation (cela nrsquoempecircchera toutefois pas lrsquoutilisateurde les supprimer directement au niveau du systegraveme de fichiers dans son profil utilisateur)
Nom de paramegravetre Description Valeur recommandeacuteeprivacycpdcache Supprimer le cache lors drsquoune suppression des donneacutees
priveacuteesAu choix de lrsquoentiteacute
privacycpdcookies Supprimer les cookies lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpddownloads Supprimer lrsquohistorique des teacuteleacutechargements lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdformdata Supprimer lrsquohistorique de remplissage automatique desformulaire lors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdhistory Supprimer lrsquohistorique lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpdofflineApps Supprimer les applications disponibles hors connexionlors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdpasswords Supprimer les mots de passe enregistreacutes lors drsquoune sup-pression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsessions Supprimer les sessions en cours enregistreacutees lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsiteSettings Supprimer les paramegravetres par site lors drsquoune suppressiondes donneacutees priveacutees
Au choix de lrsquoentiteacute
privacysanitizesanitizeOnShutdown
Supprimer les donneacutees priveacutees agrave la fermeture du naviga-teur
En cas de besoin speacute-cifique de lrsquoentiteacute
Viennent pour finir divers autres paramegravetres lieacutes agrave la confidentialiteacute
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownsessions effacer les sessions de navigation en cours lors
de la fermeture du navigateurtrue
privacyclearOnShutdowncookies effacer les cookies de navigation lors de lafermeture du navigateur
true
privacydonottrackheaderenabled Activer Do-Not-Track true
geoenabled activer la geacuteolocalisation false
geowifiuri URI du service de geacuteolocalisation agrave utiliser Mettre agrave videnetworkprefetch-next Teacuteleacutechargement preacutedictif anticipeacute des docu-
ments lieacutes agrave la page Web visiteacutes (link prefetch-ing)26
false pour eacuteviter lrsquoeacutetablisse-ment de connexions et leteacuteleacutechargement de contenunon solliciteacutes
medianavigatorpermissiondisabled Contourne la permission drsquoacceacuteder agrave la web-cam
false
networkhttpsendRefererHeader Activer lrsquoenvoi de lrsquoentecircte referer 0 pour plus drsquoanonymat ou 2pour ne pas empecirccher le fonc-tionnement de certains sites
browsersend_pings Activer lrsquoenvoi de requecircte POST lors du clicsur un lien (fonctionnaliteacute souvent utiliseacuteepour tracer les clics)
false
26 Le link prefetching permet drsquoacceacuteleacuterer le surf en anticipant le chargement des documents lieacutes agrave la page visiteacutesLrsquoimpleacutementation de ce meacutecanisme dans Firefox ne transmet aucune information agrave Mozilla Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsWebHTTPLink_prefetching_FAQ
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 22 sur 40
Filtrage de contenu
Actions autoriseacutees aux les scripts
Nom de paramegravetre Description Valeur recommandeacuteedomallow_scripts_to_close_windows Autoriser les scripts agrave fermer
une fenecirctrefalse
domdisable_image_src_set Interdire la modification desimages sources par script
false
domdisable_window_flip Interdire le changement defenecirctre active par script
true
domdisable_window_move_resize Deacutetermine si les fenecirctrespeuvent ecirctre bougeacutees or red-imensionneacutees par script
false
domdisable_window_open_featureclose Interdire la creacuteation defenecirctre sans bouton defermeture
true pour eacuteviter les popups in-vasifs
domdisable_window_open_featurelocation Interdire la creacuteation defenecirctre sans barre drsquoadresse
true pour que lrsquoutilisateur puissetoujours veacuterifier ecirctre agrave lrsquoadressepreacutevue
domdisable_window_open_featurestatus Interdire la creacuteation defenecirctre sans barre de status
true pour que lrsquoutilisateur puissese rendre contre plus facilementdes tentatives de spoofing
domdisable_window_open_featuretitlebar Interdire la creacuteation defenecirctre sans barre de titre
true pour que lrsquoutilisateur puissebien voir qursquoil srsquoagit drsquoun popupFirefox
domdisable_window_open_featuretoolbar Interdire la creacuteation defenecirctre sans barre drsquooutils
false
domeventclipboardeventsenabled Permettre agrave un script desaisir les eacuteveacutenements dupresse papier
false
domeventcontextmenuenabled Permettre agrave un script desaisir les eacuteveacutenements drsquoac-cegraves au menu contextuel (clicdroit)
false
dominter-app-communication-apienabled Activer la communicationpar API entre applications
false
domipcpluginsenabled Activation du plugin con-tainer
true pour exeacutecuter les pluginsdans le plugin-container
domipcpluginsjavaenabled Exeacutecuter Java au sein duplugin-container
false pour eacuteviter des problegravemesde stabiliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 23 sur 40
Nom de strateacutegie Description Valeur recommandeacuteebrowsersafebrowsingenabled Utiliser la navigation seacutecuriseacutee
(protection contre le phishing etles logiciels malveillants)27
true
javascriptenabled Activation de Javascript true
securityxpconnectpluginunrestricted Autoriser le scripting de pluginspar des scripts qui ne sont pasde confiance
false agrave moins drsquoune incompatibiliteacute avecdes plugins etou pages Web neacutecessaires agravelrsquoentiteacute
securitymixed_contentblock_active_content
Bloquer le contenu mixte actif true
securitymixed_contentblock_display_content
Bloquer le contenu mixte passif false
securityfileuristrict_origin_policy
Politique drsquoorigine stricte pourles URi de type fichiers
true sauf pour les populations dedeacuteveloppeurs qursquoun tel paramegravetre pourraitbloquer pour le deacuteveloppement en local
networkcookiecookieBehavior Politique de gestion des cookies 1 pour nrsquoautoriser que les cookies duserveur drsquoorigine et bloquer les cookiestiers
networkcookielifetimePolicy Politique drsquoexpiration des cook-ies
2 pour conserver les cookies pendant toutela dureacutee de la session seulement
networkcookiethirdpartysessionOnly Restreindre les cookies tiers agrave ladureacutee de la session seulement
true
networkjaropen-unsafe-types Nrsquoouvrir que les jar servis avecun content-type adeacutequat
false
privacypopupspolicy Politique de popups 1 pour activer les popups ou 2 pour lesrejeter mais cela rendrait la navigationdifficile voire impossible sur une quantiteacutede sites Internet non neacutegligeable
privacypopupsshowBrowserMessage Afficher un message lorsqursquounpopup a eacuteteacute bloqueacute
true
browserpopupsshowPopupBlocker Afficher lrsquoicocircne du bloqueur depopups dans la barre de status
true
securitycspenable Activer la Content Security Pol-icy (politique de seacutecuriteacute descontenus) qui permet de deacute-tecter et de limiter lrsquoimpact decertains types drsquoattaques
true
full-screen-apienabled Activer lrsquoAPI permettant drsquoaf-ficher du contenu en plein eacutecranpour les modules compleacutemen-taires
false
notificationfeatureenabled Permettre les notifications sur lebureau
false
27 La fonctionnaliteacute de navigation seacutecuriseacutee consiste agrave synchroniser une liste locale drsquoadresses de sites maveillants(depuis les serveurs de Google par deacutefaut depuis que Firefox utilise leur service) pour alerter lrsquoutilisateur srsquoil srsquoapprecircte agraveen visiter un Elle consiste eacutegalement agrave analyser le contenu des pages pour repeacuterer drsquoeacuteventuelles tentatives drsquohameccedilonnage
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 24 sur 40
Moteur de recherche par deacutefaut
La configuration drsquoun moteur de recherche personnaliseacute ne peut pas se faire simplement par fichierde configuration et neacutecessite le deacuteploiement drsquoun module de recherche (search engine plugin) LrsquoannexeIV illustre la teacuteleacute-deacuteploiement drsquoun module de recherche utilisant le moteur franccedilais httpswwwqwantcom 28
Nom de paramegravetre Description Exemplebrowsersearchdefaultenginename Moteur de recherche par deacutefaut Qwantcom
browsersearchdefaulturl URL du moteur de recherche pardeacutefaut
httpswwwqwantcomq=searchTerms
browsersearchlog Journalisation de lrsquoutilisation desservices de recherche agrave des fins dedeacuteboggage
false
browsersearchopenintab Ouvrir les reacutesultats de recherchedans un nouvel onglet
false
browsersearchorder1 Moteur de recherche agrave utiliser enprioriteacute 1
Qwantcom
browsersearchsuggestenabled activer les suggestions false
browsersearchupdate Recherche de mises agrave jour pour lesmodules de recherche
false
keywordenabled Permettre de faire une recherchedepuis la barre drsquoadresse
true
Page(s) drsquoaccueil
Nom de strateacutegie Description Valeur recommandeacuteestartuphomepage_override_url Page drsquoaccueil apregraves une mise agrave jour de Firefox En fonction du choix de lrsquoentiteacutestartuphomepage_welcome_url Page drsquoaccueil au premier deacutemarrage En fonction du choix de lrsquoentiteacutebrowserstartuphomepage Page drsquoaccueil about blank pour une page vide
ou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
browserstartuppage Page drsquoaccueil 1 pour ouvrir la page drsquoac-cueil indiqueacutee par le paramegravetrebrowserstartuphomepage
browsersessionstoreresume_from_crash
Restauration de session apregraves crash false
browsersessionstoreenabled Activer le service de restauration de session false
browsernewtaburl Page ouverte par deacutefaut lors de la creacuteationdrsquoun nouvel onglet de navigation
about blank pour une page videou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
28 Ceci nrsquoest en aucun cas une recommandation ni une incitation agrave son utilisation mais un simple exemple
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 25 sur 40
Authentification HTTP
Nom de strateacutegie Description Valeur recommandeacuteenetworkauthforce-generic-ntlm Utiliser le module drsquoauthen-
tification NTLM de Firefoxplutocirct que celui fourni parles APIs du systegraveme
false
networkauthuse-sspi Utiliser SSPI plutocirct queGSSAPI pour lrsquoauthentifica-tion Kerberos
true sous Windows
networkntlmsend-lm-response Envoyer le LM Hash dans lareacuteponse NTLM
false
networkautomatic-ntlm-authallow-proxies
Authentification par NTLMautomatique avec lesserveurs proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networkautomatic-ntlm-authtrusted-uris
Liste des URIs autoriseacuteespour lrsquoauthentification parNTLM automatique
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationNTLM automatique
networkautomatic-ntlm-authallow-non-fqdn
Autoriser lrsquoauthentificationNTLM automatique avecdes sites sans FQDN
false agrave moins que la liste networkautomatic-ntlm-authtrusted-uris comporte des adressessans FQDN
networknegotiate-authallow-non-fqdn
Autoriser lrsquoauthentificationSPNEGO avec des sites sansFQDN
En fonction de lrsquoentiteacute
networknegotiate-authallow-proxies
Autoriser SPNEGO29si de-mandeacute par un serveur proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networknegotiate-authdelegation-uris
Liste des URIs autoriseacuteespour lesquels le navigateurpeut deacuteleacuteguer lrsquoautorisationde lrsquoutilisateur
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites auxquels elle souhaite permettre ladeacuteleacutegation SPNEGO
networknegotiate-authtrusted-uris Liste des URIs autoriseacuteespour engager une authentifi-cation SPNEGO
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationSPNEGO
networknegotiate-authgsslib Chemin vers une librairieGSSLIB speacutecifique
Mettre agrave vide
networknegotiate-authusing-native-gsslib
Utiliser la librairie GSSLIBnative du systegraveme
true
securitydefault_personal_cert Choix du certificat drsquoau-thentification client
Ask Every Time
29 SPNEGO est un standard qui permet de neacutegocier de lrsquoauthentification Kerberos NTLM ainsi que drsquoautresprotocoles supporteacutes pour le systegraveme SPNEGO est eacutegalement connu sous le nom du protocole drsquoauthentificationlaquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 26 sur 40
Serveur mandataire
Nom de paramegravetre Description Valeur recommandeacuteenetworkproxyautoconfig_url URL de configuration automatique du
proxyLaisser agrave vide
networkproxyftp Adresse du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyftp_port port du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp Adresse du proxy proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp_port port du proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyno_proxies_on Liste drsquoexceptions agrave lrsquoutilisation du serveurproxy
A minima localhost 127001 etdavantage en fonction de lrsquoentiteacute etdu peacuterimegravetre drsquoutilisation du naviga-teur
networkproxyshare_proxy_settings
Utiliser le mecircme proxy pour tous les pro-tocoles
false
networkproxysocks Adresse du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_port port du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_remote_dns
Reacutealiser les requecirctes DNS via le proxysocks
false
networkproxysocks_version Version du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl Adresse du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl_port port du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxytype Type drsquoutilisation du proxy 1 pour utiliser les valeurs in-diqueacutees par les paramegravetres ci-dessus(networkproxy)
networkhttpproxyversion version de proxy 11 par deacutefaut et en fonction duserveur proxy de lrsquoentiteacute
networkhttpproxypipelining Activer le pipelining30par proxy false pour des raisons de compat-ibiliteacute Lrsquoentiteacute peut choisir de lrsquoac-tiver si le pipelining est supporteacute parson serveur proxy drsquoentreprise
signonautologinproxy Saisie automatique du mot de passe deproxy
false
30 Le pipelining permet de faire plusieurs requecirctes HTTP simultaneacutement plutocirct que de les faire seacutequentiellement enattendant les reacuteponses de chacune drsquoentre elles Pour plus drsquoinformations httpwww-archivemozillaorgprojectsnetlibhttppipelining-faqhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 27 sur 40
Peacuterimegravetre de navigation
Nom de paramegravetre Description Valeur recommandeacuteenetworkprotocol-handlerexpose-all
Deacutetermine si le navigateur essayedrsquoouvrir les liens cliqueacutes dans lenavigateur en prioriteacute avant delaisser le systegraveme srsquoen charger en casdrsquoeacutechec (si le protocole du lien enquestion nrsquoest pas supporteacute par lenavigateur)
true
networkprotocol-handlerwarn-external-default
Avertir lrsquoutilisateur avant decharger un gestionnaire deprotocole tiers
true
networkprotocol-handlerexternal-default
Action pour lrsquoouverture drsquoun pro-tocole non pris en charge par lenavigateur
false de maniegravere agrave ne pas essayerde charger des protocoles non pris encharge nativement par le navigateur Lrsquoen-titeacute renseignera eacuteventuellement des ges-tionnaires de protocoles tiers pour desprotocoles qursquoelle souhaite explicitementpermettre tels que NNTP Mailto etc Pour illustrer par lrsquoexemple avecMailto le paramegravetre networkprotocol-handlerexternalmailto aurait pour valeurtrue et le paramegravetre networkprotocol-handlerappmailto avec pour valeur lechemin drsquoun exeacutecutable comme MozillaThunderbird ou Microsoft Outlook
networkprotocol-handlerexternalfile
Gestionnaire de protocole filesous Firefox
false
networkprotocol-handlerexternalftp
Gestionnaire de protocole ftpsous Firefox
false
geckohandlerServiceallowRegisterFromDifferentHost
Autoriser les sites Web agrave installerdes gestionnaires de protocoles oude contenus utilisable pour deshocirctes tiers
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 28 sur 40
Administration systegraveme maintenance et options diverses
Parameacutetrage des mises agrave jour
Nom de paramegravetre Description Valeur recommandeacuteeappupdateenabled Activation de la mise agrave jour automatique true
appupdateauto Teacuteleacutechargement et installationautomatiques (neacutecessite que le paramegravetreappupdateenabled ait pour valeurtrue)
true
appupdatecertcheckAttributes Veacuterifie les attributs du certificat du serveurde mise agrave jour
false
appupdatecertrequireBuiltIn Requiert lrsquointeacutegration des certificats duserveur de mise agrave jour et de toutes lesredirections intermeacutediaires
false
appupdatechannel Canal de mise agrave jour esr pour la version ESR de FirefoxappupdatedownloadbackgroundInterval
Temps de pause (en secondes) entrechaque teacuteleacutechargement en arriegravere plandrsquoun morceau de 300 Kb de mise agrave jour
Au choix de lrsquoentiteacute
appupdateidletime Temps de pause (en secondes) entre chaqueteacuteleacutechargement agrave la demande de lrsquoutilisa-teur) drsquoun morceau de 300 Kb de mise agravejour
60
appupdateinterval Intervalle de temps entre chaque veacuterifica-tion de disponibiliteacute de nouvelles mises agravejour
43200
appupdatemode Deacutetermine quelles mises agrave jour sontteacuteleacutechargeacutees en arriegravere plan
0 pour teacuteleacutecharger toutes les mises agravejour sans intervention de lrsquoutilisateur
appupdateserviceenabled Active le service de mise agrave jour de Firefox true
appupdateshowInstalledUI Deacutetermine si apregraves installation de mise agravejour une boicircte de dialogue informe lrsquoutil-isateur qursquoune mise agrave jour a eacuteteacute installeacutee
Au choix de lrsquoentiteacute
appupdatesilent Active le mode de mise agrave jour silencieux true pour une mise agrave jour silencieuseen arriegravere plan
appupdateurl URL de reacutecupeacuteration des mises agrave jour deFirefox
En fonction de la strateacutegie de mise agravejour de lrsquoentiteacute Pour une mise agrave jourdepuis les serveurs de Mozilla httpsaus3mozillaorgupdate3PRODUCTVERSIONBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONupdatexml sinon lrsquoURLdu serveur de mise agrave jour internede lrsquoentiteacute (qursquoil faudra eacutegalementrenseigner dans le paramegravetreappupdateurloverride)
appupdateurloverride URL de reacutecupeacuteration des mises agrave jour deFirefox
Paramegravetre agrave renseigner uniquementdans le cas ou la mise agrave jour deFirefox se fait depuis lrsquoURL drsquounserveur de mise agrave jour interne delrsquoentiteacute (agrave renseigner en plus duparamegravetre appupdateurl)
appupdateurldetails URL de consultation des informations rel-atives aux mises agrave jour disponibles
Laisser la valeur par deacutefautrhttpswwwmozillaorgLOCALEfirefoxnotes
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 29 sur 40
Configuration du cache
Nom de paramegravetre Description Valeur recommandeacuteebrowsercachecheck_doc_frequency Quand veacuterifier la mise agrave jour drsquoune page en
cache disque3 (veacuterifier quand la page estpeacuterimeacutee)
browsercachecompression_level Niveau de compression du cache disque Au choix de lrsquoentiteacute de 0(pas de compression) agrave 9(haut taux de compressionavec forte sollicitation du pro-cesseur)
browsercachediskcapacity Espace disque alloueacute au cache disque enKb
Au choix de lrsquoentiteacute
browsercachediskenable Utiliser le cache disque true
browsercachediskmax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache disque
Au choix de lrsquoentiteacute
browsercachedisksmart_sizeenabled Allocation intelligente de lrsquoespace disquealloueacute au cache en fonction de lrsquoespacedisponible
Au choix de lrsquoentiteacute
browsercachedisk_cache_ssl Mettre en cache disque les pages visiteacuteesen HTTPS
False de maniegravere agrave ne pasmettre en cache le contenuSSL
browsercachememoryenable Utiliser le cache meacutemoire true
browsercachememorymax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache meacutemoire
Au choix de lrsquoentiteacute
browsercachememory_limit Meacutemoire maximum utiliseacutee pour le cachemeacutemoire en Kb
Au choix de lrsquoentiteacute
browsercacheofflinecapacity Espace disque alloueacute au cache des applica-tions Web
Au choix de lrsquoentiteacute
browsercacheofflineenable Utiliser le cache des applications Web per-mettant une utilisation hors ligne
Au choix de lrsquoentiteacute
browsercacheuse_new_backend Utilisation du nouveau systegraveme de cache 0 (ne pas utiliser pour desquestions de stabiliteacute)
networkhttpuse-cache Utiliser le cache des documents HTTP true
mediacache_size Taille du cache pour les fichiers multimedia Au choix de lrsquoentiteacute par deacute-faut 512000
domstoragedefault_quota Quota de stockage cocircteacute client pour lespages Web
5120 taille par deacutefaut
domstorageenabled Active le stockage cocircteacute client pour les pagesWeb
true agrave deacutefaut de vulneacuterabil-iteacutes connues pour cette fonc-tionnaliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 30 sur 40
Deacutesactiver les options de deacuteveloppement (sauf pour les populations de deacuteveloppeurs)
Nom de paramegravetre Description Valeur recommandeacuteedevtoolsappmanagerenabled Activation des outils de deacuteveloppement module appmanager false
devtoolsdebuggerenabled Activation des outils de deacuteveloppement module deacutebogueur false
devtoolserrorconsoleenabled Activation des outils de deacuteveloppement module consoledrsquoerreurs
false
devtoolsfontinspectorenabled Activation des outils de deacuteveloppement module inspecteurde polices
false
devtoolsinspectorenabled Activation des outils de deacuteveloppement module inspecteur false
devtoolsnetmonitorenabled Activation des outils de deacuteveloppement module reacuteseau false
devtoolsprofilerenabled Activation des outils de deacuteveloppement module profileur false
devtoolsshadereditorenabled Activation des outils de deacuteveloppement module vue adaptive false
devtoolsstyleeditorenabled Activation des outils de deacuteveloppement module editeur destyles
false
devtoolstiltenabled Activation des outils de deacuteveloppement module tilt false
devtoolstoolbarenabled Activation des outils de deacuteveloppement module barre dedeacuteveloppement
false
Configurations diverses
Nom de paramegravetre Description Valeur recommandeacuteenetworkseerenable-hover-on-ssl Activer seer sur SSL false
networkseerenabled Activer seer false
networkhttppipelining Activer le pipelining pour le surfHTTP11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttppipeliningssl Activer le pipelining pour le surfHTTPS11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttpspdyenabled Activer SPDY31 false
networkhttpspdyenabledv2 Activer SPDY v2 false
networkhttpspdyenabledv3 Activer SPDY v3 false
networkhttpspdyenabledv3-1 Activer SPDY v31 false
browsershellcheckDefaultBrowser Veacuterifier si Firefox est configureacutecomme navigateur par deacutefaut
false dans le cadre de double naviga-teurs
browserdownloadmanagerscanWhenDone
Scan antivirus drsquoun fichier lorsqueson teacuteleacutechargement est termineacute
true
browserdownloaduseDownloadDir Utiliser le reacutepertoire de teacuteleacutecharge-ment par deacutefaut
false pour que lrsquoutilisateur indique agravequel emplacement il souhaite teacuteleacutechargerle fichier
browserfullscreenautohide Cacher la barre drsquooutils et drsquoongletsen mode plein eacutecran
false
31 SPDY est un protocole reacuteseau expeacuterimental de Google visant agrave augmenter les capaciteacutes du protocole HTTP pourreacuteduire le temps de chargement des pages Web en classant les objets par ordre de prioriteacute et en multiplexant les transfertspour ne neacutecessiter qursquoune seule connexion Ce protocole est vulneacuterable aux attaques CRIME (Compression Ratio Info-leakMade Easy) lorsqursquoil est utiliseacute avec HTTPS (ce qui est geacuteneacuteralement le cas)
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 31 sur 40
Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP
Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory
Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation
La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32
Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers
Fichiers de configuration
La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte
ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet
ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes
Fichier local-settingsjs
pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)
Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 32 sur 40
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
Ainsi une extension malveillante pourrait acceacuteder agrave des informations sensibles concernant la naviga-tion de lrsquoutilisateur puis les envoyer agrave un serveur illeacutegitime sur Internet Une extension peut eacutegalementintroduire de nouveaux comportements indeacutesirables suite agrave une mise agrave jour Rien ne laisse preacutesagerqursquoune extension aujourdrsquohui non malveillante ne le sera pas demain En parallegravele de nombreusesextensions preacutesentent des vulneacuterabiliteacutes qui peuvent ecirctre exploiteacutees (par le contenu des pages visiteacuteesou encore par courriels speacutecifiquement forgeacutes et consulteacutes par webmail) Ces extensions vulneacuterablespeuvent eacutegalement servir agrave exploiter par rebond les vulneacuterabiliteacutes drsquoeacuteventuels plugins activeacutes et ainsiobtenir un accegraves complet au systegraveme
R3 Ne deacuteployer que des extensions de confiance et neacutecessaires aux besoins meacutetiers
Note Dans le cas drsquoextensions deacuteveloppeacutees en interne il convient de precircter une attention particuliegravereagrave la seacutecuriteacute de leur code 8
Lrsquoajout la mise agrave jour et la suppression drsquoextensions pour Firefox de maniegravere centraliseacutee peut sefaire simplement dans la base de registre et par GPP (Group Policy Preferences)
421 SSLTLS et certificats
Firefox a comme particulariteacute drsquoutiliser ses propres bibliothegraveques de gestion des eacutechanges seacutecuriseacutesclientserveur deacuteveloppeacutees par la fondation Mozilla (bibliothegraveques NSS Network Security Services) cequi lui permet de disposer par exemple de son propre magasin de certificats et de sa propre liste deCRL (listes de reacutevocations de certificats) Il est ainsi possible drsquoappliquer des restrictions speacutecifiquesau navigateur sur certains certificats sans que cela ne srsquoapplique au systegraveme drsquoexploitation dans sonensemble ce qui le diffeacuterencie drsquoautres navigateurs Il est eacutegalement possible de restreindre simplementles versions de protocoles SSLTLS ainsi que les suites cryptographiques utiliseacutees Cette indeacutependancevis-agrave-vis du meacutecanisme fourni par le systegraveme drsquoexploitation lui confegravere une plus grande portabiliteacute etune souplesse dans sa configuration SSLTLS mais se traduit en contrepartie par une deacutemarche deseacutecurisation plus complexe
R4 Deacutesactiver lrsquoutilisation de SSL et nrsquoautoriser que les protocoles TLS v11 et supeacuterieures(la v10 eacutetant vulneacuterable) Pour aller plus loin il est eacutegalement possible de restreindreles suites cryptographiques utilisables en deacutesactivant celles reposant sur des algorithmesobsolegravetes comme RC4
Note Pour plus drsquoinformations le lecteur est inviteacute agrave se reacutefeacuterer agrave la section correspondante delrsquoannexe I ainsi qursquoaux publications de lrsquoANSSI 9 Par ailleurs les suites nrsquoutilisant pas de meacutecanismesde PFS (Perfect Forward Secrecy) devraient ideacutealement ecirctre deacutesactiveacutees elles aussi mais des difficulteacutesde navigation seraient agrave preacutevoir sur Internet du fait de lrsquo incompatibiliteacute avec de nombreux serveursWeb
Chaque utilisateur drsquoun poste de travail dispose de son propre profil Firefox Les informations deseacutecuriteacute relatives aux certificats sont stockeacutees pour chaque profil firefox dans 3 fichiers
ndash cert8db (objets accessibles publiquement certificats CRLs enregistrements SMIME) ndash key3db (cleacutes priveacutees mots de passe) ndash secmoddb (informations de configuration des modules de seacutecuriteacute)
8 Lrsquoarticle Security best practices in extensions expose certains fondamentaux agrave respecter pour le deacuteveloppementdrsquoextension seacutecuriseacutees httpsdevelopermozillaorgen-USAdd-onsSecurity_best_practices_in_extensions
9 La note laquo Recommandations de seacutecuriteacute concernant lrsquoanalyse des flux HTTPS raquo est disponible agrave lrsquoadresse httpwwwssigouvfrfrguides-et-bonnes-pratiquesrecommandations-et-guidesauthentification-et-mecanismes-cryptographiquesrecommandations-de-securite-concernant-l-analyse-des-flux-httpshtmlLrsquoarticle laquo SSLTLS eacutetat des lieux et recommandations raquo est disponible agrave lrsquoadresse httpwwwssigouvfrfranssipublicationspublications-scientifiquesarticles-de-conferencesssl-tls-etat-des-lieux-et-recommandationshtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 6 sur 40
Lrsquoaccegraves aux fichiers key3db et cert8db non chiffreacutes drsquoun profil Firefox permet la reacutecupeacuterationet la reacuteutilisation des certificats utilisateurs qursquoils contiennent Tout compte disposant de droits admi-nistrateurs sur un ordinateur a la possibiliteacute de reacutecupeacuterer lrsquoensemble des fichiers key3db et cert8dbqui y sont stockeacutes (voire tout utilisateur non privileacutegieacute dans le cas drsquoun systegraveme de fichiers FAT32) Laconfidentialiteacute des donneacutees utilisateurs nrsquoest donc pas assureacutee degraves lors que ces fichiers ne sont pas chiffreacutesLa deacutefinition drsquoun mot de passe principal deacuteclenche le chiffrement du fichier key3db par algorithme3DES-CBC avec une cleacute deacuteriveacutee de ce mot de passe La seacutecuriteacute apporteacutee par une telle mesure restemodeacutereacutee des outils performants permettent de rapidement retrouver ce mot de passe maicirctre par forcebrute Le stockage du profil Firefox dans un conteneur chiffreacute par une solution qualifieacutee par lrsquoANSSIpeut ecirctre dans certains cas la solution agrave privileacutegier
R5 Degraves lors que des certificats utilisateurs sont stockeacutes dans les magasins de certificats deFirefox il est recommandeacute drsquoassurer la seacutecuriteacute de leurs conteneurs de cleacutes priveacutees (fichierskey3db) par chiffrement
Tout utilisateur de Firefox peut aussi ajouter des certificats serveurs et des autoriteacutes de confiancedans son propre magasin de certificats Selon le contexte drsquoutilisation du navigateur il peut doncecirctre important de mettre en œuvre des mesures techniques permettant de maicirctriser les magasins decertificats des profils Firefox et de srsquoassurer de leur conformiteacute vis agrave vis de la strateacutegie de lrsquoentiteacute
R6 Maicirctriser les magasins de certificats des profils Firefox et notamment les autoriteacutes decertification racines de confiance et les certificats serveurs qui y sont configureacutes
Note lrsquoapplication de cette recommandation est simple degraves lors que les utilisateurs ne stockent pasde certificats utilisateurs dans leurs magasins de certificats Firefox mais cela devient plus compliqueacutedans le cas contraire La probleacutematique est abordeacutee plus en deacutetail en annexe III
Il agrave noter eacutegalement que depuis sa version 24 Firefox se deacutetourne de lrsquousage classique des CRLsen ligne au profit drsquoune liste de reacutevocations mise agrave jour reacuteguliegraverement pour consultation locale Lesbibliothegraveques NSS supportent toujours la gestion des CRLs classiques (modifiables par lrsquooutil crlutilet non plus par interface graphique) mais il est preacutevu qursquoelles ne soient plus utiliseacutees dans un avenirproche Les autoriteacutes de certification sont drsquoailleurs inviteacutees agrave envoyer leurs certificats reacutevoqueacutes agrave Mozillapour ecirctre inteacutegreacutes agrave la liste de reacutevocation maintenue par Mozilla 10
422 Gestionnaire de mots de passe
Le gestionnaire de mots de passe de Firefox permet de meacutemoriser les mots de passe saisis dansles formulaires Web Tout comme pour les magasins de certificats lrsquoutilisation drsquoun laquo mot de passeprincipal raquo 11 permet de chiffrer les mots de passe stockeacutes par un algorithme 3DES-CBC avec une cleacutedeacuteriveacutee du mot de passe principal La seacutecuriteacute apporteacutee par une telle mesure reste modeacutereacutee des outilsperformants permettent de rapidement retrouver ce mot de passe maicirctre par force brute Lrsquoutilisationdrsquoun gestionnaire de mots de passe alternatif seacutecuriseacute est donc conseilleacute
R7 Il est conseilleacute de deacutesactiver le gestionnaire de mots de passe pour imposer la saisiesysteacutematique de ces derniers Lrsquoapplication drsquoun tel durcissement est leacutegitime sur un reacuteseauameneacute agrave traiter des donneacutees sensibles ou confidentielles mais peut toutefois ecirctre difficileagrave imposer aux utilisateurs sur des reacuteseaux moins sensibles Sa deacutesactivation pourrait alorssrsquoaccompagner du deacuteploiement drsquoun gestionnaire de mots de passe alternatif et seacutecuriseacute 12
10 Le Wiki de Mozilla deacutetaille la probleacutematique de reacutevocation de certificats au sein de Firefox httpswikimozillaorgCAImprovingRevocation11 httpssupportmozillaorgfrkbutiliser-mot-passe-principal-proteger-identifiants
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 7 sur 40
423 Confidentialiteacute
Le lecteur est inviteacute agrave prendre connaissance de la laquo deacuteclaration de confidentialiteacute de Firefox raquo 13Selon les fonctionnaliteacutes activeacutees diverses informations sont susceptibles drsquoecirctre envoyeacutees agrave Mozilla Laplupart sont en rapport avec
ndash les informations lieacutees aux modules compleacutementaires installeacutes et le blocage automatique desmodules en liste noire
ndash les rapports de plantage ndash le service de mise agrave jour automatique ndash le service de protection contre les sites malveillants ndash le service de synchronisation Firefox Sync
Il est donc important de deacutesactiver certaines de ces fonctionnaliteacutes pour limiter les donneacutees envoyeacuteesagrave Mozilla
R8 Deacutesactiver les divers rapports disponibles de plantage de performance etc
R9 Deacutesactiver le service de synchronisation Firefox Sync
R10 La fonctionnaliteacute de blocage des sites contrefaits envoie agrave des fournisseurs tiers de Mozillales adresses Web des sites visiteacutes pour veacuterifier qursquoils ne soient pas connus comme eacutetantmalveillants et en bloquer lrsquoaccegraves si neacutecessaire Bien qursquoil soit conseilleacute de laisser ce filtreactiveacute pour des raisons de seacutecuriteacute une entiteacute pourra juger suffisamment confidentielles lesadresses des pages Web visiteacutees pour qursquoune deacutesactivation de ce meacutecanisme srsquoimpose
La navigation priveacutee ainsi que la protection contre le pistage (Do Not Track) sont des fonction-naliteacutes inteacuteressantes du point de vue du respect de la vie priveacutee lors de la navigation sur Internetet qui pourraient ecirctre deacutesactiveacutees pour de la navigation en Intranet La strateacutegie de configurationdes paramegravetres de confidentialiteacute deacutependra donc du peacuterimegravetre drsquoutilisation du navigateur Degraves lors quele navigateur Firefox dispose drsquoune connectiviteacute agrave Internet les recommandations suivantes srsquoappliquent
R11 Activer les fonctionnaliteacutes de protection de la confidentialiteacute (anti pistage navigationpriveacutee suppression des donneacutees priveacutees etc) lorsque le navigateur nrsquoest pas deacutedieacute agrave unenavigation Intranet
Note Le nouveau standard de protection contre le-pistage (Do Not Track) nrsquoest qursquoune sollicitation duclient Sa prise en compte par les serveurs Web ne deacutepend donc que de leurs pratiques de confidentialiteacuterespectives et nrsquoapporte aucune garantie au client
R12 Interdire les fonctions de geacuteolocalisation
R13 Degraves lors que la confidentialiteacute des recherches est jugeacutee primordiale il conviendra drsquoimposerun moteur de recherche de confiance et de deacutesactiver les fonctionnaliteacutes de rechercheinstantaneacutee ou de suggestion de recherche
12 KeePass est un exemple de solution disposant drsquoun certificat de seacutecuriteacute de premier niveau (CSPN) deacutelivreacute parlrsquoANSSI qui peut ecirctre utiliseacutee avec Firefox13 Deacuteclaration disponible en anglais agrave lrsquoadresse
httpwwwmozillaorgen-USlegalprivacyfirefoxhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 8 sur 40
424 Moteur de recherche par deacutefaut
Imposer un moteur de recherche et certains paramegravetres de recherche peut avoir un sens dans certainscontextes Crsquoest le cas principalement lorsque le navigateur se trouve deacutedieacute agrave lrsquoIntranet Lrsquoentiteacute pourraalors imposer et configurer le moteur de recherche de lrsquoIntranet Ces regravegles de configuration peuventeacutegalement avoir une utiliteacute pour la recherche sur Internet si par exemple lrsquoentiteacute veut imposer unmoteur de recherche franccedilais qui srsquoappuie sur une connexion chiffreacutee En parallegravele lrsquoentiteacute peut alorsbloquer lrsquoaccegraves aux adresses des moteurs de recherche qursquoelle souhaite interdire
R14 Pour des questions de respect de la vie priveacutee il est conseilleacute drsquoimposer un moteur derecherche srsquoappuyant sur une connexion chiffreacutee (HTTPS)
Note Cela nrsquoempecircche pas lrsquointerception des donneacutees par le moteur de recherche ce dernier eacutetant danstous les cas destinataire des donneacutees de recherche en clair
425 Filtrage de contenu
Le filtrage du contenu participe agrave renforcer la seacutecuriteacute de la navigation en bloquant les contenuspotentiellement malveillants Certains meacutecanismes de filtrage peuvent toutefois avoir une incidence surla faculteacute des utilisateurs agrave naviguer sur certains sites
R15 Activer les fonctionnaliteacutes de filtrage de contenu telles que la navigation seacutecuriseacutee(protection contre le hameccedilonnage et les logiciels malveillants) ou la Content SecurityPolicy 14
R16 Interdire ou a minima restreindre les scripts les contenus mixtes actifs 15 les cookies tiersetc
La section correspondante de lrsquoannexe I liste en deacutetail le parameacutetrage recommandeacute pour ces types decontenus
426 Page(s) drsquoaccueil
Si le navigateur est configureacute pour restaurer la session preacuteceacutedente les donneacutees ainsi que les cookiesde session seront sauvegardeacutes puis restaureacutes au prochain deacutemarrage du navigateur (sauf en mode denavigation priveacutee) Il est alors possible de reacutecupeacuterer ces cookies sauvegardeacutes pour srsquoauthentifier agrave laplace de lrsquoutilisateur sans mot de passe voire de reacutecupeacuterer une session HTTPS preacutealablement initieacutee
R17 Il est preacutefeacuterable que le navigateur nrsquoenregistre pas les sessions de navigation Lors dudeacutemarrage du navigateur (apregraves un arrecirct normal ou brusque) il est en effet conseilleacutede ne pas restaurer la session preacuteceacutedente de lrsquoutilisateur mais drsquoafficher une(des) page(s)connue(s) et de confiance
427 Serveur mandataire
Il est primordial de controcircler les flux non seulement en entreacutee mais eacutegalement en sortie Lorsqursquounindividu malveillant atteint en inteacutegriteacute un poste de travail il peut ensuite proceacuteder agrave lrsquoeacutetablissementdrsquoun canal de controcircle depuis le poste de travail vers un serveur situeacute sur Internet Lrsquoutilisation de
14 Cette couche de seacutecuriteacute qui permet de se preacutemunir contre certains types drsquoattaques est deacutetailleacutee dans un article duMozilla Developer Network httpsdevelopermozillaorgen-USdocsWebSecurityCSPIntroducing_Content_Security_Policy15 httpsdevelopermozillaorgen-USdocsSecurityMixedContent
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 9 sur 40
serveurs mandataires avec authentification peut donc bloquer des connexions sortantes malveillantesIl srsquoavegravere alors judicieux drsquoimposer lrsquoutilisation du serveur mandataire (proxy) par configuration cen-traliseacutee sur les postes utilisateurs
R18 Privileacutegier lrsquoutilisation de serveurs mandataires avec authentification
Note Cette recommandation peut ecirctre renforceacutee par des regravegles de filtrage de pare-feu
428 Authentification HTTP
Il est possible de durcir la seacutecuriteacute des authentifications utilisant NTLM 16 ou SPNEGO 17 surFirefox degraves lors que lrsquoune drsquoentre elles est utiliseacutee par lrsquoentiteacute qui le deacuteploie Il est par exemplerecommandeacute de speacutecifier la liste des serveurs autoriseacutes agrave engager une authentification SPNEGO ouune authentification NTLM automatique
R19 Speacutecifier la liste des serveurs autoriseacutes agrave engager une authentification SPNEGO ou uneauthentification NTLM automatique
Note Lrsquoutilisation de NTLM nrsquoest pas conseilleacutee Kerberos eacutetant le protocole drsquoauthentification agraveprivileacutegier
429 Peacuterimegravetre de navigation
Il est recommandeacute de restreindre le peacuterimegravetre de navigation en interdisant certains scheacutemas drsquoadressesavec les protocol-handlers
R20 Interdire a minima le scheacutema drsquoadresses file pour un navigateur deacutedieacute agrave la navigationsur Internet de maniegravere agrave eacuteviter des accegraves arbitraires au systegraveme de fichiers Le scheacutemaftp pourrait eacutegalement ecirctre interdit au profit de lrsquoutilisation drsquoun client FTP tiers
Note Lrsquoutilisation du navigateur Firefox ne sera alors plus possible pour afficher des pages htmldirectement depuis un systegraveme de fichiers (CD-ROM disque local ou distant via un partage reacuteseauetc)
Ces listes preacutesentent eacutegalement un inteacuterecirct particulier dans le cadre drsquoune strateacutegie de doublenavigateur Ce sujet est deacutetailleacute en section laquo Strateacutegie de double navigateur raquo
4210 Administration systegraveme et maintenance
Divers paramegravetres de Firefox relegravevent de sa maintenance et certaines preacutecautions doivent ecirctreprises pour eacuteviter des problegravemes de compatibiliteacute de confidentialiteacute des donneacutees utilisateurs voire dedisponibiliteacute des postes de travail La liste complegravete de ces paramegravetres figure en annexe I
43 Teacuteleacute-deacuteploiement initial
Firefox au mecircme titre que les autres logiciels devrait ideacutealement ecirctre installeacute sur les postes detravail par teacuteleacute-deacuteploiement Une telle meacutethode de deacuteploiement est un des fondamentaux drsquoun systegravemedrsquoinformation controcircleacute et maicirctriseacute En effet il permet de maicirctriser les installations drsquohomogeacuteneacuteiser les
16 NTLM (NT Lan Manager) est une suite de protocoles drsquoauthentification de Microsoft qui ne supporte pas lesmeacutethodes cryptographiques reacutecentes comme AES ou SHA-25617 SPNEGO (Simple and Protected GSSAPI Negociation Mechanism) est un standard qui permet de neacutegocier de
lrsquoauthentification Kerberos NTLM ainsi que drsquoautres protocoles supporteacutes pour le systegraveme SPNEGO est eacutegalementconnu sous le nom du protocole drsquoauthentification laquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 10 sur 40
versions et configurations mais aussi de proceacuteder aux mises agrave jour de maniegravere reacuteactive et efficace
Le teacuteleacute-deacuteploiement de logiciel peut se faire de plusieurs maniegraveres ndash au format MSI par GPO (strateacutegies de groupe pour la gestion centraliseacutee) dans un domaine
Microsoft Active Directory Attention toutefois puisque Mozilla ne fournit Firefox qursquoau formatexeacutecutable il sera donc neacutecessaire de construire un package Firefox au format MSI Des eacutediteurstiers proposent de tels paquets mais ces eacutediteurs nrsquooffrent pas de garantie forte de lrsquointeacutegriteacute deslogiciels qursquoils fournissent Il est par conseacutequent preacutefeacuterable que lrsquoorganisation utilisatrice geacutenegravereses propres fichiers MSI
ndash au format exeacutecutable agrave lrsquoaide drsquoun outil de gestion de parc ou de tout autre produit tiers preacutevuagrave cet effet
44 Gestion des mises agrave jour
La mise agrave jour reacuteactive du navigateur est primordiale pour se preacutemunir des vulneacuterabiliteacutes reacuteguliegravere-ment deacutetecteacutees et corrigeacutees Lrsquoutilisation drsquoun navigateur preacutesentant des vulneacuterabiliteacutes connues par despersonnes malveillantes expose le poste de travail agrave une attaque Deux strateacutegies diffeacuterentes de mise agravejour de Firefox peuvent alors ecirctre envisageacutees
ndash la premiegravere consiste agrave simplement laisser la configuration par deacutefaut le navigateur va alorsautomatiquement teacuteleacutecharger les mises agrave jour aupregraves des serveurs de Mozilla Il convient dans cecas de srsquoassurer que les postes de travail sont en mesure drsquoacceacuteder aux serveurs de mise agrave jour deMozilla sur Internet ideacutealement au travers du proxy drsquoentreprise qui pourra notamment mettreen cache les binaires
ndash la configuration alternative consiste agrave remplacer lrsquoURL de mise agrave jour (agrave lrsquoaide du paramegravetre deconfiguration appupdateurloverride) 18 par une URL locale qui mettra les mises agrave jour agravedisposition des postes de travail
Le tableau suivant syntheacutetise les avantages et inconveacutenients des deux meacutethodes
Meacutethode Avantages Inconveacutenientsclassique par deacutefautles navigateurs se mettentagrave jour automatiquementaupregraves des serveurs deMozilla par Internet
- mise en œuvre aiseacutee par les servicesinformatiques - haut taux de disponibiliteacute desserveurs de mise agrave jour de Mozilla
- ne permet pas aux ser-vices informatiques de testeret valider les mises agrave jouravant leur deacuteploiement no-tamment lors de lrsquoutilisationdrsquoapplications Web meacutetier peureacutepandues - peu adapteacute pour un naviga-teur deacutedieacute agrave lrsquoIntranet
controcircleacutee la mise agrave jourautomatique de Firefox estdeacutesactiveacutee et les servicesinformatiques mettent lesmises agrave jour agrave dispositiondes postes de travail depuisun serveur local
- permet de tester et valider les misesagrave jour avant deacuteploiement - permet drsquoadapter les configu-rations centraliseacutees du navigateurpour tenir compte des eacuteventuellesnouvelles fonctionnaliteacutes avant deacute-ploiement - permet de bloquer tout le trafic agravedestination des serveurs de Mozilla
- freine la reacuteactiviteacute des misesagrave jour - neacutecessite des moyens hu-mains importants
18 Pour plus drsquoinformations sur la mise en œuvre drsquoun serveur de mises agrave jour local httpsdevelopermozillaorgen-USdocsMozillaSetting_an_update_server
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 11 sur 40
Il sera nettement moins risqueacute (du point de la compatibiliteacute) de retenir le mode classique (automa-tique) pour les versions ESR de Firefox eacutetant donneacute que les mises agrave jour concernent des correctifs deseacutecuriteacute agrave haut risque et nrsquoapportent aucune nouvelle fonctionnaliteacute En revanche les versions standardsde Firefox peuvent recevoir des mises agrave jour fonctionnelles importantes qursquoil serait plus pertinent decontrocircler preacutealablement
La probleacutematique des mises agrave jour concerne eacutegalement les extensions Bien qursquoil soit recommandeacutede les interdire dans le cadre drsquoune configuration durcie une entiteacute peut vouloir en deacuteployer certainespour de bonnes raisons La mise agrave jour des extensions est indeacutependante du meacutecanisme de mise agravejour du navigateur Elles peuvent ecirctre mises agrave jour automatiquement (comportement par deacutefaut) oumanuellement quelle que soit la strateacutegie de mise agrave jour choisie pour le navigateur
Le maintien en conditions de seacutecuriteacute des plugins devra par ailleurs ecirctre geacutereacute indeacutependamment dunavigateur chaque plugin ayant ses speacutecificiteacutes quant aux meacutecanismes de mise agrave jour utiliseacutes
Concernant le service Mozilla Maintenance Service (service chargeacute des mises agrave jour de Firefox) cedernier srsquoexeacutecute avec les droits qui lui sont propres pour la mise agrave jour du navigateur et ce quels quesoient les droits de lrsquoutilisateur
5 Strateacutegie de double navigateur
La seacutecuriteacute des systegravemes drsquoinformation impose souvent un navigateur qui doit ecirctre durci pourlrsquoaccegraves agrave Internet mais plus permissif pour lrsquoaccegraves aux applications internes Lorsque certains serveursWeb internes utilisent des appliquettes Java par exemple neacutecessitant le deacuteploiement de modulescompleacutementaires Java le navigateur finit par avoir une surface drsquoattaque tregraves importante et exposeainsi lrsquoentiteacute agrave un des vecteurs drsquoattaque les plus critiques et massivement exploiteacutes 19
Pour traiter cette probleacutematique lorsqursquoelles disposent des ressources neacutecessaires en particulierpour en assurer le maintien en conditions de seacutecuriteacute de plus en plus drsquoentiteacutes srsquoorientent vers lrsquousagede deux navigateurs diffeacuterents Il devient alors possible
ndash drsquoen deacutedier un agrave la navigation sur Internet De par sa configuration durcie sa surface drsquoattaqueest reacuteduite au maximum Il est maintenu en conditions de seacutecuriteacute avec la plus grande attentionLes eacutequipes de veille scrutent la moindre vulneacuterabiliteacute dont le navigateur Internet fait lrsquoobjetLes eacutequipements de filtrage et drsquoanalyse du trafic sont utiliseacutes pour repeacuterer tout comportementsuspect de navigation sur Internet
ndash drsquoen deacutedier un deuxiegraveme agrave lrsquoaccegraves aux serveurs internes neacutecessitant par exemple un module com-pleacutementaire qui peut faire lrsquoobjet de vulneacuterabiliteacutes freacutequentes ou qui neacutecessite une configurationplus permissive Il est alors possible de le configurer pour permettre uniquement lrsquoaccegraves et lrsquousagede lrsquoensemble des sites et applications leacutegegraveres de lrsquoIntranet
Une telle strateacutegie de double navigateur doit neacutecessairement srsquoaccompagner de mesures de seacutecuriteacutetechniques permettant de garantir le peacuterimegravetre drsquoutilisation de chaque navigateur par des paramegravetresde configuration verrouilleacutes Le tableau suivant en donne quelques exemples
19 Voir les recommandations de seacutecuriteacute publieacutees par lrsquoANSSI relatives aux environnements drsquoexeacute-cution Java sur les postes de travail Microsoft Windows agrave lrsquoadresse httpwwwssigouvfrfrguides-et-bonnes-pratiquesrecommandations-et-guidessecurite-du-poste-de-travail-et-des-serveursrecommandations-de-securite-relatives-aux-environnements-d-execution-java-surhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 12 sur 40
Composant Action ValeurServeur mandataire Autoriser User-Agent du navigateur Internet (ou plus strictement de la
derniegravere version de ce dernier)Bloquer Tout autre User-Agent non autoriseacute
Pare-feu locaux despostes de travail
Autoriser TCP en sortie vers le serveur mandataire depuis - le processus du navigateur Internet (chemin complet delrsquoexeacutecutable) - les autres processus eacuteventuels autoriseacutes agrave acceacuteder agrave Internetvia le serveur mandataire
Bloquer TCP en sortie vers le serveur mandataire depuis tout autreprocessus
Pare-feu de passerelleInternet
Autoriser TCP en sortie vers les ports 443 et 80 depuis - lrsquoIP source du serveur mandataire - les autres IP sources eacuteventuelles autoriseacutees agrave sortir en directsur Internet sans passer par le serveur mandataire
Bloquer TCP en sortie vers ports 443 et 80 depuis toute autre IP sourceApplocker (ou SRP) surles postes de travail
Autoriser lrsquoexeacutecution Chemin complet de lrsquoexeacutecutable des navigateurs autoriseacutes
Bloquer lrsquoexeacutecution Tout autre exeacutecutable de navigateur interdit
Les regravegles de configuration deacutecrites en annexe I section laquo Peacuterimegravetre de navigation raquo permettentalors de mettre en œuvre une partie de ces mesures de seacutecuriteacute et de restreindre le peacuterimegravetre denavigation possible de chacun des navigateurs
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 13 sur 40
Les figures suivantes illustrent de maniegravere syntheacutetique les mesures de seacutecuriteacute appliqueacutees agrave unestrateacutegie de double navigateur
Figure 1 ndash Illustration drsquoune strateacutegie de double navigateur cas ougrave Firefox est utiliseacute commenavigateur Internet
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 14 sur 40
Figure 2 ndash Illustration drsquoune strateacutegie de double navigateur cas ougrave Firefox est utiliseacute commenavigateur Intranet
Ces figures illustrent deux cas distincts Le navigateur Firefox y est repreacutesenteacute mais la strateacutegieserait eacutequivalente avec drsquoautres navigateurs
Les regravegles de configuration recommandeacutees en annexe I se precirctent agrave un contexte ougrave le navigateur estdeacutedieacute agrave la navigation sur Internet
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 15 sur 40
Annexe I Strateacutegies de seacutecurisation de Firefox
Cette annexe liste sous forme de tableaux les valeurs recommandeacutees permettant de mettre en œuvreles recommandations formuleacutees dans cette note technique La liste des paramegravetres de configurationdisponibles est sujette agrave des eacutevolutions freacutequentes et certains sont peu voire pas documenteacutes Lesrecommandations et leurs indications de mise en œuvre figurant dans ce document sont baseacutees sur lesparamegravetres de configuration de Firefox dans sa version ESR 31 Ces derniers pourront ecirctre adapteacutesselon la version du navigateur deacuteployeacutee agrave la date de lecture du document
Depuis un navigateur Firefox il est possible drsquoafficher et de modifier les paramegravetres de configurationappliqueacutes en tapant aboutconfig dans la barre drsquoadresse Les paramegravetres verrouilleacutes sont afficheacutes enitalique La page aboutsupport affiche quant agrave elle un reacutecapitulatif des informations systegravemes etde version ainsi que les modifications importantes apporteacutees agrave la configuration par deacutefaut du navigateur
En environnement professionnel il est conseilleacute de deacuteployer une configuration de maniegravere centraliseacuteecomme expliqueacute en annexe II Pour un usage personnel de Firefox il est eacutegalement possible de srsquoinspirerde tout ou partie des paramegravetres indiqueacutes dans ce document agrave partir de la page aboutconfig
Seacutecuriteacute des modules compleacutementaires
Les regravegles de configuration preacutefixeacutees par le terme laquo extensions raquo ne srsquoappliquent pas toujoursuniquement aux extensions comme elles pourraient le laisser entendre mais parfois plus largementaux plugins voire aux modules compleacutementaires dans leur ensemble Il convient donc drsquoecirctre vigilantquant au peacuterimegravetre reacuteel drsquoapplication des regravegles de configuration dont les noms pourraient precircter agraveconfusion
Nom de strateacutegie Description Valeur recommandeacuteeextensionsautoDisableScopes Les extensions peuvent
ecirctre deacutesactiveacuteesautomatiquement enfonction de leur localisation
3 (les extensions deacuteposeacutees dans le profil Firefox delrsquoutilisateur ou dans le profil utilisateur Windowsseront automatiquement deacutesactiveacutees20)
extensionsenabledScopes Les extensions peuvent ecirctreactiveacutees automatiquementen fonction de leurlocalisation21
12 (seules les extensions reacutefeacuterenceacutees par une entreacutee enbase de registres22 ou deacuteposeacutees dans le sous-dossierdrsquoextensions agrave lrsquoemplacement de lrsquoexeacutecutable FireFoxseront activeacutees Attention ce paramegravetre a prioriteacute surextensionsautoDisableScopes
20 Contrairement agrave ce qursquoindique la MozillaZine Knownledge Base le paramegravetre extensionsautoDisableScopes nepermet pas de deacutesactiver un plugin pour ce faire il convient drsquoutiliser les paramegravetres pluginstatex21 Pour plus drsquoinformations sur le paramegravetre extensionsenabledScopes httpsdevelopermozillaorgen-US
Add-onsInstalling_extensions22 Article de Mozilla expliquant lrsquoajout la mise agrave jour et la suppression drsquoextensions ou de plugins pour Firefox par
base de registre httpsdevelopermozillaorgen-USdocsAdding_Extensions_using_the_Windows_Registry
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 16 sur 40
Nom de paramegravetre Description Valeur recommandeacuteeextensionsblocklistenabled Teacuteleacutechargement reacutegulier drsquoune
liste noire de modules reacutefeacuterenceacutescomme eacutetant malveillants
false si seuls les modules teacuteleacute-deacuteployeacutes par leseacutequipes informatique sont installeacutes ou true silrsquoutilisateur est en mesure drsquoinstaller des moduleslui-mecircme
extensionsblocklistdetailsURL
URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules
Celle par deacutefaut (httpswwwmozillaorgLOCALEblocklist)
extensionsblocklistitemURL URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules(variante)
Celle par deacutefaut (httpsaddonsmozillaorgLOCALEAPPblockedblockID)
extensionsblocklistinterval Intervalle de teacuteleacutechargement dela liste noire de modules ensecondes
86400 (soit 1 fois par jour)
extensionsblocklistlevel Niveau de blocage 2 (pour bloquer les extensions de la liste)extensionsblocklisturl Adresse de teacuteleacutechargement de la
liste noire de modulesCelle par deacutefaut (httpsaddonsmozillaorgblocklist3APP_IDAPP_VERSIONPRODUCTBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONPING_COUNTTOTAL_PING_COUNTDAYS_SINCE_LAST_PING)
extensionsenabledAddons Modules activeacutes au deacutemarragede Firefox
Mettre agrave vide
pdfjsdisabled Deacutesactiver la visionneuse PDFinteacutegreacutee agrave Firefox (pdfjs)
true pour que lrsquoutilisateur teacuteleacutecharge les PDF etles visionne via un lecteur PDF tiers maintenu enconditions de seacutecuriteacute par lrsquoentiteacute et ne faisant paslrsquoobjet de vulneacuterabiliteacutes freacutequentes ou false pourautoriser lrsquousage du lecteur de PDF inteacutegreacute
pluginstateflash Configuration drsquoactivation duplugin Flash
1 (demander lrsquoautorisation agrave lrsquoutilisateur avantchaque exeacutecution du plugin Flash) ou 2 (toujoursactiver) au choix de lrsquoentiteacute et en fonction desutilisateurs et des contraintes de seacutecuriteacute
pluginstatejava Configuration drsquoactivation duplugin Java
0 pour ne jamais activer le plugin Java (agrave moinsque lrsquoentiteacute souhaite utiliser ce plugin malgreacute lesrisques de seacutecuriteacute encourus auquel cas la valeuragrave donner serait 1 pour demander lrsquoautorisation agravelrsquoutilisateur agrave chaque exeacutecution du plugin Java)
pluginstatex Configuration drsquoactivation duplugin x ougrave x est agrave remplacerpar le nom court du pluginagrave deacutesactiver (exemple npctrlpour Microsoft Silverlight Lesnoms courts des plugins sontindiqueacutes en affichant leurs infor-mations deacutetailleacutees depuis lrsquointer-face graphique)
0 pour ne jamais activer le plugin ou 1 pourdemander lrsquoautorisation agrave lrsquoutilisateur avant chaqueexeacutecution du plugin
plugindefaultstate Configuration drsquoactivation desautres plugins
0 pour ne jamais activer un plugin non explicite-ment autoriseacute par les regravegles preacuteceacutedentes
plugindefaultXpistate Configuration drsquoactivation desautres plugins au format XPI
0 pour ne jamais activer un plugin au format XPInon explicitement autoriseacute par les regravegles preacuteceacute-dentes
pluginsclick_to_play Cliquer pour lire le contenu neacute-cessitant un plugin
true pour activer le mode laquo Cliquer pour lire raquo
pluginsload_appdir_plugins Chargement automatique desplugins depuis des emplace-ments utiliseacutes avant Firefox 21
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 17 sur 40
Eacutetant donneacute que seuls les modules compleacutementaires teacuteleacute-deacuteployeacutes par les eacutequipes informatiquessont autoriseacutes il est recommandeacute de bloquer toute possibiliteacute drsquoajout de modules compleacutementaires parlrsquoutilisateur
Nom de strateacutegie Description Valeur recommandeacuteeextensionsgetAddonsgetWithPerformanceurl
URL de reacutecupeacuteration drsquoun module compleacutementaire Mettre agrave vide
extensionsgetAddonsmaxResults Nombre de reacutesultats maximum 0extensionsgetAddonsgeturl URL de consultation drsquoun module compleacutementaire Mettre agrave videextensionsgetAddonsrecommendedbrowseURL
URL de consultation des modules compleacutementairesrecommandeacutes
Mettre agrave vide
extensionsgetAddonsrecommendedurl
URL de consultation des modules compleacutementairesrecommandeacutes par API
Mettre agrave vide
extensionsgetAddonssearchbrowseURL
URL de recherche de modules compleacutementaires Mettre agrave vide
extensionsgetAddonssearchurl URL de recherche de modules compleacutementaires parAPI
Mettre agrave vide
extensionsgetAddonsshowPane Afficher le panneau drsquoajout de modules compleacutemen-taires
false
extensionshideInstallButton Cacher le bouton drsquoinstallation manuelle drsquoextensions true
extensionswebservicediscoverURL URL du catalogue drsquoextensions Mettre agrave videxpinstallenabled Autoriser lrsquoinstallation manuelle de modules au format
XPIfalse
xpinstallwhitelistrequired Obligation pour une archive XPI drsquoecirctre en liste blanchepour ecirctre installeacutee manuellement
true
xpinstallwhitelistaddxpinstallwhitelistadd
Liste blanche drsquoarchives XPI pouvant ecirctre installeacuteesmanuellement
Mettre agrave vide
Pour finir lrsquoentiteacute devra choisir sa strateacutegie de mise agrave jour des extensions teacuteleacute-deacuteployeacutees Lrsquoentiteacutequi voudra teacuteleacute-deacuteployer elle-mecircme les versions agrave jour des modules compleacutementaires apregraves une phase devalidation optera pour le parameacutetrage donneacute ci-dessous la responsabiliteacute du maintien en conditions deseacutecuriteacute sera alors deacuteporteacutee sur les services informatiques en charge du deacuteploiement de ces mises agrave jourDans le cas contraire les valeurs par deacutefaut permettent une mise agrave jour automatique des extensionspar Internet
Nom de strateacutegie Description Valeur recommandeacuteeextensionshotfixcertcheckAttributes
Veacuterifie les attributs du certificat de signature descorrectifs teacuteleacutechargeacutes
true
extensionshotfixcerts1sha1Fingerprint
Empreintes attendues du certificat de signature descorrectifs teacuteleacutechargeacutes
Laisser la valeur par deacutefaut(9153980CC186DF478F35229E11C9A7310449A1AA en date dereacutedaction de ce document)
extensionsupdateautoUpdateDefault
Teacuteleacutecharger et installer automatiquement les mises agravejour drsquoextensions
false
extensionsupdatebackgroundURL
URL de teacuteleacutechargement des mises agrave jour drsquoextensionsen arriegravere plan
Mettre agrave vide
extensionsupdateenabled Activer la mise agrave jour des extensions false
extensionsupdateinterval Intervalle de teacuteleacutechargement des mises agrave jour desextensions
86400 (soit 1 fois par jour)
pluginsupdatenotifyUser Notifier lrsquoutilisateur de la preacutesence drsquoune mise agrave jourpour ses modules compleacutementaires
false
pluginsupdateurl URL de mise agrave jour des modules compleacutementaires Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 18 sur 40
SSLTLS et certificats
Le parameacutetrage des suites cryptographiques autoriseacutees peut engendrer des problegravemes de compa-tibiliteacute selon le contexte Il est donc leacutegitime de preacutefeacuterer ne pas modifier la configuration par deacutefautDans un soucis de durcissement les recommandations suivantes pourraient toutefois ecirctre appliqueacutees
Nom de paramegravetre Description Valeur recommandeacuteesecurityssl3dhe_dss_aes_128_sha Autoriser ssl3dhe_dss_aes_128_sha false
securityssl3dhe_dss_aes_256_sha Autoriser ssl3dhe_dss_aes_256_sha false
securityssl3dhe_dss_camellia_128_sha Autoriser ssl3dhe_dss_camellia_128_sha false
securityssl3dhe_dss_camellia_256_sha Autoriser ssl3dhe_dss_camellia_256_sha false
securityssl3dhe_rsa_aes_128_sha Autoriser ssl3dhe_rsa_aes_128_sha true
securityssl3dhe_rsa_aes_256_sha Autoriser ssl3dhe_rsa_aes_256_sha true
securityssl3dhe_rsa_camellia_128_sha Autoriser ssl3dhe_rsa_camellia_128_sha false
securityssl3dhe_rsa_camellia_256_sha Autoriser ssl3dhe_rsa_camellia_256_sha false
securityssl3dhe_rsa_des_ede3_sha Autoriser ssl3dhe_rsa_des_ede3_sha false
securityssl3ecdhe_ecdsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_ecdsa_aes_128_gcm_sha256
true
securityssl3ecdhe_ecdsa_aes_128_sha Autoriser ssl3ecdhe_ecdsa_aes_128_sha true
securityssl3ecdhe_ecdsa_aes_256_sha Autoriser ssl3ecdhe_ecdsa_aes_256_sha true
securityssl3ecdhe_ecdsa_rc4_128_sha Autoriser ssl3ecdhe_ecdsa_rc4_128_sha false
securityssl3ecdhe_rsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_rsa_aes_128_gcm_sha256
true
securityssl3ecdhe_rsa_aes_128_sha Autoriser ssl3ecdhe_rsa_aes_128_sha true
securityssl3ecdhe_rsa_aes_256_sha Autoriser ssl3ecdhe_rsa_aes_256_sha true
securityssl3ecdhe_rsa_des_ede3_sha Autoriser ssl3ecdhe_rsa_des_ede3_sha false
securityssl3ecdhe_rsa_rc4_128_sha Autoriser ssl3ecdhe_rsa_rc4_128_sha false
securityssl3rsa_aes_128_sha Autoriser ssl3rsa_aes_128_sha true
securityssl3rsa_aes_256_sha Autoriser ssl3rsa_aes_256_sha true
securityssl3rsa_camellia_128_sha Autoriser ssl3rsa_camellia_128_sha false
securityssl3rsa_camellia_256_sha Autoriser ssl3rsa_camellia_256_sha false
securityssl3rsa_des_ede3_sha Autoriser ssl3rsa_des_ede3_sha false
securityssl3rsa_fips_des_ede3_sha Autoriser ssl3rsa_fips_des_ede3_sha false
securityssl3rsa_rc4_128_md5 Autoriser ssl3rsa_rc4_128_md5 false
securityssl3rsa_rc4_128_sha Autoriser ssl3rsa_rc4_128_sha false
securityssl3rsa_seed_sha Autoriser ssl3rsa_seed_sha false
Autres paramegravetres
Nom de paramegravetre Description Valeur recommandeacuteesecuritytlsversionmax Version maximum de
SSLTLS3 (ce qui correspond agrave TLS 12)
securitytlsversionmin Version minimum de SSLTLS 2 (ce qui correspond agrave TLS 11)securitysslallow_unrestricted_renego_everywhere__temporarily_available_pref
Activer la reneacutegociation SSL false pour remeacutedier agrave une attaque parle milieu connue
securitysslenable_false_start Activer laquo SSL False Start raquo false car non standardiseacute et amenantde potentielles vulneacuterabiliteacutes
securitysslenable_ocsp_stapling Activer lrsquoOCSP stapling23 true
23 httpsblogmozillaorgsecurity20130729ocsp-stapling-in-firefox
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 19 sur 40
Nom de paramegravetre Description Valeur recommandeacuteesecuritysslrequire_safe_negotiation
Neacutecessite une neacutegociation SSL qui nrsquoutilisepas une ancienne version SSLTLS vul-neacuterable agrave des attaques par le milieu
true est la valeur ideacuteale en termesde seacutecuriteacute mais false reste conseilleacutepour eacuteviter que de nombreux sitescouramment visiteacutes ne soient plus uti-lisables
securitysslrenego_unrestricted_hosts
Liste drsquohocirctes autoriseacutes agrave faire de la reneacute-gociation SSL avec drsquoanciennes versionsvulneacuterables du protocole
Liste drsquohocirctes seacutepareacutes par des virgules(ne supportant pas les wildcards)et qursquoil est utile de renseigner sisecuritysslrequire_safe_negotiationest configureacute agrave true
securityssltreat_unsafe_negotiation_as_broken
Informer lrsquoutilisateur (cadenas casseacute rougedans la barre de status) lorsque les neacutegoci-ations SSLTLS sont non seacutecuriseacutees
true
networkstricttransportsecuritypreloadlist
Charger la liste de sites deacuteclareacutes commeutilisant HSTS (HTTP Strict TransportSecurity24)
true
networkwebsocketallowInsecureFromHTTPS
Autoriser les WebSockets non seacutecuriseacuteepour un site consulteacute en HTTPS
false
securityOCSPenabled Activer OCSP 2 pour veacuterifier le certificat agrave partir delrsquoURL de service OCSP et de lrsquoautoriteacutede certification ayant signeacute le certifi-cat Notons que cette fonctionnaliteacuteest critiqueacutee pour des questions delatence des reacutepondeurs OCSP (de lrsquoor-dre de 300ms pour les plus rapides agraveplus drsquoune seconde pour les plus lents)OCSP tend donc agrave ecirctre remplaceacute pardes listes locales de certificats reacutevo-queacutes dans drsquoautres navigateurs maisFirefox ne dispose pas encore drsquounetelle liste Une entiteacute ayant des con-traintes particuliegraveres quant agrave la la-tence induite par OSCP pourrait opterpour une deacutesactivation drsquoOCSP avecla valeur 0
securityOCSPrequire Neacutecessite la validation du certificat parOCSP avant de continuer la navigation surle site
true si securityOCSPenabled a eacuteteacuteconfigureacute agrave true ou false dans le cascontraire
securitycert_pinningenforcement_level
Niveau de certificate pinning (eacutepinglage decertificats)25(agrave partir de Firefox 32)
2 pour utiliser lrsquoeacutepinglage strict
Gestionnaire de mots de passe
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownpasswords Effacer les mots de passe enregistreacutes agrave la
fermeture du navigateurtrue
signonrememberSignons Active le gestionnaire de mots de passe false
signonautofillForms Remplissage automatique des formulairesde login
false
24 httpsdevelopermozillaorgfrdocsSC3A9curitC3A9HTTP_Strict_Transport_Security25 Lrsquoeacutepinglage de certificats permet drsquoavoir une base locale de certificats connus et attendus pour certains sites Web
consulteacutes en HTTPS Ainsi si le certificat preacutesenteacute par le serveur est valide en tous points de vue mais nrsquoest pas lecertificat attendu la connexion sera coupeacutee Ce meacutecanisme permet drsquoeacuteviter une attaque par le milieu preacutesentant un fauxcertificat issu drsquoune autoriteacute de certification de confiance
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 20 sur 40
Confidentialiteacute
Il nrsquoexiste pas en date de reacutedaction de cette note de regravegle globale pour la deacutesactivation de FirefoxSync Sa deacutesactivation se fait par conseacutequent agrave travers plusieurs regravegles de configuration
Nom de paramegravetre Description Valeur recommandeacuteeservicessyncengineaddons Synchronisation des modules compleacutementaires false
servicessyncenginebookmarks Synchronisation des marque-pages false
servicessyncenginehistory Synchronisation de lrsquohistorique de navigation false
servicessyncenginepasswords Synchronisation des mots de passe stockeacutes false
servicessyncengineprefs Synchronisation des preacutefeacuterences false
servicessyncenginetabs Synchronisation des onglets ouverts false
servicessyncregisterEngines Moteurs de synchronisation enregistreacutes Mettre agrave videservicessyncjpakeserverURL URL du serveur synchronisation jpake Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessynctokenServerURI URI du serveur de jetons Mettre agrave videservicessyncnextSync Planification de la prochaine synchronisation 0
Il convient eacutegalement de deacutesactiver les diffeacuterents rapports agrave Mozilla
Nom de paramegravetre Description Valeur recommandeacuteedatareportinghealthreportaboutreportUrl URL de rapport de santeacute Mettre agrave videdatareportinghealthreportloggingconsoleEnabled
Activer la journalisation (console) du ser-vice de rapports de santeacute
false
datareportinghealthreportloggingdumpEnabled
Activer la journalisation (dumps) du ser-vice de rapports de santeacute
false
datareportinghealthreportnextDataSubmissionTime
Date de prochaine soumission de rapportde santeacute
Mettre agrave vide
datareportinghealthreportserviceenabled Activer le service de rapport de santeacute false
datareportinghealthreportuploadEnabled Autoriser lrsquoenvoi de donneacutees au serveur derapports de santeacute
false
datareportingpolicydataSubmissionEnabled Activer lrsquoenvoi de donneacutees agrave Mozilla agrave desfins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyAccepted
Accepter les conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyBypassAcceptance
Contourner lrsquoacceptation des conditionsdrsquoenvoi de donneacutees agrave Mozilla agrave des finsdrsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyResponseType
Reacuteponse aux conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
accepted-info-bar-dismissed
domipcpluginsreportCrashURL Inteacutegrer lrsquoURL au rapport de crash deplugins
false
domipcpluginsflashsubprocesscrashreporterenabled
Activer le rapport de crash du sous-processus flash
false
toolkittelemetryenabled Activer la fonctionnaliteacute de teacuteleacutemeacutetrie false
toolkittelemetryserver Adresse du serveur de teacuteleacutemeacutetrie Mettre agrave videbreakpadreportURL URL du rapport de crash Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 21 sur 40
Il peut eacutegalement ecirctre utile de configurer lrsquooption de suppression des donneacutees priveacutees (Clear PrivateData) en seacutelectionnant les eacuteleacutements qui seront supprimeacutes Lrsquoentiteacute pourra par exemple permettre auxutilisateurs de supprimer leurs donneacutees priveacutees dans le cadre drsquoune navigation sur internet ou bien delrsquointerdire srsquoil srsquoagit drsquoun navigateur deacutedieacute agrave lrsquointranet Une entiteacute pourrait eacutegalement vouloir toujoursgarder les historiques et le cache agrave des fins drsquoinvestigation (cela nrsquoempecircchera toutefois pas lrsquoutilisateurde les supprimer directement au niveau du systegraveme de fichiers dans son profil utilisateur)
Nom de paramegravetre Description Valeur recommandeacuteeprivacycpdcache Supprimer le cache lors drsquoune suppression des donneacutees
priveacuteesAu choix de lrsquoentiteacute
privacycpdcookies Supprimer les cookies lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpddownloads Supprimer lrsquohistorique des teacuteleacutechargements lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdformdata Supprimer lrsquohistorique de remplissage automatique desformulaire lors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdhistory Supprimer lrsquohistorique lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpdofflineApps Supprimer les applications disponibles hors connexionlors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdpasswords Supprimer les mots de passe enregistreacutes lors drsquoune sup-pression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsessions Supprimer les sessions en cours enregistreacutees lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsiteSettings Supprimer les paramegravetres par site lors drsquoune suppressiondes donneacutees priveacutees
Au choix de lrsquoentiteacute
privacysanitizesanitizeOnShutdown
Supprimer les donneacutees priveacutees agrave la fermeture du naviga-teur
En cas de besoin speacute-cifique de lrsquoentiteacute
Viennent pour finir divers autres paramegravetres lieacutes agrave la confidentialiteacute
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownsessions effacer les sessions de navigation en cours lors
de la fermeture du navigateurtrue
privacyclearOnShutdowncookies effacer les cookies de navigation lors de lafermeture du navigateur
true
privacydonottrackheaderenabled Activer Do-Not-Track true
geoenabled activer la geacuteolocalisation false
geowifiuri URI du service de geacuteolocalisation agrave utiliser Mettre agrave videnetworkprefetch-next Teacuteleacutechargement preacutedictif anticipeacute des docu-
ments lieacutes agrave la page Web visiteacutes (link prefetch-ing)26
false pour eacuteviter lrsquoeacutetablisse-ment de connexions et leteacuteleacutechargement de contenunon solliciteacutes
medianavigatorpermissiondisabled Contourne la permission drsquoacceacuteder agrave la web-cam
false
networkhttpsendRefererHeader Activer lrsquoenvoi de lrsquoentecircte referer 0 pour plus drsquoanonymat ou 2pour ne pas empecirccher le fonc-tionnement de certains sites
browsersend_pings Activer lrsquoenvoi de requecircte POST lors du clicsur un lien (fonctionnaliteacute souvent utiliseacuteepour tracer les clics)
false
26 Le link prefetching permet drsquoacceacuteleacuterer le surf en anticipant le chargement des documents lieacutes agrave la page visiteacutesLrsquoimpleacutementation de ce meacutecanisme dans Firefox ne transmet aucune information agrave Mozilla Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsWebHTTPLink_prefetching_FAQ
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 22 sur 40
Filtrage de contenu
Actions autoriseacutees aux les scripts
Nom de paramegravetre Description Valeur recommandeacuteedomallow_scripts_to_close_windows Autoriser les scripts agrave fermer
une fenecirctrefalse
domdisable_image_src_set Interdire la modification desimages sources par script
false
domdisable_window_flip Interdire le changement defenecirctre active par script
true
domdisable_window_move_resize Deacutetermine si les fenecirctrespeuvent ecirctre bougeacutees or red-imensionneacutees par script
false
domdisable_window_open_featureclose Interdire la creacuteation defenecirctre sans bouton defermeture
true pour eacuteviter les popups in-vasifs
domdisable_window_open_featurelocation Interdire la creacuteation defenecirctre sans barre drsquoadresse
true pour que lrsquoutilisateur puissetoujours veacuterifier ecirctre agrave lrsquoadressepreacutevue
domdisable_window_open_featurestatus Interdire la creacuteation defenecirctre sans barre de status
true pour que lrsquoutilisateur puissese rendre contre plus facilementdes tentatives de spoofing
domdisable_window_open_featuretitlebar Interdire la creacuteation defenecirctre sans barre de titre
true pour que lrsquoutilisateur puissebien voir qursquoil srsquoagit drsquoun popupFirefox
domdisable_window_open_featuretoolbar Interdire la creacuteation defenecirctre sans barre drsquooutils
false
domeventclipboardeventsenabled Permettre agrave un script desaisir les eacuteveacutenements dupresse papier
false
domeventcontextmenuenabled Permettre agrave un script desaisir les eacuteveacutenements drsquoac-cegraves au menu contextuel (clicdroit)
false
dominter-app-communication-apienabled Activer la communicationpar API entre applications
false
domipcpluginsenabled Activation du plugin con-tainer
true pour exeacutecuter les pluginsdans le plugin-container
domipcpluginsjavaenabled Exeacutecuter Java au sein duplugin-container
false pour eacuteviter des problegravemesde stabiliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 23 sur 40
Nom de strateacutegie Description Valeur recommandeacuteebrowsersafebrowsingenabled Utiliser la navigation seacutecuriseacutee
(protection contre le phishing etles logiciels malveillants)27
true
javascriptenabled Activation de Javascript true
securityxpconnectpluginunrestricted Autoriser le scripting de pluginspar des scripts qui ne sont pasde confiance
false agrave moins drsquoune incompatibiliteacute avecdes plugins etou pages Web neacutecessaires agravelrsquoentiteacute
securitymixed_contentblock_active_content
Bloquer le contenu mixte actif true
securitymixed_contentblock_display_content
Bloquer le contenu mixte passif false
securityfileuristrict_origin_policy
Politique drsquoorigine stricte pourles URi de type fichiers
true sauf pour les populations dedeacuteveloppeurs qursquoun tel paramegravetre pourraitbloquer pour le deacuteveloppement en local
networkcookiecookieBehavior Politique de gestion des cookies 1 pour nrsquoautoriser que les cookies duserveur drsquoorigine et bloquer les cookiestiers
networkcookielifetimePolicy Politique drsquoexpiration des cook-ies
2 pour conserver les cookies pendant toutela dureacutee de la session seulement
networkcookiethirdpartysessionOnly Restreindre les cookies tiers agrave ladureacutee de la session seulement
true
networkjaropen-unsafe-types Nrsquoouvrir que les jar servis avecun content-type adeacutequat
false
privacypopupspolicy Politique de popups 1 pour activer les popups ou 2 pour lesrejeter mais cela rendrait la navigationdifficile voire impossible sur une quantiteacutede sites Internet non neacutegligeable
privacypopupsshowBrowserMessage Afficher un message lorsqursquounpopup a eacuteteacute bloqueacute
true
browserpopupsshowPopupBlocker Afficher lrsquoicocircne du bloqueur depopups dans la barre de status
true
securitycspenable Activer la Content Security Pol-icy (politique de seacutecuriteacute descontenus) qui permet de deacute-tecter et de limiter lrsquoimpact decertains types drsquoattaques
true
full-screen-apienabled Activer lrsquoAPI permettant drsquoaf-ficher du contenu en plein eacutecranpour les modules compleacutemen-taires
false
notificationfeatureenabled Permettre les notifications sur lebureau
false
27 La fonctionnaliteacute de navigation seacutecuriseacutee consiste agrave synchroniser une liste locale drsquoadresses de sites maveillants(depuis les serveurs de Google par deacutefaut depuis que Firefox utilise leur service) pour alerter lrsquoutilisateur srsquoil srsquoapprecircte agraveen visiter un Elle consiste eacutegalement agrave analyser le contenu des pages pour repeacuterer drsquoeacuteventuelles tentatives drsquohameccedilonnage
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 24 sur 40
Moteur de recherche par deacutefaut
La configuration drsquoun moteur de recherche personnaliseacute ne peut pas se faire simplement par fichierde configuration et neacutecessite le deacuteploiement drsquoun module de recherche (search engine plugin) LrsquoannexeIV illustre la teacuteleacute-deacuteploiement drsquoun module de recherche utilisant le moteur franccedilais httpswwwqwantcom 28
Nom de paramegravetre Description Exemplebrowsersearchdefaultenginename Moteur de recherche par deacutefaut Qwantcom
browsersearchdefaulturl URL du moteur de recherche pardeacutefaut
httpswwwqwantcomq=searchTerms
browsersearchlog Journalisation de lrsquoutilisation desservices de recherche agrave des fins dedeacuteboggage
false
browsersearchopenintab Ouvrir les reacutesultats de recherchedans un nouvel onglet
false
browsersearchorder1 Moteur de recherche agrave utiliser enprioriteacute 1
Qwantcom
browsersearchsuggestenabled activer les suggestions false
browsersearchupdate Recherche de mises agrave jour pour lesmodules de recherche
false
keywordenabled Permettre de faire une recherchedepuis la barre drsquoadresse
true
Page(s) drsquoaccueil
Nom de strateacutegie Description Valeur recommandeacuteestartuphomepage_override_url Page drsquoaccueil apregraves une mise agrave jour de Firefox En fonction du choix de lrsquoentiteacutestartuphomepage_welcome_url Page drsquoaccueil au premier deacutemarrage En fonction du choix de lrsquoentiteacutebrowserstartuphomepage Page drsquoaccueil about blank pour une page vide
ou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
browserstartuppage Page drsquoaccueil 1 pour ouvrir la page drsquoac-cueil indiqueacutee par le paramegravetrebrowserstartuphomepage
browsersessionstoreresume_from_crash
Restauration de session apregraves crash false
browsersessionstoreenabled Activer le service de restauration de session false
browsernewtaburl Page ouverte par deacutefaut lors de la creacuteationdrsquoun nouvel onglet de navigation
about blank pour une page videou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
28 Ceci nrsquoest en aucun cas une recommandation ni une incitation agrave son utilisation mais un simple exemple
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 25 sur 40
Authentification HTTP
Nom de strateacutegie Description Valeur recommandeacuteenetworkauthforce-generic-ntlm Utiliser le module drsquoauthen-
tification NTLM de Firefoxplutocirct que celui fourni parles APIs du systegraveme
false
networkauthuse-sspi Utiliser SSPI plutocirct queGSSAPI pour lrsquoauthentifica-tion Kerberos
true sous Windows
networkntlmsend-lm-response Envoyer le LM Hash dans lareacuteponse NTLM
false
networkautomatic-ntlm-authallow-proxies
Authentification par NTLMautomatique avec lesserveurs proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networkautomatic-ntlm-authtrusted-uris
Liste des URIs autoriseacuteespour lrsquoauthentification parNTLM automatique
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationNTLM automatique
networkautomatic-ntlm-authallow-non-fqdn
Autoriser lrsquoauthentificationNTLM automatique avecdes sites sans FQDN
false agrave moins que la liste networkautomatic-ntlm-authtrusted-uris comporte des adressessans FQDN
networknegotiate-authallow-non-fqdn
Autoriser lrsquoauthentificationSPNEGO avec des sites sansFQDN
En fonction de lrsquoentiteacute
networknegotiate-authallow-proxies
Autoriser SPNEGO29si de-mandeacute par un serveur proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networknegotiate-authdelegation-uris
Liste des URIs autoriseacuteespour lesquels le navigateurpeut deacuteleacuteguer lrsquoautorisationde lrsquoutilisateur
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites auxquels elle souhaite permettre ladeacuteleacutegation SPNEGO
networknegotiate-authtrusted-uris Liste des URIs autoriseacuteespour engager une authentifi-cation SPNEGO
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationSPNEGO
networknegotiate-authgsslib Chemin vers une librairieGSSLIB speacutecifique
Mettre agrave vide
networknegotiate-authusing-native-gsslib
Utiliser la librairie GSSLIBnative du systegraveme
true
securitydefault_personal_cert Choix du certificat drsquoau-thentification client
Ask Every Time
29 SPNEGO est un standard qui permet de neacutegocier de lrsquoauthentification Kerberos NTLM ainsi que drsquoautresprotocoles supporteacutes pour le systegraveme SPNEGO est eacutegalement connu sous le nom du protocole drsquoauthentificationlaquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 26 sur 40
Serveur mandataire
Nom de paramegravetre Description Valeur recommandeacuteenetworkproxyautoconfig_url URL de configuration automatique du
proxyLaisser agrave vide
networkproxyftp Adresse du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyftp_port port du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp Adresse du proxy proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp_port port du proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyno_proxies_on Liste drsquoexceptions agrave lrsquoutilisation du serveurproxy
A minima localhost 127001 etdavantage en fonction de lrsquoentiteacute etdu peacuterimegravetre drsquoutilisation du naviga-teur
networkproxyshare_proxy_settings
Utiliser le mecircme proxy pour tous les pro-tocoles
false
networkproxysocks Adresse du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_port port du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_remote_dns
Reacutealiser les requecirctes DNS via le proxysocks
false
networkproxysocks_version Version du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl Adresse du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl_port port du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxytype Type drsquoutilisation du proxy 1 pour utiliser les valeurs in-diqueacutees par les paramegravetres ci-dessus(networkproxy)
networkhttpproxyversion version de proxy 11 par deacutefaut et en fonction duserveur proxy de lrsquoentiteacute
networkhttpproxypipelining Activer le pipelining30par proxy false pour des raisons de compat-ibiliteacute Lrsquoentiteacute peut choisir de lrsquoac-tiver si le pipelining est supporteacute parson serveur proxy drsquoentreprise
signonautologinproxy Saisie automatique du mot de passe deproxy
false
30 Le pipelining permet de faire plusieurs requecirctes HTTP simultaneacutement plutocirct que de les faire seacutequentiellement enattendant les reacuteponses de chacune drsquoentre elles Pour plus drsquoinformations httpwww-archivemozillaorgprojectsnetlibhttppipelining-faqhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 27 sur 40
Peacuterimegravetre de navigation
Nom de paramegravetre Description Valeur recommandeacuteenetworkprotocol-handlerexpose-all
Deacutetermine si le navigateur essayedrsquoouvrir les liens cliqueacutes dans lenavigateur en prioriteacute avant delaisser le systegraveme srsquoen charger en casdrsquoeacutechec (si le protocole du lien enquestion nrsquoest pas supporteacute par lenavigateur)
true
networkprotocol-handlerwarn-external-default
Avertir lrsquoutilisateur avant decharger un gestionnaire deprotocole tiers
true
networkprotocol-handlerexternal-default
Action pour lrsquoouverture drsquoun pro-tocole non pris en charge par lenavigateur
false de maniegravere agrave ne pas essayerde charger des protocoles non pris encharge nativement par le navigateur Lrsquoen-titeacute renseignera eacuteventuellement des ges-tionnaires de protocoles tiers pour desprotocoles qursquoelle souhaite explicitementpermettre tels que NNTP Mailto etc Pour illustrer par lrsquoexemple avecMailto le paramegravetre networkprotocol-handlerexternalmailto aurait pour valeurtrue et le paramegravetre networkprotocol-handlerappmailto avec pour valeur lechemin drsquoun exeacutecutable comme MozillaThunderbird ou Microsoft Outlook
networkprotocol-handlerexternalfile
Gestionnaire de protocole filesous Firefox
false
networkprotocol-handlerexternalftp
Gestionnaire de protocole ftpsous Firefox
false
geckohandlerServiceallowRegisterFromDifferentHost
Autoriser les sites Web agrave installerdes gestionnaires de protocoles oude contenus utilisable pour deshocirctes tiers
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 28 sur 40
Administration systegraveme maintenance et options diverses
Parameacutetrage des mises agrave jour
Nom de paramegravetre Description Valeur recommandeacuteeappupdateenabled Activation de la mise agrave jour automatique true
appupdateauto Teacuteleacutechargement et installationautomatiques (neacutecessite que le paramegravetreappupdateenabled ait pour valeurtrue)
true
appupdatecertcheckAttributes Veacuterifie les attributs du certificat du serveurde mise agrave jour
false
appupdatecertrequireBuiltIn Requiert lrsquointeacutegration des certificats duserveur de mise agrave jour et de toutes lesredirections intermeacutediaires
false
appupdatechannel Canal de mise agrave jour esr pour la version ESR de FirefoxappupdatedownloadbackgroundInterval
Temps de pause (en secondes) entrechaque teacuteleacutechargement en arriegravere plandrsquoun morceau de 300 Kb de mise agrave jour
Au choix de lrsquoentiteacute
appupdateidletime Temps de pause (en secondes) entre chaqueteacuteleacutechargement agrave la demande de lrsquoutilisa-teur) drsquoun morceau de 300 Kb de mise agravejour
60
appupdateinterval Intervalle de temps entre chaque veacuterifica-tion de disponibiliteacute de nouvelles mises agravejour
43200
appupdatemode Deacutetermine quelles mises agrave jour sontteacuteleacutechargeacutees en arriegravere plan
0 pour teacuteleacutecharger toutes les mises agravejour sans intervention de lrsquoutilisateur
appupdateserviceenabled Active le service de mise agrave jour de Firefox true
appupdateshowInstalledUI Deacutetermine si apregraves installation de mise agravejour une boicircte de dialogue informe lrsquoutil-isateur qursquoune mise agrave jour a eacuteteacute installeacutee
Au choix de lrsquoentiteacute
appupdatesilent Active le mode de mise agrave jour silencieux true pour une mise agrave jour silencieuseen arriegravere plan
appupdateurl URL de reacutecupeacuteration des mises agrave jour deFirefox
En fonction de la strateacutegie de mise agravejour de lrsquoentiteacute Pour une mise agrave jourdepuis les serveurs de Mozilla httpsaus3mozillaorgupdate3PRODUCTVERSIONBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONupdatexml sinon lrsquoURLdu serveur de mise agrave jour internede lrsquoentiteacute (qursquoil faudra eacutegalementrenseigner dans le paramegravetreappupdateurloverride)
appupdateurloverride URL de reacutecupeacuteration des mises agrave jour deFirefox
Paramegravetre agrave renseigner uniquementdans le cas ou la mise agrave jour deFirefox se fait depuis lrsquoURL drsquounserveur de mise agrave jour interne delrsquoentiteacute (agrave renseigner en plus duparamegravetre appupdateurl)
appupdateurldetails URL de consultation des informations rel-atives aux mises agrave jour disponibles
Laisser la valeur par deacutefautrhttpswwwmozillaorgLOCALEfirefoxnotes
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 29 sur 40
Configuration du cache
Nom de paramegravetre Description Valeur recommandeacuteebrowsercachecheck_doc_frequency Quand veacuterifier la mise agrave jour drsquoune page en
cache disque3 (veacuterifier quand la page estpeacuterimeacutee)
browsercachecompression_level Niveau de compression du cache disque Au choix de lrsquoentiteacute de 0(pas de compression) agrave 9(haut taux de compressionavec forte sollicitation du pro-cesseur)
browsercachediskcapacity Espace disque alloueacute au cache disque enKb
Au choix de lrsquoentiteacute
browsercachediskenable Utiliser le cache disque true
browsercachediskmax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache disque
Au choix de lrsquoentiteacute
browsercachedisksmart_sizeenabled Allocation intelligente de lrsquoespace disquealloueacute au cache en fonction de lrsquoespacedisponible
Au choix de lrsquoentiteacute
browsercachedisk_cache_ssl Mettre en cache disque les pages visiteacuteesen HTTPS
False de maniegravere agrave ne pasmettre en cache le contenuSSL
browsercachememoryenable Utiliser le cache meacutemoire true
browsercachememorymax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache meacutemoire
Au choix de lrsquoentiteacute
browsercachememory_limit Meacutemoire maximum utiliseacutee pour le cachemeacutemoire en Kb
Au choix de lrsquoentiteacute
browsercacheofflinecapacity Espace disque alloueacute au cache des applica-tions Web
Au choix de lrsquoentiteacute
browsercacheofflineenable Utiliser le cache des applications Web per-mettant une utilisation hors ligne
Au choix de lrsquoentiteacute
browsercacheuse_new_backend Utilisation du nouveau systegraveme de cache 0 (ne pas utiliser pour desquestions de stabiliteacute)
networkhttpuse-cache Utiliser le cache des documents HTTP true
mediacache_size Taille du cache pour les fichiers multimedia Au choix de lrsquoentiteacute par deacute-faut 512000
domstoragedefault_quota Quota de stockage cocircteacute client pour lespages Web
5120 taille par deacutefaut
domstorageenabled Active le stockage cocircteacute client pour les pagesWeb
true agrave deacutefaut de vulneacuterabil-iteacutes connues pour cette fonc-tionnaliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 30 sur 40
Deacutesactiver les options de deacuteveloppement (sauf pour les populations de deacuteveloppeurs)
Nom de paramegravetre Description Valeur recommandeacuteedevtoolsappmanagerenabled Activation des outils de deacuteveloppement module appmanager false
devtoolsdebuggerenabled Activation des outils de deacuteveloppement module deacutebogueur false
devtoolserrorconsoleenabled Activation des outils de deacuteveloppement module consoledrsquoerreurs
false
devtoolsfontinspectorenabled Activation des outils de deacuteveloppement module inspecteurde polices
false
devtoolsinspectorenabled Activation des outils de deacuteveloppement module inspecteur false
devtoolsnetmonitorenabled Activation des outils de deacuteveloppement module reacuteseau false
devtoolsprofilerenabled Activation des outils de deacuteveloppement module profileur false
devtoolsshadereditorenabled Activation des outils de deacuteveloppement module vue adaptive false
devtoolsstyleeditorenabled Activation des outils de deacuteveloppement module editeur destyles
false
devtoolstiltenabled Activation des outils de deacuteveloppement module tilt false
devtoolstoolbarenabled Activation des outils de deacuteveloppement module barre dedeacuteveloppement
false
Configurations diverses
Nom de paramegravetre Description Valeur recommandeacuteenetworkseerenable-hover-on-ssl Activer seer sur SSL false
networkseerenabled Activer seer false
networkhttppipelining Activer le pipelining pour le surfHTTP11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttppipeliningssl Activer le pipelining pour le surfHTTPS11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttpspdyenabled Activer SPDY31 false
networkhttpspdyenabledv2 Activer SPDY v2 false
networkhttpspdyenabledv3 Activer SPDY v3 false
networkhttpspdyenabledv3-1 Activer SPDY v31 false
browsershellcheckDefaultBrowser Veacuterifier si Firefox est configureacutecomme navigateur par deacutefaut
false dans le cadre de double naviga-teurs
browserdownloadmanagerscanWhenDone
Scan antivirus drsquoun fichier lorsqueson teacuteleacutechargement est termineacute
true
browserdownloaduseDownloadDir Utiliser le reacutepertoire de teacuteleacutecharge-ment par deacutefaut
false pour que lrsquoutilisateur indique agravequel emplacement il souhaite teacuteleacutechargerle fichier
browserfullscreenautohide Cacher la barre drsquooutils et drsquoongletsen mode plein eacutecran
false
31 SPDY est un protocole reacuteseau expeacuterimental de Google visant agrave augmenter les capaciteacutes du protocole HTTP pourreacuteduire le temps de chargement des pages Web en classant les objets par ordre de prioriteacute et en multiplexant les transfertspour ne neacutecessiter qursquoune seule connexion Ce protocole est vulneacuterable aux attaques CRIME (Compression Ratio Info-leakMade Easy) lorsqursquoil est utiliseacute avec HTTPS (ce qui est geacuteneacuteralement le cas)
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 31 sur 40
Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP
Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory
Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation
La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32
Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers
Fichiers de configuration
La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte
ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet
ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes
Fichier local-settingsjs
pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)
Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 32 sur 40
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
Lrsquoaccegraves aux fichiers key3db et cert8db non chiffreacutes drsquoun profil Firefox permet la reacutecupeacuterationet la reacuteutilisation des certificats utilisateurs qursquoils contiennent Tout compte disposant de droits admi-nistrateurs sur un ordinateur a la possibiliteacute de reacutecupeacuterer lrsquoensemble des fichiers key3db et cert8dbqui y sont stockeacutes (voire tout utilisateur non privileacutegieacute dans le cas drsquoun systegraveme de fichiers FAT32) Laconfidentialiteacute des donneacutees utilisateurs nrsquoest donc pas assureacutee degraves lors que ces fichiers ne sont pas chiffreacutesLa deacutefinition drsquoun mot de passe principal deacuteclenche le chiffrement du fichier key3db par algorithme3DES-CBC avec une cleacute deacuteriveacutee de ce mot de passe La seacutecuriteacute apporteacutee par une telle mesure restemodeacutereacutee des outils performants permettent de rapidement retrouver ce mot de passe maicirctre par forcebrute Le stockage du profil Firefox dans un conteneur chiffreacute par une solution qualifieacutee par lrsquoANSSIpeut ecirctre dans certains cas la solution agrave privileacutegier
R5 Degraves lors que des certificats utilisateurs sont stockeacutes dans les magasins de certificats deFirefox il est recommandeacute drsquoassurer la seacutecuriteacute de leurs conteneurs de cleacutes priveacutees (fichierskey3db) par chiffrement
Tout utilisateur de Firefox peut aussi ajouter des certificats serveurs et des autoriteacutes de confiancedans son propre magasin de certificats Selon le contexte drsquoutilisation du navigateur il peut doncecirctre important de mettre en œuvre des mesures techniques permettant de maicirctriser les magasins decertificats des profils Firefox et de srsquoassurer de leur conformiteacute vis agrave vis de la strateacutegie de lrsquoentiteacute
R6 Maicirctriser les magasins de certificats des profils Firefox et notamment les autoriteacutes decertification racines de confiance et les certificats serveurs qui y sont configureacutes
Note lrsquoapplication de cette recommandation est simple degraves lors que les utilisateurs ne stockent pasde certificats utilisateurs dans leurs magasins de certificats Firefox mais cela devient plus compliqueacutedans le cas contraire La probleacutematique est abordeacutee plus en deacutetail en annexe III
Il agrave noter eacutegalement que depuis sa version 24 Firefox se deacutetourne de lrsquousage classique des CRLsen ligne au profit drsquoune liste de reacutevocations mise agrave jour reacuteguliegraverement pour consultation locale Lesbibliothegraveques NSS supportent toujours la gestion des CRLs classiques (modifiables par lrsquooutil crlutilet non plus par interface graphique) mais il est preacutevu qursquoelles ne soient plus utiliseacutees dans un avenirproche Les autoriteacutes de certification sont drsquoailleurs inviteacutees agrave envoyer leurs certificats reacutevoqueacutes agrave Mozillapour ecirctre inteacutegreacutes agrave la liste de reacutevocation maintenue par Mozilla 10
422 Gestionnaire de mots de passe
Le gestionnaire de mots de passe de Firefox permet de meacutemoriser les mots de passe saisis dansles formulaires Web Tout comme pour les magasins de certificats lrsquoutilisation drsquoun laquo mot de passeprincipal raquo 11 permet de chiffrer les mots de passe stockeacutes par un algorithme 3DES-CBC avec une cleacutedeacuteriveacutee du mot de passe principal La seacutecuriteacute apporteacutee par une telle mesure reste modeacutereacutee des outilsperformants permettent de rapidement retrouver ce mot de passe maicirctre par force brute Lrsquoutilisationdrsquoun gestionnaire de mots de passe alternatif seacutecuriseacute est donc conseilleacute
R7 Il est conseilleacute de deacutesactiver le gestionnaire de mots de passe pour imposer la saisiesysteacutematique de ces derniers Lrsquoapplication drsquoun tel durcissement est leacutegitime sur un reacuteseauameneacute agrave traiter des donneacutees sensibles ou confidentielles mais peut toutefois ecirctre difficileagrave imposer aux utilisateurs sur des reacuteseaux moins sensibles Sa deacutesactivation pourrait alorssrsquoaccompagner du deacuteploiement drsquoun gestionnaire de mots de passe alternatif et seacutecuriseacute 12
10 Le Wiki de Mozilla deacutetaille la probleacutematique de reacutevocation de certificats au sein de Firefox httpswikimozillaorgCAImprovingRevocation11 httpssupportmozillaorgfrkbutiliser-mot-passe-principal-proteger-identifiants
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 7 sur 40
423 Confidentialiteacute
Le lecteur est inviteacute agrave prendre connaissance de la laquo deacuteclaration de confidentialiteacute de Firefox raquo 13Selon les fonctionnaliteacutes activeacutees diverses informations sont susceptibles drsquoecirctre envoyeacutees agrave Mozilla Laplupart sont en rapport avec
ndash les informations lieacutees aux modules compleacutementaires installeacutes et le blocage automatique desmodules en liste noire
ndash les rapports de plantage ndash le service de mise agrave jour automatique ndash le service de protection contre les sites malveillants ndash le service de synchronisation Firefox Sync
Il est donc important de deacutesactiver certaines de ces fonctionnaliteacutes pour limiter les donneacutees envoyeacuteesagrave Mozilla
R8 Deacutesactiver les divers rapports disponibles de plantage de performance etc
R9 Deacutesactiver le service de synchronisation Firefox Sync
R10 La fonctionnaliteacute de blocage des sites contrefaits envoie agrave des fournisseurs tiers de Mozillales adresses Web des sites visiteacutes pour veacuterifier qursquoils ne soient pas connus comme eacutetantmalveillants et en bloquer lrsquoaccegraves si neacutecessaire Bien qursquoil soit conseilleacute de laisser ce filtreactiveacute pour des raisons de seacutecuriteacute une entiteacute pourra juger suffisamment confidentielles lesadresses des pages Web visiteacutees pour qursquoune deacutesactivation de ce meacutecanisme srsquoimpose
La navigation priveacutee ainsi que la protection contre le pistage (Do Not Track) sont des fonction-naliteacutes inteacuteressantes du point de vue du respect de la vie priveacutee lors de la navigation sur Internetet qui pourraient ecirctre deacutesactiveacutees pour de la navigation en Intranet La strateacutegie de configurationdes paramegravetres de confidentialiteacute deacutependra donc du peacuterimegravetre drsquoutilisation du navigateur Degraves lors quele navigateur Firefox dispose drsquoune connectiviteacute agrave Internet les recommandations suivantes srsquoappliquent
R11 Activer les fonctionnaliteacutes de protection de la confidentialiteacute (anti pistage navigationpriveacutee suppression des donneacutees priveacutees etc) lorsque le navigateur nrsquoest pas deacutedieacute agrave unenavigation Intranet
Note Le nouveau standard de protection contre le-pistage (Do Not Track) nrsquoest qursquoune sollicitation duclient Sa prise en compte par les serveurs Web ne deacutepend donc que de leurs pratiques de confidentialiteacuterespectives et nrsquoapporte aucune garantie au client
R12 Interdire les fonctions de geacuteolocalisation
R13 Degraves lors que la confidentialiteacute des recherches est jugeacutee primordiale il conviendra drsquoimposerun moteur de recherche de confiance et de deacutesactiver les fonctionnaliteacutes de rechercheinstantaneacutee ou de suggestion de recherche
12 KeePass est un exemple de solution disposant drsquoun certificat de seacutecuriteacute de premier niveau (CSPN) deacutelivreacute parlrsquoANSSI qui peut ecirctre utiliseacutee avec Firefox13 Deacuteclaration disponible en anglais agrave lrsquoadresse
httpwwwmozillaorgen-USlegalprivacyfirefoxhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 8 sur 40
424 Moteur de recherche par deacutefaut
Imposer un moteur de recherche et certains paramegravetres de recherche peut avoir un sens dans certainscontextes Crsquoest le cas principalement lorsque le navigateur se trouve deacutedieacute agrave lrsquoIntranet Lrsquoentiteacute pourraalors imposer et configurer le moteur de recherche de lrsquoIntranet Ces regravegles de configuration peuventeacutegalement avoir une utiliteacute pour la recherche sur Internet si par exemple lrsquoentiteacute veut imposer unmoteur de recherche franccedilais qui srsquoappuie sur une connexion chiffreacutee En parallegravele lrsquoentiteacute peut alorsbloquer lrsquoaccegraves aux adresses des moteurs de recherche qursquoelle souhaite interdire
R14 Pour des questions de respect de la vie priveacutee il est conseilleacute drsquoimposer un moteur derecherche srsquoappuyant sur une connexion chiffreacutee (HTTPS)
Note Cela nrsquoempecircche pas lrsquointerception des donneacutees par le moteur de recherche ce dernier eacutetant danstous les cas destinataire des donneacutees de recherche en clair
425 Filtrage de contenu
Le filtrage du contenu participe agrave renforcer la seacutecuriteacute de la navigation en bloquant les contenuspotentiellement malveillants Certains meacutecanismes de filtrage peuvent toutefois avoir une incidence surla faculteacute des utilisateurs agrave naviguer sur certains sites
R15 Activer les fonctionnaliteacutes de filtrage de contenu telles que la navigation seacutecuriseacutee(protection contre le hameccedilonnage et les logiciels malveillants) ou la Content SecurityPolicy 14
R16 Interdire ou a minima restreindre les scripts les contenus mixtes actifs 15 les cookies tiersetc
La section correspondante de lrsquoannexe I liste en deacutetail le parameacutetrage recommandeacute pour ces types decontenus
426 Page(s) drsquoaccueil
Si le navigateur est configureacute pour restaurer la session preacuteceacutedente les donneacutees ainsi que les cookiesde session seront sauvegardeacutes puis restaureacutes au prochain deacutemarrage du navigateur (sauf en mode denavigation priveacutee) Il est alors possible de reacutecupeacuterer ces cookies sauvegardeacutes pour srsquoauthentifier agrave laplace de lrsquoutilisateur sans mot de passe voire de reacutecupeacuterer une session HTTPS preacutealablement initieacutee
R17 Il est preacutefeacuterable que le navigateur nrsquoenregistre pas les sessions de navigation Lors dudeacutemarrage du navigateur (apregraves un arrecirct normal ou brusque) il est en effet conseilleacutede ne pas restaurer la session preacuteceacutedente de lrsquoutilisateur mais drsquoafficher une(des) page(s)connue(s) et de confiance
427 Serveur mandataire
Il est primordial de controcircler les flux non seulement en entreacutee mais eacutegalement en sortie Lorsqursquounindividu malveillant atteint en inteacutegriteacute un poste de travail il peut ensuite proceacuteder agrave lrsquoeacutetablissementdrsquoun canal de controcircle depuis le poste de travail vers un serveur situeacute sur Internet Lrsquoutilisation de
14 Cette couche de seacutecuriteacute qui permet de se preacutemunir contre certains types drsquoattaques est deacutetailleacutee dans un article duMozilla Developer Network httpsdevelopermozillaorgen-USdocsWebSecurityCSPIntroducing_Content_Security_Policy15 httpsdevelopermozillaorgen-USdocsSecurityMixedContent
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 9 sur 40
serveurs mandataires avec authentification peut donc bloquer des connexions sortantes malveillantesIl srsquoavegravere alors judicieux drsquoimposer lrsquoutilisation du serveur mandataire (proxy) par configuration cen-traliseacutee sur les postes utilisateurs
R18 Privileacutegier lrsquoutilisation de serveurs mandataires avec authentification
Note Cette recommandation peut ecirctre renforceacutee par des regravegles de filtrage de pare-feu
428 Authentification HTTP
Il est possible de durcir la seacutecuriteacute des authentifications utilisant NTLM 16 ou SPNEGO 17 surFirefox degraves lors que lrsquoune drsquoentre elles est utiliseacutee par lrsquoentiteacute qui le deacuteploie Il est par exemplerecommandeacute de speacutecifier la liste des serveurs autoriseacutes agrave engager une authentification SPNEGO ouune authentification NTLM automatique
R19 Speacutecifier la liste des serveurs autoriseacutes agrave engager une authentification SPNEGO ou uneauthentification NTLM automatique
Note Lrsquoutilisation de NTLM nrsquoest pas conseilleacutee Kerberos eacutetant le protocole drsquoauthentification agraveprivileacutegier
429 Peacuterimegravetre de navigation
Il est recommandeacute de restreindre le peacuterimegravetre de navigation en interdisant certains scheacutemas drsquoadressesavec les protocol-handlers
R20 Interdire a minima le scheacutema drsquoadresses file pour un navigateur deacutedieacute agrave la navigationsur Internet de maniegravere agrave eacuteviter des accegraves arbitraires au systegraveme de fichiers Le scheacutemaftp pourrait eacutegalement ecirctre interdit au profit de lrsquoutilisation drsquoun client FTP tiers
Note Lrsquoutilisation du navigateur Firefox ne sera alors plus possible pour afficher des pages htmldirectement depuis un systegraveme de fichiers (CD-ROM disque local ou distant via un partage reacuteseauetc)
Ces listes preacutesentent eacutegalement un inteacuterecirct particulier dans le cadre drsquoune strateacutegie de doublenavigateur Ce sujet est deacutetailleacute en section laquo Strateacutegie de double navigateur raquo
4210 Administration systegraveme et maintenance
Divers paramegravetres de Firefox relegravevent de sa maintenance et certaines preacutecautions doivent ecirctreprises pour eacuteviter des problegravemes de compatibiliteacute de confidentialiteacute des donneacutees utilisateurs voire dedisponibiliteacute des postes de travail La liste complegravete de ces paramegravetres figure en annexe I
43 Teacuteleacute-deacuteploiement initial
Firefox au mecircme titre que les autres logiciels devrait ideacutealement ecirctre installeacute sur les postes detravail par teacuteleacute-deacuteploiement Une telle meacutethode de deacuteploiement est un des fondamentaux drsquoun systegravemedrsquoinformation controcircleacute et maicirctriseacute En effet il permet de maicirctriser les installations drsquohomogeacuteneacuteiser les
16 NTLM (NT Lan Manager) est une suite de protocoles drsquoauthentification de Microsoft qui ne supporte pas lesmeacutethodes cryptographiques reacutecentes comme AES ou SHA-25617 SPNEGO (Simple and Protected GSSAPI Negociation Mechanism) est un standard qui permet de neacutegocier de
lrsquoauthentification Kerberos NTLM ainsi que drsquoautres protocoles supporteacutes pour le systegraveme SPNEGO est eacutegalementconnu sous le nom du protocole drsquoauthentification laquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 10 sur 40
versions et configurations mais aussi de proceacuteder aux mises agrave jour de maniegravere reacuteactive et efficace
Le teacuteleacute-deacuteploiement de logiciel peut se faire de plusieurs maniegraveres ndash au format MSI par GPO (strateacutegies de groupe pour la gestion centraliseacutee) dans un domaine
Microsoft Active Directory Attention toutefois puisque Mozilla ne fournit Firefox qursquoau formatexeacutecutable il sera donc neacutecessaire de construire un package Firefox au format MSI Des eacutediteurstiers proposent de tels paquets mais ces eacutediteurs nrsquooffrent pas de garantie forte de lrsquointeacutegriteacute deslogiciels qursquoils fournissent Il est par conseacutequent preacutefeacuterable que lrsquoorganisation utilisatrice geacutenegravereses propres fichiers MSI
ndash au format exeacutecutable agrave lrsquoaide drsquoun outil de gestion de parc ou de tout autre produit tiers preacutevuagrave cet effet
44 Gestion des mises agrave jour
La mise agrave jour reacuteactive du navigateur est primordiale pour se preacutemunir des vulneacuterabiliteacutes reacuteguliegravere-ment deacutetecteacutees et corrigeacutees Lrsquoutilisation drsquoun navigateur preacutesentant des vulneacuterabiliteacutes connues par despersonnes malveillantes expose le poste de travail agrave une attaque Deux strateacutegies diffeacuterentes de mise agravejour de Firefox peuvent alors ecirctre envisageacutees
ndash la premiegravere consiste agrave simplement laisser la configuration par deacutefaut le navigateur va alorsautomatiquement teacuteleacutecharger les mises agrave jour aupregraves des serveurs de Mozilla Il convient dans cecas de srsquoassurer que les postes de travail sont en mesure drsquoacceacuteder aux serveurs de mise agrave jour deMozilla sur Internet ideacutealement au travers du proxy drsquoentreprise qui pourra notamment mettreen cache les binaires
ndash la configuration alternative consiste agrave remplacer lrsquoURL de mise agrave jour (agrave lrsquoaide du paramegravetre deconfiguration appupdateurloverride) 18 par une URL locale qui mettra les mises agrave jour agravedisposition des postes de travail
Le tableau suivant syntheacutetise les avantages et inconveacutenients des deux meacutethodes
Meacutethode Avantages Inconveacutenientsclassique par deacutefautles navigateurs se mettentagrave jour automatiquementaupregraves des serveurs deMozilla par Internet
- mise en œuvre aiseacutee par les servicesinformatiques - haut taux de disponibiliteacute desserveurs de mise agrave jour de Mozilla
- ne permet pas aux ser-vices informatiques de testeret valider les mises agrave jouravant leur deacuteploiement no-tamment lors de lrsquoutilisationdrsquoapplications Web meacutetier peureacutepandues - peu adapteacute pour un naviga-teur deacutedieacute agrave lrsquoIntranet
controcircleacutee la mise agrave jourautomatique de Firefox estdeacutesactiveacutee et les servicesinformatiques mettent lesmises agrave jour agrave dispositiondes postes de travail depuisun serveur local
- permet de tester et valider les misesagrave jour avant deacuteploiement - permet drsquoadapter les configu-rations centraliseacutees du navigateurpour tenir compte des eacuteventuellesnouvelles fonctionnaliteacutes avant deacute-ploiement - permet de bloquer tout le trafic agravedestination des serveurs de Mozilla
- freine la reacuteactiviteacute des misesagrave jour - neacutecessite des moyens hu-mains importants
18 Pour plus drsquoinformations sur la mise en œuvre drsquoun serveur de mises agrave jour local httpsdevelopermozillaorgen-USdocsMozillaSetting_an_update_server
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 11 sur 40
Il sera nettement moins risqueacute (du point de la compatibiliteacute) de retenir le mode classique (automa-tique) pour les versions ESR de Firefox eacutetant donneacute que les mises agrave jour concernent des correctifs deseacutecuriteacute agrave haut risque et nrsquoapportent aucune nouvelle fonctionnaliteacute En revanche les versions standardsde Firefox peuvent recevoir des mises agrave jour fonctionnelles importantes qursquoil serait plus pertinent decontrocircler preacutealablement
La probleacutematique des mises agrave jour concerne eacutegalement les extensions Bien qursquoil soit recommandeacutede les interdire dans le cadre drsquoune configuration durcie une entiteacute peut vouloir en deacuteployer certainespour de bonnes raisons La mise agrave jour des extensions est indeacutependante du meacutecanisme de mise agravejour du navigateur Elles peuvent ecirctre mises agrave jour automatiquement (comportement par deacutefaut) oumanuellement quelle que soit la strateacutegie de mise agrave jour choisie pour le navigateur
Le maintien en conditions de seacutecuriteacute des plugins devra par ailleurs ecirctre geacutereacute indeacutependamment dunavigateur chaque plugin ayant ses speacutecificiteacutes quant aux meacutecanismes de mise agrave jour utiliseacutes
Concernant le service Mozilla Maintenance Service (service chargeacute des mises agrave jour de Firefox) cedernier srsquoexeacutecute avec les droits qui lui sont propres pour la mise agrave jour du navigateur et ce quels quesoient les droits de lrsquoutilisateur
5 Strateacutegie de double navigateur
La seacutecuriteacute des systegravemes drsquoinformation impose souvent un navigateur qui doit ecirctre durci pourlrsquoaccegraves agrave Internet mais plus permissif pour lrsquoaccegraves aux applications internes Lorsque certains serveursWeb internes utilisent des appliquettes Java par exemple neacutecessitant le deacuteploiement de modulescompleacutementaires Java le navigateur finit par avoir une surface drsquoattaque tregraves importante et exposeainsi lrsquoentiteacute agrave un des vecteurs drsquoattaque les plus critiques et massivement exploiteacutes 19
Pour traiter cette probleacutematique lorsqursquoelles disposent des ressources neacutecessaires en particulierpour en assurer le maintien en conditions de seacutecuriteacute de plus en plus drsquoentiteacutes srsquoorientent vers lrsquousagede deux navigateurs diffeacuterents Il devient alors possible
ndash drsquoen deacutedier un agrave la navigation sur Internet De par sa configuration durcie sa surface drsquoattaqueest reacuteduite au maximum Il est maintenu en conditions de seacutecuriteacute avec la plus grande attentionLes eacutequipes de veille scrutent la moindre vulneacuterabiliteacute dont le navigateur Internet fait lrsquoobjetLes eacutequipements de filtrage et drsquoanalyse du trafic sont utiliseacutes pour repeacuterer tout comportementsuspect de navigation sur Internet
ndash drsquoen deacutedier un deuxiegraveme agrave lrsquoaccegraves aux serveurs internes neacutecessitant par exemple un module com-pleacutementaire qui peut faire lrsquoobjet de vulneacuterabiliteacutes freacutequentes ou qui neacutecessite une configurationplus permissive Il est alors possible de le configurer pour permettre uniquement lrsquoaccegraves et lrsquousagede lrsquoensemble des sites et applications leacutegegraveres de lrsquoIntranet
Une telle strateacutegie de double navigateur doit neacutecessairement srsquoaccompagner de mesures de seacutecuriteacutetechniques permettant de garantir le peacuterimegravetre drsquoutilisation de chaque navigateur par des paramegravetresde configuration verrouilleacutes Le tableau suivant en donne quelques exemples
19 Voir les recommandations de seacutecuriteacute publieacutees par lrsquoANSSI relatives aux environnements drsquoexeacute-cution Java sur les postes de travail Microsoft Windows agrave lrsquoadresse httpwwwssigouvfrfrguides-et-bonnes-pratiquesrecommandations-et-guidessecurite-du-poste-de-travail-et-des-serveursrecommandations-de-securite-relatives-aux-environnements-d-execution-java-surhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 12 sur 40
Composant Action ValeurServeur mandataire Autoriser User-Agent du navigateur Internet (ou plus strictement de la
derniegravere version de ce dernier)Bloquer Tout autre User-Agent non autoriseacute
Pare-feu locaux despostes de travail
Autoriser TCP en sortie vers le serveur mandataire depuis - le processus du navigateur Internet (chemin complet delrsquoexeacutecutable) - les autres processus eacuteventuels autoriseacutes agrave acceacuteder agrave Internetvia le serveur mandataire
Bloquer TCP en sortie vers le serveur mandataire depuis tout autreprocessus
Pare-feu de passerelleInternet
Autoriser TCP en sortie vers les ports 443 et 80 depuis - lrsquoIP source du serveur mandataire - les autres IP sources eacuteventuelles autoriseacutees agrave sortir en directsur Internet sans passer par le serveur mandataire
Bloquer TCP en sortie vers ports 443 et 80 depuis toute autre IP sourceApplocker (ou SRP) surles postes de travail
Autoriser lrsquoexeacutecution Chemin complet de lrsquoexeacutecutable des navigateurs autoriseacutes
Bloquer lrsquoexeacutecution Tout autre exeacutecutable de navigateur interdit
Les regravegles de configuration deacutecrites en annexe I section laquo Peacuterimegravetre de navigation raquo permettentalors de mettre en œuvre une partie de ces mesures de seacutecuriteacute et de restreindre le peacuterimegravetre denavigation possible de chacun des navigateurs
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 13 sur 40
Les figures suivantes illustrent de maniegravere syntheacutetique les mesures de seacutecuriteacute appliqueacutees agrave unestrateacutegie de double navigateur
Figure 1 ndash Illustration drsquoune strateacutegie de double navigateur cas ougrave Firefox est utiliseacute commenavigateur Internet
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 14 sur 40
Figure 2 ndash Illustration drsquoune strateacutegie de double navigateur cas ougrave Firefox est utiliseacute commenavigateur Intranet
Ces figures illustrent deux cas distincts Le navigateur Firefox y est repreacutesenteacute mais la strateacutegieserait eacutequivalente avec drsquoautres navigateurs
Les regravegles de configuration recommandeacutees en annexe I se precirctent agrave un contexte ougrave le navigateur estdeacutedieacute agrave la navigation sur Internet
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 15 sur 40
Annexe I Strateacutegies de seacutecurisation de Firefox
Cette annexe liste sous forme de tableaux les valeurs recommandeacutees permettant de mettre en œuvreles recommandations formuleacutees dans cette note technique La liste des paramegravetres de configurationdisponibles est sujette agrave des eacutevolutions freacutequentes et certains sont peu voire pas documenteacutes Lesrecommandations et leurs indications de mise en œuvre figurant dans ce document sont baseacutees sur lesparamegravetres de configuration de Firefox dans sa version ESR 31 Ces derniers pourront ecirctre adapteacutesselon la version du navigateur deacuteployeacutee agrave la date de lecture du document
Depuis un navigateur Firefox il est possible drsquoafficher et de modifier les paramegravetres de configurationappliqueacutes en tapant aboutconfig dans la barre drsquoadresse Les paramegravetres verrouilleacutes sont afficheacutes enitalique La page aboutsupport affiche quant agrave elle un reacutecapitulatif des informations systegravemes etde version ainsi que les modifications importantes apporteacutees agrave la configuration par deacutefaut du navigateur
En environnement professionnel il est conseilleacute de deacuteployer une configuration de maniegravere centraliseacuteecomme expliqueacute en annexe II Pour un usage personnel de Firefox il est eacutegalement possible de srsquoinspirerde tout ou partie des paramegravetres indiqueacutes dans ce document agrave partir de la page aboutconfig
Seacutecuriteacute des modules compleacutementaires
Les regravegles de configuration preacutefixeacutees par le terme laquo extensions raquo ne srsquoappliquent pas toujoursuniquement aux extensions comme elles pourraient le laisser entendre mais parfois plus largementaux plugins voire aux modules compleacutementaires dans leur ensemble Il convient donc drsquoecirctre vigilantquant au peacuterimegravetre reacuteel drsquoapplication des regravegles de configuration dont les noms pourraient precircter agraveconfusion
Nom de strateacutegie Description Valeur recommandeacuteeextensionsautoDisableScopes Les extensions peuvent
ecirctre deacutesactiveacuteesautomatiquement enfonction de leur localisation
3 (les extensions deacuteposeacutees dans le profil Firefox delrsquoutilisateur ou dans le profil utilisateur Windowsseront automatiquement deacutesactiveacutees20)
extensionsenabledScopes Les extensions peuvent ecirctreactiveacutees automatiquementen fonction de leurlocalisation21
12 (seules les extensions reacutefeacuterenceacutees par une entreacutee enbase de registres22 ou deacuteposeacutees dans le sous-dossierdrsquoextensions agrave lrsquoemplacement de lrsquoexeacutecutable FireFoxseront activeacutees Attention ce paramegravetre a prioriteacute surextensionsautoDisableScopes
20 Contrairement agrave ce qursquoindique la MozillaZine Knownledge Base le paramegravetre extensionsautoDisableScopes nepermet pas de deacutesactiver un plugin pour ce faire il convient drsquoutiliser les paramegravetres pluginstatex21 Pour plus drsquoinformations sur le paramegravetre extensionsenabledScopes httpsdevelopermozillaorgen-US
Add-onsInstalling_extensions22 Article de Mozilla expliquant lrsquoajout la mise agrave jour et la suppression drsquoextensions ou de plugins pour Firefox par
base de registre httpsdevelopermozillaorgen-USdocsAdding_Extensions_using_the_Windows_Registry
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 16 sur 40
Nom de paramegravetre Description Valeur recommandeacuteeextensionsblocklistenabled Teacuteleacutechargement reacutegulier drsquoune
liste noire de modules reacutefeacuterenceacutescomme eacutetant malveillants
false si seuls les modules teacuteleacute-deacuteployeacutes par leseacutequipes informatique sont installeacutes ou true silrsquoutilisateur est en mesure drsquoinstaller des moduleslui-mecircme
extensionsblocklistdetailsURL
URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules
Celle par deacutefaut (httpswwwmozillaorgLOCALEblocklist)
extensionsblocklistitemURL URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules(variante)
Celle par deacutefaut (httpsaddonsmozillaorgLOCALEAPPblockedblockID)
extensionsblocklistinterval Intervalle de teacuteleacutechargement dela liste noire de modules ensecondes
86400 (soit 1 fois par jour)
extensionsblocklistlevel Niveau de blocage 2 (pour bloquer les extensions de la liste)extensionsblocklisturl Adresse de teacuteleacutechargement de la
liste noire de modulesCelle par deacutefaut (httpsaddonsmozillaorgblocklist3APP_IDAPP_VERSIONPRODUCTBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONPING_COUNTTOTAL_PING_COUNTDAYS_SINCE_LAST_PING)
extensionsenabledAddons Modules activeacutes au deacutemarragede Firefox
Mettre agrave vide
pdfjsdisabled Deacutesactiver la visionneuse PDFinteacutegreacutee agrave Firefox (pdfjs)
true pour que lrsquoutilisateur teacuteleacutecharge les PDF etles visionne via un lecteur PDF tiers maintenu enconditions de seacutecuriteacute par lrsquoentiteacute et ne faisant paslrsquoobjet de vulneacuterabiliteacutes freacutequentes ou false pourautoriser lrsquousage du lecteur de PDF inteacutegreacute
pluginstateflash Configuration drsquoactivation duplugin Flash
1 (demander lrsquoautorisation agrave lrsquoutilisateur avantchaque exeacutecution du plugin Flash) ou 2 (toujoursactiver) au choix de lrsquoentiteacute et en fonction desutilisateurs et des contraintes de seacutecuriteacute
pluginstatejava Configuration drsquoactivation duplugin Java
0 pour ne jamais activer le plugin Java (agrave moinsque lrsquoentiteacute souhaite utiliser ce plugin malgreacute lesrisques de seacutecuriteacute encourus auquel cas la valeuragrave donner serait 1 pour demander lrsquoautorisation agravelrsquoutilisateur agrave chaque exeacutecution du plugin Java)
pluginstatex Configuration drsquoactivation duplugin x ougrave x est agrave remplacerpar le nom court du pluginagrave deacutesactiver (exemple npctrlpour Microsoft Silverlight Lesnoms courts des plugins sontindiqueacutes en affichant leurs infor-mations deacutetailleacutees depuis lrsquointer-face graphique)
0 pour ne jamais activer le plugin ou 1 pourdemander lrsquoautorisation agrave lrsquoutilisateur avant chaqueexeacutecution du plugin
plugindefaultstate Configuration drsquoactivation desautres plugins
0 pour ne jamais activer un plugin non explicite-ment autoriseacute par les regravegles preacuteceacutedentes
plugindefaultXpistate Configuration drsquoactivation desautres plugins au format XPI
0 pour ne jamais activer un plugin au format XPInon explicitement autoriseacute par les regravegles preacuteceacute-dentes
pluginsclick_to_play Cliquer pour lire le contenu neacute-cessitant un plugin
true pour activer le mode laquo Cliquer pour lire raquo
pluginsload_appdir_plugins Chargement automatique desplugins depuis des emplace-ments utiliseacutes avant Firefox 21
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 17 sur 40
Eacutetant donneacute que seuls les modules compleacutementaires teacuteleacute-deacuteployeacutes par les eacutequipes informatiquessont autoriseacutes il est recommandeacute de bloquer toute possibiliteacute drsquoajout de modules compleacutementaires parlrsquoutilisateur
Nom de strateacutegie Description Valeur recommandeacuteeextensionsgetAddonsgetWithPerformanceurl
URL de reacutecupeacuteration drsquoun module compleacutementaire Mettre agrave vide
extensionsgetAddonsmaxResults Nombre de reacutesultats maximum 0extensionsgetAddonsgeturl URL de consultation drsquoun module compleacutementaire Mettre agrave videextensionsgetAddonsrecommendedbrowseURL
URL de consultation des modules compleacutementairesrecommandeacutes
Mettre agrave vide
extensionsgetAddonsrecommendedurl
URL de consultation des modules compleacutementairesrecommandeacutes par API
Mettre agrave vide
extensionsgetAddonssearchbrowseURL
URL de recherche de modules compleacutementaires Mettre agrave vide
extensionsgetAddonssearchurl URL de recherche de modules compleacutementaires parAPI
Mettre agrave vide
extensionsgetAddonsshowPane Afficher le panneau drsquoajout de modules compleacutemen-taires
false
extensionshideInstallButton Cacher le bouton drsquoinstallation manuelle drsquoextensions true
extensionswebservicediscoverURL URL du catalogue drsquoextensions Mettre agrave videxpinstallenabled Autoriser lrsquoinstallation manuelle de modules au format
XPIfalse
xpinstallwhitelistrequired Obligation pour une archive XPI drsquoecirctre en liste blanchepour ecirctre installeacutee manuellement
true
xpinstallwhitelistaddxpinstallwhitelistadd
Liste blanche drsquoarchives XPI pouvant ecirctre installeacuteesmanuellement
Mettre agrave vide
Pour finir lrsquoentiteacute devra choisir sa strateacutegie de mise agrave jour des extensions teacuteleacute-deacuteployeacutees Lrsquoentiteacutequi voudra teacuteleacute-deacuteployer elle-mecircme les versions agrave jour des modules compleacutementaires apregraves une phase devalidation optera pour le parameacutetrage donneacute ci-dessous la responsabiliteacute du maintien en conditions deseacutecuriteacute sera alors deacuteporteacutee sur les services informatiques en charge du deacuteploiement de ces mises agrave jourDans le cas contraire les valeurs par deacutefaut permettent une mise agrave jour automatique des extensionspar Internet
Nom de strateacutegie Description Valeur recommandeacuteeextensionshotfixcertcheckAttributes
Veacuterifie les attributs du certificat de signature descorrectifs teacuteleacutechargeacutes
true
extensionshotfixcerts1sha1Fingerprint
Empreintes attendues du certificat de signature descorrectifs teacuteleacutechargeacutes
Laisser la valeur par deacutefaut(9153980CC186DF478F35229E11C9A7310449A1AA en date dereacutedaction de ce document)
extensionsupdateautoUpdateDefault
Teacuteleacutecharger et installer automatiquement les mises agravejour drsquoextensions
false
extensionsupdatebackgroundURL
URL de teacuteleacutechargement des mises agrave jour drsquoextensionsen arriegravere plan
Mettre agrave vide
extensionsupdateenabled Activer la mise agrave jour des extensions false
extensionsupdateinterval Intervalle de teacuteleacutechargement des mises agrave jour desextensions
86400 (soit 1 fois par jour)
pluginsupdatenotifyUser Notifier lrsquoutilisateur de la preacutesence drsquoune mise agrave jourpour ses modules compleacutementaires
false
pluginsupdateurl URL de mise agrave jour des modules compleacutementaires Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 18 sur 40
SSLTLS et certificats
Le parameacutetrage des suites cryptographiques autoriseacutees peut engendrer des problegravemes de compa-tibiliteacute selon le contexte Il est donc leacutegitime de preacutefeacuterer ne pas modifier la configuration par deacutefautDans un soucis de durcissement les recommandations suivantes pourraient toutefois ecirctre appliqueacutees
Nom de paramegravetre Description Valeur recommandeacuteesecurityssl3dhe_dss_aes_128_sha Autoriser ssl3dhe_dss_aes_128_sha false
securityssl3dhe_dss_aes_256_sha Autoriser ssl3dhe_dss_aes_256_sha false
securityssl3dhe_dss_camellia_128_sha Autoriser ssl3dhe_dss_camellia_128_sha false
securityssl3dhe_dss_camellia_256_sha Autoriser ssl3dhe_dss_camellia_256_sha false
securityssl3dhe_rsa_aes_128_sha Autoriser ssl3dhe_rsa_aes_128_sha true
securityssl3dhe_rsa_aes_256_sha Autoriser ssl3dhe_rsa_aes_256_sha true
securityssl3dhe_rsa_camellia_128_sha Autoriser ssl3dhe_rsa_camellia_128_sha false
securityssl3dhe_rsa_camellia_256_sha Autoriser ssl3dhe_rsa_camellia_256_sha false
securityssl3dhe_rsa_des_ede3_sha Autoriser ssl3dhe_rsa_des_ede3_sha false
securityssl3ecdhe_ecdsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_ecdsa_aes_128_gcm_sha256
true
securityssl3ecdhe_ecdsa_aes_128_sha Autoriser ssl3ecdhe_ecdsa_aes_128_sha true
securityssl3ecdhe_ecdsa_aes_256_sha Autoriser ssl3ecdhe_ecdsa_aes_256_sha true
securityssl3ecdhe_ecdsa_rc4_128_sha Autoriser ssl3ecdhe_ecdsa_rc4_128_sha false
securityssl3ecdhe_rsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_rsa_aes_128_gcm_sha256
true
securityssl3ecdhe_rsa_aes_128_sha Autoriser ssl3ecdhe_rsa_aes_128_sha true
securityssl3ecdhe_rsa_aes_256_sha Autoriser ssl3ecdhe_rsa_aes_256_sha true
securityssl3ecdhe_rsa_des_ede3_sha Autoriser ssl3ecdhe_rsa_des_ede3_sha false
securityssl3ecdhe_rsa_rc4_128_sha Autoriser ssl3ecdhe_rsa_rc4_128_sha false
securityssl3rsa_aes_128_sha Autoriser ssl3rsa_aes_128_sha true
securityssl3rsa_aes_256_sha Autoriser ssl3rsa_aes_256_sha true
securityssl3rsa_camellia_128_sha Autoriser ssl3rsa_camellia_128_sha false
securityssl3rsa_camellia_256_sha Autoriser ssl3rsa_camellia_256_sha false
securityssl3rsa_des_ede3_sha Autoriser ssl3rsa_des_ede3_sha false
securityssl3rsa_fips_des_ede3_sha Autoriser ssl3rsa_fips_des_ede3_sha false
securityssl3rsa_rc4_128_md5 Autoriser ssl3rsa_rc4_128_md5 false
securityssl3rsa_rc4_128_sha Autoriser ssl3rsa_rc4_128_sha false
securityssl3rsa_seed_sha Autoriser ssl3rsa_seed_sha false
Autres paramegravetres
Nom de paramegravetre Description Valeur recommandeacuteesecuritytlsversionmax Version maximum de
SSLTLS3 (ce qui correspond agrave TLS 12)
securitytlsversionmin Version minimum de SSLTLS 2 (ce qui correspond agrave TLS 11)securitysslallow_unrestricted_renego_everywhere__temporarily_available_pref
Activer la reneacutegociation SSL false pour remeacutedier agrave une attaque parle milieu connue
securitysslenable_false_start Activer laquo SSL False Start raquo false car non standardiseacute et amenantde potentielles vulneacuterabiliteacutes
securitysslenable_ocsp_stapling Activer lrsquoOCSP stapling23 true
23 httpsblogmozillaorgsecurity20130729ocsp-stapling-in-firefox
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 19 sur 40
Nom de paramegravetre Description Valeur recommandeacuteesecuritysslrequire_safe_negotiation
Neacutecessite une neacutegociation SSL qui nrsquoutilisepas une ancienne version SSLTLS vul-neacuterable agrave des attaques par le milieu
true est la valeur ideacuteale en termesde seacutecuriteacute mais false reste conseilleacutepour eacuteviter que de nombreux sitescouramment visiteacutes ne soient plus uti-lisables
securitysslrenego_unrestricted_hosts
Liste drsquohocirctes autoriseacutes agrave faire de la reneacute-gociation SSL avec drsquoanciennes versionsvulneacuterables du protocole
Liste drsquohocirctes seacutepareacutes par des virgules(ne supportant pas les wildcards)et qursquoil est utile de renseigner sisecuritysslrequire_safe_negotiationest configureacute agrave true
securityssltreat_unsafe_negotiation_as_broken
Informer lrsquoutilisateur (cadenas casseacute rougedans la barre de status) lorsque les neacutegoci-ations SSLTLS sont non seacutecuriseacutees
true
networkstricttransportsecuritypreloadlist
Charger la liste de sites deacuteclareacutes commeutilisant HSTS (HTTP Strict TransportSecurity24)
true
networkwebsocketallowInsecureFromHTTPS
Autoriser les WebSockets non seacutecuriseacuteepour un site consulteacute en HTTPS
false
securityOCSPenabled Activer OCSP 2 pour veacuterifier le certificat agrave partir delrsquoURL de service OCSP et de lrsquoautoriteacutede certification ayant signeacute le certifi-cat Notons que cette fonctionnaliteacuteest critiqueacutee pour des questions delatence des reacutepondeurs OCSP (de lrsquoor-dre de 300ms pour les plus rapides agraveplus drsquoune seconde pour les plus lents)OCSP tend donc agrave ecirctre remplaceacute pardes listes locales de certificats reacutevo-queacutes dans drsquoautres navigateurs maisFirefox ne dispose pas encore drsquounetelle liste Une entiteacute ayant des con-traintes particuliegraveres quant agrave la la-tence induite par OSCP pourrait opterpour une deacutesactivation drsquoOCSP avecla valeur 0
securityOCSPrequire Neacutecessite la validation du certificat parOCSP avant de continuer la navigation surle site
true si securityOCSPenabled a eacuteteacuteconfigureacute agrave true ou false dans le cascontraire
securitycert_pinningenforcement_level
Niveau de certificate pinning (eacutepinglage decertificats)25(agrave partir de Firefox 32)
2 pour utiliser lrsquoeacutepinglage strict
Gestionnaire de mots de passe
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownpasswords Effacer les mots de passe enregistreacutes agrave la
fermeture du navigateurtrue
signonrememberSignons Active le gestionnaire de mots de passe false
signonautofillForms Remplissage automatique des formulairesde login
false
24 httpsdevelopermozillaorgfrdocsSC3A9curitC3A9HTTP_Strict_Transport_Security25 Lrsquoeacutepinglage de certificats permet drsquoavoir une base locale de certificats connus et attendus pour certains sites Web
consulteacutes en HTTPS Ainsi si le certificat preacutesenteacute par le serveur est valide en tous points de vue mais nrsquoest pas lecertificat attendu la connexion sera coupeacutee Ce meacutecanisme permet drsquoeacuteviter une attaque par le milieu preacutesentant un fauxcertificat issu drsquoune autoriteacute de certification de confiance
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 20 sur 40
Confidentialiteacute
Il nrsquoexiste pas en date de reacutedaction de cette note de regravegle globale pour la deacutesactivation de FirefoxSync Sa deacutesactivation se fait par conseacutequent agrave travers plusieurs regravegles de configuration
Nom de paramegravetre Description Valeur recommandeacuteeservicessyncengineaddons Synchronisation des modules compleacutementaires false
servicessyncenginebookmarks Synchronisation des marque-pages false
servicessyncenginehistory Synchronisation de lrsquohistorique de navigation false
servicessyncenginepasswords Synchronisation des mots de passe stockeacutes false
servicessyncengineprefs Synchronisation des preacutefeacuterences false
servicessyncenginetabs Synchronisation des onglets ouverts false
servicessyncregisterEngines Moteurs de synchronisation enregistreacutes Mettre agrave videservicessyncjpakeserverURL URL du serveur synchronisation jpake Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessynctokenServerURI URI du serveur de jetons Mettre agrave videservicessyncnextSync Planification de la prochaine synchronisation 0
Il convient eacutegalement de deacutesactiver les diffeacuterents rapports agrave Mozilla
Nom de paramegravetre Description Valeur recommandeacuteedatareportinghealthreportaboutreportUrl URL de rapport de santeacute Mettre agrave videdatareportinghealthreportloggingconsoleEnabled
Activer la journalisation (console) du ser-vice de rapports de santeacute
false
datareportinghealthreportloggingdumpEnabled
Activer la journalisation (dumps) du ser-vice de rapports de santeacute
false
datareportinghealthreportnextDataSubmissionTime
Date de prochaine soumission de rapportde santeacute
Mettre agrave vide
datareportinghealthreportserviceenabled Activer le service de rapport de santeacute false
datareportinghealthreportuploadEnabled Autoriser lrsquoenvoi de donneacutees au serveur derapports de santeacute
false
datareportingpolicydataSubmissionEnabled Activer lrsquoenvoi de donneacutees agrave Mozilla agrave desfins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyAccepted
Accepter les conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyBypassAcceptance
Contourner lrsquoacceptation des conditionsdrsquoenvoi de donneacutees agrave Mozilla agrave des finsdrsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyResponseType
Reacuteponse aux conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
accepted-info-bar-dismissed
domipcpluginsreportCrashURL Inteacutegrer lrsquoURL au rapport de crash deplugins
false
domipcpluginsflashsubprocesscrashreporterenabled
Activer le rapport de crash du sous-processus flash
false
toolkittelemetryenabled Activer la fonctionnaliteacute de teacuteleacutemeacutetrie false
toolkittelemetryserver Adresse du serveur de teacuteleacutemeacutetrie Mettre agrave videbreakpadreportURL URL du rapport de crash Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 21 sur 40
Il peut eacutegalement ecirctre utile de configurer lrsquooption de suppression des donneacutees priveacutees (Clear PrivateData) en seacutelectionnant les eacuteleacutements qui seront supprimeacutes Lrsquoentiteacute pourra par exemple permettre auxutilisateurs de supprimer leurs donneacutees priveacutees dans le cadre drsquoune navigation sur internet ou bien delrsquointerdire srsquoil srsquoagit drsquoun navigateur deacutedieacute agrave lrsquointranet Une entiteacute pourrait eacutegalement vouloir toujoursgarder les historiques et le cache agrave des fins drsquoinvestigation (cela nrsquoempecircchera toutefois pas lrsquoutilisateurde les supprimer directement au niveau du systegraveme de fichiers dans son profil utilisateur)
Nom de paramegravetre Description Valeur recommandeacuteeprivacycpdcache Supprimer le cache lors drsquoune suppression des donneacutees
priveacuteesAu choix de lrsquoentiteacute
privacycpdcookies Supprimer les cookies lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpddownloads Supprimer lrsquohistorique des teacuteleacutechargements lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdformdata Supprimer lrsquohistorique de remplissage automatique desformulaire lors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdhistory Supprimer lrsquohistorique lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpdofflineApps Supprimer les applications disponibles hors connexionlors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdpasswords Supprimer les mots de passe enregistreacutes lors drsquoune sup-pression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsessions Supprimer les sessions en cours enregistreacutees lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsiteSettings Supprimer les paramegravetres par site lors drsquoune suppressiondes donneacutees priveacutees
Au choix de lrsquoentiteacute
privacysanitizesanitizeOnShutdown
Supprimer les donneacutees priveacutees agrave la fermeture du naviga-teur
En cas de besoin speacute-cifique de lrsquoentiteacute
Viennent pour finir divers autres paramegravetres lieacutes agrave la confidentialiteacute
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownsessions effacer les sessions de navigation en cours lors
de la fermeture du navigateurtrue
privacyclearOnShutdowncookies effacer les cookies de navigation lors de lafermeture du navigateur
true
privacydonottrackheaderenabled Activer Do-Not-Track true
geoenabled activer la geacuteolocalisation false
geowifiuri URI du service de geacuteolocalisation agrave utiliser Mettre agrave videnetworkprefetch-next Teacuteleacutechargement preacutedictif anticipeacute des docu-
ments lieacutes agrave la page Web visiteacutes (link prefetch-ing)26
false pour eacuteviter lrsquoeacutetablisse-ment de connexions et leteacuteleacutechargement de contenunon solliciteacutes
medianavigatorpermissiondisabled Contourne la permission drsquoacceacuteder agrave la web-cam
false
networkhttpsendRefererHeader Activer lrsquoenvoi de lrsquoentecircte referer 0 pour plus drsquoanonymat ou 2pour ne pas empecirccher le fonc-tionnement de certains sites
browsersend_pings Activer lrsquoenvoi de requecircte POST lors du clicsur un lien (fonctionnaliteacute souvent utiliseacuteepour tracer les clics)
false
26 Le link prefetching permet drsquoacceacuteleacuterer le surf en anticipant le chargement des documents lieacutes agrave la page visiteacutesLrsquoimpleacutementation de ce meacutecanisme dans Firefox ne transmet aucune information agrave Mozilla Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsWebHTTPLink_prefetching_FAQ
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 22 sur 40
Filtrage de contenu
Actions autoriseacutees aux les scripts
Nom de paramegravetre Description Valeur recommandeacuteedomallow_scripts_to_close_windows Autoriser les scripts agrave fermer
une fenecirctrefalse
domdisable_image_src_set Interdire la modification desimages sources par script
false
domdisable_window_flip Interdire le changement defenecirctre active par script
true
domdisable_window_move_resize Deacutetermine si les fenecirctrespeuvent ecirctre bougeacutees or red-imensionneacutees par script
false
domdisable_window_open_featureclose Interdire la creacuteation defenecirctre sans bouton defermeture
true pour eacuteviter les popups in-vasifs
domdisable_window_open_featurelocation Interdire la creacuteation defenecirctre sans barre drsquoadresse
true pour que lrsquoutilisateur puissetoujours veacuterifier ecirctre agrave lrsquoadressepreacutevue
domdisable_window_open_featurestatus Interdire la creacuteation defenecirctre sans barre de status
true pour que lrsquoutilisateur puissese rendre contre plus facilementdes tentatives de spoofing
domdisable_window_open_featuretitlebar Interdire la creacuteation defenecirctre sans barre de titre
true pour que lrsquoutilisateur puissebien voir qursquoil srsquoagit drsquoun popupFirefox
domdisable_window_open_featuretoolbar Interdire la creacuteation defenecirctre sans barre drsquooutils
false
domeventclipboardeventsenabled Permettre agrave un script desaisir les eacuteveacutenements dupresse papier
false
domeventcontextmenuenabled Permettre agrave un script desaisir les eacuteveacutenements drsquoac-cegraves au menu contextuel (clicdroit)
false
dominter-app-communication-apienabled Activer la communicationpar API entre applications
false
domipcpluginsenabled Activation du plugin con-tainer
true pour exeacutecuter les pluginsdans le plugin-container
domipcpluginsjavaenabled Exeacutecuter Java au sein duplugin-container
false pour eacuteviter des problegravemesde stabiliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 23 sur 40
Nom de strateacutegie Description Valeur recommandeacuteebrowsersafebrowsingenabled Utiliser la navigation seacutecuriseacutee
(protection contre le phishing etles logiciels malveillants)27
true
javascriptenabled Activation de Javascript true
securityxpconnectpluginunrestricted Autoriser le scripting de pluginspar des scripts qui ne sont pasde confiance
false agrave moins drsquoune incompatibiliteacute avecdes plugins etou pages Web neacutecessaires agravelrsquoentiteacute
securitymixed_contentblock_active_content
Bloquer le contenu mixte actif true
securitymixed_contentblock_display_content
Bloquer le contenu mixte passif false
securityfileuristrict_origin_policy
Politique drsquoorigine stricte pourles URi de type fichiers
true sauf pour les populations dedeacuteveloppeurs qursquoun tel paramegravetre pourraitbloquer pour le deacuteveloppement en local
networkcookiecookieBehavior Politique de gestion des cookies 1 pour nrsquoautoriser que les cookies duserveur drsquoorigine et bloquer les cookiestiers
networkcookielifetimePolicy Politique drsquoexpiration des cook-ies
2 pour conserver les cookies pendant toutela dureacutee de la session seulement
networkcookiethirdpartysessionOnly Restreindre les cookies tiers agrave ladureacutee de la session seulement
true
networkjaropen-unsafe-types Nrsquoouvrir que les jar servis avecun content-type adeacutequat
false
privacypopupspolicy Politique de popups 1 pour activer les popups ou 2 pour lesrejeter mais cela rendrait la navigationdifficile voire impossible sur une quantiteacutede sites Internet non neacutegligeable
privacypopupsshowBrowserMessage Afficher un message lorsqursquounpopup a eacuteteacute bloqueacute
true
browserpopupsshowPopupBlocker Afficher lrsquoicocircne du bloqueur depopups dans la barre de status
true
securitycspenable Activer la Content Security Pol-icy (politique de seacutecuriteacute descontenus) qui permet de deacute-tecter et de limiter lrsquoimpact decertains types drsquoattaques
true
full-screen-apienabled Activer lrsquoAPI permettant drsquoaf-ficher du contenu en plein eacutecranpour les modules compleacutemen-taires
false
notificationfeatureenabled Permettre les notifications sur lebureau
false
27 La fonctionnaliteacute de navigation seacutecuriseacutee consiste agrave synchroniser une liste locale drsquoadresses de sites maveillants(depuis les serveurs de Google par deacutefaut depuis que Firefox utilise leur service) pour alerter lrsquoutilisateur srsquoil srsquoapprecircte agraveen visiter un Elle consiste eacutegalement agrave analyser le contenu des pages pour repeacuterer drsquoeacuteventuelles tentatives drsquohameccedilonnage
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 24 sur 40
Moteur de recherche par deacutefaut
La configuration drsquoun moteur de recherche personnaliseacute ne peut pas se faire simplement par fichierde configuration et neacutecessite le deacuteploiement drsquoun module de recherche (search engine plugin) LrsquoannexeIV illustre la teacuteleacute-deacuteploiement drsquoun module de recherche utilisant le moteur franccedilais httpswwwqwantcom 28
Nom de paramegravetre Description Exemplebrowsersearchdefaultenginename Moteur de recherche par deacutefaut Qwantcom
browsersearchdefaulturl URL du moteur de recherche pardeacutefaut
httpswwwqwantcomq=searchTerms
browsersearchlog Journalisation de lrsquoutilisation desservices de recherche agrave des fins dedeacuteboggage
false
browsersearchopenintab Ouvrir les reacutesultats de recherchedans un nouvel onglet
false
browsersearchorder1 Moteur de recherche agrave utiliser enprioriteacute 1
Qwantcom
browsersearchsuggestenabled activer les suggestions false
browsersearchupdate Recherche de mises agrave jour pour lesmodules de recherche
false
keywordenabled Permettre de faire une recherchedepuis la barre drsquoadresse
true
Page(s) drsquoaccueil
Nom de strateacutegie Description Valeur recommandeacuteestartuphomepage_override_url Page drsquoaccueil apregraves une mise agrave jour de Firefox En fonction du choix de lrsquoentiteacutestartuphomepage_welcome_url Page drsquoaccueil au premier deacutemarrage En fonction du choix de lrsquoentiteacutebrowserstartuphomepage Page drsquoaccueil about blank pour une page vide
ou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
browserstartuppage Page drsquoaccueil 1 pour ouvrir la page drsquoac-cueil indiqueacutee par le paramegravetrebrowserstartuphomepage
browsersessionstoreresume_from_crash
Restauration de session apregraves crash false
browsersessionstoreenabled Activer le service de restauration de session false
browsernewtaburl Page ouverte par deacutefaut lors de la creacuteationdrsquoun nouvel onglet de navigation
about blank pour une page videou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
28 Ceci nrsquoest en aucun cas une recommandation ni une incitation agrave son utilisation mais un simple exemple
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 25 sur 40
Authentification HTTP
Nom de strateacutegie Description Valeur recommandeacuteenetworkauthforce-generic-ntlm Utiliser le module drsquoauthen-
tification NTLM de Firefoxplutocirct que celui fourni parles APIs du systegraveme
false
networkauthuse-sspi Utiliser SSPI plutocirct queGSSAPI pour lrsquoauthentifica-tion Kerberos
true sous Windows
networkntlmsend-lm-response Envoyer le LM Hash dans lareacuteponse NTLM
false
networkautomatic-ntlm-authallow-proxies
Authentification par NTLMautomatique avec lesserveurs proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networkautomatic-ntlm-authtrusted-uris
Liste des URIs autoriseacuteespour lrsquoauthentification parNTLM automatique
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationNTLM automatique
networkautomatic-ntlm-authallow-non-fqdn
Autoriser lrsquoauthentificationNTLM automatique avecdes sites sans FQDN
false agrave moins que la liste networkautomatic-ntlm-authtrusted-uris comporte des adressessans FQDN
networknegotiate-authallow-non-fqdn
Autoriser lrsquoauthentificationSPNEGO avec des sites sansFQDN
En fonction de lrsquoentiteacute
networknegotiate-authallow-proxies
Autoriser SPNEGO29si de-mandeacute par un serveur proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networknegotiate-authdelegation-uris
Liste des URIs autoriseacuteespour lesquels le navigateurpeut deacuteleacuteguer lrsquoautorisationde lrsquoutilisateur
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites auxquels elle souhaite permettre ladeacuteleacutegation SPNEGO
networknegotiate-authtrusted-uris Liste des URIs autoriseacuteespour engager une authentifi-cation SPNEGO
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationSPNEGO
networknegotiate-authgsslib Chemin vers une librairieGSSLIB speacutecifique
Mettre agrave vide
networknegotiate-authusing-native-gsslib
Utiliser la librairie GSSLIBnative du systegraveme
true
securitydefault_personal_cert Choix du certificat drsquoau-thentification client
Ask Every Time
29 SPNEGO est un standard qui permet de neacutegocier de lrsquoauthentification Kerberos NTLM ainsi que drsquoautresprotocoles supporteacutes pour le systegraveme SPNEGO est eacutegalement connu sous le nom du protocole drsquoauthentificationlaquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 26 sur 40
Serveur mandataire
Nom de paramegravetre Description Valeur recommandeacuteenetworkproxyautoconfig_url URL de configuration automatique du
proxyLaisser agrave vide
networkproxyftp Adresse du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyftp_port port du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp Adresse du proxy proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp_port port du proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyno_proxies_on Liste drsquoexceptions agrave lrsquoutilisation du serveurproxy
A minima localhost 127001 etdavantage en fonction de lrsquoentiteacute etdu peacuterimegravetre drsquoutilisation du naviga-teur
networkproxyshare_proxy_settings
Utiliser le mecircme proxy pour tous les pro-tocoles
false
networkproxysocks Adresse du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_port port du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_remote_dns
Reacutealiser les requecirctes DNS via le proxysocks
false
networkproxysocks_version Version du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl Adresse du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl_port port du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxytype Type drsquoutilisation du proxy 1 pour utiliser les valeurs in-diqueacutees par les paramegravetres ci-dessus(networkproxy)
networkhttpproxyversion version de proxy 11 par deacutefaut et en fonction duserveur proxy de lrsquoentiteacute
networkhttpproxypipelining Activer le pipelining30par proxy false pour des raisons de compat-ibiliteacute Lrsquoentiteacute peut choisir de lrsquoac-tiver si le pipelining est supporteacute parson serveur proxy drsquoentreprise
signonautologinproxy Saisie automatique du mot de passe deproxy
false
30 Le pipelining permet de faire plusieurs requecirctes HTTP simultaneacutement plutocirct que de les faire seacutequentiellement enattendant les reacuteponses de chacune drsquoentre elles Pour plus drsquoinformations httpwww-archivemozillaorgprojectsnetlibhttppipelining-faqhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 27 sur 40
Peacuterimegravetre de navigation
Nom de paramegravetre Description Valeur recommandeacuteenetworkprotocol-handlerexpose-all
Deacutetermine si le navigateur essayedrsquoouvrir les liens cliqueacutes dans lenavigateur en prioriteacute avant delaisser le systegraveme srsquoen charger en casdrsquoeacutechec (si le protocole du lien enquestion nrsquoest pas supporteacute par lenavigateur)
true
networkprotocol-handlerwarn-external-default
Avertir lrsquoutilisateur avant decharger un gestionnaire deprotocole tiers
true
networkprotocol-handlerexternal-default
Action pour lrsquoouverture drsquoun pro-tocole non pris en charge par lenavigateur
false de maniegravere agrave ne pas essayerde charger des protocoles non pris encharge nativement par le navigateur Lrsquoen-titeacute renseignera eacuteventuellement des ges-tionnaires de protocoles tiers pour desprotocoles qursquoelle souhaite explicitementpermettre tels que NNTP Mailto etc Pour illustrer par lrsquoexemple avecMailto le paramegravetre networkprotocol-handlerexternalmailto aurait pour valeurtrue et le paramegravetre networkprotocol-handlerappmailto avec pour valeur lechemin drsquoun exeacutecutable comme MozillaThunderbird ou Microsoft Outlook
networkprotocol-handlerexternalfile
Gestionnaire de protocole filesous Firefox
false
networkprotocol-handlerexternalftp
Gestionnaire de protocole ftpsous Firefox
false
geckohandlerServiceallowRegisterFromDifferentHost
Autoriser les sites Web agrave installerdes gestionnaires de protocoles oude contenus utilisable pour deshocirctes tiers
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 28 sur 40
Administration systegraveme maintenance et options diverses
Parameacutetrage des mises agrave jour
Nom de paramegravetre Description Valeur recommandeacuteeappupdateenabled Activation de la mise agrave jour automatique true
appupdateauto Teacuteleacutechargement et installationautomatiques (neacutecessite que le paramegravetreappupdateenabled ait pour valeurtrue)
true
appupdatecertcheckAttributes Veacuterifie les attributs du certificat du serveurde mise agrave jour
false
appupdatecertrequireBuiltIn Requiert lrsquointeacutegration des certificats duserveur de mise agrave jour et de toutes lesredirections intermeacutediaires
false
appupdatechannel Canal de mise agrave jour esr pour la version ESR de FirefoxappupdatedownloadbackgroundInterval
Temps de pause (en secondes) entrechaque teacuteleacutechargement en arriegravere plandrsquoun morceau de 300 Kb de mise agrave jour
Au choix de lrsquoentiteacute
appupdateidletime Temps de pause (en secondes) entre chaqueteacuteleacutechargement agrave la demande de lrsquoutilisa-teur) drsquoun morceau de 300 Kb de mise agravejour
60
appupdateinterval Intervalle de temps entre chaque veacuterifica-tion de disponibiliteacute de nouvelles mises agravejour
43200
appupdatemode Deacutetermine quelles mises agrave jour sontteacuteleacutechargeacutees en arriegravere plan
0 pour teacuteleacutecharger toutes les mises agravejour sans intervention de lrsquoutilisateur
appupdateserviceenabled Active le service de mise agrave jour de Firefox true
appupdateshowInstalledUI Deacutetermine si apregraves installation de mise agravejour une boicircte de dialogue informe lrsquoutil-isateur qursquoune mise agrave jour a eacuteteacute installeacutee
Au choix de lrsquoentiteacute
appupdatesilent Active le mode de mise agrave jour silencieux true pour une mise agrave jour silencieuseen arriegravere plan
appupdateurl URL de reacutecupeacuteration des mises agrave jour deFirefox
En fonction de la strateacutegie de mise agravejour de lrsquoentiteacute Pour une mise agrave jourdepuis les serveurs de Mozilla httpsaus3mozillaorgupdate3PRODUCTVERSIONBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONupdatexml sinon lrsquoURLdu serveur de mise agrave jour internede lrsquoentiteacute (qursquoil faudra eacutegalementrenseigner dans le paramegravetreappupdateurloverride)
appupdateurloverride URL de reacutecupeacuteration des mises agrave jour deFirefox
Paramegravetre agrave renseigner uniquementdans le cas ou la mise agrave jour deFirefox se fait depuis lrsquoURL drsquounserveur de mise agrave jour interne delrsquoentiteacute (agrave renseigner en plus duparamegravetre appupdateurl)
appupdateurldetails URL de consultation des informations rel-atives aux mises agrave jour disponibles
Laisser la valeur par deacutefautrhttpswwwmozillaorgLOCALEfirefoxnotes
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 29 sur 40
Configuration du cache
Nom de paramegravetre Description Valeur recommandeacuteebrowsercachecheck_doc_frequency Quand veacuterifier la mise agrave jour drsquoune page en
cache disque3 (veacuterifier quand la page estpeacuterimeacutee)
browsercachecompression_level Niveau de compression du cache disque Au choix de lrsquoentiteacute de 0(pas de compression) agrave 9(haut taux de compressionavec forte sollicitation du pro-cesseur)
browsercachediskcapacity Espace disque alloueacute au cache disque enKb
Au choix de lrsquoentiteacute
browsercachediskenable Utiliser le cache disque true
browsercachediskmax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache disque
Au choix de lrsquoentiteacute
browsercachedisksmart_sizeenabled Allocation intelligente de lrsquoespace disquealloueacute au cache en fonction de lrsquoespacedisponible
Au choix de lrsquoentiteacute
browsercachedisk_cache_ssl Mettre en cache disque les pages visiteacuteesen HTTPS
False de maniegravere agrave ne pasmettre en cache le contenuSSL
browsercachememoryenable Utiliser le cache meacutemoire true
browsercachememorymax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache meacutemoire
Au choix de lrsquoentiteacute
browsercachememory_limit Meacutemoire maximum utiliseacutee pour le cachemeacutemoire en Kb
Au choix de lrsquoentiteacute
browsercacheofflinecapacity Espace disque alloueacute au cache des applica-tions Web
Au choix de lrsquoentiteacute
browsercacheofflineenable Utiliser le cache des applications Web per-mettant une utilisation hors ligne
Au choix de lrsquoentiteacute
browsercacheuse_new_backend Utilisation du nouveau systegraveme de cache 0 (ne pas utiliser pour desquestions de stabiliteacute)
networkhttpuse-cache Utiliser le cache des documents HTTP true
mediacache_size Taille du cache pour les fichiers multimedia Au choix de lrsquoentiteacute par deacute-faut 512000
domstoragedefault_quota Quota de stockage cocircteacute client pour lespages Web
5120 taille par deacutefaut
domstorageenabled Active le stockage cocircteacute client pour les pagesWeb
true agrave deacutefaut de vulneacuterabil-iteacutes connues pour cette fonc-tionnaliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 30 sur 40
Deacutesactiver les options de deacuteveloppement (sauf pour les populations de deacuteveloppeurs)
Nom de paramegravetre Description Valeur recommandeacuteedevtoolsappmanagerenabled Activation des outils de deacuteveloppement module appmanager false
devtoolsdebuggerenabled Activation des outils de deacuteveloppement module deacutebogueur false
devtoolserrorconsoleenabled Activation des outils de deacuteveloppement module consoledrsquoerreurs
false
devtoolsfontinspectorenabled Activation des outils de deacuteveloppement module inspecteurde polices
false
devtoolsinspectorenabled Activation des outils de deacuteveloppement module inspecteur false
devtoolsnetmonitorenabled Activation des outils de deacuteveloppement module reacuteseau false
devtoolsprofilerenabled Activation des outils de deacuteveloppement module profileur false
devtoolsshadereditorenabled Activation des outils de deacuteveloppement module vue adaptive false
devtoolsstyleeditorenabled Activation des outils de deacuteveloppement module editeur destyles
false
devtoolstiltenabled Activation des outils de deacuteveloppement module tilt false
devtoolstoolbarenabled Activation des outils de deacuteveloppement module barre dedeacuteveloppement
false
Configurations diverses
Nom de paramegravetre Description Valeur recommandeacuteenetworkseerenable-hover-on-ssl Activer seer sur SSL false
networkseerenabled Activer seer false
networkhttppipelining Activer le pipelining pour le surfHTTP11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttppipeliningssl Activer le pipelining pour le surfHTTPS11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttpspdyenabled Activer SPDY31 false
networkhttpspdyenabledv2 Activer SPDY v2 false
networkhttpspdyenabledv3 Activer SPDY v3 false
networkhttpspdyenabledv3-1 Activer SPDY v31 false
browsershellcheckDefaultBrowser Veacuterifier si Firefox est configureacutecomme navigateur par deacutefaut
false dans le cadre de double naviga-teurs
browserdownloadmanagerscanWhenDone
Scan antivirus drsquoun fichier lorsqueson teacuteleacutechargement est termineacute
true
browserdownloaduseDownloadDir Utiliser le reacutepertoire de teacuteleacutecharge-ment par deacutefaut
false pour que lrsquoutilisateur indique agravequel emplacement il souhaite teacuteleacutechargerle fichier
browserfullscreenautohide Cacher la barre drsquooutils et drsquoongletsen mode plein eacutecran
false
31 SPDY est un protocole reacuteseau expeacuterimental de Google visant agrave augmenter les capaciteacutes du protocole HTTP pourreacuteduire le temps de chargement des pages Web en classant les objets par ordre de prioriteacute et en multiplexant les transfertspour ne neacutecessiter qursquoune seule connexion Ce protocole est vulneacuterable aux attaques CRIME (Compression Ratio Info-leakMade Easy) lorsqursquoil est utiliseacute avec HTTPS (ce qui est geacuteneacuteralement le cas)
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 31 sur 40
Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP
Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory
Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation
La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32
Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers
Fichiers de configuration
La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte
ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet
ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes
Fichier local-settingsjs
pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)
Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 32 sur 40
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
423 Confidentialiteacute
Le lecteur est inviteacute agrave prendre connaissance de la laquo deacuteclaration de confidentialiteacute de Firefox raquo 13Selon les fonctionnaliteacutes activeacutees diverses informations sont susceptibles drsquoecirctre envoyeacutees agrave Mozilla Laplupart sont en rapport avec
ndash les informations lieacutees aux modules compleacutementaires installeacutes et le blocage automatique desmodules en liste noire
ndash les rapports de plantage ndash le service de mise agrave jour automatique ndash le service de protection contre les sites malveillants ndash le service de synchronisation Firefox Sync
Il est donc important de deacutesactiver certaines de ces fonctionnaliteacutes pour limiter les donneacutees envoyeacuteesagrave Mozilla
R8 Deacutesactiver les divers rapports disponibles de plantage de performance etc
R9 Deacutesactiver le service de synchronisation Firefox Sync
R10 La fonctionnaliteacute de blocage des sites contrefaits envoie agrave des fournisseurs tiers de Mozillales adresses Web des sites visiteacutes pour veacuterifier qursquoils ne soient pas connus comme eacutetantmalveillants et en bloquer lrsquoaccegraves si neacutecessaire Bien qursquoil soit conseilleacute de laisser ce filtreactiveacute pour des raisons de seacutecuriteacute une entiteacute pourra juger suffisamment confidentielles lesadresses des pages Web visiteacutees pour qursquoune deacutesactivation de ce meacutecanisme srsquoimpose
La navigation priveacutee ainsi que la protection contre le pistage (Do Not Track) sont des fonction-naliteacutes inteacuteressantes du point de vue du respect de la vie priveacutee lors de la navigation sur Internetet qui pourraient ecirctre deacutesactiveacutees pour de la navigation en Intranet La strateacutegie de configurationdes paramegravetres de confidentialiteacute deacutependra donc du peacuterimegravetre drsquoutilisation du navigateur Degraves lors quele navigateur Firefox dispose drsquoune connectiviteacute agrave Internet les recommandations suivantes srsquoappliquent
R11 Activer les fonctionnaliteacutes de protection de la confidentialiteacute (anti pistage navigationpriveacutee suppression des donneacutees priveacutees etc) lorsque le navigateur nrsquoest pas deacutedieacute agrave unenavigation Intranet
Note Le nouveau standard de protection contre le-pistage (Do Not Track) nrsquoest qursquoune sollicitation duclient Sa prise en compte par les serveurs Web ne deacutepend donc que de leurs pratiques de confidentialiteacuterespectives et nrsquoapporte aucune garantie au client
R12 Interdire les fonctions de geacuteolocalisation
R13 Degraves lors que la confidentialiteacute des recherches est jugeacutee primordiale il conviendra drsquoimposerun moteur de recherche de confiance et de deacutesactiver les fonctionnaliteacutes de rechercheinstantaneacutee ou de suggestion de recherche
12 KeePass est un exemple de solution disposant drsquoun certificat de seacutecuriteacute de premier niveau (CSPN) deacutelivreacute parlrsquoANSSI qui peut ecirctre utiliseacutee avec Firefox13 Deacuteclaration disponible en anglais agrave lrsquoadresse
httpwwwmozillaorgen-USlegalprivacyfirefoxhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 8 sur 40
424 Moteur de recherche par deacutefaut
Imposer un moteur de recherche et certains paramegravetres de recherche peut avoir un sens dans certainscontextes Crsquoest le cas principalement lorsque le navigateur se trouve deacutedieacute agrave lrsquoIntranet Lrsquoentiteacute pourraalors imposer et configurer le moteur de recherche de lrsquoIntranet Ces regravegles de configuration peuventeacutegalement avoir une utiliteacute pour la recherche sur Internet si par exemple lrsquoentiteacute veut imposer unmoteur de recherche franccedilais qui srsquoappuie sur une connexion chiffreacutee En parallegravele lrsquoentiteacute peut alorsbloquer lrsquoaccegraves aux adresses des moteurs de recherche qursquoelle souhaite interdire
R14 Pour des questions de respect de la vie priveacutee il est conseilleacute drsquoimposer un moteur derecherche srsquoappuyant sur une connexion chiffreacutee (HTTPS)
Note Cela nrsquoempecircche pas lrsquointerception des donneacutees par le moteur de recherche ce dernier eacutetant danstous les cas destinataire des donneacutees de recherche en clair
425 Filtrage de contenu
Le filtrage du contenu participe agrave renforcer la seacutecuriteacute de la navigation en bloquant les contenuspotentiellement malveillants Certains meacutecanismes de filtrage peuvent toutefois avoir une incidence surla faculteacute des utilisateurs agrave naviguer sur certains sites
R15 Activer les fonctionnaliteacutes de filtrage de contenu telles que la navigation seacutecuriseacutee(protection contre le hameccedilonnage et les logiciels malveillants) ou la Content SecurityPolicy 14
R16 Interdire ou a minima restreindre les scripts les contenus mixtes actifs 15 les cookies tiersetc
La section correspondante de lrsquoannexe I liste en deacutetail le parameacutetrage recommandeacute pour ces types decontenus
426 Page(s) drsquoaccueil
Si le navigateur est configureacute pour restaurer la session preacuteceacutedente les donneacutees ainsi que les cookiesde session seront sauvegardeacutes puis restaureacutes au prochain deacutemarrage du navigateur (sauf en mode denavigation priveacutee) Il est alors possible de reacutecupeacuterer ces cookies sauvegardeacutes pour srsquoauthentifier agrave laplace de lrsquoutilisateur sans mot de passe voire de reacutecupeacuterer une session HTTPS preacutealablement initieacutee
R17 Il est preacutefeacuterable que le navigateur nrsquoenregistre pas les sessions de navigation Lors dudeacutemarrage du navigateur (apregraves un arrecirct normal ou brusque) il est en effet conseilleacutede ne pas restaurer la session preacuteceacutedente de lrsquoutilisateur mais drsquoafficher une(des) page(s)connue(s) et de confiance
427 Serveur mandataire
Il est primordial de controcircler les flux non seulement en entreacutee mais eacutegalement en sortie Lorsqursquounindividu malveillant atteint en inteacutegriteacute un poste de travail il peut ensuite proceacuteder agrave lrsquoeacutetablissementdrsquoun canal de controcircle depuis le poste de travail vers un serveur situeacute sur Internet Lrsquoutilisation de
14 Cette couche de seacutecuriteacute qui permet de se preacutemunir contre certains types drsquoattaques est deacutetailleacutee dans un article duMozilla Developer Network httpsdevelopermozillaorgen-USdocsWebSecurityCSPIntroducing_Content_Security_Policy15 httpsdevelopermozillaorgen-USdocsSecurityMixedContent
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 9 sur 40
serveurs mandataires avec authentification peut donc bloquer des connexions sortantes malveillantesIl srsquoavegravere alors judicieux drsquoimposer lrsquoutilisation du serveur mandataire (proxy) par configuration cen-traliseacutee sur les postes utilisateurs
R18 Privileacutegier lrsquoutilisation de serveurs mandataires avec authentification
Note Cette recommandation peut ecirctre renforceacutee par des regravegles de filtrage de pare-feu
428 Authentification HTTP
Il est possible de durcir la seacutecuriteacute des authentifications utilisant NTLM 16 ou SPNEGO 17 surFirefox degraves lors que lrsquoune drsquoentre elles est utiliseacutee par lrsquoentiteacute qui le deacuteploie Il est par exemplerecommandeacute de speacutecifier la liste des serveurs autoriseacutes agrave engager une authentification SPNEGO ouune authentification NTLM automatique
R19 Speacutecifier la liste des serveurs autoriseacutes agrave engager une authentification SPNEGO ou uneauthentification NTLM automatique
Note Lrsquoutilisation de NTLM nrsquoest pas conseilleacutee Kerberos eacutetant le protocole drsquoauthentification agraveprivileacutegier
429 Peacuterimegravetre de navigation
Il est recommandeacute de restreindre le peacuterimegravetre de navigation en interdisant certains scheacutemas drsquoadressesavec les protocol-handlers
R20 Interdire a minima le scheacutema drsquoadresses file pour un navigateur deacutedieacute agrave la navigationsur Internet de maniegravere agrave eacuteviter des accegraves arbitraires au systegraveme de fichiers Le scheacutemaftp pourrait eacutegalement ecirctre interdit au profit de lrsquoutilisation drsquoun client FTP tiers
Note Lrsquoutilisation du navigateur Firefox ne sera alors plus possible pour afficher des pages htmldirectement depuis un systegraveme de fichiers (CD-ROM disque local ou distant via un partage reacuteseauetc)
Ces listes preacutesentent eacutegalement un inteacuterecirct particulier dans le cadre drsquoune strateacutegie de doublenavigateur Ce sujet est deacutetailleacute en section laquo Strateacutegie de double navigateur raquo
4210 Administration systegraveme et maintenance
Divers paramegravetres de Firefox relegravevent de sa maintenance et certaines preacutecautions doivent ecirctreprises pour eacuteviter des problegravemes de compatibiliteacute de confidentialiteacute des donneacutees utilisateurs voire dedisponibiliteacute des postes de travail La liste complegravete de ces paramegravetres figure en annexe I
43 Teacuteleacute-deacuteploiement initial
Firefox au mecircme titre que les autres logiciels devrait ideacutealement ecirctre installeacute sur les postes detravail par teacuteleacute-deacuteploiement Une telle meacutethode de deacuteploiement est un des fondamentaux drsquoun systegravemedrsquoinformation controcircleacute et maicirctriseacute En effet il permet de maicirctriser les installations drsquohomogeacuteneacuteiser les
16 NTLM (NT Lan Manager) est une suite de protocoles drsquoauthentification de Microsoft qui ne supporte pas lesmeacutethodes cryptographiques reacutecentes comme AES ou SHA-25617 SPNEGO (Simple and Protected GSSAPI Negociation Mechanism) est un standard qui permet de neacutegocier de
lrsquoauthentification Kerberos NTLM ainsi que drsquoautres protocoles supporteacutes pour le systegraveme SPNEGO est eacutegalementconnu sous le nom du protocole drsquoauthentification laquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 10 sur 40
versions et configurations mais aussi de proceacuteder aux mises agrave jour de maniegravere reacuteactive et efficace
Le teacuteleacute-deacuteploiement de logiciel peut se faire de plusieurs maniegraveres ndash au format MSI par GPO (strateacutegies de groupe pour la gestion centraliseacutee) dans un domaine
Microsoft Active Directory Attention toutefois puisque Mozilla ne fournit Firefox qursquoau formatexeacutecutable il sera donc neacutecessaire de construire un package Firefox au format MSI Des eacutediteurstiers proposent de tels paquets mais ces eacutediteurs nrsquooffrent pas de garantie forte de lrsquointeacutegriteacute deslogiciels qursquoils fournissent Il est par conseacutequent preacutefeacuterable que lrsquoorganisation utilisatrice geacutenegravereses propres fichiers MSI
ndash au format exeacutecutable agrave lrsquoaide drsquoun outil de gestion de parc ou de tout autre produit tiers preacutevuagrave cet effet
44 Gestion des mises agrave jour
La mise agrave jour reacuteactive du navigateur est primordiale pour se preacutemunir des vulneacuterabiliteacutes reacuteguliegravere-ment deacutetecteacutees et corrigeacutees Lrsquoutilisation drsquoun navigateur preacutesentant des vulneacuterabiliteacutes connues par despersonnes malveillantes expose le poste de travail agrave une attaque Deux strateacutegies diffeacuterentes de mise agravejour de Firefox peuvent alors ecirctre envisageacutees
ndash la premiegravere consiste agrave simplement laisser la configuration par deacutefaut le navigateur va alorsautomatiquement teacuteleacutecharger les mises agrave jour aupregraves des serveurs de Mozilla Il convient dans cecas de srsquoassurer que les postes de travail sont en mesure drsquoacceacuteder aux serveurs de mise agrave jour deMozilla sur Internet ideacutealement au travers du proxy drsquoentreprise qui pourra notamment mettreen cache les binaires
ndash la configuration alternative consiste agrave remplacer lrsquoURL de mise agrave jour (agrave lrsquoaide du paramegravetre deconfiguration appupdateurloverride) 18 par une URL locale qui mettra les mises agrave jour agravedisposition des postes de travail
Le tableau suivant syntheacutetise les avantages et inconveacutenients des deux meacutethodes
Meacutethode Avantages Inconveacutenientsclassique par deacutefautles navigateurs se mettentagrave jour automatiquementaupregraves des serveurs deMozilla par Internet
- mise en œuvre aiseacutee par les servicesinformatiques - haut taux de disponibiliteacute desserveurs de mise agrave jour de Mozilla
- ne permet pas aux ser-vices informatiques de testeret valider les mises agrave jouravant leur deacuteploiement no-tamment lors de lrsquoutilisationdrsquoapplications Web meacutetier peureacutepandues - peu adapteacute pour un naviga-teur deacutedieacute agrave lrsquoIntranet
controcircleacutee la mise agrave jourautomatique de Firefox estdeacutesactiveacutee et les servicesinformatiques mettent lesmises agrave jour agrave dispositiondes postes de travail depuisun serveur local
- permet de tester et valider les misesagrave jour avant deacuteploiement - permet drsquoadapter les configu-rations centraliseacutees du navigateurpour tenir compte des eacuteventuellesnouvelles fonctionnaliteacutes avant deacute-ploiement - permet de bloquer tout le trafic agravedestination des serveurs de Mozilla
- freine la reacuteactiviteacute des misesagrave jour - neacutecessite des moyens hu-mains importants
18 Pour plus drsquoinformations sur la mise en œuvre drsquoun serveur de mises agrave jour local httpsdevelopermozillaorgen-USdocsMozillaSetting_an_update_server
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 11 sur 40
Il sera nettement moins risqueacute (du point de la compatibiliteacute) de retenir le mode classique (automa-tique) pour les versions ESR de Firefox eacutetant donneacute que les mises agrave jour concernent des correctifs deseacutecuriteacute agrave haut risque et nrsquoapportent aucune nouvelle fonctionnaliteacute En revanche les versions standardsde Firefox peuvent recevoir des mises agrave jour fonctionnelles importantes qursquoil serait plus pertinent decontrocircler preacutealablement
La probleacutematique des mises agrave jour concerne eacutegalement les extensions Bien qursquoil soit recommandeacutede les interdire dans le cadre drsquoune configuration durcie une entiteacute peut vouloir en deacuteployer certainespour de bonnes raisons La mise agrave jour des extensions est indeacutependante du meacutecanisme de mise agravejour du navigateur Elles peuvent ecirctre mises agrave jour automatiquement (comportement par deacutefaut) oumanuellement quelle que soit la strateacutegie de mise agrave jour choisie pour le navigateur
Le maintien en conditions de seacutecuriteacute des plugins devra par ailleurs ecirctre geacutereacute indeacutependamment dunavigateur chaque plugin ayant ses speacutecificiteacutes quant aux meacutecanismes de mise agrave jour utiliseacutes
Concernant le service Mozilla Maintenance Service (service chargeacute des mises agrave jour de Firefox) cedernier srsquoexeacutecute avec les droits qui lui sont propres pour la mise agrave jour du navigateur et ce quels quesoient les droits de lrsquoutilisateur
5 Strateacutegie de double navigateur
La seacutecuriteacute des systegravemes drsquoinformation impose souvent un navigateur qui doit ecirctre durci pourlrsquoaccegraves agrave Internet mais plus permissif pour lrsquoaccegraves aux applications internes Lorsque certains serveursWeb internes utilisent des appliquettes Java par exemple neacutecessitant le deacuteploiement de modulescompleacutementaires Java le navigateur finit par avoir une surface drsquoattaque tregraves importante et exposeainsi lrsquoentiteacute agrave un des vecteurs drsquoattaque les plus critiques et massivement exploiteacutes 19
Pour traiter cette probleacutematique lorsqursquoelles disposent des ressources neacutecessaires en particulierpour en assurer le maintien en conditions de seacutecuriteacute de plus en plus drsquoentiteacutes srsquoorientent vers lrsquousagede deux navigateurs diffeacuterents Il devient alors possible
ndash drsquoen deacutedier un agrave la navigation sur Internet De par sa configuration durcie sa surface drsquoattaqueest reacuteduite au maximum Il est maintenu en conditions de seacutecuriteacute avec la plus grande attentionLes eacutequipes de veille scrutent la moindre vulneacuterabiliteacute dont le navigateur Internet fait lrsquoobjetLes eacutequipements de filtrage et drsquoanalyse du trafic sont utiliseacutes pour repeacuterer tout comportementsuspect de navigation sur Internet
ndash drsquoen deacutedier un deuxiegraveme agrave lrsquoaccegraves aux serveurs internes neacutecessitant par exemple un module com-pleacutementaire qui peut faire lrsquoobjet de vulneacuterabiliteacutes freacutequentes ou qui neacutecessite une configurationplus permissive Il est alors possible de le configurer pour permettre uniquement lrsquoaccegraves et lrsquousagede lrsquoensemble des sites et applications leacutegegraveres de lrsquoIntranet
Une telle strateacutegie de double navigateur doit neacutecessairement srsquoaccompagner de mesures de seacutecuriteacutetechniques permettant de garantir le peacuterimegravetre drsquoutilisation de chaque navigateur par des paramegravetresde configuration verrouilleacutes Le tableau suivant en donne quelques exemples
19 Voir les recommandations de seacutecuriteacute publieacutees par lrsquoANSSI relatives aux environnements drsquoexeacute-cution Java sur les postes de travail Microsoft Windows agrave lrsquoadresse httpwwwssigouvfrfrguides-et-bonnes-pratiquesrecommandations-et-guidessecurite-du-poste-de-travail-et-des-serveursrecommandations-de-securite-relatives-aux-environnements-d-execution-java-surhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 12 sur 40
Composant Action ValeurServeur mandataire Autoriser User-Agent du navigateur Internet (ou plus strictement de la
derniegravere version de ce dernier)Bloquer Tout autre User-Agent non autoriseacute
Pare-feu locaux despostes de travail
Autoriser TCP en sortie vers le serveur mandataire depuis - le processus du navigateur Internet (chemin complet delrsquoexeacutecutable) - les autres processus eacuteventuels autoriseacutes agrave acceacuteder agrave Internetvia le serveur mandataire
Bloquer TCP en sortie vers le serveur mandataire depuis tout autreprocessus
Pare-feu de passerelleInternet
Autoriser TCP en sortie vers les ports 443 et 80 depuis - lrsquoIP source du serveur mandataire - les autres IP sources eacuteventuelles autoriseacutees agrave sortir en directsur Internet sans passer par le serveur mandataire
Bloquer TCP en sortie vers ports 443 et 80 depuis toute autre IP sourceApplocker (ou SRP) surles postes de travail
Autoriser lrsquoexeacutecution Chemin complet de lrsquoexeacutecutable des navigateurs autoriseacutes
Bloquer lrsquoexeacutecution Tout autre exeacutecutable de navigateur interdit
Les regravegles de configuration deacutecrites en annexe I section laquo Peacuterimegravetre de navigation raquo permettentalors de mettre en œuvre une partie de ces mesures de seacutecuriteacute et de restreindre le peacuterimegravetre denavigation possible de chacun des navigateurs
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 13 sur 40
Les figures suivantes illustrent de maniegravere syntheacutetique les mesures de seacutecuriteacute appliqueacutees agrave unestrateacutegie de double navigateur
Figure 1 ndash Illustration drsquoune strateacutegie de double navigateur cas ougrave Firefox est utiliseacute commenavigateur Internet
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 14 sur 40
Figure 2 ndash Illustration drsquoune strateacutegie de double navigateur cas ougrave Firefox est utiliseacute commenavigateur Intranet
Ces figures illustrent deux cas distincts Le navigateur Firefox y est repreacutesenteacute mais la strateacutegieserait eacutequivalente avec drsquoautres navigateurs
Les regravegles de configuration recommandeacutees en annexe I se precirctent agrave un contexte ougrave le navigateur estdeacutedieacute agrave la navigation sur Internet
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 15 sur 40
Annexe I Strateacutegies de seacutecurisation de Firefox
Cette annexe liste sous forme de tableaux les valeurs recommandeacutees permettant de mettre en œuvreles recommandations formuleacutees dans cette note technique La liste des paramegravetres de configurationdisponibles est sujette agrave des eacutevolutions freacutequentes et certains sont peu voire pas documenteacutes Lesrecommandations et leurs indications de mise en œuvre figurant dans ce document sont baseacutees sur lesparamegravetres de configuration de Firefox dans sa version ESR 31 Ces derniers pourront ecirctre adapteacutesselon la version du navigateur deacuteployeacutee agrave la date de lecture du document
Depuis un navigateur Firefox il est possible drsquoafficher et de modifier les paramegravetres de configurationappliqueacutes en tapant aboutconfig dans la barre drsquoadresse Les paramegravetres verrouilleacutes sont afficheacutes enitalique La page aboutsupport affiche quant agrave elle un reacutecapitulatif des informations systegravemes etde version ainsi que les modifications importantes apporteacutees agrave la configuration par deacutefaut du navigateur
En environnement professionnel il est conseilleacute de deacuteployer une configuration de maniegravere centraliseacuteecomme expliqueacute en annexe II Pour un usage personnel de Firefox il est eacutegalement possible de srsquoinspirerde tout ou partie des paramegravetres indiqueacutes dans ce document agrave partir de la page aboutconfig
Seacutecuriteacute des modules compleacutementaires
Les regravegles de configuration preacutefixeacutees par le terme laquo extensions raquo ne srsquoappliquent pas toujoursuniquement aux extensions comme elles pourraient le laisser entendre mais parfois plus largementaux plugins voire aux modules compleacutementaires dans leur ensemble Il convient donc drsquoecirctre vigilantquant au peacuterimegravetre reacuteel drsquoapplication des regravegles de configuration dont les noms pourraient precircter agraveconfusion
Nom de strateacutegie Description Valeur recommandeacuteeextensionsautoDisableScopes Les extensions peuvent
ecirctre deacutesactiveacuteesautomatiquement enfonction de leur localisation
3 (les extensions deacuteposeacutees dans le profil Firefox delrsquoutilisateur ou dans le profil utilisateur Windowsseront automatiquement deacutesactiveacutees20)
extensionsenabledScopes Les extensions peuvent ecirctreactiveacutees automatiquementen fonction de leurlocalisation21
12 (seules les extensions reacutefeacuterenceacutees par une entreacutee enbase de registres22 ou deacuteposeacutees dans le sous-dossierdrsquoextensions agrave lrsquoemplacement de lrsquoexeacutecutable FireFoxseront activeacutees Attention ce paramegravetre a prioriteacute surextensionsautoDisableScopes
20 Contrairement agrave ce qursquoindique la MozillaZine Knownledge Base le paramegravetre extensionsautoDisableScopes nepermet pas de deacutesactiver un plugin pour ce faire il convient drsquoutiliser les paramegravetres pluginstatex21 Pour plus drsquoinformations sur le paramegravetre extensionsenabledScopes httpsdevelopermozillaorgen-US
Add-onsInstalling_extensions22 Article de Mozilla expliquant lrsquoajout la mise agrave jour et la suppression drsquoextensions ou de plugins pour Firefox par
base de registre httpsdevelopermozillaorgen-USdocsAdding_Extensions_using_the_Windows_Registry
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 16 sur 40
Nom de paramegravetre Description Valeur recommandeacuteeextensionsblocklistenabled Teacuteleacutechargement reacutegulier drsquoune
liste noire de modules reacutefeacuterenceacutescomme eacutetant malveillants
false si seuls les modules teacuteleacute-deacuteployeacutes par leseacutequipes informatique sont installeacutes ou true silrsquoutilisateur est en mesure drsquoinstaller des moduleslui-mecircme
extensionsblocklistdetailsURL
URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules
Celle par deacutefaut (httpswwwmozillaorgLOCALEblocklist)
extensionsblocklistitemURL URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules(variante)
Celle par deacutefaut (httpsaddonsmozillaorgLOCALEAPPblockedblockID)
extensionsblocklistinterval Intervalle de teacuteleacutechargement dela liste noire de modules ensecondes
86400 (soit 1 fois par jour)
extensionsblocklistlevel Niveau de blocage 2 (pour bloquer les extensions de la liste)extensionsblocklisturl Adresse de teacuteleacutechargement de la
liste noire de modulesCelle par deacutefaut (httpsaddonsmozillaorgblocklist3APP_IDAPP_VERSIONPRODUCTBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONPING_COUNTTOTAL_PING_COUNTDAYS_SINCE_LAST_PING)
extensionsenabledAddons Modules activeacutes au deacutemarragede Firefox
Mettre agrave vide
pdfjsdisabled Deacutesactiver la visionneuse PDFinteacutegreacutee agrave Firefox (pdfjs)
true pour que lrsquoutilisateur teacuteleacutecharge les PDF etles visionne via un lecteur PDF tiers maintenu enconditions de seacutecuriteacute par lrsquoentiteacute et ne faisant paslrsquoobjet de vulneacuterabiliteacutes freacutequentes ou false pourautoriser lrsquousage du lecteur de PDF inteacutegreacute
pluginstateflash Configuration drsquoactivation duplugin Flash
1 (demander lrsquoautorisation agrave lrsquoutilisateur avantchaque exeacutecution du plugin Flash) ou 2 (toujoursactiver) au choix de lrsquoentiteacute et en fonction desutilisateurs et des contraintes de seacutecuriteacute
pluginstatejava Configuration drsquoactivation duplugin Java
0 pour ne jamais activer le plugin Java (agrave moinsque lrsquoentiteacute souhaite utiliser ce plugin malgreacute lesrisques de seacutecuriteacute encourus auquel cas la valeuragrave donner serait 1 pour demander lrsquoautorisation agravelrsquoutilisateur agrave chaque exeacutecution du plugin Java)
pluginstatex Configuration drsquoactivation duplugin x ougrave x est agrave remplacerpar le nom court du pluginagrave deacutesactiver (exemple npctrlpour Microsoft Silverlight Lesnoms courts des plugins sontindiqueacutes en affichant leurs infor-mations deacutetailleacutees depuis lrsquointer-face graphique)
0 pour ne jamais activer le plugin ou 1 pourdemander lrsquoautorisation agrave lrsquoutilisateur avant chaqueexeacutecution du plugin
plugindefaultstate Configuration drsquoactivation desautres plugins
0 pour ne jamais activer un plugin non explicite-ment autoriseacute par les regravegles preacuteceacutedentes
plugindefaultXpistate Configuration drsquoactivation desautres plugins au format XPI
0 pour ne jamais activer un plugin au format XPInon explicitement autoriseacute par les regravegles preacuteceacute-dentes
pluginsclick_to_play Cliquer pour lire le contenu neacute-cessitant un plugin
true pour activer le mode laquo Cliquer pour lire raquo
pluginsload_appdir_plugins Chargement automatique desplugins depuis des emplace-ments utiliseacutes avant Firefox 21
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 17 sur 40
Eacutetant donneacute que seuls les modules compleacutementaires teacuteleacute-deacuteployeacutes par les eacutequipes informatiquessont autoriseacutes il est recommandeacute de bloquer toute possibiliteacute drsquoajout de modules compleacutementaires parlrsquoutilisateur
Nom de strateacutegie Description Valeur recommandeacuteeextensionsgetAddonsgetWithPerformanceurl
URL de reacutecupeacuteration drsquoun module compleacutementaire Mettre agrave vide
extensionsgetAddonsmaxResults Nombre de reacutesultats maximum 0extensionsgetAddonsgeturl URL de consultation drsquoun module compleacutementaire Mettre agrave videextensionsgetAddonsrecommendedbrowseURL
URL de consultation des modules compleacutementairesrecommandeacutes
Mettre agrave vide
extensionsgetAddonsrecommendedurl
URL de consultation des modules compleacutementairesrecommandeacutes par API
Mettre agrave vide
extensionsgetAddonssearchbrowseURL
URL de recherche de modules compleacutementaires Mettre agrave vide
extensionsgetAddonssearchurl URL de recherche de modules compleacutementaires parAPI
Mettre agrave vide
extensionsgetAddonsshowPane Afficher le panneau drsquoajout de modules compleacutemen-taires
false
extensionshideInstallButton Cacher le bouton drsquoinstallation manuelle drsquoextensions true
extensionswebservicediscoverURL URL du catalogue drsquoextensions Mettre agrave videxpinstallenabled Autoriser lrsquoinstallation manuelle de modules au format
XPIfalse
xpinstallwhitelistrequired Obligation pour une archive XPI drsquoecirctre en liste blanchepour ecirctre installeacutee manuellement
true
xpinstallwhitelistaddxpinstallwhitelistadd
Liste blanche drsquoarchives XPI pouvant ecirctre installeacuteesmanuellement
Mettre agrave vide
Pour finir lrsquoentiteacute devra choisir sa strateacutegie de mise agrave jour des extensions teacuteleacute-deacuteployeacutees Lrsquoentiteacutequi voudra teacuteleacute-deacuteployer elle-mecircme les versions agrave jour des modules compleacutementaires apregraves une phase devalidation optera pour le parameacutetrage donneacute ci-dessous la responsabiliteacute du maintien en conditions deseacutecuriteacute sera alors deacuteporteacutee sur les services informatiques en charge du deacuteploiement de ces mises agrave jourDans le cas contraire les valeurs par deacutefaut permettent une mise agrave jour automatique des extensionspar Internet
Nom de strateacutegie Description Valeur recommandeacuteeextensionshotfixcertcheckAttributes
Veacuterifie les attributs du certificat de signature descorrectifs teacuteleacutechargeacutes
true
extensionshotfixcerts1sha1Fingerprint
Empreintes attendues du certificat de signature descorrectifs teacuteleacutechargeacutes
Laisser la valeur par deacutefaut(9153980CC186DF478F35229E11C9A7310449A1AA en date dereacutedaction de ce document)
extensionsupdateautoUpdateDefault
Teacuteleacutecharger et installer automatiquement les mises agravejour drsquoextensions
false
extensionsupdatebackgroundURL
URL de teacuteleacutechargement des mises agrave jour drsquoextensionsen arriegravere plan
Mettre agrave vide
extensionsupdateenabled Activer la mise agrave jour des extensions false
extensionsupdateinterval Intervalle de teacuteleacutechargement des mises agrave jour desextensions
86400 (soit 1 fois par jour)
pluginsupdatenotifyUser Notifier lrsquoutilisateur de la preacutesence drsquoune mise agrave jourpour ses modules compleacutementaires
false
pluginsupdateurl URL de mise agrave jour des modules compleacutementaires Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 18 sur 40
SSLTLS et certificats
Le parameacutetrage des suites cryptographiques autoriseacutees peut engendrer des problegravemes de compa-tibiliteacute selon le contexte Il est donc leacutegitime de preacutefeacuterer ne pas modifier la configuration par deacutefautDans un soucis de durcissement les recommandations suivantes pourraient toutefois ecirctre appliqueacutees
Nom de paramegravetre Description Valeur recommandeacuteesecurityssl3dhe_dss_aes_128_sha Autoriser ssl3dhe_dss_aes_128_sha false
securityssl3dhe_dss_aes_256_sha Autoriser ssl3dhe_dss_aes_256_sha false
securityssl3dhe_dss_camellia_128_sha Autoriser ssl3dhe_dss_camellia_128_sha false
securityssl3dhe_dss_camellia_256_sha Autoriser ssl3dhe_dss_camellia_256_sha false
securityssl3dhe_rsa_aes_128_sha Autoriser ssl3dhe_rsa_aes_128_sha true
securityssl3dhe_rsa_aes_256_sha Autoriser ssl3dhe_rsa_aes_256_sha true
securityssl3dhe_rsa_camellia_128_sha Autoriser ssl3dhe_rsa_camellia_128_sha false
securityssl3dhe_rsa_camellia_256_sha Autoriser ssl3dhe_rsa_camellia_256_sha false
securityssl3dhe_rsa_des_ede3_sha Autoriser ssl3dhe_rsa_des_ede3_sha false
securityssl3ecdhe_ecdsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_ecdsa_aes_128_gcm_sha256
true
securityssl3ecdhe_ecdsa_aes_128_sha Autoriser ssl3ecdhe_ecdsa_aes_128_sha true
securityssl3ecdhe_ecdsa_aes_256_sha Autoriser ssl3ecdhe_ecdsa_aes_256_sha true
securityssl3ecdhe_ecdsa_rc4_128_sha Autoriser ssl3ecdhe_ecdsa_rc4_128_sha false
securityssl3ecdhe_rsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_rsa_aes_128_gcm_sha256
true
securityssl3ecdhe_rsa_aes_128_sha Autoriser ssl3ecdhe_rsa_aes_128_sha true
securityssl3ecdhe_rsa_aes_256_sha Autoriser ssl3ecdhe_rsa_aes_256_sha true
securityssl3ecdhe_rsa_des_ede3_sha Autoriser ssl3ecdhe_rsa_des_ede3_sha false
securityssl3ecdhe_rsa_rc4_128_sha Autoriser ssl3ecdhe_rsa_rc4_128_sha false
securityssl3rsa_aes_128_sha Autoriser ssl3rsa_aes_128_sha true
securityssl3rsa_aes_256_sha Autoriser ssl3rsa_aes_256_sha true
securityssl3rsa_camellia_128_sha Autoriser ssl3rsa_camellia_128_sha false
securityssl3rsa_camellia_256_sha Autoriser ssl3rsa_camellia_256_sha false
securityssl3rsa_des_ede3_sha Autoriser ssl3rsa_des_ede3_sha false
securityssl3rsa_fips_des_ede3_sha Autoriser ssl3rsa_fips_des_ede3_sha false
securityssl3rsa_rc4_128_md5 Autoriser ssl3rsa_rc4_128_md5 false
securityssl3rsa_rc4_128_sha Autoriser ssl3rsa_rc4_128_sha false
securityssl3rsa_seed_sha Autoriser ssl3rsa_seed_sha false
Autres paramegravetres
Nom de paramegravetre Description Valeur recommandeacuteesecuritytlsversionmax Version maximum de
SSLTLS3 (ce qui correspond agrave TLS 12)
securitytlsversionmin Version minimum de SSLTLS 2 (ce qui correspond agrave TLS 11)securitysslallow_unrestricted_renego_everywhere__temporarily_available_pref
Activer la reneacutegociation SSL false pour remeacutedier agrave une attaque parle milieu connue
securitysslenable_false_start Activer laquo SSL False Start raquo false car non standardiseacute et amenantde potentielles vulneacuterabiliteacutes
securitysslenable_ocsp_stapling Activer lrsquoOCSP stapling23 true
23 httpsblogmozillaorgsecurity20130729ocsp-stapling-in-firefox
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 19 sur 40
Nom de paramegravetre Description Valeur recommandeacuteesecuritysslrequire_safe_negotiation
Neacutecessite une neacutegociation SSL qui nrsquoutilisepas une ancienne version SSLTLS vul-neacuterable agrave des attaques par le milieu
true est la valeur ideacuteale en termesde seacutecuriteacute mais false reste conseilleacutepour eacuteviter que de nombreux sitescouramment visiteacutes ne soient plus uti-lisables
securitysslrenego_unrestricted_hosts
Liste drsquohocirctes autoriseacutes agrave faire de la reneacute-gociation SSL avec drsquoanciennes versionsvulneacuterables du protocole
Liste drsquohocirctes seacutepareacutes par des virgules(ne supportant pas les wildcards)et qursquoil est utile de renseigner sisecuritysslrequire_safe_negotiationest configureacute agrave true
securityssltreat_unsafe_negotiation_as_broken
Informer lrsquoutilisateur (cadenas casseacute rougedans la barre de status) lorsque les neacutegoci-ations SSLTLS sont non seacutecuriseacutees
true
networkstricttransportsecuritypreloadlist
Charger la liste de sites deacuteclareacutes commeutilisant HSTS (HTTP Strict TransportSecurity24)
true
networkwebsocketallowInsecureFromHTTPS
Autoriser les WebSockets non seacutecuriseacuteepour un site consulteacute en HTTPS
false
securityOCSPenabled Activer OCSP 2 pour veacuterifier le certificat agrave partir delrsquoURL de service OCSP et de lrsquoautoriteacutede certification ayant signeacute le certifi-cat Notons que cette fonctionnaliteacuteest critiqueacutee pour des questions delatence des reacutepondeurs OCSP (de lrsquoor-dre de 300ms pour les plus rapides agraveplus drsquoune seconde pour les plus lents)OCSP tend donc agrave ecirctre remplaceacute pardes listes locales de certificats reacutevo-queacutes dans drsquoautres navigateurs maisFirefox ne dispose pas encore drsquounetelle liste Une entiteacute ayant des con-traintes particuliegraveres quant agrave la la-tence induite par OSCP pourrait opterpour une deacutesactivation drsquoOCSP avecla valeur 0
securityOCSPrequire Neacutecessite la validation du certificat parOCSP avant de continuer la navigation surle site
true si securityOCSPenabled a eacuteteacuteconfigureacute agrave true ou false dans le cascontraire
securitycert_pinningenforcement_level
Niveau de certificate pinning (eacutepinglage decertificats)25(agrave partir de Firefox 32)
2 pour utiliser lrsquoeacutepinglage strict
Gestionnaire de mots de passe
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownpasswords Effacer les mots de passe enregistreacutes agrave la
fermeture du navigateurtrue
signonrememberSignons Active le gestionnaire de mots de passe false
signonautofillForms Remplissage automatique des formulairesde login
false
24 httpsdevelopermozillaorgfrdocsSC3A9curitC3A9HTTP_Strict_Transport_Security25 Lrsquoeacutepinglage de certificats permet drsquoavoir une base locale de certificats connus et attendus pour certains sites Web
consulteacutes en HTTPS Ainsi si le certificat preacutesenteacute par le serveur est valide en tous points de vue mais nrsquoest pas lecertificat attendu la connexion sera coupeacutee Ce meacutecanisme permet drsquoeacuteviter une attaque par le milieu preacutesentant un fauxcertificat issu drsquoune autoriteacute de certification de confiance
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 20 sur 40
Confidentialiteacute
Il nrsquoexiste pas en date de reacutedaction de cette note de regravegle globale pour la deacutesactivation de FirefoxSync Sa deacutesactivation se fait par conseacutequent agrave travers plusieurs regravegles de configuration
Nom de paramegravetre Description Valeur recommandeacuteeservicessyncengineaddons Synchronisation des modules compleacutementaires false
servicessyncenginebookmarks Synchronisation des marque-pages false
servicessyncenginehistory Synchronisation de lrsquohistorique de navigation false
servicessyncenginepasswords Synchronisation des mots de passe stockeacutes false
servicessyncengineprefs Synchronisation des preacutefeacuterences false
servicessyncenginetabs Synchronisation des onglets ouverts false
servicessyncregisterEngines Moteurs de synchronisation enregistreacutes Mettre agrave videservicessyncjpakeserverURL URL du serveur synchronisation jpake Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessynctokenServerURI URI du serveur de jetons Mettre agrave videservicessyncnextSync Planification de la prochaine synchronisation 0
Il convient eacutegalement de deacutesactiver les diffeacuterents rapports agrave Mozilla
Nom de paramegravetre Description Valeur recommandeacuteedatareportinghealthreportaboutreportUrl URL de rapport de santeacute Mettre agrave videdatareportinghealthreportloggingconsoleEnabled
Activer la journalisation (console) du ser-vice de rapports de santeacute
false
datareportinghealthreportloggingdumpEnabled
Activer la journalisation (dumps) du ser-vice de rapports de santeacute
false
datareportinghealthreportnextDataSubmissionTime
Date de prochaine soumission de rapportde santeacute
Mettre agrave vide
datareportinghealthreportserviceenabled Activer le service de rapport de santeacute false
datareportinghealthreportuploadEnabled Autoriser lrsquoenvoi de donneacutees au serveur derapports de santeacute
false
datareportingpolicydataSubmissionEnabled Activer lrsquoenvoi de donneacutees agrave Mozilla agrave desfins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyAccepted
Accepter les conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyBypassAcceptance
Contourner lrsquoacceptation des conditionsdrsquoenvoi de donneacutees agrave Mozilla agrave des finsdrsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyResponseType
Reacuteponse aux conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
accepted-info-bar-dismissed
domipcpluginsreportCrashURL Inteacutegrer lrsquoURL au rapport de crash deplugins
false
domipcpluginsflashsubprocesscrashreporterenabled
Activer le rapport de crash du sous-processus flash
false
toolkittelemetryenabled Activer la fonctionnaliteacute de teacuteleacutemeacutetrie false
toolkittelemetryserver Adresse du serveur de teacuteleacutemeacutetrie Mettre agrave videbreakpadreportURL URL du rapport de crash Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 21 sur 40
Il peut eacutegalement ecirctre utile de configurer lrsquooption de suppression des donneacutees priveacutees (Clear PrivateData) en seacutelectionnant les eacuteleacutements qui seront supprimeacutes Lrsquoentiteacute pourra par exemple permettre auxutilisateurs de supprimer leurs donneacutees priveacutees dans le cadre drsquoune navigation sur internet ou bien delrsquointerdire srsquoil srsquoagit drsquoun navigateur deacutedieacute agrave lrsquointranet Une entiteacute pourrait eacutegalement vouloir toujoursgarder les historiques et le cache agrave des fins drsquoinvestigation (cela nrsquoempecircchera toutefois pas lrsquoutilisateurde les supprimer directement au niveau du systegraveme de fichiers dans son profil utilisateur)
Nom de paramegravetre Description Valeur recommandeacuteeprivacycpdcache Supprimer le cache lors drsquoune suppression des donneacutees
priveacuteesAu choix de lrsquoentiteacute
privacycpdcookies Supprimer les cookies lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpddownloads Supprimer lrsquohistorique des teacuteleacutechargements lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdformdata Supprimer lrsquohistorique de remplissage automatique desformulaire lors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdhistory Supprimer lrsquohistorique lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpdofflineApps Supprimer les applications disponibles hors connexionlors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdpasswords Supprimer les mots de passe enregistreacutes lors drsquoune sup-pression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsessions Supprimer les sessions en cours enregistreacutees lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsiteSettings Supprimer les paramegravetres par site lors drsquoune suppressiondes donneacutees priveacutees
Au choix de lrsquoentiteacute
privacysanitizesanitizeOnShutdown
Supprimer les donneacutees priveacutees agrave la fermeture du naviga-teur
En cas de besoin speacute-cifique de lrsquoentiteacute
Viennent pour finir divers autres paramegravetres lieacutes agrave la confidentialiteacute
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownsessions effacer les sessions de navigation en cours lors
de la fermeture du navigateurtrue
privacyclearOnShutdowncookies effacer les cookies de navigation lors de lafermeture du navigateur
true
privacydonottrackheaderenabled Activer Do-Not-Track true
geoenabled activer la geacuteolocalisation false
geowifiuri URI du service de geacuteolocalisation agrave utiliser Mettre agrave videnetworkprefetch-next Teacuteleacutechargement preacutedictif anticipeacute des docu-
ments lieacutes agrave la page Web visiteacutes (link prefetch-ing)26
false pour eacuteviter lrsquoeacutetablisse-ment de connexions et leteacuteleacutechargement de contenunon solliciteacutes
medianavigatorpermissiondisabled Contourne la permission drsquoacceacuteder agrave la web-cam
false
networkhttpsendRefererHeader Activer lrsquoenvoi de lrsquoentecircte referer 0 pour plus drsquoanonymat ou 2pour ne pas empecirccher le fonc-tionnement de certains sites
browsersend_pings Activer lrsquoenvoi de requecircte POST lors du clicsur un lien (fonctionnaliteacute souvent utiliseacuteepour tracer les clics)
false
26 Le link prefetching permet drsquoacceacuteleacuterer le surf en anticipant le chargement des documents lieacutes agrave la page visiteacutesLrsquoimpleacutementation de ce meacutecanisme dans Firefox ne transmet aucune information agrave Mozilla Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsWebHTTPLink_prefetching_FAQ
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 22 sur 40
Filtrage de contenu
Actions autoriseacutees aux les scripts
Nom de paramegravetre Description Valeur recommandeacuteedomallow_scripts_to_close_windows Autoriser les scripts agrave fermer
une fenecirctrefalse
domdisable_image_src_set Interdire la modification desimages sources par script
false
domdisable_window_flip Interdire le changement defenecirctre active par script
true
domdisable_window_move_resize Deacutetermine si les fenecirctrespeuvent ecirctre bougeacutees or red-imensionneacutees par script
false
domdisable_window_open_featureclose Interdire la creacuteation defenecirctre sans bouton defermeture
true pour eacuteviter les popups in-vasifs
domdisable_window_open_featurelocation Interdire la creacuteation defenecirctre sans barre drsquoadresse
true pour que lrsquoutilisateur puissetoujours veacuterifier ecirctre agrave lrsquoadressepreacutevue
domdisable_window_open_featurestatus Interdire la creacuteation defenecirctre sans barre de status
true pour que lrsquoutilisateur puissese rendre contre plus facilementdes tentatives de spoofing
domdisable_window_open_featuretitlebar Interdire la creacuteation defenecirctre sans barre de titre
true pour que lrsquoutilisateur puissebien voir qursquoil srsquoagit drsquoun popupFirefox
domdisable_window_open_featuretoolbar Interdire la creacuteation defenecirctre sans barre drsquooutils
false
domeventclipboardeventsenabled Permettre agrave un script desaisir les eacuteveacutenements dupresse papier
false
domeventcontextmenuenabled Permettre agrave un script desaisir les eacuteveacutenements drsquoac-cegraves au menu contextuel (clicdroit)
false
dominter-app-communication-apienabled Activer la communicationpar API entre applications
false
domipcpluginsenabled Activation du plugin con-tainer
true pour exeacutecuter les pluginsdans le plugin-container
domipcpluginsjavaenabled Exeacutecuter Java au sein duplugin-container
false pour eacuteviter des problegravemesde stabiliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 23 sur 40
Nom de strateacutegie Description Valeur recommandeacuteebrowsersafebrowsingenabled Utiliser la navigation seacutecuriseacutee
(protection contre le phishing etles logiciels malveillants)27
true
javascriptenabled Activation de Javascript true
securityxpconnectpluginunrestricted Autoriser le scripting de pluginspar des scripts qui ne sont pasde confiance
false agrave moins drsquoune incompatibiliteacute avecdes plugins etou pages Web neacutecessaires agravelrsquoentiteacute
securitymixed_contentblock_active_content
Bloquer le contenu mixte actif true
securitymixed_contentblock_display_content
Bloquer le contenu mixte passif false
securityfileuristrict_origin_policy
Politique drsquoorigine stricte pourles URi de type fichiers
true sauf pour les populations dedeacuteveloppeurs qursquoun tel paramegravetre pourraitbloquer pour le deacuteveloppement en local
networkcookiecookieBehavior Politique de gestion des cookies 1 pour nrsquoautoriser que les cookies duserveur drsquoorigine et bloquer les cookiestiers
networkcookielifetimePolicy Politique drsquoexpiration des cook-ies
2 pour conserver les cookies pendant toutela dureacutee de la session seulement
networkcookiethirdpartysessionOnly Restreindre les cookies tiers agrave ladureacutee de la session seulement
true
networkjaropen-unsafe-types Nrsquoouvrir que les jar servis avecun content-type adeacutequat
false
privacypopupspolicy Politique de popups 1 pour activer les popups ou 2 pour lesrejeter mais cela rendrait la navigationdifficile voire impossible sur une quantiteacutede sites Internet non neacutegligeable
privacypopupsshowBrowserMessage Afficher un message lorsqursquounpopup a eacuteteacute bloqueacute
true
browserpopupsshowPopupBlocker Afficher lrsquoicocircne du bloqueur depopups dans la barre de status
true
securitycspenable Activer la Content Security Pol-icy (politique de seacutecuriteacute descontenus) qui permet de deacute-tecter et de limiter lrsquoimpact decertains types drsquoattaques
true
full-screen-apienabled Activer lrsquoAPI permettant drsquoaf-ficher du contenu en plein eacutecranpour les modules compleacutemen-taires
false
notificationfeatureenabled Permettre les notifications sur lebureau
false
27 La fonctionnaliteacute de navigation seacutecuriseacutee consiste agrave synchroniser une liste locale drsquoadresses de sites maveillants(depuis les serveurs de Google par deacutefaut depuis que Firefox utilise leur service) pour alerter lrsquoutilisateur srsquoil srsquoapprecircte agraveen visiter un Elle consiste eacutegalement agrave analyser le contenu des pages pour repeacuterer drsquoeacuteventuelles tentatives drsquohameccedilonnage
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 24 sur 40
Moteur de recherche par deacutefaut
La configuration drsquoun moteur de recherche personnaliseacute ne peut pas se faire simplement par fichierde configuration et neacutecessite le deacuteploiement drsquoun module de recherche (search engine plugin) LrsquoannexeIV illustre la teacuteleacute-deacuteploiement drsquoun module de recherche utilisant le moteur franccedilais httpswwwqwantcom 28
Nom de paramegravetre Description Exemplebrowsersearchdefaultenginename Moteur de recherche par deacutefaut Qwantcom
browsersearchdefaulturl URL du moteur de recherche pardeacutefaut
httpswwwqwantcomq=searchTerms
browsersearchlog Journalisation de lrsquoutilisation desservices de recherche agrave des fins dedeacuteboggage
false
browsersearchopenintab Ouvrir les reacutesultats de recherchedans un nouvel onglet
false
browsersearchorder1 Moteur de recherche agrave utiliser enprioriteacute 1
Qwantcom
browsersearchsuggestenabled activer les suggestions false
browsersearchupdate Recherche de mises agrave jour pour lesmodules de recherche
false
keywordenabled Permettre de faire une recherchedepuis la barre drsquoadresse
true
Page(s) drsquoaccueil
Nom de strateacutegie Description Valeur recommandeacuteestartuphomepage_override_url Page drsquoaccueil apregraves une mise agrave jour de Firefox En fonction du choix de lrsquoentiteacutestartuphomepage_welcome_url Page drsquoaccueil au premier deacutemarrage En fonction du choix de lrsquoentiteacutebrowserstartuphomepage Page drsquoaccueil about blank pour une page vide
ou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
browserstartuppage Page drsquoaccueil 1 pour ouvrir la page drsquoac-cueil indiqueacutee par le paramegravetrebrowserstartuphomepage
browsersessionstoreresume_from_crash
Restauration de session apregraves crash false
browsersessionstoreenabled Activer le service de restauration de session false
browsernewtaburl Page ouverte par deacutefaut lors de la creacuteationdrsquoun nouvel onglet de navigation
about blank pour une page videou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
28 Ceci nrsquoest en aucun cas une recommandation ni une incitation agrave son utilisation mais un simple exemple
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 25 sur 40
Authentification HTTP
Nom de strateacutegie Description Valeur recommandeacuteenetworkauthforce-generic-ntlm Utiliser le module drsquoauthen-
tification NTLM de Firefoxplutocirct que celui fourni parles APIs du systegraveme
false
networkauthuse-sspi Utiliser SSPI plutocirct queGSSAPI pour lrsquoauthentifica-tion Kerberos
true sous Windows
networkntlmsend-lm-response Envoyer le LM Hash dans lareacuteponse NTLM
false
networkautomatic-ntlm-authallow-proxies
Authentification par NTLMautomatique avec lesserveurs proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networkautomatic-ntlm-authtrusted-uris
Liste des URIs autoriseacuteespour lrsquoauthentification parNTLM automatique
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationNTLM automatique
networkautomatic-ntlm-authallow-non-fqdn
Autoriser lrsquoauthentificationNTLM automatique avecdes sites sans FQDN
false agrave moins que la liste networkautomatic-ntlm-authtrusted-uris comporte des adressessans FQDN
networknegotiate-authallow-non-fqdn
Autoriser lrsquoauthentificationSPNEGO avec des sites sansFQDN
En fonction de lrsquoentiteacute
networknegotiate-authallow-proxies
Autoriser SPNEGO29si de-mandeacute par un serveur proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networknegotiate-authdelegation-uris
Liste des URIs autoriseacuteespour lesquels le navigateurpeut deacuteleacuteguer lrsquoautorisationde lrsquoutilisateur
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites auxquels elle souhaite permettre ladeacuteleacutegation SPNEGO
networknegotiate-authtrusted-uris Liste des URIs autoriseacuteespour engager une authentifi-cation SPNEGO
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationSPNEGO
networknegotiate-authgsslib Chemin vers une librairieGSSLIB speacutecifique
Mettre agrave vide
networknegotiate-authusing-native-gsslib
Utiliser la librairie GSSLIBnative du systegraveme
true
securitydefault_personal_cert Choix du certificat drsquoau-thentification client
Ask Every Time
29 SPNEGO est un standard qui permet de neacutegocier de lrsquoauthentification Kerberos NTLM ainsi que drsquoautresprotocoles supporteacutes pour le systegraveme SPNEGO est eacutegalement connu sous le nom du protocole drsquoauthentificationlaquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 26 sur 40
Serveur mandataire
Nom de paramegravetre Description Valeur recommandeacuteenetworkproxyautoconfig_url URL de configuration automatique du
proxyLaisser agrave vide
networkproxyftp Adresse du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyftp_port port du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp Adresse du proxy proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp_port port du proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyno_proxies_on Liste drsquoexceptions agrave lrsquoutilisation du serveurproxy
A minima localhost 127001 etdavantage en fonction de lrsquoentiteacute etdu peacuterimegravetre drsquoutilisation du naviga-teur
networkproxyshare_proxy_settings
Utiliser le mecircme proxy pour tous les pro-tocoles
false
networkproxysocks Adresse du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_port port du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_remote_dns
Reacutealiser les requecirctes DNS via le proxysocks
false
networkproxysocks_version Version du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl Adresse du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl_port port du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxytype Type drsquoutilisation du proxy 1 pour utiliser les valeurs in-diqueacutees par les paramegravetres ci-dessus(networkproxy)
networkhttpproxyversion version de proxy 11 par deacutefaut et en fonction duserveur proxy de lrsquoentiteacute
networkhttpproxypipelining Activer le pipelining30par proxy false pour des raisons de compat-ibiliteacute Lrsquoentiteacute peut choisir de lrsquoac-tiver si le pipelining est supporteacute parson serveur proxy drsquoentreprise
signonautologinproxy Saisie automatique du mot de passe deproxy
false
30 Le pipelining permet de faire plusieurs requecirctes HTTP simultaneacutement plutocirct que de les faire seacutequentiellement enattendant les reacuteponses de chacune drsquoentre elles Pour plus drsquoinformations httpwww-archivemozillaorgprojectsnetlibhttppipelining-faqhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 27 sur 40
Peacuterimegravetre de navigation
Nom de paramegravetre Description Valeur recommandeacuteenetworkprotocol-handlerexpose-all
Deacutetermine si le navigateur essayedrsquoouvrir les liens cliqueacutes dans lenavigateur en prioriteacute avant delaisser le systegraveme srsquoen charger en casdrsquoeacutechec (si le protocole du lien enquestion nrsquoest pas supporteacute par lenavigateur)
true
networkprotocol-handlerwarn-external-default
Avertir lrsquoutilisateur avant decharger un gestionnaire deprotocole tiers
true
networkprotocol-handlerexternal-default
Action pour lrsquoouverture drsquoun pro-tocole non pris en charge par lenavigateur
false de maniegravere agrave ne pas essayerde charger des protocoles non pris encharge nativement par le navigateur Lrsquoen-titeacute renseignera eacuteventuellement des ges-tionnaires de protocoles tiers pour desprotocoles qursquoelle souhaite explicitementpermettre tels que NNTP Mailto etc Pour illustrer par lrsquoexemple avecMailto le paramegravetre networkprotocol-handlerexternalmailto aurait pour valeurtrue et le paramegravetre networkprotocol-handlerappmailto avec pour valeur lechemin drsquoun exeacutecutable comme MozillaThunderbird ou Microsoft Outlook
networkprotocol-handlerexternalfile
Gestionnaire de protocole filesous Firefox
false
networkprotocol-handlerexternalftp
Gestionnaire de protocole ftpsous Firefox
false
geckohandlerServiceallowRegisterFromDifferentHost
Autoriser les sites Web agrave installerdes gestionnaires de protocoles oude contenus utilisable pour deshocirctes tiers
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 28 sur 40
Administration systegraveme maintenance et options diverses
Parameacutetrage des mises agrave jour
Nom de paramegravetre Description Valeur recommandeacuteeappupdateenabled Activation de la mise agrave jour automatique true
appupdateauto Teacuteleacutechargement et installationautomatiques (neacutecessite que le paramegravetreappupdateenabled ait pour valeurtrue)
true
appupdatecertcheckAttributes Veacuterifie les attributs du certificat du serveurde mise agrave jour
false
appupdatecertrequireBuiltIn Requiert lrsquointeacutegration des certificats duserveur de mise agrave jour et de toutes lesredirections intermeacutediaires
false
appupdatechannel Canal de mise agrave jour esr pour la version ESR de FirefoxappupdatedownloadbackgroundInterval
Temps de pause (en secondes) entrechaque teacuteleacutechargement en arriegravere plandrsquoun morceau de 300 Kb de mise agrave jour
Au choix de lrsquoentiteacute
appupdateidletime Temps de pause (en secondes) entre chaqueteacuteleacutechargement agrave la demande de lrsquoutilisa-teur) drsquoun morceau de 300 Kb de mise agravejour
60
appupdateinterval Intervalle de temps entre chaque veacuterifica-tion de disponibiliteacute de nouvelles mises agravejour
43200
appupdatemode Deacutetermine quelles mises agrave jour sontteacuteleacutechargeacutees en arriegravere plan
0 pour teacuteleacutecharger toutes les mises agravejour sans intervention de lrsquoutilisateur
appupdateserviceenabled Active le service de mise agrave jour de Firefox true
appupdateshowInstalledUI Deacutetermine si apregraves installation de mise agravejour une boicircte de dialogue informe lrsquoutil-isateur qursquoune mise agrave jour a eacuteteacute installeacutee
Au choix de lrsquoentiteacute
appupdatesilent Active le mode de mise agrave jour silencieux true pour une mise agrave jour silencieuseen arriegravere plan
appupdateurl URL de reacutecupeacuteration des mises agrave jour deFirefox
En fonction de la strateacutegie de mise agravejour de lrsquoentiteacute Pour une mise agrave jourdepuis les serveurs de Mozilla httpsaus3mozillaorgupdate3PRODUCTVERSIONBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONupdatexml sinon lrsquoURLdu serveur de mise agrave jour internede lrsquoentiteacute (qursquoil faudra eacutegalementrenseigner dans le paramegravetreappupdateurloverride)
appupdateurloverride URL de reacutecupeacuteration des mises agrave jour deFirefox
Paramegravetre agrave renseigner uniquementdans le cas ou la mise agrave jour deFirefox se fait depuis lrsquoURL drsquounserveur de mise agrave jour interne delrsquoentiteacute (agrave renseigner en plus duparamegravetre appupdateurl)
appupdateurldetails URL de consultation des informations rel-atives aux mises agrave jour disponibles
Laisser la valeur par deacutefautrhttpswwwmozillaorgLOCALEfirefoxnotes
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 29 sur 40
Configuration du cache
Nom de paramegravetre Description Valeur recommandeacuteebrowsercachecheck_doc_frequency Quand veacuterifier la mise agrave jour drsquoune page en
cache disque3 (veacuterifier quand la page estpeacuterimeacutee)
browsercachecompression_level Niveau de compression du cache disque Au choix de lrsquoentiteacute de 0(pas de compression) agrave 9(haut taux de compressionavec forte sollicitation du pro-cesseur)
browsercachediskcapacity Espace disque alloueacute au cache disque enKb
Au choix de lrsquoentiteacute
browsercachediskenable Utiliser le cache disque true
browsercachediskmax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache disque
Au choix de lrsquoentiteacute
browsercachedisksmart_sizeenabled Allocation intelligente de lrsquoespace disquealloueacute au cache en fonction de lrsquoespacedisponible
Au choix de lrsquoentiteacute
browsercachedisk_cache_ssl Mettre en cache disque les pages visiteacuteesen HTTPS
False de maniegravere agrave ne pasmettre en cache le contenuSSL
browsercachememoryenable Utiliser le cache meacutemoire true
browsercachememorymax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache meacutemoire
Au choix de lrsquoentiteacute
browsercachememory_limit Meacutemoire maximum utiliseacutee pour le cachemeacutemoire en Kb
Au choix de lrsquoentiteacute
browsercacheofflinecapacity Espace disque alloueacute au cache des applica-tions Web
Au choix de lrsquoentiteacute
browsercacheofflineenable Utiliser le cache des applications Web per-mettant une utilisation hors ligne
Au choix de lrsquoentiteacute
browsercacheuse_new_backend Utilisation du nouveau systegraveme de cache 0 (ne pas utiliser pour desquestions de stabiliteacute)
networkhttpuse-cache Utiliser le cache des documents HTTP true
mediacache_size Taille du cache pour les fichiers multimedia Au choix de lrsquoentiteacute par deacute-faut 512000
domstoragedefault_quota Quota de stockage cocircteacute client pour lespages Web
5120 taille par deacutefaut
domstorageenabled Active le stockage cocircteacute client pour les pagesWeb
true agrave deacutefaut de vulneacuterabil-iteacutes connues pour cette fonc-tionnaliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 30 sur 40
Deacutesactiver les options de deacuteveloppement (sauf pour les populations de deacuteveloppeurs)
Nom de paramegravetre Description Valeur recommandeacuteedevtoolsappmanagerenabled Activation des outils de deacuteveloppement module appmanager false
devtoolsdebuggerenabled Activation des outils de deacuteveloppement module deacutebogueur false
devtoolserrorconsoleenabled Activation des outils de deacuteveloppement module consoledrsquoerreurs
false
devtoolsfontinspectorenabled Activation des outils de deacuteveloppement module inspecteurde polices
false
devtoolsinspectorenabled Activation des outils de deacuteveloppement module inspecteur false
devtoolsnetmonitorenabled Activation des outils de deacuteveloppement module reacuteseau false
devtoolsprofilerenabled Activation des outils de deacuteveloppement module profileur false
devtoolsshadereditorenabled Activation des outils de deacuteveloppement module vue adaptive false
devtoolsstyleeditorenabled Activation des outils de deacuteveloppement module editeur destyles
false
devtoolstiltenabled Activation des outils de deacuteveloppement module tilt false
devtoolstoolbarenabled Activation des outils de deacuteveloppement module barre dedeacuteveloppement
false
Configurations diverses
Nom de paramegravetre Description Valeur recommandeacuteenetworkseerenable-hover-on-ssl Activer seer sur SSL false
networkseerenabled Activer seer false
networkhttppipelining Activer le pipelining pour le surfHTTP11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttppipeliningssl Activer le pipelining pour le surfHTTPS11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttpspdyenabled Activer SPDY31 false
networkhttpspdyenabledv2 Activer SPDY v2 false
networkhttpspdyenabledv3 Activer SPDY v3 false
networkhttpspdyenabledv3-1 Activer SPDY v31 false
browsershellcheckDefaultBrowser Veacuterifier si Firefox est configureacutecomme navigateur par deacutefaut
false dans le cadre de double naviga-teurs
browserdownloadmanagerscanWhenDone
Scan antivirus drsquoun fichier lorsqueson teacuteleacutechargement est termineacute
true
browserdownloaduseDownloadDir Utiliser le reacutepertoire de teacuteleacutecharge-ment par deacutefaut
false pour que lrsquoutilisateur indique agravequel emplacement il souhaite teacuteleacutechargerle fichier
browserfullscreenautohide Cacher la barre drsquooutils et drsquoongletsen mode plein eacutecran
false
31 SPDY est un protocole reacuteseau expeacuterimental de Google visant agrave augmenter les capaciteacutes du protocole HTTP pourreacuteduire le temps de chargement des pages Web en classant les objets par ordre de prioriteacute et en multiplexant les transfertspour ne neacutecessiter qursquoune seule connexion Ce protocole est vulneacuterable aux attaques CRIME (Compression Ratio Info-leakMade Easy) lorsqursquoil est utiliseacute avec HTTPS (ce qui est geacuteneacuteralement le cas)
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 31 sur 40
Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP
Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory
Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation
La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32
Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers
Fichiers de configuration
La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte
ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet
ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes
Fichier local-settingsjs
pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)
Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 32 sur 40
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
424 Moteur de recherche par deacutefaut
Imposer un moteur de recherche et certains paramegravetres de recherche peut avoir un sens dans certainscontextes Crsquoest le cas principalement lorsque le navigateur se trouve deacutedieacute agrave lrsquoIntranet Lrsquoentiteacute pourraalors imposer et configurer le moteur de recherche de lrsquoIntranet Ces regravegles de configuration peuventeacutegalement avoir une utiliteacute pour la recherche sur Internet si par exemple lrsquoentiteacute veut imposer unmoteur de recherche franccedilais qui srsquoappuie sur une connexion chiffreacutee En parallegravele lrsquoentiteacute peut alorsbloquer lrsquoaccegraves aux adresses des moteurs de recherche qursquoelle souhaite interdire
R14 Pour des questions de respect de la vie priveacutee il est conseilleacute drsquoimposer un moteur derecherche srsquoappuyant sur une connexion chiffreacutee (HTTPS)
Note Cela nrsquoempecircche pas lrsquointerception des donneacutees par le moteur de recherche ce dernier eacutetant danstous les cas destinataire des donneacutees de recherche en clair
425 Filtrage de contenu
Le filtrage du contenu participe agrave renforcer la seacutecuriteacute de la navigation en bloquant les contenuspotentiellement malveillants Certains meacutecanismes de filtrage peuvent toutefois avoir une incidence surla faculteacute des utilisateurs agrave naviguer sur certains sites
R15 Activer les fonctionnaliteacutes de filtrage de contenu telles que la navigation seacutecuriseacutee(protection contre le hameccedilonnage et les logiciels malveillants) ou la Content SecurityPolicy 14
R16 Interdire ou a minima restreindre les scripts les contenus mixtes actifs 15 les cookies tiersetc
La section correspondante de lrsquoannexe I liste en deacutetail le parameacutetrage recommandeacute pour ces types decontenus
426 Page(s) drsquoaccueil
Si le navigateur est configureacute pour restaurer la session preacuteceacutedente les donneacutees ainsi que les cookiesde session seront sauvegardeacutes puis restaureacutes au prochain deacutemarrage du navigateur (sauf en mode denavigation priveacutee) Il est alors possible de reacutecupeacuterer ces cookies sauvegardeacutes pour srsquoauthentifier agrave laplace de lrsquoutilisateur sans mot de passe voire de reacutecupeacuterer une session HTTPS preacutealablement initieacutee
R17 Il est preacutefeacuterable que le navigateur nrsquoenregistre pas les sessions de navigation Lors dudeacutemarrage du navigateur (apregraves un arrecirct normal ou brusque) il est en effet conseilleacutede ne pas restaurer la session preacuteceacutedente de lrsquoutilisateur mais drsquoafficher une(des) page(s)connue(s) et de confiance
427 Serveur mandataire
Il est primordial de controcircler les flux non seulement en entreacutee mais eacutegalement en sortie Lorsqursquounindividu malveillant atteint en inteacutegriteacute un poste de travail il peut ensuite proceacuteder agrave lrsquoeacutetablissementdrsquoun canal de controcircle depuis le poste de travail vers un serveur situeacute sur Internet Lrsquoutilisation de
14 Cette couche de seacutecuriteacute qui permet de se preacutemunir contre certains types drsquoattaques est deacutetailleacutee dans un article duMozilla Developer Network httpsdevelopermozillaorgen-USdocsWebSecurityCSPIntroducing_Content_Security_Policy15 httpsdevelopermozillaorgen-USdocsSecurityMixedContent
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 9 sur 40
serveurs mandataires avec authentification peut donc bloquer des connexions sortantes malveillantesIl srsquoavegravere alors judicieux drsquoimposer lrsquoutilisation du serveur mandataire (proxy) par configuration cen-traliseacutee sur les postes utilisateurs
R18 Privileacutegier lrsquoutilisation de serveurs mandataires avec authentification
Note Cette recommandation peut ecirctre renforceacutee par des regravegles de filtrage de pare-feu
428 Authentification HTTP
Il est possible de durcir la seacutecuriteacute des authentifications utilisant NTLM 16 ou SPNEGO 17 surFirefox degraves lors que lrsquoune drsquoentre elles est utiliseacutee par lrsquoentiteacute qui le deacuteploie Il est par exemplerecommandeacute de speacutecifier la liste des serveurs autoriseacutes agrave engager une authentification SPNEGO ouune authentification NTLM automatique
R19 Speacutecifier la liste des serveurs autoriseacutes agrave engager une authentification SPNEGO ou uneauthentification NTLM automatique
Note Lrsquoutilisation de NTLM nrsquoest pas conseilleacutee Kerberos eacutetant le protocole drsquoauthentification agraveprivileacutegier
429 Peacuterimegravetre de navigation
Il est recommandeacute de restreindre le peacuterimegravetre de navigation en interdisant certains scheacutemas drsquoadressesavec les protocol-handlers
R20 Interdire a minima le scheacutema drsquoadresses file pour un navigateur deacutedieacute agrave la navigationsur Internet de maniegravere agrave eacuteviter des accegraves arbitraires au systegraveme de fichiers Le scheacutemaftp pourrait eacutegalement ecirctre interdit au profit de lrsquoutilisation drsquoun client FTP tiers
Note Lrsquoutilisation du navigateur Firefox ne sera alors plus possible pour afficher des pages htmldirectement depuis un systegraveme de fichiers (CD-ROM disque local ou distant via un partage reacuteseauetc)
Ces listes preacutesentent eacutegalement un inteacuterecirct particulier dans le cadre drsquoune strateacutegie de doublenavigateur Ce sujet est deacutetailleacute en section laquo Strateacutegie de double navigateur raquo
4210 Administration systegraveme et maintenance
Divers paramegravetres de Firefox relegravevent de sa maintenance et certaines preacutecautions doivent ecirctreprises pour eacuteviter des problegravemes de compatibiliteacute de confidentialiteacute des donneacutees utilisateurs voire dedisponibiliteacute des postes de travail La liste complegravete de ces paramegravetres figure en annexe I
43 Teacuteleacute-deacuteploiement initial
Firefox au mecircme titre que les autres logiciels devrait ideacutealement ecirctre installeacute sur les postes detravail par teacuteleacute-deacuteploiement Une telle meacutethode de deacuteploiement est un des fondamentaux drsquoun systegravemedrsquoinformation controcircleacute et maicirctriseacute En effet il permet de maicirctriser les installations drsquohomogeacuteneacuteiser les
16 NTLM (NT Lan Manager) est une suite de protocoles drsquoauthentification de Microsoft qui ne supporte pas lesmeacutethodes cryptographiques reacutecentes comme AES ou SHA-25617 SPNEGO (Simple and Protected GSSAPI Negociation Mechanism) est un standard qui permet de neacutegocier de
lrsquoauthentification Kerberos NTLM ainsi que drsquoautres protocoles supporteacutes pour le systegraveme SPNEGO est eacutegalementconnu sous le nom du protocole drsquoauthentification laquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 10 sur 40
versions et configurations mais aussi de proceacuteder aux mises agrave jour de maniegravere reacuteactive et efficace
Le teacuteleacute-deacuteploiement de logiciel peut se faire de plusieurs maniegraveres ndash au format MSI par GPO (strateacutegies de groupe pour la gestion centraliseacutee) dans un domaine
Microsoft Active Directory Attention toutefois puisque Mozilla ne fournit Firefox qursquoau formatexeacutecutable il sera donc neacutecessaire de construire un package Firefox au format MSI Des eacutediteurstiers proposent de tels paquets mais ces eacutediteurs nrsquooffrent pas de garantie forte de lrsquointeacutegriteacute deslogiciels qursquoils fournissent Il est par conseacutequent preacutefeacuterable que lrsquoorganisation utilisatrice geacutenegravereses propres fichiers MSI
ndash au format exeacutecutable agrave lrsquoaide drsquoun outil de gestion de parc ou de tout autre produit tiers preacutevuagrave cet effet
44 Gestion des mises agrave jour
La mise agrave jour reacuteactive du navigateur est primordiale pour se preacutemunir des vulneacuterabiliteacutes reacuteguliegravere-ment deacutetecteacutees et corrigeacutees Lrsquoutilisation drsquoun navigateur preacutesentant des vulneacuterabiliteacutes connues par despersonnes malveillantes expose le poste de travail agrave une attaque Deux strateacutegies diffeacuterentes de mise agravejour de Firefox peuvent alors ecirctre envisageacutees
ndash la premiegravere consiste agrave simplement laisser la configuration par deacutefaut le navigateur va alorsautomatiquement teacuteleacutecharger les mises agrave jour aupregraves des serveurs de Mozilla Il convient dans cecas de srsquoassurer que les postes de travail sont en mesure drsquoacceacuteder aux serveurs de mise agrave jour deMozilla sur Internet ideacutealement au travers du proxy drsquoentreprise qui pourra notamment mettreen cache les binaires
ndash la configuration alternative consiste agrave remplacer lrsquoURL de mise agrave jour (agrave lrsquoaide du paramegravetre deconfiguration appupdateurloverride) 18 par une URL locale qui mettra les mises agrave jour agravedisposition des postes de travail
Le tableau suivant syntheacutetise les avantages et inconveacutenients des deux meacutethodes
Meacutethode Avantages Inconveacutenientsclassique par deacutefautles navigateurs se mettentagrave jour automatiquementaupregraves des serveurs deMozilla par Internet
- mise en œuvre aiseacutee par les servicesinformatiques - haut taux de disponibiliteacute desserveurs de mise agrave jour de Mozilla
- ne permet pas aux ser-vices informatiques de testeret valider les mises agrave jouravant leur deacuteploiement no-tamment lors de lrsquoutilisationdrsquoapplications Web meacutetier peureacutepandues - peu adapteacute pour un naviga-teur deacutedieacute agrave lrsquoIntranet
controcircleacutee la mise agrave jourautomatique de Firefox estdeacutesactiveacutee et les servicesinformatiques mettent lesmises agrave jour agrave dispositiondes postes de travail depuisun serveur local
- permet de tester et valider les misesagrave jour avant deacuteploiement - permet drsquoadapter les configu-rations centraliseacutees du navigateurpour tenir compte des eacuteventuellesnouvelles fonctionnaliteacutes avant deacute-ploiement - permet de bloquer tout le trafic agravedestination des serveurs de Mozilla
- freine la reacuteactiviteacute des misesagrave jour - neacutecessite des moyens hu-mains importants
18 Pour plus drsquoinformations sur la mise en œuvre drsquoun serveur de mises agrave jour local httpsdevelopermozillaorgen-USdocsMozillaSetting_an_update_server
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 11 sur 40
Il sera nettement moins risqueacute (du point de la compatibiliteacute) de retenir le mode classique (automa-tique) pour les versions ESR de Firefox eacutetant donneacute que les mises agrave jour concernent des correctifs deseacutecuriteacute agrave haut risque et nrsquoapportent aucune nouvelle fonctionnaliteacute En revanche les versions standardsde Firefox peuvent recevoir des mises agrave jour fonctionnelles importantes qursquoil serait plus pertinent decontrocircler preacutealablement
La probleacutematique des mises agrave jour concerne eacutegalement les extensions Bien qursquoil soit recommandeacutede les interdire dans le cadre drsquoune configuration durcie une entiteacute peut vouloir en deacuteployer certainespour de bonnes raisons La mise agrave jour des extensions est indeacutependante du meacutecanisme de mise agravejour du navigateur Elles peuvent ecirctre mises agrave jour automatiquement (comportement par deacutefaut) oumanuellement quelle que soit la strateacutegie de mise agrave jour choisie pour le navigateur
Le maintien en conditions de seacutecuriteacute des plugins devra par ailleurs ecirctre geacutereacute indeacutependamment dunavigateur chaque plugin ayant ses speacutecificiteacutes quant aux meacutecanismes de mise agrave jour utiliseacutes
Concernant le service Mozilla Maintenance Service (service chargeacute des mises agrave jour de Firefox) cedernier srsquoexeacutecute avec les droits qui lui sont propres pour la mise agrave jour du navigateur et ce quels quesoient les droits de lrsquoutilisateur
5 Strateacutegie de double navigateur
La seacutecuriteacute des systegravemes drsquoinformation impose souvent un navigateur qui doit ecirctre durci pourlrsquoaccegraves agrave Internet mais plus permissif pour lrsquoaccegraves aux applications internes Lorsque certains serveursWeb internes utilisent des appliquettes Java par exemple neacutecessitant le deacuteploiement de modulescompleacutementaires Java le navigateur finit par avoir une surface drsquoattaque tregraves importante et exposeainsi lrsquoentiteacute agrave un des vecteurs drsquoattaque les plus critiques et massivement exploiteacutes 19
Pour traiter cette probleacutematique lorsqursquoelles disposent des ressources neacutecessaires en particulierpour en assurer le maintien en conditions de seacutecuriteacute de plus en plus drsquoentiteacutes srsquoorientent vers lrsquousagede deux navigateurs diffeacuterents Il devient alors possible
ndash drsquoen deacutedier un agrave la navigation sur Internet De par sa configuration durcie sa surface drsquoattaqueest reacuteduite au maximum Il est maintenu en conditions de seacutecuriteacute avec la plus grande attentionLes eacutequipes de veille scrutent la moindre vulneacuterabiliteacute dont le navigateur Internet fait lrsquoobjetLes eacutequipements de filtrage et drsquoanalyse du trafic sont utiliseacutes pour repeacuterer tout comportementsuspect de navigation sur Internet
ndash drsquoen deacutedier un deuxiegraveme agrave lrsquoaccegraves aux serveurs internes neacutecessitant par exemple un module com-pleacutementaire qui peut faire lrsquoobjet de vulneacuterabiliteacutes freacutequentes ou qui neacutecessite une configurationplus permissive Il est alors possible de le configurer pour permettre uniquement lrsquoaccegraves et lrsquousagede lrsquoensemble des sites et applications leacutegegraveres de lrsquoIntranet
Une telle strateacutegie de double navigateur doit neacutecessairement srsquoaccompagner de mesures de seacutecuriteacutetechniques permettant de garantir le peacuterimegravetre drsquoutilisation de chaque navigateur par des paramegravetresde configuration verrouilleacutes Le tableau suivant en donne quelques exemples
19 Voir les recommandations de seacutecuriteacute publieacutees par lrsquoANSSI relatives aux environnements drsquoexeacute-cution Java sur les postes de travail Microsoft Windows agrave lrsquoadresse httpwwwssigouvfrfrguides-et-bonnes-pratiquesrecommandations-et-guidessecurite-du-poste-de-travail-et-des-serveursrecommandations-de-securite-relatives-aux-environnements-d-execution-java-surhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 12 sur 40
Composant Action ValeurServeur mandataire Autoriser User-Agent du navigateur Internet (ou plus strictement de la
derniegravere version de ce dernier)Bloquer Tout autre User-Agent non autoriseacute
Pare-feu locaux despostes de travail
Autoriser TCP en sortie vers le serveur mandataire depuis - le processus du navigateur Internet (chemin complet delrsquoexeacutecutable) - les autres processus eacuteventuels autoriseacutes agrave acceacuteder agrave Internetvia le serveur mandataire
Bloquer TCP en sortie vers le serveur mandataire depuis tout autreprocessus
Pare-feu de passerelleInternet
Autoriser TCP en sortie vers les ports 443 et 80 depuis - lrsquoIP source du serveur mandataire - les autres IP sources eacuteventuelles autoriseacutees agrave sortir en directsur Internet sans passer par le serveur mandataire
Bloquer TCP en sortie vers ports 443 et 80 depuis toute autre IP sourceApplocker (ou SRP) surles postes de travail
Autoriser lrsquoexeacutecution Chemin complet de lrsquoexeacutecutable des navigateurs autoriseacutes
Bloquer lrsquoexeacutecution Tout autre exeacutecutable de navigateur interdit
Les regravegles de configuration deacutecrites en annexe I section laquo Peacuterimegravetre de navigation raquo permettentalors de mettre en œuvre une partie de ces mesures de seacutecuriteacute et de restreindre le peacuterimegravetre denavigation possible de chacun des navigateurs
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 13 sur 40
Les figures suivantes illustrent de maniegravere syntheacutetique les mesures de seacutecuriteacute appliqueacutees agrave unestrateacutegie de double navigateur
Figure 1 ndash Illustration drsquoune strateacutegie de double navigateur cas ougrave Firefox est utiliseacute commenavigateur Internet
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 14 sur 40
Figure 2 ndash Illustration drsquoune strateacutegie de double navigateur cas ougrave Firefox est utiliseacute commenavigateur Intranet
Ces figures illustrent deux cas distincts Le navigateur Firefox y est repreacutesenteacute mais la strateacutegieserait eacutequivalente avec drsquoautres navigateurs
Les regravegles de configuration recommandeacutees en annexe I se precirctent agrave un contexte ougrave le navigateur estdeacutedieacute agrave la navigation sur Internet
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 15 sur 40
Annexe I Strateacutegies de seacutecurisation de Firefox
Cette annexe liste sous forme de tableaux les valeurs recommandeacutees permettant de mettre en œuvreles recommandations formuleacutees dans cette note technique La liste des paramegravetres de configurationdisponibles est sujette agrave des eacutevolutions freacutequentes et certains sont peu voire pas documenteacutes Lesrecommandations et leurs indications de mise en œuvre figurant dans ce document sont baseacutees sur lesparamegravetres de configuration de Firefox dans sa version ESR 31 Ces derniers pourront ecirctre adapteacutesselon la version du navigateur deacuteployeacutee agrave la date de lecture du document
Depuis un navigateur Firefox il est possible drsquoafficher et de modifier les paramegravetres de configurationappliqueacutes en tapant aboutconfig dans la barre drsquoadresse Les paramegravetres verrouilleacutes sont afficheacutes enitalique La page aboutsupport affiche quant agrave elle un reacutecapitulatif des informations systegravemes etde version ainsi que les modifications importantes apporteacutees agrave la configuration par deacutefaut du navigateur
En environnement professionnel il est conseilleacute de deacuteployer une configuration de maniegravere centraliseacuteecomme expliqueacute en annexe II Pour un usage personnel de Firefox il est eacutegalement possible de srsquoinspirerde tout ou partie des paramegravetres indiqueacutes dans ce document agrave partir de la page aboutconfig
Seacutecuriteacute des modules compleacutementaires
Les regravegles de configuration preacutefixeacutees par le terme laquo extensions raquo ne srsquoappliquent pas toujoursuniquement aux extensions comme elles pourraient le laisser entendre mais parfois plus largementaux plugins voire aux modules compleacutementaires dans leur ensemble Il convient donc drsquoecirctre vigilantquant au peacuterimegravetre reacuteel drsquoapplication des regravegles de configuration dont les noms pourraient precircter agraveconfusion
Nom de strateacutegie Description Valeur recommandeacuteeextensionsautoDisableScopes Les extensions peuvent
ecirctre deacutesactiveacuteesautomatiquement enfonction de leur localisation
3 (les extensions deacuteposeacutees dans le profil Firefox delrsquoutilisateur ou dans le profil utilisateur Windowsseront automatiquement deacutesactiveacutees20)
extensionsenabledScopes Les extensions peuvent ecirctreactiveacutees automatiquementen fonction de leurlocalisation21
12 (seules les extensions reacutefeacuterenceacutees par une entreacutee enbase de registres22 ou deacuteposeacutees dans le sous-dossierdrsquoextensions agrave lrsquoemplacement de lrsquoexeacutecutable FireFoxseront activeacutees Attention ce paramegravetre a prioriteacute surextensionsautoDisableScopes
20 Contrairement agrave ce qursquoindique la MozillaZine Knownledge Base le paramegravetre extensionsautoDisableScopes nepermet pas de deacutesactiver un plugin pour ce faire il convient drsquoutiliser les paramegravetres pluginstatex21 Pour plus drsquoinformations sur le paramegravetre extensionsenabledScopes httpsdevelopermozillaorgen-US
Add-onsInstalling_extensions22 Article de Mozilla expliquant lrsquoajout la mise agrave jour et la suppression drsquoextensions ou de plugins pour Firefox par
base de registre httpsdevelopermozillaorgen-USdocsAdding_Extensions_using_the_Windows_Registry
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 16 sur 40
Nom de paramegravetre Description Valeur recommandeacuteeextensionsblocklistenabled Teacuteleacutechargement reacutegulier drsquoune
liste noire de modules reacutefeacuterenceacutescomme eacutetant malveillants
false si seuls les modules teacuteleacute-deacuteployeacutes par leseacutequipes informatique sont installeacutes ou true silrsquoutilisateur est en mesure drsquoinstaller des moduleslui-mecircme
extensionsblocklistdetailsURL
URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules
Celle par deacutefaut (httpswwwmozillaorgLOCALEblocklist)
extensionsblocklistitemURL URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules(variante)
Celle par deacutefaut (httpsaddonsmozillaorgLOCALEAPPblockedblockID)
extensionsblocklistinterval Intervalle de teacuteleacutechargement dela liste noire de modules ensecondes
86400 (soit 1 fois par jour)
extensionsblocklistlevel Niveau de blocage 2 (pour bloquer les extensions de la liste)extensionsblocklisturl Adresse de teacuteleacutechargement de la
liste noire de modulesCelle par deacutefaut (httpsaddonsmozillaorgblocklist3APP_IDAPP_VERSIONPRODUCTBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONPING_COUNTTOTAL_PING_COUNTDAYS_SINCE_LAST_PING)
extensionsenabledAddons Modules activeacutes au deacutemarragede Firefox
Mettre agrave vide
pdfjsdisabled Deacutesactiver la visionneuse PDFinteacutegreacutee agrave Firefox (pdfjs)
true pour que lrsquoutilisateur teacuteleacutecharge les PDF etles visionne via un lecteur PDF tiers maintenu enconditions de seacutecuriteacute par lrsquoentiteacute et ne faisant paslrsquoobjet de vulneacuterabiliteacutes freacutequentes ou false pourautoriser lrsquousage du lecteur de PDF inteacutegreacute
pluginstateflash Configuration drsquoactivation duplugin Flash
1 (demander lrsquoautorisation agrave lrsquoutilisateur avantchaque exeacutecution du plugin Flash) ou 2 (toujoursactiver) au choix de lrsquoentiteacute et en fonction desutilisateurs et des contraintes de seacutecuriteacute
pluginstatejava Configuration drsquoactivation duplugin Java
0 pour ne jamais activer le plugin Java (agrave moinsque lrsquoentiteacute souhaite utiliser ce plugin malgreacute lesrisques de seacutecuriteacute encourus auquel cas la valeuragrave donner serait 1 pour demander lrsquoautorisation agravelrsquoutilisateur agrave chaque exeacutecution du plugin Java)
pluginstatex Configuration drsquoactivation duplugin x ougrave x est agrave remplacerpar le nom court du pluginagrave deacutesactiver (exemple npctrlpour Microsoft Silverlight Lesnoms courts des plugins sontindiqueacutes en affichant leurs infor-mations deacutetailleacutees depuis lrsquointer-face graphique)
0 pour ne jamais activer le plugin ou 1 pourdemander lrsquoautorisation agrave lrsquoutilisateur avant chaqueexeacutecution du plugin
plugindefaultstate Configuration drsquoactivation desautres plugins
0 pour ne jamais activer un plugin non explicite-ment autoriseacute par les regravegles preacuteceacutedentes
plugindefaultXpistate Configuration drsquoactivation desautres plugins au format XPI
0 pour ne jamais activer un plugin au format XPInon explicitement autoriseacute par les regravegles preacuteceacute-dentes
pluginsclick_to_play Cliquer pour lire le contenu neacute-cessitant un plugin
true pour activer le mode laquo Cliquer pour lire raquo
pluginsload_appdir_plugins Chargement automatique desplugins depuis des emplace-ments utiliseacutes avant Firefox 21
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 17 sur 40
Eacutetant donneacute que seuls les modules compleacutementaires teacuteleacute-deacuteployeacutes par les eacutequipes informatiquessont autoriseacutes il est recommandeacute de bloquer toute possibiliteacute drsquoajout de modules compleacutementaires parlrsquoutilisateur
Nom de strateacutegie Description Valeur recommandeacuteeextensionsgetAddonsgetWithPerformanceurl
URL de reacutecupeacuteration drsquoun module compleacutementaire Mettre agrave vide
extensionsgetAddonsmaxResults Nombre de reacutesultats maximum 0extensionsgetAddonsgeturl URL de consultation drsquoun module compleacutementaire Mettre agrave videextensionsgetAddonsrecommendedbrowseURL
URL de consultation des modules compleacutementairesrecommandeacutes
Mettre agrave vide
extensionsgetAddonsrecommendedurl
URL de consultation des modules compleacutementairesrecommandeacutes par API
Mettre agrave vide
extensionsgetAddonssearchbrowseURL
URL de recherche de modules compleacutementaires Mettre agrave vide
extensionsgetAddonssearchurl URL de recherche de modules compleacutementaires parAPI
Mettre agrave vide
extensionsgetAddonsshowPane Afficher le panneau drsquoajout de modules compleacutemen-taires
false
extensionshideInstallButton Cacher le bouton drsquoinstallation manuelle drsquoextensions true
extensionswebservicediscoverURL URL du catalogue drsquoextensions Mettre agrave videxpinstallenabled Autoriser lrsquoinstallation manuelle de modules au format
XPIfalse
xpinstallwhitelistrequired Obligation pour une archive XPI drsquoecirctre en liste blanchepour ecirctre installeacutee manuellement
true
xpinstallwhitelistaddxpinstallwhitelistadd
Liste blanche drsquoarchives XPI pouvant ecirctre installeacuteesmanuellement
Mettre agrave vide
Pour finir lrsquoentiteacute devra choisir sa strateacutegie de mise agrave jour des extensions teacuteleacute-deacuteployeacutees Lrsquoentiteacutequi voudra teacuteleacute-deacuteployer elle-mecircme les versions agrave jour des modules compleacutementaires apregraves une phase devalidation optera pour le parameacutetrage donneacute ci-dessous la responsabiliteacute du maintien en conditions deseacutecuriteacute sera alors deacuteporteacutee sur les services informatiques en charge du deacuteploiement de ces mises agrave jourDans le cas contraire les valeurs par deacutefaut permettent une mise agrave jour automatique des extensionspar Internet
Nom de strateacutegie Description Valeur recommandeacuteeextensionshotfixcertcheckAttributes
Veacuterifie les attributs du certificat de signature descorrectifs teacuteleacutechargeacutes
true
extensionshotfixcerts1sha1Fingerprint
Empreintes attendues du certificat de signature descorrectifs teacuteleacutechargeacutes
Laisser la valeur par deacutefaut(9153980CC186DF478F35229E11C9A7310449A1AA en date dereacutedaction de ce document)
extensionsupdateautoUpdateDefault
Teacuteleacutecharger et installer automatiquement les mises agravejour drsquoextensions
false
extensionsupdatebackgroundURL
URL de teacuteleacutechargement des mises agrave jour drsquoextensionsen arriegravere plan
Mettre agrave vide
extensionsupdateenabled Activer la mise agrave jour des extensions false
extensionsupdateinterval Intervalle de teacuteleacutechargement des mises agrave jour desextensions
86400 (soit 1 fois par jour)
pluginsupdatenotifyUser Notifier lrsquoutilisateur de la preacutesence drsquoune mise agrave jourpour ses modules compleacutementaires
false
pluginsupdateurl URL de mise agrave jour des modules compleacutementaires Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 18 sur 40
SSLTLS et certificats
Le parameacutetrage des suites cryptographiques autoriseacutees peut engendrer des problegravemes de compa-tibiliteacute selon le contexte Il est donc leacutegitime de preacutefeacuterer ne pas modifier la configuration par deacutefautDans un soucis de durcissement les recommandations suivantes pourraient toutefois ecirctre appliqueacutees
Nom de paramegravetre Description Valeur recommandeacuteesecurityssl3dhe_dss_aes_128_sha Autoriser ssl3dhe_dss_aes_128_sha false
securityssl3dhe_dss_aes_256_sha Autoriser ssl3dhe_dss_aes_256_sha false
securityssl3dhe_dss_camellia_128_sha Autoriser ssl3dhe_dss_camellia_128_sha false
securityssl3dhe_dss_camellia_256_sha Autoriser ssl3dhe_dss_camellia_256_sha false
securityssl3dhe_rsa_aes_128_sha Autoriser ssl3dhe_rsa_aes_128_sha true
securityssl3dhe_rsa_aes_256_sha Autoriser ssl3dhe_rsa_aes_256_sha true
securityssl3dhe_rsa_camellia_128_sha Autoriser ssl3dhe_rsa_camellia_128_sha false
securityssl3dhe_rsa_camellia_256_sha Autoriser ssl3dhe_rsa_camellia_256_sha false
securityssl3dhe_rsa_des_ede3_sha Autoriser ssl3dhe_rsa_des_ede3_sha false
securityssl3ecdhe_ecdsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_ecdsa_aes_128_gcm_sha256
true
securityssl3ecdhe_ecdsa_aes_128_sha Autoriser ssl3ecdhe_ecdsa_aes_128_sha true
securityssl3ecdhe_ecdsa_aes_256_sha Autoriser ssl3ecdhe_ecdsa_aes_256_sha true
securityssl3ecdhe_ecdsa_rc4_128_sha Autoriser ssl3ecdhe_ecdsa_rc4_128_sha false
securityssl3ecdhe_rsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_rsa_aes_128_gcm_sha256
true
securityssl3ecdhe_rsa_aes_128_sha Autoriser ssl3ecdhe_rsa_aes_128_sha true
securityssl3ecdhe_rsa_aes_256_sha Autoriser ssl3ecdhe_rsa_aes_256_sha true
securityssl3ecdhe_rsa_des_ede3_sha Autoriser ssl3ecdhe_rsa_des_ede3_sha false
securityssl3ecdhe_rsa_rc4_128_sha Autoriser ssl3ecdhe_rsa_rc4_128_sha false
securityssl3rsa_aes_128_sha Autoriser ssl3rsa_aes_128_sha true
securityssl3rsa_aes_256_sha Autoriser ssl3rsa_aes_256_sha true
securityssl3rsa_camellia_128_sha Autoriser ssl3rsa_camellia_128_sha false
securityssl3rsa_camellia_256_sha Autoriser ssl3rsa_camellia_256_sha false
securityssl3rsa_des_ede3_sha Autoriser ssl3rsa_des_ede3_sha false
securityssl3rsa_fips_des_ede3_sha Autoriser ssl3rsa_fips_des_ede3_sha false
securityssl3rsa_rc4_128_md5 Autoriser ssl3rsa_rc4_128_md5 false
securityssl3rsa_rc4_128_sha Autoriser ssl3rsa_rc4_128_sha false
securityssl3rsa_seed_sha Autoriser ssl3rsa_seed_sha false
Autres paramegravetres
Nom de paramegravetre Description Valeur recommandeacuteesecuritytlsversionmax Version maximum de
SSLTLS3 (ce qui correspond agrave TLS 12)
securitytlsversionmin Version minimum de SSLTLS 2 (ce qui correspond agrave TLS 11)securitysslallow_unrestricted_renego_everywhere__temporarily_available_pref
Activer la reneacutegociation SSL false pour remeacutedier agrave une attaque parle milieu connue
securitysslenable_false_start Activer laquo SSL False Start raquo false car non standardiseacute et amenantde potentielles vulneacuterabiliteacutes
securitysslenable_ocsp_stapling Activer lrsquoOCSP stapling23 true
23 httpsblogmozillaorgsecurity20130729ocsp-stapling-in-firefox
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 19 sur 40
Nom de paramegravetre Description Valeur recommandeacuteesecuritysslrequire_safe_negotiation
Neacutecessite une neacutegociation SSL qui nrsquoutilisepas une ancienne version SSLTLS vul-neacuterable agrave des attaques par le milieu
true est la valeur ideacuteale en termesde seacutecuriteacute mais false reste conseilleacutepour eacuteviter que de nombreux sitescouramment visiteacutes ne soient plus uti-lisables
securitysslrenego_unrestricted_hosts
Liste drsquohocirctes autoriseacutes agrave faire de la reneacute-gociation SSL avec drsquoanciennes versionsvulneacuterables du protocole
Liste drsquohocirctes seacutepareacutes par des virgules(ne supportant pas les wildcards)et qursquoil est utile de renseigner sisecuritysslrequire_safe_negotiationest configureacute agrave true
securityssltreat_unsafe_negotiation_as_broken
Informer lrsquoutilisateur (cadenas casseacute rougedans la barre de status) lorsque les neacutegoci-ations SSLTLS sont non seacutecuriseacutees
true
networkstricttransportsecuritypreloadlist
Charger la liste de sites deacuteclareacutes commeutilisant HSTS (HTTP Strict TransportSecurity24)
true
networkwebsocketallowInsecureFromHTTPS
Autoriser les WebSockets non seacutecuriseacuteepour un site consulteacute en HTTPS
false
securityOCSPenabled Activer OCSP 2 pour veacuterifier le certificat agrave partir delrsquoURL de service OCSP et de lrsquoautoriteacutede certification ayant signeacute le certifi-cat Notons que cette fonctionnaliteacuteest critiqueacutee pour des questions delatence des reacutepondeurs OCSP (de lrsquoor-dre de 300ms pour les plus rapides agraveplus drsquoune seconde pour les plus lents)OCSP tend donc agrave ecirctre remplaceacute pardes listes locales de certificats reacutevo-queacutes dans drsquoautres navigateurs maisFirefox ne dispose pas encore drsquounetelle liste Une entiteacute ayant des con-traintes particuliegraveres quant agrave la la-tence induite par OSCP pourrait opterpour une deacutesactivation drsquoOCSP avecla valeur 0
securityOCSPrequire Neacutecessite la validation du certificat parOCSP avant de continuer la navigation surle site
true si securityOCSPenabled a eacuteteacuteconfigureacute agrave true ou false dans le cascontraire
securitycert_pinningenforcement_level
Niveau de certificate pinning (eacutepinglage decertificats)25(agrave partir de Firefox 32)
2 pour utiliser lrsquoeacutepinglage strict
Gestionnaire de mots de passe
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownpasswords Effacer les mots de passe enregistreacutes agrave la
fermeture du navigateurtrue
signonrememberSignons Active le gestionnaire de mots de passe false
signonautofillForms Remplissage automatique des formulairesde login
false
24 httpsdevelopermozillaorgfrdocsSC3A9curitC3A9HTTP_Strict_Transport_Security25 Lrsquoeacutepinglage de certificats permet drsquoavoir une base locale de certificats connus et attendus pour certains sites Web
consulteacutes en HTTPS Ainsi si le certificat preacutesenteacute par le serveur est valide en tous points de vue mais nrsquoest pas lecertificat attendu la connexion sera coupeacutee Ce meacutecanisme permet drsquoeacuteviter une attaque par le milieu preacutesentant un fauxcertificat issu drsquoune autoriteacute de certification de confiance
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 20 sur 40
Confidentialiteacute
Il nrsquoexiste pas en date de reacutedaction de cette note de regravegle globale pour la deacutesactivation de FirefoxSync Sa deacutesactivation se fait par conseacutequent agrave travers plusieurs regravegles de configuration
Nom de paramegravetre Description Valeur recommandeacuteeservicessyncengineaddons Synchronisation des modules compleacutementaires false
servicessyncenginebookmarks Synchronisation des marque-pages false
servicessyncenginehistory Synchronisation de lrsquohistorique de navigation false
servicessyncenginepasswords Synchronisation des mots de passe stockeacutes false
servicessyncengineprefs Synchronisation des preacutefeacuterences false
servicessyncenginetabs Synchronisation des onglets ouverts false
servicessyncregisterEngines Moteurs de synchronisation enregistreacutes Mettre agrave videservicessyncjpakeserverURL URL du serveur synchronisation jpake Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessynctokenServerURI URI du serveur de jetons Mettre agrave videservicessyncnextSync Planification de la prochaine synchronisation 0
Il convient eacutegalement de deacutesactiver les diffeacuterents rapports agrave Mozilla
Nom de paramegravetre Description Valeur recommandeacuteedatareportinghealthreportaboutreportUrl URL de rapport de santeacute Mettre agrave videdatareportinghealthreportloggingconsoleEnabled
Activer la journalisation (console) du ser-vice de rapports de santeacute
false
datareportinghealthreportloggingdumpEnabled
Activer la journalisation (dumps) du ser-vice de rapports de santeacute
false
datareportinghealthreportnextDataSubmissionTime
Date de prochaine soumission de rapportde santeacute
Mettre agrave vide
datareportinghealthreportserviceenabled Activer le service de rapport de santeacute false
datareportinghealthreportuploadEnabled Autoriser lrsquoenvoi de donneacutees au serveur derapports de santeacute
false
datareportingpolicydataSubmissionEnabled Activer lrsquoenvoi de donneacutees agrave Mozilla agrave desfins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyAccepted
Accepter les conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyBypassAcceptance
Contourner lrsquoacceptation des conditionsdrsquoenvoi de donneacutees agrave Mozilla agrave des finsdrsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyResponseType
Reacuteponse aux conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
accepted-info-bar-dismissed
domipcpluginsreportCrashURL Inteacutegrer lrsquoURL au rapport de crash deplugins
false
domipcpluginsflashsubprocesscrashreporterenabled
Activer le rapport de crash du sous-processus flash
false
toolkittelemetryenabled Activer la fonctionnaliteacute de teacuteleacutemeacutetrie false
toolkittelemetryserver Adresse du serveur de teacuteleacutemeacutetrie Mettre agrave videbreakpadreportURL URL du rapport de crash Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 21 sur 40
Il peut eacutegalement ecirctre utile de configurer lrsquooption de suppression des donneacutees priveacutees (Clear PrivateData) en seacutelectionnant les eacuteleacutements qui seront supprimeacutes Lrsquoentiteacute pourra par exemple permettre auxutilisateurs de supprimer leurs donneacutees priveacutees dans le cadre drsquoune navigation sur internet ou bien delrsquointerdire srsquoil srsquoagit drsquoun navigateur deacutedieacute agrave lrsquointranet Une entiteacute pourrait eacutegalement vouloir toujoursgarder les historiques et le cache agrave des fins drsquoinvestigation (cela nrsquoempecircchera toutefois pas lrsquoutilisateurde les supprimer directement au niveau du systegraveme de fichiers dans son profil utilisateur)
Nom de paramegravetre Description Valeur recommandeacuteeprivacycpdcache Supprimer le cache lors drsquoune suppression des donneacutees
priveacuteesAu choix de lrsquoentiteacute
privacycpdcookies Supprimer les cookies lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpddownloads Supprimer lrsquohistorique des teacuteleacutechargements lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdformdata Supprimer lrsquohistorique de remplissage automatique desformulaire lors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdhistory Supprimer lrsquohistorique lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpdofflineApps Supprimer les applications disponibles hors connexionlors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdpasswords Supprimer les mots de passe enregistreacutes lors drsquoune sup-pression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsessions Supprimer les sessions en cours enregistreacutees lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsiteSettings Supprimer les paramegravetres par site lors drsquoune suppressiondes donneacutees priveacutees
Au choix de lrsquoentiteacute
privacysanitizesanitizeOnShutdown
Supprimer les donneacutees priveacutees agrave la fermeture du naviga-teur
En cas de besoin speacute-cifique de lrsquoentiteacute
Viennent pour finir divers autres paramegravetres lieacutes agrave la confidentialiteacute
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownsessions effacer les sessions de navigation en cours lors
de la fermeture du navigateurtrue
privacyclearOnShutdowncookies effacer les cookies de navigation lors de lafermeture du navigateur
true
privacydonottrackheaderenabled Activer Do-Not-Track true
geoenabled activer la geacuteolocalisation false
geowifiuri URI du service de geacuteolocalisation agrave utiliser Mettre agrave videnetworkprefetch-next Teacuteleacutechargement preacutedictif anticipeacute des docu-
ments lieacutes agrave la page Web visiteacutes (link prefetch-ing)26
false pour eacuteviter lrsquoeacutetablisse-ment de connexions et leteacuteleacutechargement de contenunon solliciteacutes
medianavigatorpermissiondisabled Contourne la permission drsquoacceacuteder agrave la web-cam
false
networkhttpsendRefererHeader Activer lrsquoenvoi de lrsquoentecircte referer 0 pour plus drsquoanonymat ou 2pour ne pas empecirccher le fonc-tionnement de certains sites
browsersend_pings Activer lrsquoenvoi de requecircte POST lors du clicsur un lien (fonctionnaliteacute souvent utiliseacuteepour tracer les clics)
false
26 Le link prefetching permet drsquoacceacuteleacuterer le surf en anticipant le chargement des documents lieacutes agrave la page visiteacutesLrsquoimpleacutementation de ce meacutecanisme dans Firefox ne transmet aucune information agrave Mozilla Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsWebHTTPLink_prefetching_FAQ
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 22 sur 40
Filtrage de contenu
Actions autoriseacutees aux les scripts
Nom de paramegravetre Description Valeur recommandeacuteedomallow_scripts_to_close_windows Autoriser les scripts agrave fermer
une fenecirctrefalse
domdisable_image_src_set Interdire la modification desimages sources par script
false
domdisable_window_flip Interdire le changement defenecirctre active par script
true
domdisable_window_move_resize Deacutetermine si les fenecirctrespeuvent ecirctre bougeacutees or red-imensionneacutees par script
false
domdisable_window_open_featureclose Interdire la creacuteation defenecirctre sans bouton defermeture
true pour eacuteviter les popups in-vasifs
domdisable_window_open_featurelocation Interdire la creacuteation defenecirctre sans barre drsquoadresse
true pour que lrsquoutilisateur puissetoujours veacuterifier ecirctre agrave lrsquoadressepreacutevue
domdisable_window_open_featurestatus Interdire la creacuteation defenecirctre sans barre de status
true pour que lrsquoutilisateur puissese rendre contre plus facilementdes tentatives de spoofing
domdisable_window_open_featuretitlebar Interdire la creacuteation defenecirctre sans barre de titre
true pour que lrsquoutilisateur puissebien voir qursquoil srsquoagit drsquoun popupFirefox
domdisable_window_open_featuretoolbar Interdire la creacuteation defenecirctre sans barre drsquooutils
false
domeventclipboardeventsenabled Permettre agrave un script desaisir les eacuteveacutenements dupresse papier
false
domeventcontextmenuenabled Permettre agrave un script desaisir les eacuteveacutenements drsquoac-cegraves au menu contextuel (clicdroit)
false
dominter-app-communication-apienabled Activer la communicationpar API entre applications
false
domipcpluginsenabled Activation du plugin con-tainer
true pour exeacutecuter les pluginsdans le plugin-container
domipcpluginsjavaenabled Exeacutecuter Java au sein duplugin-container
false pour eacuteviter des problegravemesde stabiliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 23 sur 40
Nom de strateacutegie Description Valeur recommandeacuteebrowsersafebrowsingenabled Utiliser la navigation seacutecuriseacutee
(protection contre le phishing etles logiciels malveillants)27
true
javascriptenabled Activation de Javascript true
securityxpconnectpluginunrestricted Autoriser le scripting de pluginspar des scripts qui ne sont pasde confiance
false agrave moins drsquoune incompatibiliteacute avecdes plugins etou pages Web neacutecessaires agravelrsquoentiteacute
securitymixed_contentblock_active_content
Bloquer le contenu mixte actif true
securitymixed_contentblock_display_content
Bloquer le contenu mixte passif false
securityfileuristrict_origin_policy
Politique drsquoorigine stricte pourles URi de type fichiers
true sauf pour les populations dedeacuteveloppeurs qursquoun tel paramegravetre pourraitbloquer pour le deacuteveloppement en local
networkcookiecookieBehavior Politique de gestion des cookies 1 pour nrsquoautoriser que les cookies duserveur drsquoorigine et bloquer les cookiestiers
networkcookielifetimePolicy Politique drsquoexpiration des cook-ies
2 pour conserver les cookies pendant toutela dureacutee de la session seulement
networkcookiethirdpartysessionOnly Restreindre les cookies tiers agrave ladureacutee de la session seulement
true
networkjaropen-unsafe-types Nrsquoouvrir que les jar servis avecun content-type adeacutequat
false
privacypopupspolicy Politique de popups 1 pour activer les popups ou 2 pour lesrejeter mais cela rendrait la navigationdifficile voire impossible sur une quantiteacutede sites Internet non neacutegligeable
privacypopupsshowBrowserMessage Afficher un message lorsqursquounpopup a eacuteteacute bloqueacute
true
browserpopupsshowPopupBlocker Afficher lrsquoicocircne du bloqueur depopups dans la barre de status
true
securitycspenable Activer la Content Security Pol-icy (politique de seacutecuriteacute descontenus) qui permet de deacute-tecter et de limiter lrsquoimpact decertains types drsquoattaques
true
full-screen-apienabled Activer lrsquoAPI permettant drsquoaf-ficher du contenu en plein eacutecranpour les modules compleacutemen-taires
false
notificationfeatureenabled Permettre les notifications sur lebureau
false
27 La fonctionnaliteacute de navigation seacutecuriseacutee consiste agrave synchroniser une liste locale drsquoadresses de sites maveillants(depuis les serveurs de Google par deacutefaut depuis que Firefox utilise leur service) pour alerter lrsquoutilisateur srsquoil srsquoapprecircte agraveen visiter un Elle consiste eacutegalement agrave analyser le contenu des pages pour repeacuterer drsquoeacuteventuelles tentatives drsquohameccedilonnage
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 24 sur 40
Moteur de recherche par deacutefaut
La configuration drsquoun moteur de recherche personnaliseacute ne peut pas se faire simplement par fichierde configuration et neacutecessite le deacuteploiement drsquoun module de recherche (search engine plugin) LrsquoannexeIV illustre la teacuteleacute-deacuteploiement drsquoun module de recherche utilisant le moteur franccedilais httpswwwqwantcom 28
Nom de paramegravetre Description Exemplebrowsersearchdefaultenginename Moteur de recherche par deacutefaut Qwantcom
browsersearchdefaulturl URL du moteur de recherche pardeacutefaut
httpswwwqwantcomq=searchTerms
browsersearchlog Journalisation de lrsquoutilisation desservices de recherche agrave des fins dedeacuteboggage
false
browsersearchopenintab Ouvrir les reacutesultats de recherchedans un nouvel onglet
false
browsersearchorder1 Moteur de recherche agrave utiliser enprioriteacute 1
Qwantcom
browsersearchsuggestenabled activer les suggestions false
browsersearchupdate Recherche de mises agrave jour pour lesmodules de recherche
false
keywordenabled Permettre de faire une recherchedepuis la barre drsquoadresse
true
Page(s) drsquoaccueil
Nom de strateacutegie Description Valeur recommandeacuteestartuphomepage_override_url Page drsquoaccueil apregraves une mise agrave jour de Firefox En fonction du choix de lrsquoentiteacutestartuphomepage_welcome_url Page drsquoaccueil au premier deacutemarrage En fonction du choix de lrsquoentiteacutebrowserstartuphomepage Page drsquoaccueil about blank pour une page vide
ou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
browserstartuppage Page drsquoaccueil 1 pour ouvrir la page drsquoac-cueil indiqueacutee par le paramegravetrebrowserstartuphomepage
browsersessionstoreresume_from_crash
Restauration de session apregraves crash false
browsersessionstoreenabled Activer le service de restauration de session false
browsernewtaburl Page ouverte par deacutefaut lors de la creacuteationdrsquoun nouvel onglet de navigation
about blank pour une page videou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
28 Ceci nrsquoest en aucun cas une recommandation ni une incitation agrave son utilisation mais un simple exemple
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 25 sur 40
Authentification HTTP
Nom de strateacutegie Description Valeur recommandeacuteenetworkauthforce-generic-ntlm Utiliser le module drsquoauthen-
tification NTLM de Firefoxplutocirct que celui fourni parles APIs du systegraveme
false
networkauthuse-sspi Utiliser SSPI plutocirct queGSSAPI pour lrsquoauthentifica-tion Kerberos
true sous Windows
networkntlmsend-lm-response Envoyer le LM Hash dans lareacuteponse NTLM
false
networkautomatic-ntlm-authallow-proxies
Authentification par NTLMautomatique avec lesserveurs proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networkautomatic-ntlm-authtrusted-uris
Liste des URIs autoriseacuteespour lrsquoauthentification parNTLM automatique
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationNTLM automatique
networkautomatic-ntlm-authallow-non-fqdn
Autoriser lrsquoauthentificationNTLM automatique avecdes sites sans FQDN
false agrave moins que la liste networkautomatic-ntlm-authtrusted-uris comporte des adressessans FQDN
networknegotiate-authallow-non-fqdn
Autoriser lrsquoauthentificationSPNEGO avec des sites sansFQDN
En fonction de lrsquoentiteacute
networknegotiate-authallow-proxies
Autoriser SPNEGO29si de-mandeacute par un serveur proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networknegotiate-authdelegation-uris
Liste des URIs autoriseacuteespour lesquels le navigateurpeut deacuteleacuteguer lrsquoautorisationde lrsquoutilisateur
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites auxquels elle souhaite permettre ladeacuteleacutegation SPNEGO
networknegotiate-authtrusted-uris Liste des URIs autoriseacuteespour engager une authentifi-cation SPNEGO
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationSPNEGO
networknegotiate-authgsslib Chemin vers une librairieGSSLIB speacutecifique
Mettre agrave vide
networknegotiate-authusing-native-gsslib
Utiliser la librairie GSSLIBnative du systegraveme
true
securitydefault_personal_cert Choix du certificat drsquoau-thentification client
Ask Every Time
29 SPNEGO est un standard qui permet de neacutegocier de lrsquoauthentification Kerberos NTLM ainsi que drsquoautresprotocoles supporteacutes pour le systegraveme SPNEGO est eacutegalement connu sous le nom du protocole drsquoauthentificationlaquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 26 sur 40
Serveur mandataire
Nom de paramegravetre Description Valeur recommandeacuteenetworkproxyautoconfig_url URL de configuration automatique du
proxyLaisser agrave vide
networkproxyftp Adresse du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyftp_port port du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp Adresse du proxy proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp_port port du proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyno_proxies_on Liste drsquoexceptions agrave lrsquoutilisation du serveurproxy
A minima localhost 127001 etdavantage en fonction de lrsquoentiteacute etdu peacuterimegravetre drsquoutilisation du naviga-teur
networkproxyshare_proxy_settings
Utiliser le mecircme proxy pour tous les pro-tocoles
false
networkproxysocks Adresse du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_port port du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_remote_dns
Reacutealiser les requecirctes DNS via le proxysocks
false
networkproxysocks_version Version du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl Adresse du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl_port port du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxytype Type drsquoutilisation du proxy 1 pour utiliser les valeurs in-diqueacutees par les paramegravetres ci-dessus(networkproxy)
networkhttpproxyversion version de proxy 11 par deacutefaut et en fonction duserveur proxy de lrsquoentiteacute
networkhttpproxypipelining Activer le pipelining30par proxy false pour des raisons de compat-ibiliteacute Lrsquoentiteacute peut choisir de lrsquoac-tiver si le pipelining est supporteacute parson serveur proxy drsquoentreprise
signonautologinproxy Saisie automatique du mot de passe deproxy
false
30 Le pipelining permet de faire plusieurs requecirctes HTTP simultaneacutement plutocirct que de les faire seacutequentiellement enattendant les reacuteponses de chacune drsquoentre elles Pour plus drsquoinformations httpwww-archivemozillaorgprojectsnetlibhttppipelining-faqhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 27 sur 40
Peacuterimegravetre de navigation
Nom de paramegravetre Description Valeur recommandeacuteenetworkprotocol-handlerexpose-all
Deacutetermine si le navigateur essayedrsquoouvrir les liens cliqueacutes dans lenavigateur en prioriteacute avant delaisser le systegraveme srsquoen charger en casdrsquoeacutechec (si le protocole du lien enquestion nrsquoest pas supporteacute par lenavigateur)
true
networkprotocol-handlerwarn-external-default
Avertir lrsquoutilisateur avant decharger un gestionnaire deprotocole tiers
true
networkprotocol-handlerexternal-default
Action pour lrsquoouverture drsquoun pro-tocole non pris en charge par lenavigateur
false de maniegravere agrave ne pas essayerde charger des protocoles non pris encharge nativement par le navigateur Lrsquoen-titeacute renseignera eacuteventuellement des ges-tionnaires de protocoles tiers pour desprotocoles qursquoelle souhaite explicitementpermettre tels que NNTP Mailto etc Pour illustrer par lrsquoexemple avecMailto le paramegravetre networkprotocol-handlerexternalmailto aurait pour valeurtrue et le paramegravetre networkprotocol-handlerappmailto avec pour valeur lechemin drsquoun exeacutecutable comme MozillaThunderbird ou Microsoft Outlook
networkprotocol-handlerexternalfile
Gestionnaire de protocole filesous Firefox
false
networkprotocol-handlerexternalftp
Gestionnaire de protocole ftpsous Firefox
false
geckohandlerServiceallowRegisterFromDifferentHost
Autoriser les sites Web agrave installerdes gestionnaires de protocoles oude contenus utilisable pour deshocirctes tiers
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 28 sur 40
Administration systegraveme maintenance et options diverses
Parameacutetrage des mises agrave jour
Nom de paramegravetre Description Valeur recommandeacuteeappupdateenabled Activation de la mise agrave jour automatique true
appupdateauto Teacuteleacutechargement et installationautomatiques (neacutecessite que le paramegravetreappupdateenabled ait pour valeurtrue)
true
appupdatecertcheckAttributes Veacuterifie les attributs du certificat du serveurde mise agrave jour
false
appupdatecertrequireBuiltIn Requiert lrsquointeacutegration des certificats duserveur de mise agrave jour et de toutes lesredirections intermeacutediaires
false
appupdatechannel Canal de mise agrave jour esr pour la version ESR de FirefoxappupdatedownloadbackgroundInterval
Temps de pause (en secondes) entrechaque teacuteleacutechargement en arriegravere plandrsquoun morceau de 300 Kb de mise agrave jour
Au choix de lrsquoentiteacute
appupdateidletime Temps de pause (en secondes) entre chaqueteacuteleacutechargement agrave la demande de lrsquoutilisa-teur) drsquoun morceau de 300 Kb de mise agravejour
60
appupdateinterval Intervalle de temps entre chaque veacuterifica-tion de disponibiliteacute de nouvelles mises agravejour
43200
appupdatemode Deacutetermine quelles mises agrave jour sontteacuteleacutechargeacutees en arriegravere plan
0 pour teacuteleacutecharger toutes les mises agravejour sans intervention de lrsquoutilisateur
appupdateserviceenabled Active le service de mise agrave jour de Firefox true
appupdateshowInstalledUI Deacutetermine si apregraves installation de mise agravejour une boicircte de dialogue informe lrsquoutil-isateur qursquoune mise agrave jour a eacuteteacute installeacutee
Au choix de lrsquoentiteacute
appupdatesilent Active le mode de mise agrave jour silencieux true pour une mise agrave jour silencieuseen arriegravere plan
appupdateurl URL de reacutecupeacuteration des mises agrave jour deFirefox
En fonction de la strateacutegie de mise agravejour de lrsquoentiteacute Pour une mise agrave jourdepuis les serveurs de Mozilla httpsaus3mozillaorgupdate3PRODUCTVERSIONBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONupdatexml sinon lrsquoURLdu serveur de mise agrave jour internede lrsquoentiteacute (qursquoil faudra eacutegalementrenseigner dans le paramegravetreappupdateurloverride)
appupdateurloverride URL de reacutecupeacuteration des mises agrave jour deFirefox
Paramegravetre agrave renseigner uniquementdans le cas ou la mise agrave jour deFirefox se fait depuis lrsquoURL drsquounserveur de mise agrave jour interne delrsquoentiteacute (agrave renseigner en plus duparamegravetre appupdateurl)
appupdateurldetails URL de consultation des informations rel-atives aux mises agrave jour disponibles
Laisser la valeur par deacutefautrhttpswwwmozillaorgLOCALEfirefoxnotes
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 29 sur 40
Configuration du cache
Nom de paramegravetre Description Valeur recommandeacuteebrowsercachecheck_doc_frequency Quand veacuterifier la mise agrave jour drsquoune page en
cache disque3 (veacuterifier quand la page estpeacuterimeacutee)
browsercachecompression_level Niveau de compression du cache disque Au choix de lrsquoentiteacute de 0(pas de compression) agrave 9(haut taux de compressionavec forte sollicitation du pro-cesseur)
browsercachediskcapacity Espace disque alloueacute au cache disque enKb
Au choix de lrsquoentiteacute
browsercachediskenable Utiliser le cache disque true
browsercachediskmax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache disque
Au choix de lrsquoentiteacute
browsercachedisksmart_sizeenabled Allocation intelligente de lrsquoespace disquealloueacute au cache en fonction de lrsquoespacedisponible
Au choix de lrsquoentiteacute
browsercachedisk_cache_ssl Mettre en cache disque les pages visiteacuteesen HTTPS
False de maniegravere agrave ne pasmettre en cache le contenuSSL
browsercachememoryenable Utiliser le cache meacutemoire true
browsercachememorymax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache meacutemoire
Au choix de lrsquoentiteacute
browsercachememory_limit Meacutemoire maximum utiliseacutee pour le cachemeacutemoire en Kb
Au choix de lrsquoentiteacute
browsercacheofflinecapacity Espace disque alloueacute au cache des applica-tions Web
Au choix de lrsquoentiteacute
browsercacheofflineenable Utiliser le cache des applications Web per-mettant une utilisation hors ligne
Au choix de lrsquoentiteacute
browsercacheuse_new_backend Utilisation du nouveau systegraveme de cache 0 (ne pas utiliser pour desquestions de stabiliteacute)
networkhttpuse-cache Utiliser le cache des documents HTTP true
mediacache_size Taille du cache pour les fichiers multimedia Au choix de lrsquoentiteacute par deacute-faut 512000
domstoragedefault_quota Quota de stockage cocircteacute client pour lespages Web
5120 taille par deacutefaut
domstorageenabled Active le stockage cocircteacute client pour les pagesWeb
true agrave deacutefaut de vulneacuterabil-iteacutes connues pour cette fonc-tionnaliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 30 sur 40
Deacutesactiver les options de deacuteveloppement (sauf pour les populations de deacuteveloppeurs)
Nom de paramegravetre Description Valeur recommandeacuteedevtoolsappmanagerenabled Activation des outils de deacuteveloppement module appmanager false
devtoolsdebuggerenabled Activation des outils de deacuteveloppement module deacutebogueur false
devtoolserrorconsoleenabled Activation des outils de deacuteveloppement module consoledrsquoerreurs
false
devtoolsfontinspectorenabled Activation des outils de deacuteveloppement module inspecteurde polices
false
devtoolsinspectorenabled Activation des outils de deacuteveloppement module inspecteur false
devtoolsnetmonitorenabled Activation des outils de deacuteveloppement module reacuteseau false
devtoolsprofilerenabled Activation des outils de deacuteveloppement module profileur false
devtoolsshadereditorenabled Activation des outils de deacuteveloppement module vue adaptive false
devtoolsstyleeditorenabled Activation des outils de deacuteveloppement module editeur destyles
false
devtoolstiltenabled Activation des outils de deacuteveloppement module tilt false
devtoolstoolbarenabled Activation des outils de deacuteveloppement module barre dedeacuteveloppement
false
Configurations diverses
Nom de paramegravetre Description Valeur recommandeacuteenetworkseerenable-hover-on-ssl Activer seer sur SSL false
networkseerenabled Activer seer false
networkhttppipelining Activer le pipelining pour le surfHTTP11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttppipeliningssl Activer le pipelining pour le surfHTTPS11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttpspdyenabled Activer SPDY31 false
networkhttpspdyenabledv2 Activer SPDY v2 false
networkhttpspdyenabledv3 Activer SPDY v3 false
networkhttpspdyenabledv3-1 Activer SPDY v31 false
browsershellcheckDefaultBrowser Veacuterifier si Firefox est configureacutecomme navigateur par deacutefaut
false dans le cadre de double naviga-teurs
browserdownloadmanagerscanWhenDone
Scan antivirus drsquoun fichier lorsqueson teacuteleacutechargement est termineacute
true
browserdownloaduseDownloadDir Utiliser le reacutepertoire de teacuteleacutecharge-ment par deacutefaut
false pour que lrsquoutilisateur indique agravequel emplacement il souhaite teacuteleacutechargerle fichier
browserfullscreenautohide Cacher la barre drsquooutils et drsquoongletsen mode plein eacutecran
false
31 SPDY est un protocole reacuteseau expeacuterimental de Google visant agrave augmenter les capaciteacutes du protocole HTTP pourreacuteduire le temps de chargement des pages Web en classant les objets par ordre de prioriteacute et en multiplexant les transfertspour ne neacutecessiter qursquoune seule connexion Ce protocole est vulneacuterable aux attaques CRIME (Compression Ratio Info-leakMade Easy) lorsqursquoil est utiliseacute avec HTTPS (ce qui est geacuteneacuteralement le cas)
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 31 sur 40
Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP
Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory
Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation
La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32
Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers
Fichiers de configuration
La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte
ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet
ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes
Fichier local-settingsjs
pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)
Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 32 sur 40
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
serveurs mandataires avec authentification peut donc bloquer des connexions sortantes malveillantesIl srsquoavegravere alors judicieux drsquoimposer lrsquoutilisation du serveur mandataire (proxy) par configuration cen-traliseacutee sur les postes utilisateurs
R18 Privileacutegier lrsquoutilisation de serveurs mandataires avec authentification
Note Cette recommandation peut ecirctre renforceacutee par des regravegles de filtrage de pare-feu
428 Authentification HTTP
Il est possible de durcir la seacutecuriteacute des authentifications utilisant NTLM 16 ou SPNEGO 17 surFirefox degraves lors que lrsquoune drsquoentre elles est utiliseacutee par lrsquoentiteacute qui le deacuteploie Il est par exemplerecommandeacute de speacutecifier la liste des serveurs autoriseacutes agrave engager une authentification SPNEGO ouune authentification NTLM automatique
R19 Speacutecifier la liste des serveurs autoriseacutes agrave engager une authentification SPNEGO ou uneauthentification NTLM automatique
Note Lrsquoutilisation de NTLM nrsquoest pas conseilleacutee Kerberos eacutetant le protocole drsquoauthentification agraveprivileacutegier
429 Peacuterimegravetre de navigation
Il est recommandeacute de restreindre le peacuterimegravetre de navigation en interdisant certains scheacutemas drsquoadressesavec les protocol-handlers
R20 Interdire a minima le scheacutema drsquoadresses file pour un navigateur deacutedieacute agrave la navigationsur Internet de maniegravere agrave eacuteviter des accegraves arbitraires au systegraveme de fichiers Le scheacutemaftp pourrait eacutegalement ecirctre interdit au profit de lrsquoutilisation drsquoun client FTP tiers
Note Lrsquoutilisation du navigateur Firefox ne sera alors plus possible pour afficher des pages htmldirectement depuis un systegraveme de fichiers (CD-ROM disque local ou distant via un partage reacuteseauetc)
Ces listes preacutesentent eacutegalement un inteacuterecirct particulier dans le cadre drsquoune strateacutegie de doublenavigateur Ce sujet est deacutetailleacute en section laquo Strateacutegie de double navigateur raquo
4210 Administration systegraveme et maintenance
Divers paramegravetres de Firefox relegravevent de sa maintenance et certaines preacutecautions doivent ecirctreprises pour eacuteviter des problegravemes de compatibiliteacute de confidentialiteacute des donneacutees utilisateurs voire dedisponibiliteacute des postes de travail La liste complegravete de ces paramegravetres figure en annexe I
43 Teacuteleacute-deacuteploiement initial
Firefox au mecircme titre que les autres logiciels devrait ideacutealement ecirctre installeacute sur les postes detravail par teacuteleacute-deacuteploiement Une telle meacutethode de deacuteploiement est un des fondamentaux drsquoun systegravemedrsquoinformation controcircleacute et maicirctriseacute En effet il permet de maicirctriser les installations drsquohomogeacuteneacuteiser les
16 NTLM (NT Lan Manager) est une suite de protocoles drsquoauthentification de Microsoft qui ne supporte pas lesmeacutethodes cryptographiques reacutecentes comme AES ou SHA-25617 SPNEGO (Simple and Protected GSSAPI Negociation Mechanism) est un standard qui permet de neacutegocier de
lrsquoauthentification Kerberos NTLM ainsi que drsquoautres protocoles supporteacutes pour le systegraveme SPNEGO est eacutegalementconnu sous le nom du protocole drsquoauthentification laquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 10 sur 40
versions et configurations mais aussi de proceacuteder aux mises agrave jour de maniegravere reacuteactive et efficace
Le teacuteleacute-deacuteploiement de logiciel peut se faire de plusieurs maniegraveres ndash au format MSI par GPO (strateacutegies de groupe pour la gestion centraliseacutee) dans un domaine
Microsoft Active Directory Attention toutefois puisque Mozilla ne fournit Firefox qursquoau formatexeacutecutable il sera donc neacutecessaire de construire un package Firefox au format MSI Des eacutediteurstiers proposent de tels paquets mais ces eacutediteurs nrsquooffrent pas de garantie forte de lrsquointeacutegriteacute deslogiciels qursquoils fournissent Il est par conseacutequent preacutefeacuterable que lrsquoorganisation utilisatrice geacutenegravereses propres fichiers MSI
ndash au format exeacutecutable agrave lrsquoaide drsquoun outil de gestion de parc ou de tout autre produit tiers preacutevuagrave cet effet
44 Gestion des mises agrave jour
La mise agrave jour reacuteactive du navigateur est primordiale pour se preacutemunir des vulneacuterabiliteacutes reacuteguliegravere-ment deacutetecteacutees et corrigeacutees Lrsquoutilisation drsquoun navigateur preacutesentant des vulneacuterabiliteacutes connues par despersonnes malveillantes expose le poste de travail agrave une attaque Deux strateacutegies diffeacuterentes de mise agravejour de Firefox peuvent alors ecirctre envisageacutees
ndash la premiegravere consiste agrave simplement laisser la configuration par deacutefaut le navigateur va alorsautomatiquement teacuteleacutecharger les mises agrave jour aupregraves des serveurs de Mozilla Il convient dans cecas de srsquoassurer que les postes de travail sont en mesure drsquoacceacuteder aux serveurs de mise agrave jour deMozilla sur Internet ideacutealement au travers du proxy drsquoentreprise qui pourra notamment mettreen cache les binaires
ndash la configuration alternative consiste agrave remplacer lrsquoURL de mise agrave jour (agrave lrsquoaide du paramegravetre deconfiguration appupdateurloverride) 18 par une URL locale qui mettra les mises agrave jour agravedisposition des postes de travail
Le tableau suivant syntheacutetise les avantages et inconveacutenients des deux meacutethodes
Meacutethode Avantages Inconveacutenientsclassique par deacutefautles navigateurs se mettentagrave jour automatiquementaupregraves des serveurs deMozilla par Internet
- mise en œuvre aiseacutee par les servicesinformatiques - haut taux de disponibiliteacute desserveurs de mise agrave jour de Mozilla
- ne permet pas aux ser-vices informatiques de testeret valider les mises agrave jouravant leur deacuteploiement no-tamment lors de lrsquoutilisationdrsquoapplications Web meacutetier peureacutepandues - peu adapteacute pour un naviga-teur deacutedieacute agrave lrsquoIntranet
controcircleacutee la mise agrave jourautomatique de Firefox estdeacutesactiveacutee et les servicesinformatiques mettent lesmises agrave jour agrave dispositiondes postes de travail depuisun serveur local
- permet de tester et valider les misesagrave jour avant deacuteploiement - permet drsquoadapter les configu-rations centraliseacutees du navigateurpour tenir compte des eacuteventuellesnouvelles fonctionnaliteacutes avant deacute-ploiement - permet de bloquer tout le trafic agravedestination des serveurs de Mozilla
- freine la reacuteactiviteacute des misesagrave jour - neacutecessite des moyens hu-mains importants
18 Pour plus drsquoinformations sur la mise en œuvre drsquoun serveur de mises agrave jour local httpsdevelopermozillaorgen-USdocsMozillaSetting_an_update_server
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 11 sur 40
Il sera nettement moins risqueacute (du point de la compatibiliteacute) de retenir le mode classique (automa-tique) pour les versions ESR de Firefox eacutetant donneacute que les mises agrave jour concernent des correctifs deseacutecuriteacute agrave haut risque et nrsquoapportent aucune nouvelle fonctionnaliteacute En revanche les versions standardsde Firefox peuvent recevoir des mises agrave jour fonctionnelles importantes qursquoil serait plus pertinent decontrocircler preacutealablement
La probleacutematique des mises agrave jour concerne eacutegalement les extensions Bien qursquoil soit recommandeacutede les interdire dans le cadre drsquoune configuration durcie une entiteacute peut vouloir en deacuteployer certainespour de bonnes raisons La mise agrave jour des extensions est indeacutependante du meacutecanisme de mise agravejour du navigateur Elles peuvent ecirctre mises agrave jour automatiquement (comportement par deacutefaut) oumanuellement quelle que soit la strateacutegie de mise agrave jour choisie pour le navigateur
Le maintien en conditions de seacutecuriteacute des plugins devra par ailleurs ecirctre geacutereacute indeacutependamment dunavigateur chaque plugin ayant ses speacutecificiteacutes quant aux meacutecanismes de mise agrave jour utiliseacutes
Concernant le service Mozilla Maintenance Service (service chargeacute des mises agrave jour de Firefox) cedernier srsquoexeacutecute avec les droits qui lui sont propres pour la mise agrave jour du navigateur et ce quels quesoient les droits de lrsquoutilisateur
5 Strateacutegie de double navigateur
La seacutecuriteacute des systegravemes drsquoinformation impose souvent un navigateur qui doit ecirctre durci pourlrsquoaccegraves agrave Internet mais plus permissif pour lrsquoaccegraves aux applications internes Lorsque certains serveursWeb internes utilisent des appliquettes Java par exemple neacutecessitant le deacuteploiement de modulescompleacutementaires Java le navigateur finit par avoir une surface drsquoattaque tregraves importante et exposeainsi lrsquoentiteacute agrave un des vecteurs drsquoattaque les plus critiques et massivement exploiteacutes 19
Pour traiter cette probleacutematique lorsqursquoelles disposent des ressources neacutecessaires en particulierpour en assurer le maintien en conditions de seacutecuriteacute de plus en plus drsquoentiteacutes srsquoorientent vers lrsquousagede deux navigateurs diffeacuterents Il devient alors possible
ndash drsquoen deacutedier un agrave la navigation sur Internet De par sa configuration durcie sa surface drsquoattaqueest reacuteduite au maximum Il est maintenu en conditions de seacutecuriteacute avec la plus grande attentionLes eacutequipes de veille scrutent la moindre vulneacuterabiliteacute dont le navigateur Internet fait lrsquoobjetLes eacutequipements de filtrage et drsquoanalyse du trafic sont utiliseacutes pour repeacuterer tout comportementsuspect de navigation sur Internet
ndash drsquoen deacutedier un deuxiegraveme agrave lrsquoaccegraves aux serveurs internes neacutecessitant par exemple un module com-pleacutementaire qui peut faire lrsquoobjet de vulneacuterabiliteacutes freacutequentes ou qui neacutecessite une configurationplus permissive Il est alors possible de le configurer pour permettre uniquement lrsquoaccegraves et lrsquousagede lrsquoensemble des sites et applications leacutegegraveres de lrsquoIntranet
Une telle strateacutegie de double navigateur doit neacutecessairement srsquoaccompagner de mesures de seacutecuriteacutetechniques permettant de garantir le peacuterimegravetre drsquoutilisation de chaque navigateur par des paramegravetresde configuration verrouilleacutes Le tableau suivant en donne quelques exemples
19 Voir les recommandations de seacutecuriteacute publieacutees par lrsquoANSSI relatives aux environnements drsquoexeacute-cution Java sur les postes de travail Microsoft Windows agrave lrsquoadresse httpwwwssigouvfrfrguides-et-bonnes-pratiquesrecommandations-et-guidessecurite-du-poste-de-travail-et-des-serveursrecommandations-de-securite-relatives-aux-environnements-d-execution-java-surhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 12 sur 40
Composant Action ValeurServeur mandataire Autoriser User-Agent du navigateur Internet (ou plus strictement de la
derniegravere version de ce dernier)Bloquer Tout autre User-Agent non autoriseacute
Pare-feu locaux despostes de travail
Autoriser TCP en sortie vers le serveur mandataire depuis - le processus du navigateur Internet (chemin complet delrsquoexeacutecutable) - les autres processus eacuteventuels autoriseacutes agrave acceacuteder agrave Internetvia le serveur mandataire
Bloquer TCP en sortie vers le serveur mandataire depuis tout autreprocessus
Pare-feu de passerelleInternet
Autoriser TCP en sortie vers les ports 443 et 80 depuis - lrsquoIP source du serveur mandataire - les autres IP sources eacuteventuelles autoriseacutees agrave sortir en directsur Internet sans passer par le serveur mandataire
Bloquer TCP en sortie vers ports 443 et 80 depuis toute autre IP sourceApplocker (ou SRP) surles postes de travail
Autoriser lrsquoexeacutecution Chemin complet de lrsquoexeacutecutable des navigateurs autoriseacutes
Bloquer lrsquoexeacutecution Tout autre exeacutecutable de navigateur interdit
Les regravegles de configuration deacutecrites en annexe I section laquo Peacuterimegravetre de navigation raquo permettentalors de mettre en œuvre une partie de ces mesures de seacutecuriteacute et de restreindre le peacuterimegravetre denavigation possible de chacun des navigateurs
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 13 sur 40
Les figures suivantes illustrent de maniegravere syntheacutetique les mesures de seacutecuriteacute appliqueacutees agrave unestrateacutegie de double navigateur
Figure 1 ndash Illustration drsquoune strateacutegie de double navigateur cas ougrave Firefox est utiliseacute commenavigateur Internet
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 14 sur 40
Figure 2 ndash Illustration drsquoune strateacutegie de double navigateur cas ougrave Firefox est utiliseacute commenavigateur Intranet
Ces figures illustrent deux cas distincts Le navigateur Firefox y est repreacutesenteacute mais la strateacutegieserait eacutequivalente avec drsquoautres navigateurs
Les regravegles de configuration recommandeacutees en annexe I se precirctent agrave un contexte ougrave le navigateur estdeacutedieacute agrave la navigation sur Internet
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 15 sur 40
Annexe I Strateacutegies de seacutecurisation de Firefox
Cette annexe liste sous forme de tableaux les valeurs recommandeacutees permettant de mettre en œuvreles recommandations formuleacutees dans cette note technique La liste des paramegravetres de configurationdisponibles est sujette agrave des eacutevolutions freacutequentes et certains sont peu voire pas documenteacutes Lesrecommandations et leurs indications de mise en œuvre figurant dans ce document sont baseacutees sur lesparamegravetres de configuration de Firefox dans sa version ESR 31 Ces derniers pourront ecirctre adapteacutesselon la version du navigateur deacuteployeacutee agrave la date de lecture du document
Depuis un navigateur Firefox il est possible drsquoafficher et de modifier les paramegravetres de configurationappliqueacutes en tapant aboutconfig dans la barre drsquoadresse Les paramegravetres verrouilleacutes sont afficheacutes enitalique La page aboutsupport affiche quant agrave elle un reacutecapitulatif des informations systegravemes etde version ainsi que les modifications importantes apporteacutees agrave la configuration par deacutefaut du navigateur
En environnement professionnel il est conseilleacute de deacuteployer une configuration de maniegravere centraliseacuteecomme expliqueacute en annexe II Pour un usage personnel de Firefox il est eacutegalement possible de srsquoinspirerde tout ou partie des paramegravetres indiqueacutes dans ce document agrave partir de la page aboutconfig
Seacutecuriteacute des modules compleacutementaires
Les regravegles de configuration preacutefixeacutees par le terme laquo extensions raquo ne srsquoappliquent pas toujoursuniquement aux extensions comme elles pourraient le laisser entendre mais parfois plus largementaux plugins voire aux modules compleacutementaires dans leur ensemble Il convient donc drsquoecirctre vigilantquant au peacuterimegravetre reacuteel drsquoapplication des regravegles de configuration dont les noms pourraient precircter agraveconfusion
Nom de strateacutegie Description Valeur recommandeacuteeextensionsautoDisableScopes Les extensions peuvent
ecirctre deacutesactiveacuteesautomatiquement enfonction de leur localisation
3 (les extensions deacuteposeacutees dans le profil Firefox delrsquoutilisateur ou dans le profil utilisateur Windowsseront automatiquement deacutesactiveacutees20)
extensionsenabledScopes Les extensions peuvent ecirctreactiveacutees automatiquementen fonction de leurlocalisation21
12 (seules les extensions reacutefeacuterenceacutees par une entreacutee enbase de registres22 ou deacuteposeacutees dans le sous-dossierdrsquoextensions agrave lrsquoemplacement de lrsquoexeacutecutable FireFoxseront activeacutees Attention ce paramegravetre a prioriteacute surextensionsautoDisableScopes
20 Contrairement agrave ce qursquoindique la MozillaZine Knownledge Base le paramegravetre extensionsautoDisableScopes nepermet pas de deacutesactiver un plugin pour ce faire il convient drsquoutiliser les paramegravetres pluginstatex21 Pour plus drsquoinformations sur le paramegravetre extensionsenabledScopes httpsdevelopermozillaorgen-US
Add-onsInstalling_extensions22 Article de Mozilla expliquant lrsquoajout la mise agrave jour et la suppression drsquoextensions ou de plugins pour Firefox par
base de registre httpsdevelopermozillaorgen-USdocsAdding_Extensions_using_the_Windows_Registry
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 16 sur 40
Nom de paramegravetre Description Valeur recommandeacuteeextensionsblocklistenabled Teacuteleacutechargement reacutegulier drsquoune
liste noire de modules reacutefeacuterenceacutescomme eacutetant malveillants
false si seuls les modules teacuteleacute-deacuteployeacutes par leseacutequipes informatique sont installeacutes ou true silrsquoutilisateur est en mesure drsquoinstaller des moduleslui-mecircme
extensionsblocklistdetailsURL
URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules
Celle par deacutefaut (httpswwwmozillaorgLOCALEblocklist)
extensionsblocklistitemURL URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules(variante)
Celle par deacutefaut (httpsaddonsmozillaorgLOCALEAPPblockedblockID)
extensionsblocklistinterval Intervalle de teacuteleacutechargement dela liste noire de modules ensecondes
86400 (soit 1 fois par jour)
extensionsblocklistlevel Niveau de blocage 2 (pour bloquer les extensions de la liste)extensionsblocklisturl Adresse de teacuteleacutechargement de la
liste noire de modulesCelle par deacutefaut (httpsaddonsmozillaorgblocklist3APP_IDAPP_VERSIONPRODUCTBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONPING_COUNTTOTAL_PING_COUNTDAYS_SINCE_LAST_PING)
extensionsenabledAddons Modules activeacutes au deacutemarragede Firefox
Mettre agrave vide
pdfjsdisabled Deacutesactiver la visionneuse PDFinteacutegreacutee agrave Firefox (pdfjs)
true pour que lrsquoutilisateur teacuteleacutecharge les PDF etles visionne via un lecteur PDF tiers maintenu enconditions de seacutecuriteacute par lrsquoentiteacute et ne faisant paslrsquoobjet de vulneacuterabiliteacutes freacutequentes ou false pourautoriser lrsquousage du lecteur de PDF inteacutegreacute
pluginstateflash Configuration drsquoactivation duplugin Flash
1 (demander lrsquoautorisation agrave lrsquoutilisateur avantchaque exeacutecution du plugin Flash) ou 2 (toujoursactiver) au choix de lrsquoentiteacute et en fonction desutilisateurs et des contraintes de seacutecuriteacute
pluginstatejava Configuration drsquoactivation duplugin Java
0 pour ne jamais activer le plugin Java (agrave moinsque lrsquoentiteacute souhaite utiliser ce plugin malgreacute lesrisques de seacutecuriteacute encourus auquel cas la valeuragrave donner serait 1 pour demander lrsquoautorisation agravelrsquoutilisateur agrave chaque exeacutecution du plugin Java)
pluginstatex Configuration drsquoactivation duplugin x ougrave x est agrave remplacerpar le nom court du pluginagrave deacutesactiver (exemple npctrlpour Microsoft Silverlight Lesnoms courts des plugins sontindiqueacutes en affichant leurs infor-mations deacutetailleacutees depuis lrsquointer-face graphique)
0 pour ne jamais activer le plugin ou 1 pourdemander lrsquoautorisation agrave lrsquoutilisateur avant chaqueexeacutecution du plugin
plugindefaultstate Configuration drsquoactivation desautres plugins
0 pour ne jamais activer un plugin non explicite-ment autoriseacute par les regravegles preacuteceacutedentes
plugindefaultXpistate Configuration drsquoactivation desautres plugins au format XPI
0 pour ne jamais activer un plugin au format XPInon explicitement autoriseacute par les regravegles preacuteceacute-dentes
pluginsclick_to_play Cliquer pour lire le contenu neacute-cessitant un plugin
true pour activer le mode laquo Cliquer pour lire raquo
pluginsload_appdir_plugins Chargement automatique desplugins depuis des emplace-ments utiliseacutes avant Firefox 21
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 17 sur 40
Eacutetant donneacute que seuls les modules compleacutementaires teacuteleacute-deacuteployeacutes par les eacutequipes informatiquessont autoriseacutes il est recommandeacute de bloquer toute possibiliteacute drsquoajout de modules compleacutementaires parlrsquoutilisateur
Nom de strateacutegie Description Valeur recommandeacuteeextensionsgetAddonsgetWithPerformanceurl
URL de reacutecupeacuteration drsquoun module compleacutementaire Mettre agrave vide
extensionsgetAddonsmaxResults Nombre de reacutesultats maximum 0extensionsgetAddonsgeturl URL de consultation drsquoun module compleacutementaire Mettre agrave videextensionsgetAddonsrecommendedbrowseURL
URL de consultation des modules compleacutementairesrecommandeacutes
Mettre agrave vide
extensionsgetAddonsrecommendedurl
URL de consultation des modules compleacutementairesrecommandeacutes par API
Mettre agrave vide
extensionsgetAddonssearchbrowseURL
URL de recherche de modules compleacutementaires Mettre agrave vide
extensionsgetAddonssearchurl URL de recherche de modules compleacutementaires parAPI
Mettre agrave vide
extensionsgetAddonsshowPane Afficher le panneau drsquoajout de modules compleacutemen-taires
false
extensionshideInstallButton Cacher le bouton drsquoinstallation manuelle drsquoextensions true
extensionswebservicediscoverURL URL du catalogue drsquoextensions Mettre agrave videxpinstallenabled Autoriser lrsquoinstallation manuelle de modules au format
XPIfalse
xpinstallwhitelistrequired Obligation pour une archive XPI drsquoecirctre en liste blanchepour ecirctre installeacutee manuellement
true
xpinstallwhitelistaddxpinstallwhitelistadd
Liste blanche drsquoarchives XPI pouvant ecirctre installeacuteesmanuellement
Mettre agrave vide
Pour finir lrsquoentiteacute devra choisir sa strateacutegie de mise agrave jour des extensions teacuteleacute-deacuteployeacutees Lrsquoentiteacutequi voudra teacuteleacute-deacuteployer elle-mecircme les versions agrave jour des modules compleacutementaires apregraves une phase devalidation optera pour le parameacutetrage donneacute ci-dessous la responsabiliteacute du maintien en conditions deseacutecuriteacute sera alors deacuteporteacutee sur les services informatiques en charge du deacuteploiement de ces mises agrave jourDans le cas contraire les valeurs par deacutefaut permettent une mise agrave jour automatique des extensionspar Internet
Nom de strateacutegie Description Valeur recommandeacuteeextensionshotfixcertcheckAttributes
Veacuterifie les attributs du certificat de signature descorrectifs teacuteleacutechargeacutes
true
extensionshotfixcerts1sha1Fingerprint
Empreintes attendues du certificat de signature descorrectifs teacuteleacutechargeacutes
Laisser la valeur par deacutefaut(9153980CC186DF478F35229E11C9A7310449A1AA en date dereacutedaction de ce document)
extensionsupdateautoUpdateDefault
Teacuteleacutecharger et installer automatiquement les mises agravejour drsquoextensions
false
extensionsupdatebackgroundURL
URL de teacuteleacutechargement des mises agrave jour drsquoextensionsen arriegravere plan
Mettre agrave vide
extensionsupdateenabled Activer la mise agrave jour des extensions false
extensionsupdateinterval Intervalle de teacuteleacutechargement des mises agrave jour desextensions
86400 (soit 1 fois par jour)
pluginsupdatenotifyUser Notifier lrsquoutilisateur de la preacutesence drsquoune mise agrave jourpour ses modules compleacutementaires
false
pluginsupdateurl URL de mise agrave jour des modules compleacutementaires Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 18 sur 40
SSLTLS et certificats
Le parameacutetrage des suites cryptographiques autoriseacutees peut engendrer des problegravemes de compa-tibiliteacute selon le contexte Il est donc leacutegitime de preacutefeacuterer ne pas modifier la configuration par deacutefautDans un soucis de durcissement les recommandations suivantes pourraient toutefois ecirctre appliqueacutees
Nom de paramegravetre Description Valeur recommandeacuteesecurityssl3dhe_dss_aes_128_sha Autoriser ssl3dhe_dss_aes_128_sha false
securityssl3dhe_dss_aes_256_sha Autoriser ssl3dhe_dss_aes_256_sha false
securityssl3dhe_dss_camellia_128_sha Autoriser ssl3dhe_dss_camellia_128_sha false
securityssl3dhe_dss_camellia_256_sha Autoriser ssl3dhe_dss_camellia_256_sha false
securityssl3dhe_rsa_aes_128_sha Autoriser ssl3dhe_rsa_aes_128_sha true
securityssl3dhe_rsa_aes_256_sha Autoriser ssl3dhe_rsa_aes_256_sha true
securityssl3dhe_rsa_camellia_128_sha Autoriser ssl3dhe_rsa_camellia_128_sha false
securityssl3dhe_rsa_camellia_256_sha Autoriser ssl3dhe_rsa_camellia_256_sha false
securityssl3dhe_rsa_des_ede3_sha Autoriser ssl3dhe_rsa_des_ede3_sha false
securityssl3ecdhe_ecdsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_ecdsa_aes_128_gcm_sha256
true
securityssl3ecdhe_ecdsa_aes_128_sha Autoriser ssl3ecdhe_ecdsa_aes_128_sha true
securityssl3ecdhe_ecdsa_aes_256_sha Autoriser ssl3ecdhe_ecdsa_aes_256_sha true
securityssl3ecdhe_ecdsa_rc4_128_sha Autoriser ssl3ecdhe_ecdsa_rc4_128_sha false
securityssl3ecdhe_rsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_rsa_aes_128_gcm_sha256
true
securityssl3ecdhe_rsa_aes_128_sha Autoriser ssl3ecdhe_rsa_aes_128_sha true
securityssl3ecdhe_rsa_aes_256_sha Autoriser ssl3ecdhe_rsa_aes_256_sha true
securityssl3ecdhe_rsa_des_ede3_sha Autoriser ssl3ecdhe_rsa_des_ede3_sha false
securityssl3ecdhe_rsa_rc4_128_sha Autoriser ssl3ecdhe_rsa_rc4_128_sha false
securityssl3rsa_aes_128_sha Autoriser ssl3rsa_aes_128_sha true
securityssl3rsa_aes_256_sha Autoriser ssl3rsa_aes_256_sha true
securityssl3rsa_camellia_128_sha Autoriser ssl3rsa_camellia_128_sha false
securityssl3rsa_camellia_256_sha Autoriser ssl3rsa_camellia_256_sha false
securityssl3rsa_des_ede3_sha Autoriser ssl3rsa_des_ede3_sha false
securityssl3rsa_fips_des_ede3_sha Autoriser ssl3rsa_fips_des_ede3_sha false
securityssl3rsa_rc4_128_md5 Autoriser ssl3rsa_rc4_128_md5 false
securityssl3rsa_rc4_128_sha Autoriser ssl3rsa_rc4_128_sha false
securityssl3rsa_seed_sha Autoriser ssl3rsa_seed_sha false
Autres paramegravetres
Nom de paramegravetre Description Valeur recommandeacuteesecuritytlsversionmax Version maximum de
SSLTLS3 (ce qui correspond agrave TLS 12)
securitytlsversionmin Version minimum de SSLTLS 2 (ce qui correspond agrave TLS 11)securitysslallow_unrestricted_renego_everywhere__temporarily_available_pref
Activer la reneacutegociation SSL false pour remeacutedier agrave une attaque parle milieu connue
securitysslenable_false_start Activer laquo SSL False Start raquo false car non standardiseacute et amenantde potentielles vulneacuterabiliteacutes
securitysslenable_ocsp_stapling Activer lrsquoOCSP stapling23 true
23 httpsblogmozillaorgsecurity20130729ocsp-stapling-in-firefox
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 19 sur 40
Nom de paramegravetre Description Valeur recommandeacuteesecuritysslrequire_safe_negotiation
Neacutecessite une neacutegociation SSL qui nrsquoutilisepas une ancienne version SSLTLS vul-neacuterable agrave des attaques par le milieu
true est la valeur ideacuteale en termesde seacutecuriteacute mais false reste conseilleacutepour eacuteviter que de nombreux sitescouramment visiteacutes ne soient plus uti-lisables
securitysslrenego_unrestricted_hosts
Liste drsquohocirctes autoriseacutes agrave faire de la reneacute-gociation SSL avec drsquoanciennes versionsvulneacuterables du protocole
Liste drsquohocirctes seacutepareacutes par des virgules(ne supportant pas les wildcards)et qursquoil est utile de renseigner sisecuritysslrequire_safe_negotiationest configureacute agrave true
securityssltreat_unsafe_negotiation_as_broken
Informer lrsquoutilisateur (cadenas casseacute rougedans la barre de status) lorsque les neacutegoci-ations SSLTLS sont non seacutecuriseacutees
true
networkstricttransportsecuritypreloadlist
Charger la liste de sites deacuteclareacutes commeutilisant HSTS (HTTP Strict TransportSecurity24)
true
networkwebsocketallowInsecureFromHTTPS
Autoriser les WebSockets non seacutecuriseacuteepour un site consulteacute en HTTPS
false
securityOCSPenabled Activer OCSP 2 pour veacuterifier le certificat agrave partir delrsquoURL de service OCSP et de lrsquoautoriteacutede certification ayant signeacute le certifi-cat Notons que cette fonctionnaliteacuteest critiqueacutee pour des questions delatence des reacutepondeurs OCSP (de lrsquoor-dre de 300ms pour les plus rapides agraveplus drsquoune seconde pour les plus lents)OCSP tend donc agrave ecirctre remplaceacute pardes listes locales de certificats reacutevo-queacutes dans drsquoautres navigateurs maisFirefox ne dispose pas encore drsquounetelle liste Une entiteacute ayant des con-traintes particuliegraveres quant agrave la la-tence induite par OSCP pourrait opterpour une deacutesactivation drsquoOCSP avecla valeur 0
securityOCSPrequire Neacutecessite la validation du certificat parOCSP avant de continuer la navigation surle site
true si securityOCSPenabled a eacuteteacuteconfigureacute agrave true ou false dans le cascontraire
securitycert_pinningenforcement_level
Niveau de certificate pinning (eacutepinglage decertificats)25(agrave partir de Firefox 32)
2 pour utiliser lrsquoeacutepinglage strict
Gestionnaire de mots de passe
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownpasswords Effacer les mots de passe enregistreacutes agrave la
fermeture du navigateurtrue
signonrememberSignons Active le gestionnaire de mots de passe false
signonautofillForms Remplissage automatique des formulairesde login
false
24 httpsdevelopermozillaorgfrdocsSC3A9curitC3A9HTTP_Strict_Transport_Security25 Lrsquoeacutepinglage de certificats permet drsquoavoir une base locale de certificats connus et attendus pour certains sites Web
consulteacutes en HTTPS Ainsi si le certificat preacutesenteacute par le serveur est valide en tous points de vue mais nrsquoest pas lecertificat attendu la connexion sera coupeacutee Ce meacutecanisme permet drsquoeacuteviter une attaque par le milieu preacutesentant un fauxcertificat issu drsquoune autoriteacute de certification de confiance
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 20 sur 40
Confidentialiteacute
Il nrsquoexiste pas en date de reacutedaction de cette note de regravegle globale pour la deacutesactivation de FirefoxSync Sa deacutesactivation se fait par conseacutequent agrave travers plusieurs regravegles de configuration
Nom de paramegravetre Description Valeur recommandeacuteeservicessyncengineaddons Synchronisation des modules compleacutementaires false
servicessyncenginebookmarks Synchronisation des marque-pages false
servicessyncenginehistory Synchronisation de lrsquohistorique de navigation false
servicessyncenginepasswords Synchronisation des mots de passe stockeacutes false
servicessyncengineprefs Synchronisation des preacutefeacuterences false
servicessyncenginetabs Synchronisation des onglets ouverts false
servicessyncregisterEngines Moteurs de synchronisation enregistreacutes Mettre agrave videservicessyncjpakeserverURL URL du serveur synchronisation jpake Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessynctokenServerURI URI du serveur de jetons Mettre agrave videservicessyncnextSync Planification de la prochaine synchronisation 0
Il convient eacutegalement de deacutesactiver les diffeacuterents rapports agrave Mozilla
Nom de paramegravetre Description Valeur recommandeacuteedatareportinghealthreportaboutreportUrl URL de rapport de santeacute Mettre agrave videdatareportinghealthreportloggingconsoleEnabled
Activer la journalisation (console) du ser-vice de rapports de santeacute
false
datareportinghealthreportloggingdumpEnabled
Activer la journalisation (dumps) du ser-vice de rapports de santeacute
false
datareportinghealthreportnextDataSubmissionTime
Date de prochaine soumission de rapportde santeacute
Mettre agrave vide
datareportinghealthreportserviceenabled Activer le service de rapport de santeacute false
datareportinghealthreportuploadEnabled Autoriser lrsquoenvoi de donneacutees au serveur derapports de santeacute
false
datareportingpolicydataSubmissionEnabled Activer lrsquoenvoi de donneacutees agrave Mozilla agrave desfins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyAccepted
Accepter les conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyBypassAcceptance
Contourner lrsquoacceptation des conditionsdrsquoenvoi de donneacutees agrave Mozilla agrave des finsdrsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyResponseType
Reacuteponse aux conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
accepted-info-bar-dismissed
domipcpluginsreportCrashURL Inteacutegrer lrsquoURL au rapport de crash deplugins
false
domipcpluginsflashsubprocesscrashreporterenabled
Activer le rapport de crash du sous-processus flash
false
toolkittelemetryenabled Activer la fonctionnaliteacute de teacuteleacutemeacutetrie false
toolkittelemetryserver Adresse du serveur de teacuteleacutemeacutetrie Mettre agrave videbreakpadreportURL URL du rapport de crash Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 21 sur 40
Il peut eacutegalement ecirctre utile de configurer lrsquooption de suppression des donneacutees priveacutees (Clear PrivateData) en seacutelectionnant les eacuteleacutements qui seront supprimeacutes Lrsquoentiteacute pourra par exemple permettre auxutilisateurs de supprimer leurs donneacutees priveacutees dans le cadre drsquoune navigation sur internet ou bien delrsquointerdire srsquoil srsquoagit drsquoun navigateur deacutedieacute agrave lrsquointranet Une entiteacute pourrait eacutegalement vouloir toujoursgarder les historiques et le cache agrave des fins drsquoinvestigation (cela nrsquoempecircchera toutefois pas lrsquoutilisateurde les supprimer directement au niveau du systegraveme de fichiers dans son profil utilisateur)
Nom de paramegravetre Description Valeur recommandeacuteeprivacycpdcache Supprimer le cache lors drsquoune suppression des donneacutees
priveacuteesAu choix de lrsquoentiteacute
privacycpdcookies Supprimer les cookies lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpddownloads Supprimer lrsquohistorique des teacuteleacutechargements lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdformdata Supprimer lrsquohistorique de remplissage automatique desformulaire lors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdhistory Supprimer lrsquohistorique lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpdofflineApps Supprimer les applications disponibles hors connexionlors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdpasswords Supprimer les mots de passe enregistreacutes lors drsquoune sup-pression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsessions Supprimer les sessions en cours enregistreacutees lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsiteSettings Supprimer les paramegravetres par site lors drsquoune suppressiondes donneacutees priveacutees
Au choix de lrsquoentiteacute
privacysanitizesanitizeOnShutdown
Supprimer les donneacutees priveacutees agrave la fermeture du naviga-teur
En cas de besoin speacute-cifique de lrsquoentiteacute
Viennent pour finir divers autres paramegravetres lieacutes agrave la confidentialiteacute
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownsessions effacer les sessions de navigation en cours lors
de la fermeture du navigateurtrue
privacyclearOnShutdowncookies effacer les cookies de navigation lors de lafermeture du navigateur
true
privacydonottrackheaderenabled Activer Do-Not-Track true
geoenabled activer la geacuteolocalisation false
geowifiuri URI du service de geacuteolocalisation agrave utiliser Mettre agrave videnetworkprefetch-next Teacuteleacutechargement preacutedictif anticipeacute des docu-
ments lieacutes agrave la page Web visiteacutes (link prefetch-ing)26
false pour eacuteviter lrsquoeacutetablisse-ment de connexions et leteacuteleacutechargement de contenunon solliciteacutes
medianavigatorpermissiondisabled Contourne la permission drsquoacceacuteder agrave la web-cam
false
networkhttpsendRefererHeader Activer lrsquoenvoi de lrsquoentecircte referer 0 pour plus drsquoanonymat ou 2pour ne pas empecirccher le fonc-tionnement de certains sites
browsersend_pings Activer lrsquoenvoi de requecircte POST lors du clicsur un lien (fonctionnaliteacute souvent utiliseacuteepour tracer les clics)
false
26 Le link prefetching permet drsquoacceacuteleacuterer le surf en anticipant le chargement des documents lieacutes agrave la page visiteacutesLrsquoimpleacutementation de ce meacutecanisme dans Firefox ne transmet aucune information agrave Mozilla Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsWebHTTPLink_prefetching_FAQ
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 22 sur 40
Filtrage de contenu
Actions autoriseacutees aux les scripts
Nom de paramegravetre Description Valeur recommandeacuteedomallow_scripts_to_close_windows Autoriser les scripts agrave fermer
une fenecirctrefalse
domdisable_image_src_set Interdire la modification desimages sources par script
false
domdisable_window_flip Interdire le changement defenecirctre active par script
true
domdisable_window_move_resize Deacutetermine si les fenecirctrespeuvent ecirctre bougeacutees or red-imensionneacutees par script
false
domdisable_window_open_featureclose Interdire la creacuteation defenecirctre sans bouton defermeture
true pour eacuteviter les popups in-vasifs
domdisable_window_open_featurelocation Interdire la creacuteation defenecirctre sans barre drsquoadresse
true pour que lrsquoutilisateur puissetoujours veacuterifier ecirctre agrave lrsquoadressepreacutevue
domdisable_window_open_featurestatus Interdire la creacuteation defenecirctre sans barre de status
true pour que lrsquoutilisateur puissese rendre contre plus facilementdes tentatives de spoofing
domdisable_window_open_featuretitlebar Interdire la creacuteation defenecirctre sans barre de titre
true pour que lrsquoutilisateur puissebien voir qursquoil srsquoagit drsquoun popupFirefox
domdisable_window_open_featuretoolbar Interdire la creacuteation defenecirctre sans barre drsquooutils
false
domeventclipboardeventsenabled Permettre agrave un script desaisir les eacuteveacutenements dupresse papier
false
domeventcontextmenuenabled Permettre agrave un script desaisir les eacuteveacutenements drsquoac-cegraves au menu contextuel (clicdroit)
false
dominter-app-communication-apienabled Activer la communicationpar API entre applications
false
domipcpluginsenabled Activation du plugin con-tainer
true pour exeacutecuter les pluginsdans le plugin-container
domipcpluginsjavaenabled Exeacutecuter Java au sein duplugin-container
false pour eacuteviter des problegravemesde stabiliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 23 sur 40
Nom de strateacutegie Description Valeur recommandeacuteebrowsersafebrowsingenabled Utiliser la navigation seacutecuriseacutee
(protection contre le phishing etles logiciels malveillants)27
true
javascriptenabled Activation de Javascript true
securityxpconnectpluginunrestricted Autoriser le scripting de pluginspar des scripts qui ne sont pasde confiance
false agrave moins drsquoune incompatibiliteacute avecdes plugins etou pages Web neacutecessaires agravelrsquoentiteacute
securitymixed_contentblock_active_content
Bloquer le contenu mixte actif true
securitymixed_contentblock_display_content
Bloquer le contenu mixte passif false
securityfileuristrict_origin_policy
Politique drsquoorigine stricte pourles URi de type fichiers
true sauf pour les populations dedeacuteveloppeurs qursquoun tel paramegravetre pourraitbloquer pour le deacuteveloppement en local
networkcookiecookieBehavior Politique de gestion des cookies 1 pour nrsquoautoriser que les cookies duserveur drsquoorigine et bloquer les cookiestiers
networkcookielifetimePolicy Politique drsquoexpiration des cook-ies
2 pour conserver les cookies pendant toutela dureacutee de la session seulement
networkcookiethirdpartysessionOnly Restreindre les cookies tiers agrave ladureacutee de la session seulement
true
networkjaropen-unsafe-types Nrsquoouvrir que les jar servis avecun content-type adeacutequat
false
privacypopupspolicy Politique de popups 1 pour activer les popups ou 2 pour lesrejeter mais cela rendrait la navigationdifficile voire impossible sur une quantiteacutede sites Internet non neacutegligeable
privacypopupsshowBrowserMessage Afficher un message lorsqursquounpopup a eacuteteacute bloqueacute
true
browserpopupsshowPopupBlocker Afficher lrsquoicocircne du bloqueur depopups dans la barre de status
true
securitycspenable Activer la Content Security Pol-icy (politique de seacutecuriteacute descontenus) qui permet de deacute-tecter et de limiter lrsquoimpact decertains types drsquoattaques
true
full-screen-apienabled Activer lrsquoAPI permettant drsquoaf-ficher du contenu en plein eacutecranpour les modules compleacutemen-taires
false
notificationfeatureenabled Permettre les notifications sur lebureau
false
27 La fonctionnaliteacute de navigation seacutecuriseacutee consiste agrave synchroniser une liste locale drsquoadresses de sites maveillants(depuis les serveurs de Google par deacutefaut depuis que Firefox utilise leur service) pour alerter lrsquoutilisateur srsquoil srsquoapprecircte agraveen visiter un Elle consiste eacutegalement agrave analyser le contenu des pages pour repeacuterer drsquoeacuteventuelles tentatives drsquohameccedilonnage
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 24 sur 40
Moteur de recherche par deacutefaut
La configuration drsquoun moteur de recherche personnaliseacute ne peut pas se faire simplement par fichierde configuration et neacutecessite le deacuteploiement drsquoun module de recherche (search engine plugin) LrsquoannexeIV illustre la teacuteleacute-deacuteploiement drsquoun module de recherche utilisant le moteur franccedilais httpswwwqwantcom 28
Nom de paramegravetre Description Exemplebrowsersearchdefaultenginename Moteur de recherche par deacutefaut Qwantcom
browsersearchdefaulturl URL du moteur de recherche pardeacutefaut
httpswwwqwantcomq=searchTerms
browsersearchlog Journalisation de lrsquoutilisation desservices de recherche agrave des fins dedeacuteboggage
false
browsersearchopenintab Ouvrir les reacutesultats de recherchedans un nouvel onglet
false
browsersearchorder1 Moteur de recherche agrave utiliser enprioriteacute 1
Qwantcom
browsersearchsuggestenabled activer les suggestions false
browsersearchupdate Recherche de mises agrave jour pour lesmodules de recherche
false
keywordenabled Permettre de faire une recherchedepuis la barre drsquoadresse
true
Page(s) drsquoaccueil
Nom de strateacutegie Description Valeur recommandeacuteestartuphomepage_override_url Page drsquoaccueil apregraves une mise agrave jour de Firefox En fonction du choix de lrsquoentiteacutestartuphomepage_welcome_url Page drsquoaccueil au premier deacutemarrage En fonction du choix de lrsquoentiteacutebrowserstartuphomepage Page drsquoaccueil about blank pour une page vide
ou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
browserstartuppage Page drsquoaccueil 1 pour ouvrir la page drsquoac-cueil indiqueacutee par le paramegravetrebrowserstartuphomepage
browsersessionstoreresume_from_crash
Restauration de session apregraves crash false
browsersessionstoreenabled Activer le service de restauration de session false
browsernewtaburl Page ouverte par deacutefaut lors de la creacuteationdrsquoun nouvel onglet de navigation
about blank pour une page videou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
28 Ceci nrsquoest en aucun cas une recommandation ni une incitation agrave son utilisation mais un simple exemple
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 25 sur 40
Authentification HTTP
Nom de strateacutegie Description Valeur recommandeacuteenetworkauthforce-generic-ntlm Utiliser le module drsquoauthen-
tification NTLM de Firefoxplutocirct que celui fourni parles APIs du systegraveme
false
networkauthuse-sspi Utiliser SSPI plutocirct queGSSAPI pour lrsquoauthentifica-tion Kerberos
true sous Windows
networkntlmsend-lm-response Envoyer le LM Hash dans lareacuteponse NTLM
false
networkautomatic-ntlm-authallow-proxies
Authentification par NTLMautomatique avec lesserveurs proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networkautomatic-ntlm-authtrusted-uris
Liste des URIs autoriseacuteespour lrsquoauthentification parNTLM automatique
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationNTLM automatique
networkautomatic-ntlm-authallow-non-fqdn
Autoriser lrsquoauthentificationNTLM automatique avecdes sites sans FQDN
false agrave moins que la liste networkautomatic-ntlm-authtrusted-uris comporte des adressessans FQDN
networknegotiate-authallow-non-fqdn
Autoriser lrsquoauthentificationSPNEGO avec des sites sansFQDN
En fonction de lrsquoentiteacute
networknegotiate-authallow-proxies
Autoriser SPNEGO29si de-mandeacute par un serveur proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networknegotiate-authdelegation-uris
Liste des URIs autoriseacuteespour lesquels le navigateurpeut deacuteleacuteguer lrsquoautorisationde lrsquoutilisateur
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites auxquels elle souhaite permettre ladeacuteleacutegation SPNEGO
networknegotiate-authtrusted-uris Liste des URIs autoriseacuteespour engager une authentifi-cation SPNEGO
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationSPNEGO
networknegotiate-authgsslib Chemin vers une librairieGSSLIB speacutecifique
Mettre agrave vide
networknegotiate-authusing-native-gsslib
Utiliser la librairie GSSLIBnative du systegraveme
true
securitydefault_personal_cert Choix du certificat drsquoau-thentification client
Ask Every Time
29 SPNEGO est un standard qui permet de neacutegocier de lrsquoauthentification Kerberos NTLM ainsi que drsquoautresprotocoles supporteacutes pour le systegraveme SPNEGO est eacutegalement connu sous le nom du protocole drsquoauthentificationlaquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 26 sur 40
Serveur mandataire
Nom de paramegravetre Description Valeur recommandeacuteenetworkproxyautoconfig_url URL de configuration automatique du
proxyLaisser agrave vide
networkproxyftp Adresse du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyftp_port port du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp Adresse du proxy proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp_port port du proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyno_proxies_on Liste drsquoexceptions agrave lrsquoutilisation du serveurproxy
A minima localhost 127001 etdavantage en fonction de lrsquoentiteacute etdu peacuterimegravetre drsquoutilisation du naviga-teur
networkproxyshare_proxy_settings
Utiliser le mecircme proxy pour tous les pro-tocoles
false
networkproxysocks Adresse du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_port port du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_remote_dns
Reacutealiser les requecirctes DNS via le proxysocks
false
networkproxysocks_version Version du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl Adresse du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl_port port du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxytype Type drsquoutilisation du proxy 1 pour utiliser les valeurs in-diqueacutees par les paramegravetres ci-dessus(networkproxy)
networkhttpproxyversion version de proxy 11 par deacutefaut et en fonction duserveur proxy de lrsquoentiteacute
networkhttpproxypipelining Activer le pipelining30par proxy false pour des raisons de compat-ibiliteacute Lrsquoentiteacute peut choisir de lrsquoac-tiver si le pipelining est supporteacute parson serveur proxy drsquoentreprise
signonautologinproxy Saisie automatique du mot de passe deproxy
false
30 Le pipelining permet de faire plusieurs requecirctes HTTP simultaneacutement plutocirct que de les faire seacutequentiellement enattendant les reacuteponses de chacune drsquoentre elles Pour plus drsquoinformations httpwww-archivemozillaorgprojectsnetlibhttppipelining-faqhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 27 sur 40
Peacuterimegravetre de navigation
Nom de paramegravetre Description Valeur recommandeacuteenetworkprotocol-handlerexpose-all
Deacutetermine si le navigateur essayedrsquoouvrir les liens cliqueacutes dans lenavigateur en prioriteacute avant delaisser le systegraveme srsquoen charger en casdrsquoeacutechec (si le protocole du lien enquestion nrsquoest pas supporteacute par lenavigateur)
true
networkprotocol-handlerwarn-external-default
Avertir lrsquoutilisateur avant decharger un gestionnaire deprotocole tiers
true
networkprotocol-handlerexternal-default
Action pour lrsquoouverture drsquoun pro-tocole non pris en charge par lenavigateur
false de maniegravere agrave ne pas essayerde charger des protocoles non pris encharge nativement par le navigateur Lrsquoen-titeacute renseignera eacuteventuellement des ges-tionnaires de protocoles tiers pour desprotocoles qursquoelle souhaite explicitementpermettre tels que NNTP Mailto etc Pour illustrer par lrsquoexemple avecMailto le paramegravetre networkprotocol-handlerexternalmailto aurait pour valeurtrue et le paramegravetre networkprotocol-handlerappmailto avec pour valeur lechemin drsquoun exeacutecutable comme MozillaThunderbird ou Microsoft Outlook
networkprotocol-handlerexternalfile
Gestionnaire de protocole filesous Firefox
false
networkprotocol-handlerexternalftp
Gestionnaire de protocole ftpsous Firefox
false
geckohandlerServiceallowRegisterFromDifferentHost
Autoriser les sites Web agrave installerdes gestionnaires de protocoles oude contenus utilisable pour deshocirctes tiers
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 28 sur 40
Administration systegraveme maintenance et options diverses
Parameacutetrage des mises agrave jour
Nom de paramegravetre Description Valeur recommandeacuteeappupdateenabled Activation de la mise agrave jour automatique true
appupdateauto Teacuteleacutechargement et installationautomatiques (neacutecessite que le paramegravetreappupdateenabled ait pour valeurtrue)
true
appupdatecertcheckAttributes Veacuterifie les attributs du certificat du serveurde mise agrave jour
false
appupdatecertrequireBuiltIn Requiert lrsquointeacutegration des certificats duserveur de mise agrave jour et de toutes lesredirections intermeacutediaires
false
appupdatechannel Canal de mise agrave jour esr pour la version ESR de FirefoxappupdatedownloadbackgroundInterval
Temps de pause (en secondes) entrechaque teacuteleacutechargement en arriegravere plandrsquoun morceau de 300 Kb de mise agrave jour
Au choix de lrsquoentiteacute
appupdateidletime Temps de pause (en secondes) entre chaqueteacuteleacutechargement agrave la demande de lrsquoutilisa-teur) drsquoun morceau de 300 Kb de mise agravejour
60
appupdateinterval Intervalle de temps entre chaque veacuterifica-tion de disponibiliteacute de nouvelles mises agravejour
43200
appupdatemode Deacutetermine quelles mises agrave jour sontteacuteleacutechargeacutees en arriegravere plan
0 pour teacuteleacutecharger toutes les mises agravejour sans intervention de lrsquoutilisateur
appupdateserviceenabled Active le service de mise agrave jour de Firefox true
appupdateshowInstalledUI Deacutetermine si apregraves installation de mise agravejour une boicircte de dialogue informe lrsquoutil-isateur qursquoune mise agrave jour a eacuteteacute installeacutee
Au choix de lrsquoentiteacute
appupdatesilent Active le mode de mise agrave jour silencieux true pour une mise agrave jour silencieuseen arriegravere plan
appupdateurl URL de reacutecupeacuteration des mises agrave jour deFirefox
En fonction de la strateacutegie de mise agravejour de lrsquoentiteacute Pour une mise agrave jourdepuis les serveurs de Mozilla httpsaus3mozillaorgupdate3PRODUCTVERSIONBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONupdatexml sinon lrsquoURLdu serveur de mise agrave jour internede lrsquoentiteacute (qursquoil faudra eacutegalementrenseigner dans le paramegravetreappupdateurloverride)
appupdateurloverride URL de reacutecupeacuteration des mises agrave jour deFirefox
Paramegravetre agrave renseigner uniquementdans le cas ou la mise agrave jour deFirefox se fait depuis lrsquoURL drsquounserveur de mise agrave jour interne delrsquoentiteacute (agrave renseigner en plus duparamegravetre appupdateurl)
appupdateurldetails URL de consultation des informations rel-atives aux mises agrave jour disponibles
Laisser la valeur par deacutefautrhttpswwwmozillaorgLOCALEfirefoxnotes
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 29 sur 40
Configuration du cache
Nom de paramegravetre Description Valeur recommandeacuteebrowsercachecheck_doc_frequency Quand veacuterifier la mise agrave jour drsquoune page en
cache disque3 (veacuterifier quand la page estpeacuterimeacutee)
browsercachecompression_level Niveau de compression du cache disque Au choix de lrsquoentiteacute de 0(pas de compression) agrave 9(haut taux de compressionavec forte sollicitation du pro-cesseur)
browsercachediskcapacity Espace disque alloueacute au cache disque enKb
Au choix de lrsquoentiteacute
browsercachediskenable Utiliser le cache disque true
browsercachediskmax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache disque
Au choix de lrsquoentiteacute
browsercachedisksmart_sizeenabled Allocation intelligente de lrsquoespace disquealloueacute au cache en fonction de lrsquoespacedisponible
Au choix de lrsquoentiteacute
browsercachedisk_cache_ssl Mettre en cache disque les pages visiteacuteesen HTTPS
False de maniegravere agrave ne pasmettre en cache le contenuSSL
browsercachememoryenable Utiliser le cache meacutemoire true
browsercachememorymax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache meacutemoire
Au choix de lrsquoentiteacute
browsercachememory_limit Meacutemoire maximum utiliseacutee pour le cachemeacutemoire en Kb
Au choix de lrsquoentiteacute
browsercacheofflinecapacity Espace disque alloueacute au cache des applica-tions Web
Au choix de lrsquoentiteacute
browsercacheofflineenable Utiliser le cache des applications Web per-mettant une utilisation hors ligne
Au choix de lrsquoentiteacute
browsercacheuse_new_backend Utilisation du nouveau systegraveme de cache 0 (ne pas utiliser pour desquestions de stabiliteacute)
networkhttpuse-cache Utiliser le cache des documents HTTP true
mediacache_size Taille du cache pour les fichiers multimedia Au choix de lrsquoentiteacute par deacute-faut 512000
domstoragedefault_quota Quota de stockage cocircteacute client pour lespages Web
5120 taille par deacutefaut
domstorageenabled Active le stockage cocircteacute client pour les pagesWeb
true agrave deacutefaut de vulneacuterabil-iteacutes connues pour cette fonc-tionnaliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 30 sur 40
Deacutesactiver les options de deacuteveloppement (sauf pour les populations de deacuteveloppeurs)
Nom de paramegravetre Description Valeur recommandeacuteedevtoolsappmanagerenabled Activation des outils de deacuteveloppement module appmanager false
devtoolsdebuggerenabled Activation des outils de deacuteveloppement module deacutebogueur false
devtoolserrorconsoleenabled Activation des outils de deacuteveloppement module consoledrsquoerreurs
false
devtoolsfontinspectorenabled Activation des outils de deacuteveloppement module inspecteurde polices
false
devtoolsinspectorenabled Activation des outils de deacuteveloppement module inspecteur false
devtoolsnetmonitorenabled Activation des outils de deacuteveloppement module reacuteseau false
devtoolsprofilerenabled Activation des outils de deacuteveloppement module profileur false
devtoolsshadereditorenabled Activation des outils de deacuteveloppement module vue adaptive false
devtoolsstyleeditorenabled Activation des outils de deacuteveloppement module editeur destyles
false
devtoolstiltenabled Activation des outils de deacuteveloppement module tilt false
devtoolstoolbarenabled Activation des outils de deacuteveloppement module barre dedeacuteveloppement
false
Configurations diverses
Nom de paramegravetre Description Valeur recommandeacuteenetworkseerenable-hover-on-ssl Activer seer sur SSL false
networkseerenabled Activer seer false
networkhttppipelining Activer le pipelining pour le surfHTTP11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttppipeliningssl Activer le pipelining pour le surfHTTPS11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttpspdyenabled Activer SPDY31 false
networkhttpspdyenabledv2 Activer SPDY v2 false
networkhttpspdyenabledv3 Activer SPDY v3 false
networkhttpspdyenabledv3-1 Activer SPDY v31 false
browsershellcheckDefaultBrowser Veacuterifier si Firefox est configureacutecomme navigateur par deacutefaut
false dans le cadre de double naviga-teurs
browserdownloadmanagerscanWhenDone
Scan antivirus drsquoun fichier lorsqueson teacuteleacutechargement est termineacute
true
browserdownloaduseDownloadDir Utiliser le reacutepertoire de teacuteleacutecharge-ment par deacutefaut
false pour que lrsquoutilisateur indique agravequel emplacement il souhaite teacuteleacutechargerle fichier
browserfullscreenautohide Cacher la barre drsquooutils et drsquoongletsen mode plein eacutecran
false
31 SPDY est un protocole reacuteseau expeacuterimental de Google visant agrave augmenter les capaciteacutes du protocole HTTP pourreacuteduire le temps de chargement des pages Web en classant les objets par ordre de prioriteacute et en multiplexant les transfertspour ne neacutecessiter qursquoune seule connexion Ce protocole est vulneacuterable aux attaques CRIME (Compression Ratio Info-leakMade Easy) lorsqursquoil est utiliseacute avec HTTPS (ce qui est geacuteneacuteralement le cas)
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 31 sur 40
Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP
Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory
Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation
La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32
Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers
Fichiers de configuration
La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte
ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet
ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes
Fichier local-settingsjs
pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)
Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 32 sur 40
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
versions et configurations mais aussi de proceacuteder aux mises agrave jour de maniegravere reacuteactive et efficace
Le teacuteleacute-deacuteploiement de logiciel peut se faire de plusieurs maniegraveres ndash au format MSI par GPO (strateacutegies de groupe pour la gestion centraliseacutee) dans un domaine
Microsoft Active Directory Attention toutefois puisque Mozilla ne fournit Firefox qursquoau formatexeacutecutable il sera donc neacutecessaire de construire un package Firefox au format MSI Des eacutediteurstiers proposent de tels paquets mais ces eacutediteurs nrsquooffrent pas de garantie forte de lrsquointeacutegriteacute deslogiciels qursquoils fournissent Il est par conseacutequent preacutefeacuterable que lrsquoorganisation utilisatrice geacutenegravereses propres fichiers MSI
ndash au format exeacutecutable agrave lrsquoaide drsquoun outil de gestion de parc ou de tout autre produit tiers preacutevuagrave cet effet
44 Gestion des mises agrave jour
La mise agrave jour reacuteactive du navigateur est primordiale pour se preacutemunir des vulneacuterabiliteacutes reacuteguliegravere-ment deacutetecteacutees et corrigeacutees Lrsquoutilisation drsquoun navigateur preacutesentant des vulneacuterabiliteacutes connues par despersonnes malveillantes expose le poste de travail agrave une attaque Deux strateacutegies diffeacuterentes de mise agravejour de Firefox peuvent alors ecirctre envisageacutees
ndash la premiegravere consiste agrave simplement laisser la configuration par deacutefaut le navigateur va alorsautomatiquement teacuteleacutecharger les mises agrave jour aupregraves des serveurs de Mozilla Il convient dans cecas de srsquoassurer que les postes de travail sont en mesure drsquoacceacuteder aux serveurs de mise agrave jour deMozilla sur Internet ideacutealement au travers du proxy drsquoentreprise qui pourra notamment mettreen cache les binaires
ndash la configuration alternative consiste agrave remplacer lrsquoURL de mise agrave jour (agrave lrsquoaide du paramegravetre deconfiguration appupdateurloverride) 18 par une URL locale qui mettra les mises agrave jour agravedisposition des postes de travail
Le tableau suivant syntheacutetise les avantages et inconveacutenients des deux meacutethodes
Meacutethode Avantages Inconveacutenientsclassique par deacutefautles navigateurs se mettentagrave jour automatiquementaupregraves des serveurs deMozilla par Internet
- mise en œuvre aiseacutee par les servicesinformatiques - haut taux de disponibiliteacute desserveurs de mise agrave jour de Mozilla
- ne permet pas aux ser-vices informatiques de testeret valider les mises agrave jouravant leur deacuteploiement no-tamment lors de lrsquoutilisationdrsquoapplications Web meacutetier peureacutepandues - peu adapteacute pour un naviga-teur deacutedieacute agrave lrsquoIntranet
controcircleacutee la mise agrave jourautomatique de Firefox estdeacutesactiveacutee et les servicesinformatiques mettent lesmises agrave jour agrave dispositiondes postes de travail depuisun serveur local
- permet de tester et valider les misesagrave jour avant deacuteploiement - permet drsquoadapter les configu-rations centraliseacutees du navigateurpour tenir compte des eacuteventuellesnouvelles fonctionnaliteacutes avant deacute-ploiement - permet de bloquer tout le trafic agravedestination des serveurs de Mozilla
- freine la reacuteactiviteacute des misesagrave jour - neacutecessite des moyens hu-mains importants
18 Pour plus drsquoinformations sur la mise en œuvre drsquoun serveur de mises agrave jour local httpsdevelopermozillaorgen-USdocsMozillaSetting_an_update_server
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 11 sur 40
Il sera nettement moins risqueacute (du point de la compatibiliteacute) de retenir le mode classique (automa-tique) pour les versions ESR de Firefox eacutetant donneacute que les mises agrave jour concernent des correctifs deseacutecuriteacute agrave haut risque et nrsquoapportent aucune nouvelle fonctionnaliteacute En revanche les versions standardsde Firefox peuvent recevoir des mises agrave jour fonctionnelles importantes qursquoil serait plus pertinent decontrocircler preacutealablement
La probleacutematique des mises agrave jour concerne eacutegalement les extensions Bien qursquoil soit recommandeacutede les interdire dans le cadre drsquoune configuration durcie une entiteacute peut vouloir en deacuteployer certainespour de bonnes raisons La mise agrave jour des extensions est indeacutependante du meacutecanisme de mise agravejour du navigateur Elles peuvent ecirctre mises agrave jour automatiquement (comportement par deacutefaut) oumanuellement quelle que soit la strateacutegie de mise agrave jour choisie pour le navigateur
Le maintien en conditions de seacutecuriteacute des plugins devra par ailleurs ecirctre geacutereacute indeacutependamment dunavigateur chaque plugin ayant ses speacutecificiteacutes quant aux meacutecanismes de mise agrave jour utiliseacutes
Concernant le service Mozilla Maintenance Service (service chargeacute des mises agrave jour de Firefox) cedernier srsquoexeacutecute avec les droits qui lui sont propres pour la mise agrave jour du navigateur et ce quels quesoient les droits de lrsquoutilisateur
5 Strateacutegie de double navigateur
La seacutecuriteacute des systegravemes drsquoinformation impose souvent un navigateur qui doit ecirctre durci pourlrsquoaccegraves agrave Internet mais plus permissif pour lrsquoaccegraves aux applications internes Lorsque certains serveursWeb internes utilisent des appliquettes Java par exemple neacutecessitant le deacuteploiement de modulescompleacutementaires Java le navigateur finit par avoir une surface drsquoattaque tregraves importante et exposeainsi lrsquoentiteacute agrave un des vecteurs drsquoattaque les plus critiques et massivement exploiteacutes 19
Pour traiter cette probleacutematique lorsqursquoelles disposent des ressources neacutecessaires en particulierpour en assurer le maintien en conditions de seacutecuriteacute de plus en plus drsquoentiteacutes srsquoorientent vers lrsquousagede deux navigateurs diffeacuterents Il devient alors possible
ndash drsquoen deacutedier un agrave la navigation sur Internet De par sa configuration durcie sa surface drsquoattaqueest reacuteduite au maximum Il est maintenu en conditions de seacutecuriteacute avec la plus grande attentionLes eacutequipes de veille scrutent la moindre vulneacuterabiliteacute dont le navigateur Internet fait lrsquoobjetLes eacutequipements de filtrage et drsquoanalyse du trafic sont utiliseacutes pour repeacuterer tout comportementsuspect de navigation sur Internet
ndash drsquoen deacutedier un deuxiegraveme agrave lrsquoaccegraves aux serveurs internes neacutecessitant par exemple un module com-pleacutementaire qui peut faire lrsquoobjet de vulneacuterabiliteacutes freacutequentes ou qui neacutecessite une configurationplus permissive Il est alors possible de le configurer pour permettre uniquement lrsquoaccegraves et lrsquousagede lrsquoensemble des sites et applications leacutegegraveres de lrsquoIntranet
Une telle strateacutegie de double navigateur doit neacutecessairement srsquoaccompagner de mesures de seacutecuriteacutetechniques permettant de garantir le peacuterimegravetre drsquoutilisation de chaque navigateur par des paramegravetresde configuration verrouilleacutes Le tableau suivant en donne quelques exemples
19 Voir les recommandations de seacutecuriteacute publieacutees par lrsquoANSSI relatives aux environnements drsquoexeacute-cution Java sur les postes de travail Microsoft Windows agrave lrsquoadresse httpwwwssigouvfrfrguides-et-bonnes-pratiquesrecommandations-et-guidessecurite-du-poste-de-travail-et-des-serveursrecommandations-de-securite-relatives-aux-environnements-d-execution-java-surhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 12 sur 40
Composant Action ValeurServeur mandataire Autoriser User-Agent du navigateur Internet (ou plus strictement de la
derniegravere version de ce dernier)Bloquer Tout autre User-Agent non autoriseacute
Pare-feu locaux despostes de travail
Autoriser TCP en sortie vers le serveur mandataire depuis - le processus du navigateur Internet (chemin complet delrsquoexeacutecutable) - les autres processus eacuteventuels autoriseacutes agrave acceacuteder agrave Internetvia le serveur mandataire
Bloquer TCP en sortie vers le serveur mandataire depuis tout autreprocessus
Pare-feu de passerelleInternet
Autoriser TCP en sortie vers les ports 443 et 80 depuis - lrsquoIP source du serveur mandataire - les autres IP sources eacuteventuelles autoriseacutees agrave sortir en directsur Internet sans passer par le serveur mandataire
Bloquer TCP en sortie vers ports 443 et 80 depuis toute autre IP sourceApplocker (ou SRP) surles postes de travail
Autoriser lrsquoexeacutecution Chemin complet de lrsquoexeacutecutable des navigateurs autoriseacutes
Bloquer lrsquoexeacutecution Tout autre exeacutecutable de navigateur interdit
Les regravegles de configuration deacutecrites en annexe I section laquo Peacuterimegravetre de navigation raquo permettentalors de mettre en œuvre une partie de ces mesures de seacutecuriteacute et de restreindre le peacuterimegravetre denavigation possible de chacun des navigateurs
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 13 sur 40
Les figures suivantes illustrent de maniegravere syntheacutetique les mesures de seacutecuriteacute appliqueacutees agrave unestrateacutegie de double navigateur
Figure 1 ndash Illustration drsquoune strateacutegie de double navigateur cas ougrave Firefox est utiliseacute commenavigateur Internet
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 14 sur 40
Figure 2 ndash Illustration drsquoune strateacutegie de double navigateur cas ougrave Firefox est utiliseacute commenavigateur Intranet
Ces figures illustrent deux cas distincts Le navigateur Firefox y est repreacutesenteacute mais la strateacutegieserait eacutequivalente avec drsquoautres navigateurs
Les regravegles de configuration recommandeacutees en annexe I se precirctent agrave un contexte ougrave le navigateur estdeacutedieacute agrave la navigation sur Internet
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 15 sur 40
Annexe I Strateacutegies de seacutecurisation de Firefox
Cette annexe liste sous forme de tableaux les valeurs recommandeacutees permettant de mettre en œuvreles recommandations formuleacutees dans cette note technique La liste des paramegravetres de configurationdisponibles est sujette agrave des eacutevolutions freacutequentes et certains sont peu voire pas documenteacutes Lesrecommandations et leurs indications de mise en œuvre figurant dans ce document sont baseacutees sur lesparamegravetres de configuration de Firefox dans sa version ESR 31 Ces derniers pourront ecirctre adapteacutesselon la version du navigateur deacuteployeacutee agrave la date de lecture du document
Depuis un navigateur Firefox il est possible drsquoafficher et de modifier les paramegravetres de configurationappliqueacutes en tapant aboutconfig dans la barre drsquoadresse Les paramegravetres verrouilleacutes sont afficheacutes enitalique La page aboutsupport affiche quant agrave elle un reacutecapitulatif des informations systegravemes etde version ainsi que les modifications importantes apporteacutees agrave la configuration par deacutefaut du navigateur
En environnement professionnel il est conseilleacute de deacuteployer une configuration de maniegravere centraliseacuteecomme expliqueacute en annexe II Pour un usage personnel de Firefox il est eacutegalement possible de srsquoinspirerde tout ou partie des paramegravetres indiqueacutes dans ce document agrave partir de la page aboutconfig
Seacutecuriteacute des modules compleacutementaires
Les regravegles de configuration preacutefixeacutees par le terme laquo extensions raquo ne srsquoappliquent pas toujoursuniquement aux extensions comme elles pourraient le laisser entendre mais parfois plus largementaux plugins voire aux modules compleacutementaires dans leur ensemble Il convient donc drsquoecirctre vigilantquant au peacuterimegravetre reacuteel drsquoapplication des regravegles de configuration dont les noms pourraient precircter agraveconfusion
Nom de strateacutegie Description Valeur recommandeacuteeextensionsautoDisableScopes Les extensions peuvent
ecirctre deacutesactiveacuteesautomatiquement enfonction de leur localisation
3 (les extensions deacuteposeacutees dans le profil Firefox delrsquoutilisateur ou dans le profil utilisateur Windowsseront automatiquement deacutesactiveacutees20)
extensionsenabledScopes Les extensions peuvent ecirctreactiveacutees automatiquementen fonction de leurlocalisation21
12 (seules les extensions reacutefeacuterenceacutees par une entreacutee enbase de registres22 ou deacuteposeacutees dans le sous-dossierdrsquoextensions agrave lrsquoemplacement de lrsquoexeacutecutable FireFoxseront activeacutees Attention ce paramegravetre a prioriteacute surextensionsautoDisableScopes
20 Contrairement agrave ce qursquoindique la MozillaZine Knownledge Base le paramegravetre extensionsautoDisableScopes nepermet pas de deacutesactiver un plugin pour ce faire il convient drsquoutiliser les paramegravetres pluginstatex21 Pour plus drsquoinformations sur le paramegravetre extensionsenabledScopes httpsdevelopermozillaorgen-US
Add-onsInstalling_extensions22 Article de Mozilla expliquant lrsquoajout la mise agrave jour et la suppression drsquoextensions ou de plugins pour Firefox par
base de registre httpsdevelopermozillaorgen-USdocsAdding_Extensions_using_the_Windows_Registry
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 16 sur 40
Nom de paramegravetre Description Valeur recommandeacuteeextensionsblocklistenabled Teacuteleacutechargement reacutegulier drsquoune
liste noire de modules reacutefeacuterenceacutescomme eacutetant malveillants
false si seuls les modules teacuteleacute-deacuteployeacutes par leseacutequipes informatique sont installeacutes ou true silrsquoutilisateur est en mesure drsquoinstaller des moduleslui-mecircme
extensionsblocklistdetailsURL
URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules
Celle par deacutefaut (httpswwwmozillaorgLOCALEblocklist)
extensionsblocklistitemURL URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules(variante)
Celle par deacutefaut (httpsaddonsmozillaorgLOCALEAPPblockedblockID)
extensionsblocklistinterval Intervalle de teacuteleacutechargement dela liste noire de modules ensecondes
86400 (soit 1 fois par jour)
extensionsblocklistlevel Niveau de blocage 2 (pour bloquer les extensions de la liste)extensionsblocklisturl Adresse de teacuteleacutechargement de la
liste noire de modulesCelle par deacutefaut (httpsaddonsmozillaorgblocklist3APP_IDAPP_VERSIONPRODUCTBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONPING_COUNTTOTAL_PING_COUNTDAYS_SINCE_LAST_PING)
extensionsenabledAddons Modules activeacutes au deacutemarragede Firefox
Mettre agrave vide
pdfjsdisabled Deacutesactiver la visionneuse PDFinteacutegreacutee agrave Firefox (pdfjs)
true pour que lrsquoutilisateur teacuteleacutecharge les PDF etles visionne via un lecteur PDF tiers maintenu enconditions de seacutecuriteacute par lrsquoentiteacute et ne faisant paslrsquoobjet de vulneacuterabiliteacutes freacutequentes ou false pourautoriser lrsquousage du lecteur de PDF inteacutegreacute
pluginstateflash Configuration drsquoactivation duplugin Flash
1 (demander lrsquoautorisation agrave lrsquoutilisateur avantchaque exeacutecution du plugin Flash) ou 2 (toujoursactiver) au choix de lrsquoentiteacute et en fonction desutilisateurs et des contraintes de seacutecuriteacute
pluginstatejava Configuration drsquoactivation duplugin Java
0 pour ne jamais activer le plugin Java (agrave moinsque lrsquoentiteacute souhaite utiliser ce plugin malgreacute lesrisques de seacutecuriteacute encourus auquel cas la valeuragrave donner serait 1 pour demander lrsquoautorisation agravelrsquoutilisateur agrave chaque exeacutecution du plugin Java)
pluginstatex Configuration drsquoactivation duplugin x ougrave x est agrave remplacerpar le nom court du pluginagrave deacutesactiver (exemple npctrlpour Microsoft Silverlight Lesnoms courts des plugins sontindiqueacutes en affichant leurs infor-mations deacutetailleacutees depuis lrsquointer-face graphique)
0 pour ne jamais activer le plugin ou 1 pourdemander lrsquoautorisation agrave lrsquoutilisateur avant chaqueexeacutecution du plugin
plugindefaultstate Configuration drsquoactivation desautres plugins
0 pour ne jamais activer un plugin non explicite-ment autoriseacute par les regravegles preacuteceacutedentes
plugindefaultXpistate Configuration drsquoactivation desautres plugins au format XPI
0 pour ne jamais activer un plugin au format XPInon explicitement autoriseacute par les regravegles preacuteceacute-dentes
pluginsclick_to_play Cliquer pour lire le contenu neacute-cessitant un plugin
true pour activer le mode laquo Cliquer pour lire raquo
pluginsload_appdir_plugins Chargement automatique desplugins depuis des emplace-ments utiliseacutes avant Firefox 21
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 17 sur 40
Eacutetant donneacute que seuls les modules compleacutementaires teacuteleacute-deacuteployeacutes par les eacutequipes informatiquessont autoriseacutes il est recommandeacute de bloquer toute possibiliteacute drsquoajout de modules compleacutementaires parlrsquoutilisateur
Nom de strateacutegie Description Valeur recommandeacuteeextensionsgetAddonsgetWithPerformanceurl
URL de reacutecupeacuteration drsquoun module compleacutementaire Mettre agrave vide
extensionsgetAddonsmaxResults Nombre de reacutesultats maximum 0extensionsgetAddonsgeturl URL de consultation drsquoun module compleacutementaire Mettre agrave videextensionsgetAddonsrecommendedbrowseURL
URL de consultation des modules compleacutementairesrecommandeacutes
Mettre agrave vide
extensionsgetAddonsrecommendedurl
URL de consultation des modules compleacutementairesrecommandeacutes par API
Mettre agrave vide
extensionsgetAddonssearchbrowseURL
URL de recherche de modules compleacutementaires Mettre agrave vide
extensionsgetAddonssearchurl URL de recherche de modules compleacutementaires parAPI
Mettre agrave vide
extensionsgetAddonsshowPane Afficher le panneau drsquoajout de modules compleacutemen-taires
false
extensionshideInstallButton Cacher le bouton drsquoinstallation manuelle drsquoextensions true
extensionswebservicediscoverURL URL du catalogue drsquoextensions Mettre agrave videxpinstallenabled Autoriser lrsquoinstallation manuelle de modules au format
XPIfalse
xpinstallwhitelistrequired Obligation pour une archive XPI drsquoecirctre en liste blanchepour ecirctre installeacutee manuellement
true
xpinstallwhitelistaddxpinstallwhitelistadd
Liste blanche drsquoarchives XPI pouvant ecirctre installeacuteesmanuellement
Mettre agrave vide
Pour finir lrsquoentiteacute devra choisir sa strateacutegie de mise agrave jour des extensions teacuteleacute-deacuteployeacutees Lrsquoentiteacutequi voudra teacuteleacute-deacuteployer elle-mecircme les versions agrave jour des modules compleacutementaires apregraves une phase devalidation optera pour le parameacutetrage donneacute ci-dessous la responsabiliteacute du maintien en conditions deseacutecuriteacute sera alors deacuteporteacutee sur les services informatiques en charge du deacuteploiement de ces mises agrave jourDans le cas contraire les valeurs par deacutefaut permettent une mise agrave jour automatique des extensionspar Internet
Nom de strateacutegie Description Valeur recommandeacuteeextensionshotfixcertcheckAttributes
Veacuterifie les attributs du certificat de signature descorrectifs teacuteleacutechargeacutes
true
extensionshotfixcerts1sha1Fingerprint
Empreintes attendues du certificat de signature descorrectifs teacuteleacutechargeacutes
Laisser la valeur par deacutefaut(9153980CC186DF478F35229E11C9A7310449A1AA en date dereacutedaction de ce document)
extensionsupdateautoUpdateDefault
Teacuteleacutecharger et installer automatiquement les mises agravejour drsquoextensions
false
extensionsupdatebackgroundURL
URL de teacuteleacutechargement des mises agrave jour drsquoextensionsen arriegravere plan
Mettre agrave vide
extensionsupdateenabled Activer la mise agrave jour des extensions false
extensionsupdateinterval Intervalle de teacuteleacutechargement des mises agrave jour desextensions
86400 (soit 1 fois par jour)
pluginsupdatenotifyUser Notifier lrsquoutilisateur de la preacutesence drsquoune mise agrave jourpour ses modules compleacutementaires
false
pluginsupdateurl URL de mise agrave jour des modules compleacutementaires Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 18 sur 40
SSLTLS et certificats
Le parameacutetrage des suites cryptographiques autoriseacutees peut engendrer des problegravemes de compa-tibiliteacute selon le contexte Il est donc leacutegitime de preacutefeacuterer ne pas modifier la configuration par deacutefautDans un soucis de durcissement les recommandations suivantes pourraient toutefois ecirctre appliqueacutees
Nom de paramegravetre Description Valeur recommandeacuteesecurityssl3dhe_dss_aes_128_sha Autoriser ssl3dhe_dss_aes_128_sha false
securityssl3dhe_dss_aes_256_sha Autoriser ssl3dhe_dss_aes_256_sha false
securityssl3dhe_dss_camellia_128_sha Autoriser ssl3dhe_dss_camellia_128_sha false
securityssl3dhe_dss_camellia_256_sha Autoriser ssl3dhe_dss_camellia_256_sha false
securityssl3dhe_rsa_aes_128_sha Autoriser ssl3dhe_rsa_aes_128_sha true
securityssl3dhe_rsa_aes_256_sha Autoriser ssl3dhe_rsa_aes_256_sha true
securityssl3dhe_rsa_camellia_128_sha Autoriser ssl3dhe_rsa_camellia_128_sha false
securityssl3dhe_rsa_camellia_256_sha Autoriser ssl3dhe_rsa_camellia_256_sha false
securityssl3dhe_rsa_des_ede3_sha Autoriser ssl3dhe_rsa_des_ede3_sha false
securityssl3ecdhe_ecdsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_ecdsa_aes_128_gcm_sha256
true
securityssl3ecdhe_ecdsa_aes_128_sha Autoriser ssl3ecdhe_ecdsa_aes_128_sha true
securityssl3ecdhe_ecdsa_aes_256_sha Autoriser ssl3ecdhe_ecdsa_aes_256_sha true
securityssl3ecdhe_ecdsa_rc4_128_sha Autoriser ssl3ecdhe_ecdsa_rc4_128_sha false
securityssl3ecdhe_rsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_rsa_aes_128_gcm_sha256
true
securityssl3ecdhe_rsa_aes_128_sha Autoriser ssl3ecdhe_rsa_aes_128_sha true
securityssl3ecdhe_rsa_aes_256_sha Autoriser ssl3ecdhe_rsa_aes_256_sha true
securityssl3ecdhe_rsa_des_ede3_sha Autoriser ssl3ecdhe_rsa_des_ede3_sha false
securityssl3ecdhe_rsa_rc4_128_sha Autoriser ssl3ecdhe_rsa_rc4_128_sha false
securityssl3rsa_aes_128_sha Autoriser ssl3rsa_aes_128_sha true
securityssl3rsa_aes_256_sha Autoriser ssl3rsa_aes_256_sha true
securityssl3rsa_camellia_128_sha Autoriser ssl3rsa_camellia_128_sha false
securityssl3rsa_camellia_256_sha Autoriser ssl3rsa_camellia_256_sha false
securityssl3rsa_des_ede3_sha Autoriser ssl3rsa_des_ede3_sha false
securityssl3rsa_fips_des_ede3_sha Autoriser ssl3rsa_fips_des_ede3_sha false
securityssl3rsa_rc4_128_md5 Autoriser ssl3rsa_rc4_128_md5 false
securityssl3rsa_rc4_128_sha Autoriser ssl3rsa_rc4_128_sha false
securityssl3rsa_seed_sha Autoriser ssl3rsa_seed_sha false
Autres paramegravetres
Nom de paramegravetre Description Valeur recommandeacuteesecuritytlsversionmax Version maximum de
SSLTLS3 (ce qui correspond agrave TLS 12)
securitytlsversionmin Version minimum de SSLTLS 2 (ce qui correspond agrave TLS 11)securitysslallow_unrestricted_renego_everywhere__temporarily_available_pref
Activer la reneacutegociation SSL false pour remeacutedier agrave une attaque parle milieu connue
securitysslenable_false_start Activer laquo SSL False Start raquo false car non standardiseacute et amenantde potentielles vulneacuterabiliteacutes
securitysslenable_ocsp_stapling Activer lrsquoOCSP stapling23 true
23 httpsblogmozillaorgsecurity20130729ocsp-stapling-in-firefox
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 19 sur 40
Nom de paramegravetre Description Valeur recommandeacuteesecuritysslrequire_safe_negotiation
Neacutecessite une neacutegociation SSL qui nrsquoutilisepas une ancienne version SSLTLS vul-neacuterable agrave des attaques par le milieu
true est la valeur ideacuteale en termesde seacutecuriteacute mais false reste conseilleacutepour eacuteviter que de nombreux sitescouramment visiteacutes ne soient plus uti-lisables
securitysslrenego_unrestricted_hosts
Liste drsquohocirctes autoriseacutes agrave faire de la reneacute-gociation SSL avec drsquoanciennes versionsvulneacuterables du protocole
Liste drsquohocirctes seacutepareacutes par des virgules(ne supportant pas les wildcards)et qursquoil est utile de renseigner sisecuritysslrequire_safe_negotiationest configureacute agrave true
securityssltreat_unsafe_negotiation_as_broken
Informer lrsquoutilisateur (cadenas casseacute rougedans la barre de status) lorsque les neacutegoci-ations SSLTLS sont non seacutecuriseacutees
true
networkstricttransportsecuritypreloadlist
Charger la liste de sites deacuteclareacutes commeutilisant HSTS (HTTP Strict TransportSecurity24)
true
networkwebsocketallowInsecureFromHTTPS
Autoriser les WebSockets non seacutecuriseacuteepour un site consulteacute en HTTPS
false
securityOCSPenabled Activer OCSP 2 pour veacuterifier le certificat agrave partir delrsquoURL de service OCSP et de lrsquoautoriteacutede certification ayant signeacute le certifi-cat Notons que cette fonctionnaliteacuteest critiqueacutee pour des questions delatence des reacutepondeurs OCSP (de lrsquoor-dre de 300ms pour les plus rapides agraveplus drsquoune seconde pour les plus lents)OCSP tend donc agrave ecirctre remplaceacute pardes listes locales de certificats reacutevo-queacutes dans drsquoautres navigateurs maisFirefox ne dispose pas encore drsquounetelle liste Une entiteacute ayant des con-traintes particuliegraveres quant agrave la la-tence induite par OSCP pourrait opterpour une deacutesactivation drsquoOCSP avecla valeur 0
securityOCSPrequire Neacutecessite la validation du certificat parOCSP avant de continuer la navigation surle site
true si securityOCSPenabled a eacuteteacuteconfigureacute agrave true ou false dans le cascontraire
securitycert_pinningenforcement_level
Niveau de certificate pinning (eacutepinglage decertificats)25(agrave partir de Firefox 32)
2 pour utiliser lrsquoeacutepinglage strict
Gestionnaire de mots de passe
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownpasswords Effacer les mots de passe enregistreacutes agrave la
fermeture du navigateurtrue
signonrememberSignons Active le gestionnaire de mots de passe false
signonautofillForms Remplissage automatique des formulairesde login
false
24 httpsdevelopermozillaorgfrdocsSC3A9curitC3A9HTTP_Strict_Transport_Security25 Lrsquoeacutepinglage de certificats permet drsquoavoir une base locale de certificats connus et attendus pour certains sites Web
consulteacutes en HTTPS Ainsi si le certificat preacutesenteacute par le serveur est valide en tous points de vue mais nrsquoest pas lecertificat attendu la connexion sera coupeacutee Ce meacutecanisme permet drsquoeacuteviter une attaque par le milieu preacutesentant un fauxcertificat issu drsquoune autoriteacute de certification de confiance
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 20 sur 40
Confidentialiteacute
Il nrsquoexiste pas en date de reacutedaction de cette note de regravegle globale pour la deacutesactivation de FirefoxSync Sa deacutesactivation se fait par conseacutequent agrave travers plusieurs regravegles de configuration
Nom de paramegravetre Description Valeur recommandeacuteeservicessyncengineaddons Synchronisation des modules compleacutementaires false
servicessyncenginebookmarks Synchronisation des marque-pages false
servicessyncenginehistory Synchronisation de lrsquohistorique de navigation false
servicessyncenginepasswords Synchronisation des mots de passe stockeacutes false
servicessyncengineprefs Synchronisation des preacutefeacuterences false
servicessyncenginetabs Synchronisation des onglets ouverts false
servicessyncregisterEngines Moteurs de synchronisation enregistreacutes Mettre agrave videservicessyncjpakeserverURL URL du serveur synchronisation jpake Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessynctokenServerURI URI du serveur de jetons Mettre agrave videservicessyncnextSync Planification de la prochaine synchronisation 0
Il convient eacutegalement de deacutesactiver les diffeacuterents rapports agrave Mozilla
Nom de paramegravetre Description Valeur recommandeacuteedatareportinghealthreportaboutreportUrl URL de rapport de santeacute Mettre agrave videdatareportinghealthreportloggingconsoleEnabled
Activer la journalisation (console) du ser-vice de rapports de santeacute
false
datareportinghealthreportloggingdumpEnabled
Activer la journalisation (dumps) du ser-vice de rapports de santeacute
false
datareportinghealthreportnextDataSubmissionTime
Date de prochaine soumission de rapportde santeacute
Mettre agrave vide
datareportinghealthreportserviceenabled Activer le service de rapport de santeacute false
datareportinghealthreportuploadEnabled Autoriser lrsquoenvoi de donneacutees au serveur derapports de santeacute
false
datareportingpolicydataSubmissionEnabled Activer lrsquoenvoi de donneacutees agrave Mozilla agrave desfins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyAccepted
Accepter les conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyBypassAcceptance
Contourner lrsquoacceptation des conditionsdrsquoenvoi de donneacutees agrave Mozilla agrave des finsdrsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyResponseType
Reacuteponse aux conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
accepted-info-bar-dismissed
domipcpluginsreportCrashURL Inteacutegrer lrsquoURL au rapport de crash deplugins
false
domipcpluginsflashsubprocesscrashreporterenabled
Activer le rapport de crash du sous-processus flash
false
toolkittelemetryenabled Activer la fonctionnaliteacute de teacuteleacutemeacutetrie false
toolkittelemetryserver Adresse du serveur de teacuteleacutemeacutetrie Mettre agrave videbreakpadreportURL URL du rapport de crash Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 21 sur 40
Il peut eacutegalement ecirctre utile de configurer lrsquooption de suppression des donneacutees priveacutees (Clear PrivateData) en seacutelectionnant les eacuteleacutements qui seront supprimeacutes Lrsquoentiteacute pourra par exemple permettre auxutilisateurs de supprimer leurs donneacutees priveacutees dans le cadre drsquoune navigation sur internet ou bien delrsquointerdire srsquoil srsquoagit drsquoun navigateur deacutedieacute agrave lrsquointranet Une entiteacute pourrait eacutegalement vouloir toujoursgarder les historiques et le cache agrave des fins drsquoinvestigation (cela nrsquoempecircchera toutefois pas lrsquoutilisateurde les supprimer directement au niveau du systegraveme de fichiers dans son profil utilisateur)
Nom de paramegravetre Description Valeur recommandeacuteeprivacycpdcache Supprimer le cache lors drsquoune suppression des donneacutees
priveacuteesAu choix de lrsquoentiteacute
privacycpdcookies Supprimer les cookies lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpddownloads Supprimer lrsquohistorique des teacuteleacutechargements lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdformdata Supprimer lrsquohistorique de remplissage automatique desformulaire lors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdhistory Supprimer lrsquohistorique lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpdofflineApps Supprimer les applications disponibles hors connexionlors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdpasswords Supprimer les mots de passe enregistreacutes lors drsquoune sup-pression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsessions Supprimer les sessions en cours enregistreacutees lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsiteSettings Supprimer les paramegravetres par site lors drsquoune suppressiondes donneacutees priveacutees
Au choix de lrsquoentiteacute
privacysanitizesanitizeOnShutdown
Supprimer les donneacutees priveacutees agrave la fermeture du naviga-teur
En cas de besoin speacute-cifique de lrsquoentiteacute
Viennent pour finir divers autres paramegravetres lieacutes agrave la confidentialiteacute
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownsessions effacer les sessions de navigation en cours lors
de la fermeture du navigateurtrue
privacyclearOnShutdowncookies effacer les cookies de navigation lors de lafermeture du navigateur
true
privacydonottrackheaderenabled Activer Do-Not-Track true
geoenabled activer la geacuteolocalisation false
geowifiuri URI du service de geacuteolocalisation agrave utiliser Mettre agrave videnetworkprefetch-next Teacuteleacutechargement preacutedictif anticipeacute des docu-
ments lieacutes agrave la page Web visiteacutes (link prefetch-ing)26
false pour eacuteviter lrsquoeacutetablisse-ment de connexions et leteacuteleacutechargement de contenunon solliciteacutes
medianavigatorpermissiondisabled Contourne la permission drsquoacceacuteder agrave la web-cam
false
networkhttpsendRefererHeader Activer lrsquoenvoi de lrsquoentecircte referer 0 pour plus drsquoanonymat ou 2pour ne pas empecirccher le fonc-tionnement de certains sites
browsersend_pings Activer lrsquoenvoi de requecircte POST lors du clicsur un lien (fonctionnaliteacute souvent utiliseacuteepour tracer les clics)
false
26 Le link prefetching permet drsquoacceacuteleacuterer le surf en anticipant le chargement des documents lieacutes agrave la page visiteacutesLrsquoimpleacutementation de ce meacutecanisme dans Firefox ne transmet aucune information agrave Mozilla Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsWebHTTPLink_prefetching_FAQ
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 22 sur 40
Filtrage de contenu
Actions autoriseacutees aux les scripts
Nom de paramegravetre Description Valeur recommandeacuteedomallow_scripts_to_close_windows Autoriser les scripts agrave fermer
une fenecirctrefalse
domdisable_image_src_set Interdire la modification desimages sources par script
false
domdisable_window_flip Interdire le changement defenecirctre active par script
true
domdisable_window_move_resize Deacutetermine si les fenecirctrespeuvent ecirctre bougeacutees or red-imensionneacutees par script
false
domdisable_window_open_featureclose Interdire la creacuteation defenecirctre sans bouton defermeture
true pour eacuteviter les popups in-vasifs
domdisable_window_open_featurelocation Interdire la creacuteation defenecirctre sans barre drsquoadresse
true pour que lrsquoutilisateur puissetoujours veacuterifier ecirctre agrave lrsquoadressepreacutevue
domdisable_window_open_featurestatus Interdire la creacuteation defenecirctre sans barre de status
true pour que lrsquoutilisateur puissese rendre contre plus facilementdes tentatives de spoofing
domdisable_window_open_featuretitlebar Interdire la creacuteation defenecirctre sans barre de titre
true pour que lrsquoutilisateur puissebien voir qursquoil srsquoagit drsquoun popupFirefox
domdisable_window_open_featuretoolbar Interdire la creacuteation defenecirctre sans barre drsquooutils
false
domeventclipboardeventsenabled Permettre agrave un script desaisir les eacuteveacutenements dupresse papier
false
domeventcontextmenuenabled Permettre agrave un script desaisir les eacuteveacutenements drsquoac-cegraves au menu contextuel (clicdroit)
false
dominter-app-communication-apienabled Activer la communicationpar API entre applications
false
domipcpluginsenabled Activation du plugin con-tainer
true pour exeacutecuter les pluginsdans le plugin-container
domipcpluginsjavaenabled Exeacutecuter Java au sein duplugin-container
false pour eacuteviter des problegravemesde stabiliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 23 sur 40
Nom de strateacutegie Description Valeur recommandeacuteebrowsersafebrowsingenabled Utiliser la navigation seacutecuriseacutee
(protection contre le phishing etles logiciels malveillants)27
true
javascriptenabled Activation de Javascript true
securityxpconnectpluginunrestricted Autoriser le scripting de pluginspar des scripts qui ne sont pasde confiance
false agrave moins drsquoune incompatibiliteacute avecdes plugins etou pages Web neacutecessaires agravelrsquoentiteacute
securitymixed_contentblock_active_content
Bloquer le contenu mixte actif true
securitymixed_contentblock_display_content
Bloquer le contenu mixte passif false
securityfileuristrict_origin_policy
Politique drsquoorigine stricte pourles URi de type fichiers
true sauf pour les populations dedeacuteveloppeurs qursquoun tel paramegravetre pourraitbloquer pour le deacuteveloppement en local
networkcookiecookieBehavior Politique de gestion des cookies 1 pour nrsquoautoriser que les cookies duserveur drsquoorigine et bloquer les cookiestiers
networkcookielifetimePolicy Politique drsquoexpiration des cook-ies
2 pour conserver les cookies pendant toutela dureacutee de la session seulement
networkcookiethirdpartysessionOnly Restreindre les cookies tiers agrave ladureacutee de la session seulement
true
networkjaropen-unsafe-types Nrsquoouvrir que les jar servis avecun content-type adeacutequat
false
privacypopupspolicy Politique de popups 1 pour activer les popups ou 2 pour lesrejeter mais cela rendrait la navigationdifficile voire impossible sur une quantiteacutede sites Internet non neacutegligeable
privacypopupsshowBrowserMessage Afficher un message lorsqursquounpopup a eacuteteacute bloqueacute
true
browserpopupsshowPopupBlocker Afficher lrsquoicocircne du bloqueur depopups dans la barre de status
true
securitycspenable Activer la Content Security Pol-icy (politique de seacutecuriteacute descontenus) qui permet de deacute-tecter et de limiter lrsquoimpact decertains types drsquoattaques
true
full-screen-apienabled Activer lrsquoAPI permettant drsquoaf-ficher du contenu en plein eacutecranpour les modules compleacutemen-taires
false
notificationfeatureenabled Permettre les notifications sur lebureau
false
27 La fonctionnaliteacute de navigation seacutecuriseacutee consiste agrave synchroniser une liste locale drsquoadresses de sites maveillants(depuis les serveurs de Google par deacutefaut depuis que Firefox utilise leur service) pour alerter lrsquoutilisateur srsquoil srsquoapprecircte agraveen visiter un Elle consiste eacutegalement agrave analyser le contenu des pages pour repeacuterer drsquoeacuteventuelles tentatives drsquohameccedilonnage
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 24 sur 40
Moteur de recherche par deacutefaut
La configuration drsquoun moteur de recherche personnaliseacute ne peut pas se faire simplement par fichierde configuration et neacutecessite le deacuteploiement drsquoun module de recherche (search engine plugin) LrsquoannexeIV illustre la teacuteleacute-deacuteploiement drsquoun module de recherche utilisant le moteur franccedilais httpswwwqwantcom 28
Nom de paramegravetre Description Exemplebrowsersearchdefaultenginename Moteur de recherche par deacutefaut Qwantcom
browsersearchdefaulturl URL du moteur de recherche pardeacutefaut
httpswwwqwantcomq=searchTerms
browsersearchlog Journalisation de lrsquoutilisation desservices de recherche agrave des fins dedeacuteboggage
false
browsersearchopenintab Ouvrir les reacutesultats de recherchedans un nouvel onglet
false
browsersearchorder1 Moteur de recherche agrave utiliser enprioriteacute 1
Qwantcom
browsersearchsuggestenabled activer les suggestions false
browsersearchupdate Recherche de mises agrave jour pour lesmodules de recherche
false
keywordenabled Permettre de faire une recherchedepuis la barre drsquoadresse
true
Page(s) drsquoaccueil
Nom de strateacutegie Description Valeur recommandeacuteestartuphomepage_override_url Page drsquoaccueil apregraves une mise agrave jour de Firefox En fonction du choix de lrsquoentiteacutestartuphomepage_welcome_url Page drsquoaccueil au premier deacutemarrage En fonction du choix de lrsquoentiteacutebrowserstartuphomepage Page drsquoaccueil about blank pour une page vide
ou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
browserstartuppage Page drsquoaccueil 1 pour ouvrir la page drsquoac-cueil indiqueacutee par le paramegravetrebrowserstartuphomepage
browsersessionstoreresume_from_crash
Restauration de session apregraves crash false
browsersessionstoreenabled Activer le service de restauration de session false
browsernewtaburl Page ouverte par deacutefaut lors de la creacuteationdrsquoun nouvel onglet de navigation
about blank pour une page videou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
28 Ceci nrsquoest en aucun cas une recommandation ni une incitation agrave son utilisation mais un simple exemple
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 25 sur 40
Authentification HTTP
Nom de strateacutegie Description Valeur recommandeacuteenetworkauthforce-generic-ntlm Utiliser le module drsquoauthen-
tification NTLM de Firefoxplutocirct que celui fourni parles APIs du systegraveme
false
networkauthuse-sspi Utiliser SSPI plutocirct queGSSAPI pour lrsquoauthentifica-tion Kerberos
true sous Windows
networkntlmsend-lm-response Envoyer le LM Hash dans lareacuteponse NTLM
false
networkautomatic-ntlm-authallow-proxies
Authentification par NTLMautomatique avec lesserveurs proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networkautomatic-ntlm-authtrusted-uris
Liste des URIs autoriseacuteespour lrsquoauthentification parNTLM automatique
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationNTLM automatique
networkautomatic-ntlm-authallow-non-fqdn
Autoriser lrsquoauthentificationNTLM automatique avecdes sites sans FQDN
false agrave moins que la liste networkautomatic-ntlm-authtrusted-uris comporte des adressessans FQDN
networknegotiate-authallow-non-fqdn
Autoriser lrsquoauthentificationSPNEGO avec des sites sansFQDN
En fonction de lrsquoentiteacute
networknegotiate-authallow-proxies
Autoriser SPNEGO29si de-mandeacute par un serveur proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networknegotiate-authdelegation-uris
Liste des URIs autoriseacuteespour lesquels le navigateurpeut deacuteleacuteguer lrsquoautorisationde lrsquoutilisateur
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites auxquels elle souhaite permettre ladeacuteleacutegation SPNEGO
networknegotiate-authtrusted-uris Liste des URIs autoriseacuteespour engager une authentifi-cation SPNEGO
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationSPNEGO
networknegotiate-authgsslib Chemin vers une librairieGSSLIB speacutecifique
Mettre agrave vide
networknegotiate-authusing-native-gsslib
Utiliser la librairie GSSLIBnative du systegraveme
true
securitydefault_personal_cert Choix du certificat drsquoau-thentification client
Ask Every Time
29 SPNEGO est un standard qui permet de neacutegocier de lrsquoauthentification Kerberos NTLM ainsi que drsquoautresprotocoles supporteacutes pour le systegraveme SPNEGO est eacutegalement connu sous le nom du protocole drsquoauthentificationlaquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 26 sur 40
Serveur mandataire
Nom de paramegravetre Description Valeur recommandeacuteenetworkproxyautoconfig_url URL de configuration automatique du
proxyLaisser agrave vide
networkproxyftp Adresse du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyftp_port port du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp Adresse du proxy proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp_port port du proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyno_proxies_on Liste drsquoexceptions agrave lrsquoutilisation du serveurproxy
A minima localhost 127001 etdavantage en fonction de lrsquoentiteacute etdu peacuterimegravetre drsquoutilisation du naviga-teur
networkproxyshare_proxy_settings
Utiliser le mecircme proxy pour tous les pro-tocoles
false
networkproxysocks Adresse du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_port port du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_remote_dns
Reacutealiser les requecirctes DNS via le proxysocks
false
networkproxysocks_version Version du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl Adresse du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl_port port du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxytype Type drsquoutilisation du proxy 1 pour utiliser les valeurs in-diqueacutees par les paramegravetres ci-dessus(networkproxy)
networkhttpproxyversion version de proxy 11 par deacutefaut et en fonction duserveur proxy de lrsquoentiteacute
networkhttpproxypipelining Activer le pipelining30par proxy false pour des raisons de compat-ibiliteacute Lrsquoentiteacute peut choisir de lrsquoac-tiver si le pipelining est supporteacute parson serveur proxy drsquoentreprise
signonautologinproxy Saisie automatique du mot de passe deproxy
false
30 Le pipelining permet de faire plusieurs requecirctes HTTP simultaneacutement plutocirct que de les faire seacutequentiellement enattendant les reacuteponses de chacune drsquoentre elles Pour plus drsquoinformations httpwww-archivemozillaorgprojectsnetlibhttppipelining-faqhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 27 sur 40
Peacuterimegravetre de navigation
Nom de paramegravetre Description Valeur recommandeacuteenetworkprotocol-handlerexpose-all
Deacutetermine si le navigateur essayedrsquoouvrir les liens cliqueacutes dans lenavigateur en prioriteacute avant delaisser le systegraveme srsquoen charger en casdrsquoeacutechec (si le protocole du lien enquestion nrsquoest pas supporteacute par lenavigateur)
true
networkprotocol-handlerwarn-external-default
Avertir lrsquoutilisateur avant decharger un gestionnaire deprotocole tiers
true
networkprotocol-handlerexternal-default
Action pour lrsquoouverture drsquoun pro-tocole non pris en charge par lenavigateur
false de maniegravere agrave ne pas essayerde charger des protocoles non pris encharge nativement par le navigateur Lrsquoen-titeacute renseignera eacuteventuellement des ges-tionnaires de protocoles tiers pour desprotocoles qursquoelle souhaite explicitementpermettre tels que NNTP Mailto etc Pour illustrer par lrsquoexemple avecMailto le paramegravetre networkprotocol-handlerexternalmailto aurait pour valeurtrue et le paramegravetre networkprotocol-handlerappmailto avec pour valeur lechemin drsquoun exeacutecutable comme MozillaThunderbird ou Microsoft Outlook
networkprotocol-handlerexternalfile
Gestionnaire de protocole filesous Firefox
false
networkprotocol-handlerexternalftp
Gestionnaire de protocole ftpsous Firefox
false
geckohandlerServiceallowRegisterFromDifferentHost
Autoriser les sites Web agrave installerdes gestionnaires de protocoles oude contenus utilisable pour deshocirctes tiers
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 28 sur 40
Administration systegraveme maintenance et options diverses
Parameacutetrage des mises agrave jour
Nom de paramegravetre Description Valeur recommandeacuteeappupdateenabled Activation de la mise agrave jour automatique true
appupdateauto Teacuteleacutechargement et installationautomatiques (neacutecessite que le paramegravetreappupdateenabled ait pour valeurtrue)
true
appupdatecertcheckAttributes Veacuterifie les attributs du certificat du serveurde mise agrave jour
false
appupdatecertrequireBuiltIn Requiert lrsquointeacutegration des certificats duserveur de mise agrave jour et de toutes lesredirections intermeacutediaires
false
appupdatechannel Canal de mise agrave jour esr pour la version ESR de FirefoxappupdatedownloadbackgroundInterval
Temps de pause (en secondes) entrechaque teacuteleacutechargement en arriegravere plandrsquoun morceau de 300 Kb de mise agrave jour
Au choix de lrsquoentiteacute
appupdateidletime Temps de pause (en secondes) entre chaqueteacuteleacutechargement agrave la demande de lrsquoutilisa-teur) drsquoun morceau de 300 Kb de mise agravejour
60
appupdateinterval Intervalle de temps entre chaque veacuterifica-tion de disponibiliteacute de nouvelles mises agravejour
43200
appupdatemode Deacutetermine quelles mises agrave jour sontteacuteleacutechargeacutees en arriegravere plan
0 pour teacuteleacutecharger toutes les mises agravejour sans intervention de lrsquoutilisateur
appupdateserviceenabled Active le service de mise agrave jour de Firefox true
appupdateshowInstalledUI Deacutetermine si apregraves installation de mise agravejour une boicircte de dialogue informe lrsquoutil-isateur qursquoune mise agrave jour a eacuteteacute installeacutee
Au choix de lrsquoentiteacute
appupdatesilent Active le mode de mise agrave jour silencieux true pour une mise agrave jour silencieuseen arriegravere plan
appupdateurl URL de reacutecupeacuteration des mises agrave jour deFirefox
En fonction de la strateacutegie de mise agravejour de lrsquoentiteacute Pour une mise agrave jourdepuis les serveurs de Mozilla httpsaus3mozillaorgupdate3PRODUCTVERSIONBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONupdatexml sinon lrsquoURLdu serveur de mise agrave jour internede lrsquoentiteacute (qursquoil faudra eacutegalementrenseigner dans le paramegravetreappupdateurloverride)
appupdateurloverride URL de reacutecupeacuteration des mises agrave jour deFirefox
Paramegravetre agrave renseigner uniquementdans le cas ou la mise agrave jour deFirefox se fait depuis lrsquoURL drsquounserveur de mise agrave jour interne delrsquoentiteacute (agrave renseigner en plus duparamegravetre appupdateurl)
appupdateurldetails URL de consultation des informations rel-atives aux mises agrave jour disponibles
Laisser la valeur par deacutefautrhttpswwwmozillaorgLOCALEfirefoxnotes
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 29 sur 40
Configuration du cache
Nom de paramegravetre Description Valeur recommandeacuteebrowsercachecheck_doc_frequency Quand veacuterifier la mise agrave jour drsquoune page en
cache disque3 (veacuterifier quand la page estpeacuterimeacutee)
browsercachecompression_level Niveau de compression du cache disque Au choix de lrsquoentiteacute de 0(pas de compression) agrave 9(haut taux de compressionavec forte sollicitation du pro-cesseur)
browsercachediskcapacity Espace disque alloueacute au cache disque enKb
Au choix de lrsquoentiteacute
browsercachediskenable Utiliser le cache disque true
browsercachediskmax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache disque
Au choix de lrsquoentiteacute
browsercachedisksmart_sizeenabled Allocation intelligente de lrsquoespace disquealloueacute au cache en fonction de lrsquoespacedisponible
Au choix de lrsquoentiteacute
browsercachedisk_cache_ssl Mettre en cache disque les pages visiteacuteesen HTTPS
False de maniegravere agrave ne pasmettre en cache le contenuSSL
browsercachememoryenable Utiliser le cache meacutemoire true
browsercachememorymax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache meacutemoire
Au choix de lrsquoentiteacute
browsercachememory_limit Meacutemoire maximum utiliseacutee pour le cachemeacutemoire en Kb
Au choix de lrsquoentiteacute
browsercacheofflinecapacity Espace disque alloueacute au cache des applica-tions Web
Au choix de lrsquoentiteacute
browsercacheofflineenable Utiliser le cache des applications Web per-mettant une utilisation hors ligne
Au choix de lrsquoentiteacute
browsercacheuse_new_backend Utilisation du nouveau systegraveme de cache 0 (ne pas utiliser pour desquestions de stabiliteacute)
networkhttpuse-cache Utiliser le cache des documents HTTP true
mediacache_size Taille du cache pour les fichiers multimedia Au choix de lrsquoentiteacute par deacute-faut 512000
domstoragedefault_quota Quota de stockage cocircteacute client pour lespages Web
5120 taille par deacutefaut
domstorageenabled Active le stockage cocircteacute client pour les pagesWeb
true agrave deacutefaut de vulneacuterabil-iteacutes connues pour cette fonc-tionnaliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 30 sur 40
Deacutesactiver les options de deacuteveloppement (sauf pour les populations de deacuteveloppeurs)
Nom de paramegravetre Description Valeur recommandeacuteedevtoolsappmanagerenabled Activation des outils de deacuteveloppement module appmanager false
devtoolsdebuggerenabled Activation des outils de deacuteveloppement module deacutebogueur false
devtoolserrorconsoleenabled Activation des outils de deacuteveloppement module consoledrsquoerreurs
false
devtoolsfontinspectorenabled Activation des outils de deacuteveloppement module inspecteurde polices
false
devtoolsinspectorenabled Activation des outils de deacuteveloppement module inspecteur false
devtoolsnetmonitorenabled Activation des outils de deacuteveloppement module reacuteseau false
devtoolsprofilerenabled Activation des outils de deacuteveloppement module profileur false
devtoolsshadereditorenabled Activation des outils de deacuteveloppement module vue adaptive false
devtoolsstyleeditorenabled Activation des outils de deacuteveloppement module editeur destyles
false
devtoolstiltenabled Activation des outils de deacuteveloppement module tilt false
devtoolstoolbarenabled Activation des outils de deacuteveloppement module barre dedeacuteveloppement
false
Configurations diverses
Nom de paramegravetre Description Valeur recommandeacuteenetworkseerenable-hover-on-ssl Activer seer sur SSL false
networkseerenabled Activer seer false
networkhttppipelining Activer le pipelining pour le surfHTTP11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttppipeliningssl Activer le pipelining pour le surfHTTPS11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttpspdyenabled Activer SPDY31 false
networkhttpspdyenabledv2 Activer SPDY v2 false
networkhttpspdyenabledv3 Activer SPDY v3 false
networkhttpspdyenabledv3-1 Activer SPDY v31 false
browsershellcheckDefaultBrowser Veacuterifier si Firefox est configureacutecomme navigateur par deacutefaut
false dans le cadre de double naviga-teurs
browserdownloadmanagerscanWhenDone
Scan antivirus drsquoun fichier lorsqueson teacuteleacutechargement est termineacute
true
browserdownloaduseDownloadDir Utiliser le reacutepertoire de teacuteleacutecharge-ment par deacutefaut
false pour que lrsquoutilisateur indique agravequel emplacement il souhaite teacuteleacutechargerle fichier
browserfullscreenautohide Cacher la barre drsquooutils et drsquoongletsen mode plein eacutecran
false
31 SPDY est un protocole reacuteseau expeacuterimental de Google visant agrave augmenter les capaciteacutes du protocole HTTP pourreacuteduire le temps de chargement des pages Web en classant les objets par ordre de prioriteacute et en multiplexant les transfertspour ne neacutecessiter qursquoune seule connexion Ce protocole est vulneacuterable aux attaques CRIME (Compression Ratio Info-leakMade Easy) lorsqursquoil est utiliseacute avec HTTPS (ce qui est geacuteneacuteralement le cas)
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 31 sur 40
Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP
Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory
Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation
La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32
Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers
Fichiers de configuration
La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte
ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet
ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes
Fichier local-settingsjs
pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)
Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 32 sur 40
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
Il sera nettement moins risqueacute (du point de la compatibiliteacute) de retenir le mode classique (automa-tique) pour les versions ESR de Firefox eacutetant donneacute que les mises agrave jour concernent des correctifs deseacutecuriteacute agrave haut risque et nrsquoapportent aucune nouvelle fonctionnaliteacute En revanche les versions standardsde Firefox peuvent recevoir des mises agrave jour fonctionnelles importantes qursquoil serait plus pertinent decontrocircler preacutealablement
La probleacutematique des mises agrave jour concerne eacutegalement les extensions Bien qursquoil soit recommandeacutede les interdire dans le cadre drsquoune configuration durcie une entiteacute peut vouloir en deacuteployer certainespour de bonnes raisons La mise agrave jour des extensions est indeacutependante du meacutecanisme de mise agravejour du navigateur Elles peuvent ecirctre mises agrave jour automatiquement (comportement par deacutefaut) oumanuellement quelle que soit la strateacutegie de mise agrave jour choisie pour le navigateur
Le maintien en conditions de seacutecuriteacute des plugins devra par ailleurs ecirctre geacutereacute indeacutependamment dunavigateur chaque plugin ayant ses speacutecificiteacutes quant aux meacutecanismes de mise agrave jour utiliseacutes
Concernant le service Mozilla Maintenance Service (service chargeacute des mises agrave jour de Firefox) cedernier srsquoexeacutecute avec les droits qui lui sont propres pour la mise agrave jour du navigateur et ce quels quesoient les droits de lrsquoutilisateur
5 Strateacutegie de double navigateur
La seacutecuriteacute des systegravemes drsquoinformation impose souvent un navigateur qui doit ecirctre durci pourlrsquoaccegraves agrave Internet mais plus permissif pour lrsquoaccegraves aux applications internes Lorsque certains serveursWeb internes utilisent des appliquettes Java par exemple neacutecessitant le deacuteploiement de modulescompleacutementaires Java le navigateur finit par avoir une surface drsquoattaque tregraves importante et exposeainsi lrsquoentiteacute agrave un des vecteurs drsquoattaque les plus critiques et massivement exploiteacutes 19
Pour traiter cette probleacutematique lorsqursquoelles disposent des ressources neacutecessaires en particulierpour en assurer le maintien en conditions de seacutecuriteacute de plus en plus drsquoentiteacutes srsquoorientent vers lrsquousagede deux navigateurs diffeacuterents Il devient alors possible
ndash drsquoen deacutedier un agrave la navigation sur Internet De par sa configuration durcie sa surface drsquoattaqueest reacuteduite au maximum Il est maintenu en conditions de seacutecuriteacute avec la plus grande attentionLes eacutequipes de veille scrutent la moindre vulneacuterabiliteacute dont le navigateur Internet fait lrsquoobjetLes eacutequipements de filtrage et drsquoanalyse du trafic sont utiliseacutes pour repeacuterer tout comportementsuspect de navigation sur Internet
ndash drsquoen deacutedier un deuxiegraveme agrave lrsquoaccegraves aux serveurs internes neacutecessitant par exemple un module com-pleacutementaire qui peut faire lrsquoobjet de vulneacuterabiliteacutes freacutequentes ou qui neacutecessite une configurationplus permissive Il est alors possible de le configurer pour permettre uniquement lrsquoaccegraves et lrsquousagede lrsquoensemble des sites et applications leacutegegraveres de lrsquoIntranet
Une telle strateacutegie de double navigateur doit neacutecessairement srsquoaccompagner de mesures de seacutecuriteacutetechniques permettant de garantir le peacuterimegravetre drsquoutilisation de chaque navigateur par des paramegravetresde configuration verrouilleacutes Le tableau suivant en donne quelques exemples
19 Voir les recommandations de seacutecuriteacute publieacutees par lrsquoANSSI relatives aux environnements drsquoexeacute-cution Java sur les postes de travail Microsoft Windows agrave lrsquoadresse httpwwwssigouvfrfrguides-et-bonnes-pratiquesrecommandations-et-guidessecurite-du-poste-de-travail-et-des-serveursrecommandations-de-securite-relatives-aux-environnements-d-execution-java-surhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 12 sur 40
Composant Action ValeurServeur mandataire Autoriser User-Agent du navigateur Internet (ou plus strictement de la
derniegravere version de ce dernier)Bloquer Tout autre User-Agent non autoriseacute
Pare-feu locaux despostes de travail
Autoriser TCP en sortie vers le serveur mandataire depuis - le processus du navigateur Internet (chemin complet delrsquoexeacutecutable) - les autres processus eacuteventuels autoriseacutes agrave acceacuteder agrave Internetvia le serveur mandataire
Bloquer TCP en sortie vers le serveur mandataire depuis tout autreprocessus
Pare-feu de passerelleInternet
Autoriser TCP en sortie vers les ports 443 et 80 depuis - lrsquoIP source du serveur mandataire - les autres IP sources eacuteventuelles autoriseacutees agrave sortir en directsur Internet sans passer par le serveur mandataire
Bloquer TCP en sortie vers ports 443 et 80 depuis toute autre IP sourceApplocker (ou SRP) surles postes de travail
Autoriser lrsquoexeacutecution Chemin complet de lrsquoexeacutecutable des navigateurs autoriseacutes
Bloquer lrsquoexeacutecution Tout autre exeacutecutable de navigateur interdit
Les regravegles de configuration deacutecrites en annexe I section laquo Peacuterimegravetre de navigation raquo permettentalors de mettre en œuvre une partie de ces mesures de seacutecuriteacute et de restreindre le peacuterimegravetre denavigation possible de chacun des navigateurs
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 13 sur 40
Les figures suivantes illustrent de maniegravere syntheacutetique les mesures de seacutecuriteacute appliqueacutees agrave unestrateacutegie de double navigateur
Figure 1 ndash Illustration drsquoune strateacutegie de double navigateur cas ougrave Firefox est utiliseacute commenavigateur Internet
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 14 sur 40
Figure 2 ndash Illustration drsquoune strateacutegie de double navigateur cas ougrave Firefox est utiliseacute commenavigateur Intranet
Ces figures illustrent deux cas distincts Le navigateur Firefox y est repreacutesenteacute mais la strateacutegieserait eacutequivalente avec drsquoautres navigateurs
Les regravegles de configuration recommandeacutees en annexe I se precirctent agrave un contexte ougrave le navigateur estdeacutedieacute agrave la navigation sur Internet
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 15 sur 40
Annexe I Strateacutegies de seacutecurisation de Firefox
Cette annexe liste sous forme de tableaux les valeurs recommandeacutees permettant de mettre en œuvreles recommandations formuleacutees dans cette note technique La liste des paramegravetres de configurationdisponibles est sujette agrave des eacutevolutions freacutequentes et certains sont peu voire pas documenteacutes Lesrecommandations et leurs indications de mise en œuvre figurant dans ce document sont baseacutees sur lesparamegravetres de configuration de Firefox dans sa version ESR 31 Ces derniers pourront ecirctre adapteacutesselon la version du navigateur deacuteployeacutee agrave la date de lecture du document
Depuis un navigateur Firefox il est possible drsquoafficher et de modifier les paramegravetres de configurationappliqueacutes en tapant aboutconfig dans la barre drsquoadresse Les paramegravetres verrouilleacutes sont afficheacutes enitalique La page aboutsupport affiche quant agrave elle un reacutecapitulatif des informations systegravemes etde version ainsi que les modifications importantes apporteacutees agrave la configuration par deacutefaut du navigateur
En environnement professionnel il est conseilleacute de deacuteployer une configuration de maniegravere centraliseacuteecomme expliqueacute en annexe II Pour un usage personnel de Firefox il est eacutegalement possible de srsquoinspirerde tout ou partie des paramegravetres indiqueacutes dans ce document agrave partir de la page aboutconfig
Seacutecuriteacute des modules compleacutementaires
Les regravegles de configuration preacutefixeacutees par le terme laquo extensions raquo ne srsquoappliquent pas toujoursuniquement aux extensions comme elles pourraient le laisser entendre mais parfois plus largementaux plugins voire aux modules compleacutementaires dans leur ensemble Il convient donc drsquoecirctre vigilantquant au peacuterimegravetre reacuteel drsquoapplication des regravegles de configuration dont les noms pourraient precircter agraveconfusion
Nom de strateacutegie Description Valeur recommandeacuteeextensionsautoDisableScopes Les extensions peuvent
ecirctre deacutesactiveacuteesautomatiquement enfonction de leur localisation
3 (les extensions deacuteposeacutees dans le profil Firefox delrsquoutilisateur ou dans le profil utilisateur Windowsseront automatiquement deacutesactiveacutees20)
extensionsenabledScopes Les extensions peuvent ecirctreactiveacutees automatiquementen fonction de leurlocalisation21
12 (seules les extensions reacutefeacuterenceacutees par une entreacutee enbase de registres22 ou deacuteposeacutees dans le sous-dossierdrsquoextensions agrave lrsquoemplacement de lrsquoexeacutecutable FireFoxseront activeacutees Attention ce paramegravetre a prioriteacute surextensionsautoDisableScopes
20 Contrairement agrave ce qursquoindique la MozillaZine Knownledge Base le paramegravetre extensionsautoDisableScopes nepermet pas de deacutesactiver un plugin pour ce faire il convient drsquoutiliser les paramegravetres pluginstatex21 Pour plus drsquoinformations sur le paramegravetre extensionsenabledScopes httpsdevelopermozillaorgen-US
Add-onsInstalling_extensions22 Article de Mozilla expliquant lrsquoajout la mise agrave jour et la suppression drsquoextensions ou de plugins pour Firefox par
base de registre httpsdevelopermozillaorgen-USdocsAdding_Extensions_using_the_Windows_Registry
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 16 sur 40
Nom de paramegravetre Description Valeur recommandeacuteeextensionsblocklistenabled Teacuteleacutechargement reacutegulier drsquoune
liste noire de modules reacutefeacuterenceacutescomme eacutetant malveillants
false si seuls les modules teacuteleacute-deacuteployeacutes par leseacutequipes informatique sont installeacutes ou true silrsquoutilisateur est en mesure drsquoinstaller des moduleslui-mecircme
extensionsblocklistdetailsURL
URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules
Celle par deacutefaut (httpswwwmozillaorgLOCALEblocklist)
extensionsblocklistitemURL URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules(variante)
Celle par deacutefaut (httpsaddonsmozillaorgLOCALEAPPblockedblockID)
extensionsblocklistinterval Intervalle de teacuteleacutechargement dela liste noire de modules ensecondes
86400 (soit 1 fois par jour)
extensionsblocklistlevel Niveau de blocage 2 (pour bloquer les extensions de la liste)extensionsblocklisturl Adresse de teacuteleacutechargement de la
liste noire de modulesCelle par deacutefaut (httpsaddonsmozillaorgblocklist3APP_IDAPP_VERSIONPRODUCTBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONPING_COUNTTOTAL_PING_COUNTDAYS_SINCE_LAST_PING)
extensionsenabledAddons Modules activeacutes au deacutemarragede Firefox
Mettre agrave vide
pdfjsdisabled Deacutesactiver la visionneuse PDFinteacutegreacutee agrave Firefox (pdfjs)
true pour que lrsquoutilisateur teacuteleacutecharge les PDF etles visionne via un lecteur PDF tiers maintenu enconditions de seacutecuriteacute par lrsquoentiteacute et ne faisant paslrsquoobjet de vulneacuterabiliteacutes freacutequentes ou false pourautoriser lrsquousage du lecteur de PDF inteacutegreacute
pluginstateflash Configuration drsquoactivation duplugin Flash
1 (demander lrsquoautorisation agrave lrsquoutilisateur avantchaque exeacutecution du plugin Flash) ou 2 (toujoursactiver) au choix de lrsquoentiteacute et en fonction desutilisateurs et des contraintes de seacutecuriteacute
pluginstatejava Configuration drsquoactivation duplugin Java
0 pour ne jamais activer le plugin Java (agrave moinsque lrsquoentiteacute souhaite utiliser ce plugin malgreacute lesrisques de seacutecuriteacute encourus auquel cas la valeuragrave donner serait 1 pour demander lrsquoautorisation agravelrsquoutilisateur agrave chaque exeacutecution du plugin Java)
pluginstatex Configuration drsquoactivation duplugin x ougrave x est agrave remplacerpar le nom court du pluginagrave deacutesactiver (exemple npctrlpour Microsoft Silverlight Lesnoms courts des plugins sontindiqueacutes en affichant leurs infor-mations deacutetailleacutees depuis lrsquointer-face graphique)
0 pour ne jamais activer le plugin ou 1 pourdemander lrsquoautorisation agrave lrsquoutilisateur avant chaqueexeacutecution du plugin
plugindefaultstate Configuration drsquoactivation desautres plugins
0 pour ne jamais activer un plugin non explicite-ment autoriseacute par les regravegles preacuteceacutedentes
plugindefaultXpistate Configuration drsquoactivation desautres plugins au format XPI
0 pour ne jamais activer un plugin au format XPInon explicitement autoriseacute par les regravegles preacuteceacute-dentes
pluginsclick_to_play Cliquer pour lire le contenu neacute-cessitant un plugin
true pour activer le mode laquo Cliquer pour lire raquo
pluginsload_appdir_plugins Chargement automatique desplugins depuis des emplace-ments utiliseacutes avant Firefox 21
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 17 sur 40
Eacutetant donneacute que seuls les modules compleacutementaires teacuteleacute-deacuteployeacutes par les eacutequipes informatiquessont autoriseacutes il est recommandeacute de bloquer toute possibiliteacute drsquoajout de modules compleacutementaires parlrsquoutilisateur
Nom de strateacutegie Description Valeur recommandeacuteeextensionsgetAddonsgetWithPerformanceurl
URL de reacutecupeacuteration drsquoun module compleacutementaire Mettre agrave vide
extensionsgetAddonsmaxResults Nombre de reacutesultats maximum 0extensionsgetAddonsgeturl URL de consultation drsquoun module compleacutementaire Mettre agrave videextensionsgetAddonsrecommendedbrowseURL
URL de consultation des modules compleacutementairesrecommandeacutes
Mettre agrave vide
extensionsgetAddonsrecommendedurl
URL de consultation des modules compleacutementairesrecommandeacutes par API
Mettre agrave vide
extensionsgetAddonssearchbrowseURL
URL de recherche de modules compleacutementaires Mettre agrave vide
extensionsgetAddonssearchurl URL de recherche de modules compleacutementaires parAPI
Mettre agrave vide
extensionsgetAddonsshowPane Afficher le panneau drsquoajout de modules compleacutemen-taires
false
extensionshideInstallButton Cacher le bouton drsquoinstallation manuelle drsquoextensions true
extensionswebservicediscoverURL URL du catalogue drsquoextensions Mettre agrave videxpinstallenabled Autoriser lrsquoinstallation manuelle de modules au format
XPIfalse
xpinstallwhitelistrequired Obligation pour une archive XPI drsquoecirctre en liste blanchepour ecirctre installeacutee manuellement
true
xpinstallwhitelistaddxpinstallwhitelistadd
Liste blanche drsquoarchives XPI pouvant ecirctre installeacuteesmanuellement
Mettre agrave vide
Pour finir lrsquoentiteacute devra choisir sa strateacutegie de mise agrave jour des extensions teacuteleacute-deacuteployeacutees Lrsquoentiteacutequi voudra teacuteleacute-deacuteployer elle-mecircme les versions agrave jour des modules compleacutementaires apregraves une phase devalidation optera pour le parameacutetrage donneacute ci-dessous la responsabiliteacute du maintien en conditions deseacutecuriteacute sera alors deacuteporteacutee sur les services informatiques en charge du deacuteploiement de ces mises agrave jourDans le cas contraire les valeurs par deacutefaut permettent une mise agrave jour automatique des extensionspar Internet
Nom de strateacutegie Description Valeur recommandeacuteeextensionshotfixcertcheckAttributes
Veacuterifie les attributs du certificat de signature descorrectifs teacuteleacutechargeacutes
true
extensionshotfixcerts1sha1Fingerprint
Empreintes attendues du certificat de signature descorrectifs teacuteleacutechargeacutes
Laisser la valeur par deacutefaut(9153980CC186DF478F35229E11C9A7310449A1AA en date dereacutedaction de ce document)
extensionsupdateautoUpdateDefault
Teacuteleacutecharger et installer automatiquement les mises agravejour drsquoextensions
false
extensionsupdatebackgroundURL
URL de teacuteleacutechargement des mises agrave jour drsquoextensionsen arriegravere plan
Mettre agrave vide
extensionsupdateenabled Activer la mise agrave jour des extensions false
extensionsupdateinterval Intervalle de teacuteleacutechargement des mises agrave jour desextensions
86400 (soit 1 fois par jour)
pluginsupdatenotifyUser Notifier lrsquoutilisateur de la preacutesence drsquoune mise agrave jourpour ses modules compleacutementaires
false
pluginsupdateurl URL de mise agrave jour des modules compleacutementaires Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 18 sur 40
SSLTLS et certificats
Le parameacutetrage des suites cryptographiques autoriseacutees peut engendrer des problegravemes de compa-tibiliteacute selon le contexte Il est donc leacutegitime de preacutefeacuterer ne pas modifier la configuration par deacutefautDans un soucis de durcissement les recommandations suivantes pourraient toutefois ecirctre appliqueacutees
Nom de paramegravetre Description Valeur recommandeacuteesecurityssl3dhe_dss_aes_128_sha Autoriser ssl3dhe_dss_aes_128_sha false
securityssl3dhe_dss_aes_256_sha Autoriser ssl3dhe_dss_aes_256_sha false
securityssl3dhe_dss_camellia_128_sha Autoriser ssl3dhe_dss_camellia_128_sha false
securityssl3dhe_dss_camellia_256_sha Autoriser ssl3dhe_dss_camellia_256_sha false
securityssl3dhe_rsa_aes_128_sha Autoriser ssl3dhe_rsa_aes_128_sha true
securityssl3dhe_rsa_aes_256_sha Autoriser ssl3dhe_rsa_aes_256_sha true
securityssl3dhe_rsa_camellia_128_sha Autoriser ssl3dhe_rsa_camellia_128_sha false
securityssl3dhe_rsa_camellia_256_sha Autoriser ssl3dhe_rsa_camellia_256_sha false
securityssl3dhe_rsa_des_ede3_sha Autoriser ssl3dhe_rsa_des_ede3_sha false
securityssl3ecdhe_ecdsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_ecdsa_aes_128_gcm_sha256
true
securityssl3ecdhe_ecdsa_aes_128_sha Autoriser ssl3ecdhe_ecdsa_aes_128_sha true
securityssl3ecdhe_ecdsa_aes_256_sha Autoriser ssl3ecdhe_ecdsa_aes_256_sha true
securityssl3ecdhe_ecdsa_rc4_128_sha Autoriser ssl3ecdhe_ecdsa_rc4_128_sha false
securityssl3ecdhe_rsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_rsa_aes_128_gcm_sha256
true
securityssl3ecdhe_rsa_aes_128_sha Autoriser ssl3ecdhe_rsa_aes_128_sha true
securityssl3ecdhe_rsa_aes_256_sha Autoriser ssl3ecdhe_rsa_aes_256_sha true
securityssl3ecdhe_rsa_des_ede3_sha Autoriser ssl3ecdhe_rsa_des_ede3_sha false
securityssl3ecdhe_rsa_rc4_128_sha Autoriser ssl3ecdhe_rsa_rc4_128_sha false
securityssl3rsa_aes_128_sha Autoriser ssl3rsa_aes_128_sha true
securityssl3rsa_aes_256_sha Autoriser ssl3rsa_aes_256_sha true
securityssl3rsa_camellia_128_sha Autoriser ssl3rsa_camellia_128_sha false
securityssl3rsa_camellia_256_sha Autoriser ssl3rsa_camellia_256_sha false
securityssl3rsa_des_ede3_sha Autoriser ssl3rsa_des_ede3_sha false
securityssl3rsa_fips_des_ede3_sha Autoriser ssl3rsa_fips_des_ede3_sha false
securityssl3rsa_rc4_128_md5 Autoriser ssl3rsa_rc4_128_md5 false
securityssl3rsa_rc4_128_sha Autoriser ssl3rsa_rc4_128_sha false
securityssl3rsa_seed_sha Autoriser ssl3rsa_seed_sha false
Autres paramegravetres
Nom de paramegravetre Description Valeur recommandeacuteesecuritytlsversionmax Version maximum de
SSLTLS3 (ce qui correspond agrave TLS 12)
securitytlsversionmin Version minimum de SSLTLS 2 (ce qui correspond agrave TLS 11)securitysslallow_unrestricted_renego_everywhere__temporarily_available_pref
Activer la reneacutegociation SSL false pour remeacutedier agrave une attaque parle milieu connue
securitysslenable_false_start Activer laquo SSL False Start raquo false car non standardiseacute et amenantde potentielles vulneacuterabiliteacutes
securitysslenable_ocsp_stapling Activer lrsquoOCSP stapling23 true
23 httpsblogmozillaorgsecurity20130729ocsp-stapling-in-firefox
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 19 sur 40
Nom de paramegravetre Description Valeur recommandeacuteesecuritysslrequire_safe_negotiation
Neacutecessite une neacutegociation SSL qui nrsquoutilisepas une ancienne version SSLTLS vul-neacuterable agrave des attaques par le milieu
true est la valeur ideacuteale en termesde seacutecuriteacute mais false reste conseilleacutepour eacuteviter que de nombreux sitescouramment visiteacutes ne soient plus uti-lisables
securitysslrenego_unrestricted_hosts
Liste drsquohocirctes autoriseacutes agrave faire de la reneacute-gociation SSL avec drsquoanciennes versionsvulneacuterables du protocole
Liste drsquohocirctes seacutepareacutes par des virgules(ne supportant pas les wildcards)et qursquoil est utile de renseigner sisecuritysslrequire_safe_negotiationest configureacute agrave true
securityssltreat_unsafe_negotiation_as_broken
Informer lrsquoutilisateur (cadenas casseacute rougedans la barre de status) lorsque les neacutegoci-ations SSLTLS sont non seacutecuriseacutees
true
networkstricttransportsecuritypreloadlist
Charger la liste de sites deacuteclareacutes commeutilisant HSTS (HTTP Strict TransportSecurity24)
true
networkwebsocketallowInsecureFromHTTPS
Autoriser les WebSockets non seacutecuriseacuteepour un site consulteacute en HTTPS
false
securityOCSPenabled Activer OCSP 2 pour veacuterifier le certificat agrave partir delrsquoURL de service OCSP et de lrsquoautoriteacutede certification ayant signeacute le certifi-cat Notons que cette fonctionnaliteacuteest critiqueacutee pour des questions delatence des reacutepondeurs OCSP (de lrsquoor-dre de 300ms pour les plus rapides agraveplus drsquoune seconde pour les plus lents)OCSP tend donc agrave ecirctre remplaceacute pardes listes locales de certificats reacutevo-queacutes dans drsquoautres navigateurs maisFirefox ne dispose pas encore drsquounetelle liste Une entiteacute ayant des con-traintes particuliegraveres quant agrave la la-tence induite par OSCP pourrait opterpour une deacutesactivation drsquoOCSP avecla valeur 0
securityOCSPrequire Neacutecessite la validation du certificat parOCSP avant de continuer la navigation surle site
true si securityOCSPenabled a eacuteteacuteconfigureacute agrave true ou false dans le cascontraire
securitycert_pinningenforcement_level
Niveau de certificate pinning (eacutepinglage decertificats)25(agrave partir de Firefox 32)
2 pour utiliser lrsquoeacutepinglage strict
Gestionnaire de mots de passe
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownpasswords Effacer les mots de passe enregistreacutes agrave la
fermeture du navigateurtrue
signonrememberSignons Active le gestionnaire de mots de passe false
signonautofillForms Remplissage automatique des formulairesde login
false
24 httpsdevelopermozillaorgfrdocsSC3A9curitC3A9HTTP_Strict_Transport_Security25 Lrsquoeacutepinglage de certificats permet drsquoavoir une base locale de certificats connus et attendus pour certains sites Web
consulteacutes en HTTPS Ainsi si le certificat preacutesenteacute par le serveur est valide en tous points de vue mais nrsquoest pas lecertificat attendu la connexion sera coupeacutee Ce meacutecanisme permet drsquoeacuteviter une attaque par le milieu preacutesentant un fauxcertificat issu drsquoune autoriteacute de certification de confiance
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 20 sur 40
Confidentialiteacute
Il nrsquoexiste pas en date de reacutedaction de cette note de regravegle globale pour la deacutesactivation de FirefoxSync Sa deacutesactivation se fait par conseacutequent agrave travers plusieurs regravegles de configuration
Nom de paramegravetre Description Valeur recommandeacuteeservicessyncengineaddons Synchronisation des modules compleacutementaires false
servicessyncenginebookmarks Synchronisation des marque-pages false
servicessyncenginehistory Synchronisation de lrsquohistorique de navigation false
servicessyncenginepasswords Synchronisation des mots de passe stockeacutes false
servicessyncengineprefs Synchronisation des preacutefeacuterences false
servicessyncenginetabs Synchronisation des onglets ouverts false
servicessyncregisterEngines Moteurs de synchronisation enregistreacutes Mettre agrave videservicessyncjpakeserverURL URL du serveur synchronisation jpake Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessynctokenServerURI URI du serveur de jetons Mettre agrave videservicessyncnextSync Planification de la prochaine synchronisation 0
Il convient eacutegalement de deacutesactiver les diffeacuterents rapports agrave Mozilla
Nom de paramegravetre Description Valeur recommandeacuteedatareportinghealthreportaboutreportUrl URL de rapport de santeacute Mettre agrave videdatareportinghealthreportloggingconsoleEnabled
Activer la journalisation (console) du ser-vice de rapports de santeacute
false
datareportinghealthreportloggingdumpEnabled
Activer la journalisation (dumps) du ser-vice de rapports de santeacute
false
datareportinghealthreportnextDataSubmissionTime
Date de prochaine soumission de rapportde santeacute
Mettre agrave vide
datareportinghealthreportserviceenabled Activer le service de rapport de santeacute false
datareportinghealthreportuploadEnabled Autoriser lrsquoenvoi de donneacutees au serveur derapports de santeacute
false
datareportingpolicydataSubmissionEnabled Activer lrsquoenvoi de donneacutees agrave Mozilla agrave desfins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyAccepted
Accepter les conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyBypassAcceptance
Contourner lrsquoacceptation des conditionsdrsquoenvoi de donneacutees agrave Mozilla agrave des finsdrsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyResponseType
Reacuteponse aux conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
accepted-info-bar-dismissed
domipcpluginsreportCrashURL Inteacutegrer lrsquoURL au rapport de crash deplugins
false
domipcpluginsflashsubprocesscrashreporterenabled
Activer le rapport de crash du sous-processus flash
false
toolkittelemetryenabled Activer la fonctionnaliteacute de teacuteleacutemeacutetrie false
toolkittelemetryserver Adresse du serveur de teacuteleacutemeacutetrie Mettre agrave videbreakpadreportURL URL du rapport de crash Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 21 sur 40
Il peut eacutegalement ecirctre utile de configurer lrsquooption de suppression des donneacutees priveacutees (Clear PrivateData) en seacutelectionnant les eacuteleacutements qui seront supprimeacutes Lrsquoentiteacute pourra par exemple permettre auxutilisateurs de supprimer leurs donneacutees priveacutees dans le cadre drsquoune navigation sur internet ou bien delrsquointerdire srsquoil srsquoagit drsquoun navigateur deacutedieacute agrave lrsquointranet Une entiteacute pourrait eacutegalement vouloir toujoursgarder les historiques et le cache agrave des fins drsquoinvestigation (cela nrsquoempecircchera toutefois pas lrsquoutilisateurde les supprimer directement au niveau du systegraveme de fichiers dans son profil utilisateur)
Nom de paramegravetre Description Valeur recommandeacuteeprivacycpdcache Supprimer le cache lors drsquoune suppression des donneacutees
priveacuteesAu choix de lrsquoentiteacute
privacycpdcookies Supprimer les cookies lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpddownloads Supprimer lrsquohistorique des teacuteleacutechargements lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdformdata Supprimer lrsquohistorique de remplissage automatique desformulaire lors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdhistory Supprimer lrsquohistorique lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpdofflineApps Supprimer les applications disponibles hors connexionlors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdpasswords Supprimer les mots de passe enregistreacutes lors drsquoune sup-pression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsessions Supprimer les sessions en cours enregistreacutees lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsiteSettings Supprimer les paramegravetres par site lors drsquoune suppressiondes donneacutees priveacutees
Au choix de lrsquoentiteacute
privacysanitizesanitizeOnShutdown
Supprimer les donneacutees priveacutees agrave la fermeture du naviga-teur
En cas de besoin speacute-cifique de lrsquoentiteacute
Viennent pour finir divers autres paramegravetres lieacutes agrave la confidentialiteacute
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownsessions effacer les sessions de navigation en cours lors
de la fermeture du navigateurtrue
privacyclearOnShutdowncookies effacer les cookies de navigation lors de lafermeture du navigateur
true
privacydonottrackheaderenabled Activer Do-Not-Track true
geoenabled activer la geacuteolocalisation false
geowifiuri URI du service de geacuteolocalisation agrave utiliser Mettre agrave videnetworkprefetch-next Teacuteleacutechargement preacutedictif anticipeacute des docu-
ments lieacutes agrave la page Web visiteacutes (link prefetch-ing)26
false pour eacuteviter lrsquoeacutetablisse-ment de connexions et leteacuteleacutechargement de contenunon solliciteacutes
medianavigatorpermissiondisabled Contourne la permission drsquoacceacuteder agrave la web-cam
false
networkhttpsendRefererHeader Activer lrsquoenvoi de lrsquoentecircte referer 0 pour plus drsquoanonymat ou 2pour ne pas empecirccher le fonc-tionnement de certains sites
browsersend_pings Activer lrsquoenvoi de requecircte POST lors du clicsur un lien (fonctionnaliteacute souvent utiliseacuteepour tracer les clics)
false
26 Le link prefetching permet drsquoacceacuteleacuterer le surf en anticipant le chargement des documents lieacutes agrave la page visiteacutesLrsquoimpleacutementation de ce meacutecanisme dans Firefox ne transmet aucune information agrave Mozilla Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsWebHTTPLink_prefetching_FAQ
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 22 sur 40
Filtrage de contenu
Actions autoriseacutees aux les scripts
Nom de paramegravetre Description Valeur recommandeacuteedomallow_scripts_to_close_windows Autoriser les scripts agrave fermer
une fenecirctrefalse
domdisable_image_src_set Interdire la modification desimages sources par script
false
domdisable_window_flip Interdire le changement defenecirctre active par script
true
domdisable_window_move_resize Deacutetermine si les fenecirctrespeuvent ecirctre bougeacutees or red-imensionneacutees par script
false
domdisable_window_open_featureclose Interdire la creacuteation defenecirctre sans bouton defermeture
true pour eacuteviter les popups in-vasifs
domdisable_window_open_featurelocation Interdire la creacuteation defenecirctre sans barre drsquoadresse
true pour que lrsquoutilisateur puissetoujours veacuterifier ecirctre agrave lrsquoadressepreacutevue
domdisable_window_open_featurestatus Interdire la creacuteation defenecirctre sans barre de status
true pour que lrsquoutilisateur puissese rendre contre plus facilementdes tentatives de spoofing
domdisable_window_open_featuretitlebar Interdire la creacuteation defenecirctre sans barre de titre
true pour que lrsquoutilisateur puissebien voir qursquoil srsquoagit drsquoun popupFirefox
domdisable_window_open_featuretoolbar Interdire la creacuteation defenecirctre sans barre drsquooutils
false
domeventclipboardeventsenabled Permettre agrave un script desaisir les eacuteveacutenements dupresse papier
false
domeventcontextmenuenabled Permettre agrave un script desaisir les eacuteveacutenements drsquoac-cegraves au menu contextuel (clicdroit)
false
dominter-app-communication-apienabled Activer la communicationpar API entre applications
false
domipcpluginsenabled Activation du plugin con-tainer
true pour exeacutecuter les pluginsdans le plugin-container
domipcpluginsjavaenabled Exeacutecuter Java au sein duplugin-container
false pour eacuteviter des problegravemesde stabiliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 23 sur 40
Nom de strateacutegie Description Valeur recommandeacuteebrowsersafebrowsingenabled Utiliser la navigation seacutecuriseacutee
(protection contre le phishing etles logiciels malveillants)27
true
javascriptenabled Activation de Javascript true
securityxpconnectpluginunrestricted Autoriser le scripting de pluginspar des scripts qui ne sont pasde confiance
false agrave moins drsquoune incompatibiliteacute avecdes plugins etou pages Web neacutecessaires agravelrsquoentiteacute
securitymixed_contentblock_active_content
Bloquer le contenu mixte actif true
securitymixed_contentblock_display_content
Bloquer le contenu mixte passif false
securityfileuristrict_origin_policy
Politique drsquoorigine stricte pourles URi de type fichiers
true sauf pour les populations dedeacuteveloppeurs qursquoun tel paramegravetre pourraitbloquer pour le deacuteveloppement en local
networkcookiecookieBehavior Politique de gestion des cookies 1 pour nrsquoautoriser que les cookies duserveur drsquoorigine et bloquer les cookiestiers
networkcookielifetimePolicy Politique drsquoexpiration des cook-ies
2 pour conserver les cookies pendant toutela dureacutee de la session seulement
networkcookiethirdpartysessionOnly Restreindre les cookies tiers agrave ladureacutee de la session seulement
true
networkjaropen-unsafe-types Nrsquoouvrir que les jar servis avecun content-type adeacutequat
false
privacypopupspolicy Politique de popups 1 pour activer les popups ou 2 pour lesrejeter mais cela rendrait la navigationdifficile voire impossible sur une quantiteacutede sites Internet non neacutegligeable
privacypopupsshowBrowserMessage Afficher un message lorsqursquounpopup a eacuteteacute bloqueacute
true
browserpopupsshowPopupBlocker Afficher lrsquoicocircne du bloqueur depopups dans la barre de status
true
securitycspenable Activer la Content Security Pol-icy (politique de seacutecuriteacute descontenus) qui permet de deacute-tecter et de limiter lrsquoimpact decertains types drsquoattaques
true
full-screen-apienabled Activer lrsquoAPI permettant drsquoaf-ficher du contenu en plein eacutecranpour les modules compleacutemen-taires
false
notificationfeatureenabled Permettre les notifications sur lebureau
false
27 La fonctionnaliteacute de navigation seacutecuriseacutee consiste agrave synchroniser une liste locale drsquoadresses de sites maveillants(depuis les serveurs de Google par deacutefaut depuis que Firefox utilise leur service) pour alerter lrsquoutilisateur srsquoil srsquoapprecircte agraveen visiter un Elle consiste eacutegalement agrave analyser le contenu des pages pour repeacuterer drsquoeacuteventuelles tentatives drsquohameccedilonnage
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 24 sur 40
Moteur de recherche par deacutefaut
La configuration drsquoun moteur de recherche personnaliseacute ne peut pas se faire simplement par fichierde configuration et neacutecessite le deacuteploiement drsquoun module de recherche (search engine plugin) LrsquoannexeIV illustre la teacuteleacute-deacuteploiement drsquoun module de recherche utilisant le moteur franccedilais httpswwwqwantcom 28
Nom de paramegravetre Description Exemplebrowsersearchdefaultenginename Moteur de recherche par deacutefaut Qwantcom
browsersearchdefaulturl URL du moteur de recherche pardeacutefaut
httpswwwqwantcomq=searchTerms
browsersearchlog Journalisation de lrsquoutilisation desservices de recherche agrave des fins dedeacuteboggage
false
browsersearchopenintab Ouvrir les reacutesultats de recherchedans un nouvel onglet
false
browsersearchorder1 Moteur de recherche agrave utiliser enprioriteacute 1
Qwantcom
browsersearchsuggestenabled activer les suggestions false
browsersearchupdate Recherche de mises agrave jour pour lesmodules de recherche
false
keywordenabled Permettre de faire une recherchedepuis la barre drsquoadresse
true
Page(s) drsquoaccueil
Nom de strateacutegie Description Valeur recommandeacuteestartuphomepage_override_url Page drsquoaccueil apregraves une mise agrave jour de Firefox En fonction du choix de lrsquoentiteacutestartuphomepage_welcome_url Page drsquoaccueil au premier deacutemarrage En fonction du choix de lrsquoentiteacutebrowserstartuphomepage Page drsquoaccueil about blank pour une page vide
ou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
browserstartuppage Page drsquoaccueil 1 pour ouvrir la page drsquoac-cueil indiqueacutee par le paramegravetrebrowserstartuphomepage
browsersessionstoreresume_from_crash
Restauration de session apregraves crash false
browsersessionstoreenabled Activer le service de restauration de session false
browsernewtaburl Page ouverte par deacutefaut lors de la creacuteationdrsquoun nouvel onglet de navigation
about blank pour une page videou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
28 Ceci nrsquoest en aucun cas une recommandation ni une incitation agrave son utilisation mais un simple exemple
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 25 sur 40
Authentification HTTP
Nom de strateacutegie Description Valeur recommandeacuteenetworkauthforce-generic-ntlm Utiliser le module drsquoauthen-
tification NTLM de Firefoxplutocirct que celui fourni parles APIs du systegraveme
false
networkauthuse-sspi Utiliser SSPI plutocirct queGSSAPI pour lrsquoauthentifica-tion Kerberos
true sous Windows
networkntlmsend-lm-response Envoyer le LM Hash dans lareacuteponse NTLM
false
networkautomatic-ntlm-authallow-proxies
Authentification par NTLMautomatique avec lesserveurs proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networkautomatic-ntlm-authtrusted-uris
Liste des URIs autoriseacuteespour lrsquoauthentification parNTLM automatique
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationNTLM automatique
networkautomatic-ntlm-authallow-non-fqdn
Autoriser lrsquoauthentificationNTLM automatique avecdes sites sans FQDN
false agrave moins que la liste networkautomatic-ntlm-authtrusted-uris comporte des adressessans FQDN
networknegotiate-authallow-non-fqdn
Autoriser lrsquoauthentificationSPNEGO avec des sites sansFQDN
En fonction de lrsquoentiteacute
networknegotiate-authallow-proxies
Autoriser SPNEGO29si de-mandeacute par un serveur proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networknegotiate-authdelegation-uris
Liste des URIs autoriseacuteespour lesquels le navigateurpeut deacuteleacuteguer lrsquoautorisationde lrsquoutilisateur
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites auxquels elle souhaite permettre ladeacuteleacutegation SPNEGO
networknegotiate-authtrusted-uris Liste des URIs autoriseacuteespour engager une authentifi-cation SPNEGO
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationSPNEGO
networknegotiate-authgsslib Chemin vers une librairieGSSLIB speacutecifique
Mettre agrave vide
networknegotiate-authusing-native-gsslib
Utiliser la librairie GSSLIBnative du systegraveme
true
securitydefault_personal_cert Choix du certificat drsquoau-thentification client
Ask Every Time
29 SPNEGO est un standard qui permet de neacutegocier de lrsquoauthentification Kerberos NTLM ainsi que drsquoautresprotocoles supporteacutes pour le systegraveme SPNEGO est eacutegalement connu sous le nom du protocole drsquoauthentificationlaquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 26 sur 40
Serveur mandataire
Nom de paramegravetre Description Valeur recommandeacuteenetworkproxyautoconfig_url URL de configuration automatique du
proxyLaisser agrave vide
networkproxyftp Adresse du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyftp_port port du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp Adresse du proxy proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp_port port du proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyno_proxies_on Liste drsquoexceptions agrave lrsquoutilisation du serveurproxy
A minima localhost 127001 etdavantage en fonction de lrsquoentiteacute etdu peacuterimegravetre drsquoutilisation du naviga-teur
networkproxyshare_proxy_settings
Utiliser le mecircme proxy pour tous les pro-tocoles
false
networkproxysocks Adresse du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_port port du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_remote_dns
Reacutealiser les requecirctes DNS via le proxysocks
false
networkproxysocks_version Version du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl Adresse du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl_port port du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxytype Type drsquoutilisation du proxy 1 pour utiliser les valeurs in-diqueacutees par les paramegravetres ci-dessus(networkproxy)
networkhttpproxyversion version de proxy 11 par deacutefaut et en fonction duserveur proxy de lrsquoentiteacute
networkhttpproxypipelining Activer le pipelining30par proxy false pour des raisons de compat-ibiliteacute Lrsquoentiteacute peut choisir de lrsquoac-tiver si le pipelining est supporteacute parson serveur proxy drsquoentreprise
signonautologinproxy Saisie automatique du mot de passe deproxy
false
30 Le pipelining permet de faire plusieurs requecirctes HTTP simultaneacutement plutocirct que de les faire seacutequentiellement enattendant les reacuteponses de chacune drsquoentre elles Pour plus drsquoinformations httpwww-archivemozillaorgprojectsnetlibhttppipelining-faqhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 27 sur 40
Peacuterimegravetre de navigation
Nom de paramegravetre Description Valeur recommandeacuteenetworkprotocol-handlerexpose-all
Deacutetermine si le navigateur essayedrsquoouvrir les liens cliqueacutes dans lenavigateur en prioriteacute avant delaisser le systegraveme srsquoen charger en casdrsquoeacutechec (si le protocole du lien enquestion nrsquoest pas supporteacute par lenavigateur)
true
networkprotocol-handlerwarn-external-default
Avertir lrsquoutilisateur avant decharger un gestionnaire deprotocole tiers
true
networkprotocol-handlerexternal-default
Action pour lrsquoouverture drsquoun pro-tocole non pris en charge par lenavigateur
false de maniegravere agrave ne pas essayerde charger des protocoles non pris encharge nativement par le navigateur Lrsquoen-titeacute renseignera eacuteventuellement des ges-tionnaires de protocoles tiers pour desprotocoles qursquoelle souhaite explicitementpermettre tels que NNTP Mailto etc Pour illustrer par lrsquoexemple avecMailto le paramegravetre networkprotocol-handlerexternalmailto aurait pour valeurtrue et le paramegravetre networkprotocol-handlerappmailto avec pour valeur lechemin drsquoun exeacutecutable comme MozillaThunderbird ou Microsoft Outlook
networkprotocol-handlerexternalfile
Gestionnaire de protocole filesous Firefox
false
networkprotocol-handlerexternalftp
Gestionnaire de protocole ftpsous Firefox
false
geckohandlerServiceallowRegisterFromDifferentHost
Autoriser les sites Web agrave installerdes gestionnaires de protocoles oude contenus utilisable pour deshocirctes tiers
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 28 sur 40
Administration systegraveme maintenance et options diverses
Parameacutetrage des mises agrave jour
Nom de paramegravetre Description Valeur recommandeacuteeappupdateenabled Activation de la mise agrave jour automatique true
appupdateauto Teacuteleacutechargement et installationautomatiques (neacutecessite que le paramegravetreappupdateenabled ait pour valeurtrue)
true
appupdatecertcheckAttributes Veacuterifie les attributs du certificat du serveurde mise agrave jour
false
appupdatecertrequireBuiltIn Requiert lrsquointeacutegration des certificats duserveur de mise agrave jour et de toutes lesredirections intermeacutediaires
false
appupdatechannel Canal de mise agrave jour esr pour la version ESR de FirefoxappupdatedownloadbackgroundInterval
Temps de pause (en secondes) entrechaque teacuteleacutechargement en arriegravere plandrsquoun morceau de 300 Kb de mise agrave jour
Au choix de lrsquoentiteacute
appupdateidletime Temps de pause (en secondes) entre chaqueteacuteleacutechargement agrave la demande de lrsquoutilisa-teur) drsquoun morceau de 300 Kb de mise agravejour
60
appupdateinterval Intervalle de temps entre chaque veacuterifica-tion de disponibiliteacute de nouvelles mises agravejour
43200
appupdatemode Deacutetermine quelles mises agrave jour sontteacuteleacutechargeacutees en arriegravere plan
0 pour teacuteleacutecharger toutes les mises agravejour sans intervention de lrsquoutilisateur
appupdateserviceenabled Active le service de mise agrave jour de Firefox true
appupdateshowInstalledUI Deacutetermine si apregraves installation de mise agravejour une boicircte de dialogue informe lrsquoutil-isateur qursquoune mise agrave jour a eacuteteacute installeacutee
Au choix de lrsquoentiteacute
appupdatesilent Active le mode de mise agrave jour silencieux true pour une mise agrave jour silencieuseen arriegravere plan
appupdateurl URL de reacutecupeacuteration des mises agrave jour deFirefox
En fonction de la strateacutegie de mise agravejour de lrsquoentiteacute Pour une mise agrave jourdepuis les serveurs de Mozilla httpsaus3mozillaorgupdate3PRODUCTVERSIONBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONupdatexml sinon lrsquoURLdu serveur de mise agrave jour internede lrsquoentiteacute (qursquoil faudra eacutegalementrenseigner dans le paramegravetreappupdateurloverride)
appupdateurloverride URL de reacutecupeacuteration des mises agrave jour deFirefox
Paramegravetre agrave renseigner uniquementdans le cas ou la mise agrave jour deFirefox se fait depuis lrsquoURL drsquounserveur de mise agrave jour interne delrsquoentiteacute (agrave renseigner en plus duparamegravetre appupdateurl)
appupdateurldetails URL de consultation des informations rel-atives aux mises agrave jour disponibles
Laisser la valeur par deacutefautrhttpswwwmozillaorgLOCALEfirefoxnotes
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 29 sur 40
Configuration du cache
Nom de paramegravetre Description Valeur recommandeacuteebrowsercachecheck_doc_frequency Quand veacuterifier la mise agrave jour drsquoune page en
cache disque3 (veacuterifier quand la page estpeacuterimeacutee)
browsercachecompression_level Niveau de compression du cache disque Au choix de lrsquoentiteacute de 0(pas de compression) agrave 9(haut taux de compressionavec forte sollicitation du pro-cesseur)
browsercachediskcapacity Espace disque alloueacute au cache disque enKb
Au choix de lrsquoentiteacute
browsercachediskenable Utiliser le cache disque true
browsercachediskmax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache disque
Au choix de lrsquoentiteacute
browsercachedisksmart_sizeenabled Allocation intelligente de lrsquoespace disquealloueacute au cache en fonction de lrsquoespacedisponible
Au choix de lrsquoentiteacute
browsercachedisk_cache_ssl Mettre en cache disque les pages visiteacuteesen HTTPS
False de maniegravere agrave ne pasmettre en cache le contenuSSL
browsercachememoryenable Utiliser le cache meacutemoire true
browsercachememorymax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache meacutemoire
Au choix de lrsquoentiteacute
browsercachememory_limit Meacutemoire maximum utiliseacutee pour le cachemeacutemoire en Kb
Au choix de lrsquoentiteacute
browsercacheofflinecapacity Espace disque alloueacute au cache des applica-tions Web
Au choix de lrsquoentiteacute
browsercacheofflineenable Utiliser le cache des applications Web per-mettant une utilisation hors ligne
Au choix de lrsquoentiteacute
browsercacheuse_new_backend Utilisation du nouveau systegraveme de cache 0 (ne pas utiliser pour desquestions de stabiliteacute)
networkhttpuse-cache Utiliser le cache des documents HTTP true
mediacache_size Taille du cache pour les fichiers multimedia Au choix de lrsquoentiteacute par deacute-faut 512000
domstoragedefault_quota Quota de stockage cocircteacute client pour lespages Web
5120 taille par deacutefaut
domstorageenabled Active le stockage cocircteacute client pour les pagesWeb
true agrave deacutefaut de vulneacuterabil-iteacutes connues pour cette fonc-tionnaliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 30 sur 40
Deacutesactiver les options de deacuteveloppement (sauf pour les populations de deacuteveloppeurs)
Nom de paramegravetre Description Valeur recommandeacuteedevtoolsappmanagerenabled Activation des outils de deacuteveloppement module appmanager false
devtoolsdebuggerenabled Activation des outils de deacuteveloppement module deacutebogueur false
devtoolserrorconsoleenabled Activation des outils de deacuteveloppement module consoledrsquoerreurs
false
devtoolsfontinspectorenabled Activation des outils de deacuteveloppement module inspecteurde polices
false
devtoolsinspectorenabled Activation des outils de deacuteveloppement module inspecteur false
devtoolsnetmonitorenabled Activation des outils de deacuteveloppement module reacuteseau false
devtoolsprofilerenabled Activation des outils de deacuteveloppement module profileur false
devtoolsshadereditorenabled Activation des outils de deacuteveloppement module vue adaptive false
devtoolsstyleeditorenabled Activation des outils de deacuteveloppement module editeur destyles
false
devtoolstiltenabled Activation des outils de deacuteveloppement module tilt false
devtoolstoolbarenabled Activation des outils de deacuteveloppement module barre dedeacuteveloppement
false
Configurations diverses
Nom de paramegravetre Description Valeur recommandeacuteenetworkseerenable-hover-on-ssl Activer seer sur SSL false
networkseerenabled Activer seer false
networkhttppipelining Activer le pipelining pour le surfHTTP11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttppipeliningssl Activer le pipelining pour le surfHTTPS11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttpspdyenabled Activer SPDY31 false
networkhttpspdyenabledv2 Activer SPDY v2 false
networkhttpspdyenabledv3 Activer SPDY v3 false
networkhttpspdyenabledv3-1 Activer SPDY v31 false
browsershellcheckDefaultBrowser Veacuterifier si Firefox est configureacutecomme navigateur par deacutefaut
false dans le cadre de double naviga-teurs
browserdownloadmanagerscanWhenDone
Scan antivirus drsquoun fichier lorsqueson teacuteleacutechargement est termineacute
true
browserdownloaduseDownloadDir Utiliser le reacutepertoire de teacuteleacutecharge-ment par deacutefaut
false pour que lrsquoutilisateur indique agravequel emplacement il souhaite teacuteleacutechargerle fichier
browserfullscreenautohide Cacher la barre drsquooutils et drsquoongletsen mode plein eacutecran
false
31 SPDY est un protocole reacuteseau expeacuterimental de Google visant agrave augmenter les capaciteacutes du protocole HTTP pourreacuteduire le temps de chargement des pages Web en classant les objets par ordre de prioriteacute et en multiplexant les transfertspour ne neacutecessiter qursquoune seule connexion Ce protocole est vulneacuterable aux attaques CRIME (Compression Ratio Info-leakMade Easy) lorsqursquoil est utiliseacute avec HTTPS (ce qui est geacuteneacuteralement le cas)
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 31 sur 40
Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP
Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory
Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation
La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32
Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers
Fichiers de configuration
La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte
ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet
ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes
Fichier local-settingsjs
pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)
Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 32 sur 40
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
Composant Action ValeurServeur mandataire Autoriser User-Agent du navigateur Internet (ou plus strictement de la
derniegravere version de ce dernier)Bloquer Tout autre User-Agent non autoriseacute
Pare-feu locaux despostes de travail
Autoriser TCP en sortie vers le serveur mandataire depuis - le processus du navigateur Internet (chemin complet delrsquoexeacutecutable) - les autres processus eacuteventuels autoriseacutes agrave acceacuteder agrave Internetvia le serveur mandataire
Bloquer TCP en sortie vers le serveur mandataire depuis tout autreprocessus
Pare-feu de passerelleInternet
Autoriser TCP en sortie vers les ports 443 et 80 depuis - lrsquoIP source du serveur mandataire - les autres IP sources eacuteventuelles autoriseacutees agrave sortir en directsur Internet sans passer par le serveur mandataire
Bloquer TCP en sortie vers ports 443 et 80 depuis toute autre IP sourceApplocker (ou SRP) surles postes de travail
Autoriser lrsquoexeacutecution Chemin complet de lrsquoexeacutecutable des navigateurs autoriseacutes
Bloquer lrsquoexeacutecution Tout autre exeacutecutable de navigateur interdit
Les regravegles de configuration deacutecrites en annexe I section laquo Peacuterimegravetre de navigation raquo permettentalors de mettre en œuvre une partie de ces mesures de seacutecuriteacute et de restreindre le peacuterimegravetre denavigation possible de chacun des navigateurs
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 13 sur 40
Les figures suivantes illustrent de maniegravere syntheacutetique les mesures de seacutecuriteacute appliqueacutees agrave unestrateacutegie de double navigateur
Figure 1 ndash Illustration drsquoune strateacutegie de double navigateur cas ougrave Firefox est utiliseacute commenavigateur Internet
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 14 sur 40
Figure 2 ndash Illustration drsquoune strateacutegie de double navigateur cas ougrave Firefox est utiliseacute commenavigateur Intranet
Ces figures illustrent deux cas distincts Le navigateur Firefox y est repreacutesenteacute mais la strateacutegieserait eacutequivalente avec drsquoautres navigateurs
Les regravegles de configuration recommandeacutees en annexe I se precirctent agrave un contexte ougrave le navigateur estdeacutedieacute agrave la navigation sur Internet
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 15 sur 40
Annexe I Strateacutegies de seacutecurisation de Firefox
Cette annexe liste sous forme de tableaux les valeurs recommandeacutees permettant de mettre en œuvreles recommandations formuleacutees dans cette note technique La liste des paramegravetres de configurationdisponibles est sujette agrave des eacutevolutions freacutequentes et certains sont peu voire pas documenteacutes Lesrecommandations et leurs indications de mise en œuvre figurant dans ce document sont baseacutees sur lesparamegravetres de configuration de Firefox dans sa version ESR 31 Ces derniers pourront ecirctre adapteacutesselon la version du navigateur deacuteployeacutee agrave la date de lecture du document
Depuis un navigateur Firefox il est possible drsquoafficher et de modifier les paramegravetres de configurationappliqueacutes en tapant aboutconfig dans la barre drsquoadresse Les paramegravetres verrouilleacutes sont afficheacutes enitalique La page aboutsupport affiche quant agrave elle un reacutecapitulatif des informations systegravemes etde version ainsi que les modifications importantes apporteacutees agrave la configuration par deacutefaut du navigateur
En environnement professionnel il est conseilleacute de deacuteployer une configuration de maniegravere centraliseacuteecomme expliqueacute en annexe II Pour un usage personnel de Firefox il est eacutegalement possible de srsquoinspirerde tout ou partie des paramegravetres indiqueacutes dans ce document agrave partir de la page aboutconfig
Seacutecuriteacute des modules compleacutementaires
Les regravegles de configuration preacutefixeacutees par le terme laquo extensions raquo ne srsquoappliquent pas toujoursuniquement aux extensions comme elles pourraient le laisser entendre mais parfois plus largementaux plugins voire aux modules compleacutementaires dans leur ensemble Il convient donc drsquoecirctre vigilantquant au peacuterimegravetre reacuteel drsquoapplication des regravegles de configuration dont les noms pourraient precircter agraveconfusion
Nom de strateacutegie Description Valeur recommandeacuteeextensionsautoDisableScopes Les extensions peuvent
ecirctre deacutesactiveacuteesautomatiquement enfonction de leur localisation
3 (les extensions deacuteposeacutees dans le profil Firefox delrsquoutilisateur ou dans le profil utilisateur Windowsseront automatiquement deacutesactiveacutees20)
extensionsenabledScopes Les extensions peuvent ecirctreactiveacutees automatiquementen fonction de leurlocalisation21
12 (seules les extensions reacutefeacuterenceacutees par une entreacutee enbase de registres22 ou deacuteposeacutees dans le sous-dossierdrsquoextensions agrave lrsquoemplacement de lrsquoexeacutecutable FireFoxseront activeacutees Attention ce paramegravetre a prioriteacute surextensionsautoDisableScopes
20 Contrairement agrave ce qursquoindique la MozillaZine Knownledge Base le paramegravetre extensionsautoDisableScopes nepermet pas de deacutesactiver un plugin pour ce faire il convient drsquoutiliser les paramegravetres pluginstatex21 Pour plus drsquoinformations sur le paramegravetre extensionsenabledScopes httpsdevelopermozillaorgen-US
Add-onsInstalling_extensions22 Article de Mozilla expliquant lrsquoajout la mise agrave jour et la suppression drsquoextensions ou de plugins pour Firefox par
base de registre httpsdevelopermozillaorgen-USdocsAdding_Extensions_using_the_Windows_Registry
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 16 sur 40
Nom de paramegravetre Description Valeur recommandeacuteeextensionsblocklistenabled Teacuteleacutechargement reacutegulier drsquoune
liste noire de modules reacutefeacuterenceacutescomme eacutetant malveillants
false si seuls les modules teacuteleacute-deacuteployeacutes par leseacutequipes informatique sont installeacutes ou true silrsquoutilisateur est en mesure drsquoinstaller des moduleslui-mecircme
extensionsblocklistdetailsURL
URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules
Celle par deacutefaut (httpswwwmozillaorgLOCALEblocklist)
extensionsblocklistitemURL URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules(variante)
Celle par deacutefaut (httpsaddonsmozillaorgLOCALEAPPblockedblockID)
extensionsblocklistinterval Intervalle de teacuteleacutechargement dela liste noire de modules ensecondes
86400 (soit 1 fois par jour)
extensionsblocklistlevel Niveau de blocage 2 (pour bloquer les extensions de la liste)extensionsblocklisturl Adresse de teacuteleacutechargement de la
liste noire de modulesCelle par deacutefaut (httpsaddonsmozillaorgblocklist3APP_IDAPP_VERSIONPRODUCTBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONPING_COUNTTOTAL_PING_COUNTDAYS_SINCE_LAST_PING)
extensionsenabledAddons Modules activeacutes au deacutemarragede Firefox
Mettre agrave vide
pdfjsdisabled Deacutesactiver la visionneuse PDFinteacutegreacutee agrave Firefox (pdfjs)
true pour que lrsquoutilisateur teacuteleacutecharge les PDF etles visionne via un lecteur PDF tiers maintenu enconditions de seacutecuriteacute par lrsquoentiteacute et ne faisant paslrsquoobjet de vulneacuterabiliteacutes freacutequentes ou false pourautoriser lrsquousage du lecteur de PDF inteacutegreacute
pluginstateflash Configuration drsquoactivation duplugin Flash
1 (demander lrsquoautorisation agrave lrsquoutilisateur avantchaque exeacutecution du plugin Flash) ou 2 (toujoursactiver) au choix de lrsquoentiteacute et en fonction desutilisateurs et des contraintes de seacutecuriteacute
pluginstatejava Configuration drsquoactivation duplugin Java
0 pour ne jamais activer le plugin Java (agrave moinsque lrsquoentiteacute souhaite utiliser ce plugin malgreacute lesrisques de seacutecuriteacute encourus auquel cas la valeuragrave donner serait 1 pour demander lrsquoautorisation agravelrsquoutilisateur agrave chaque exeacutecution du plugin Java)
pluginstatex Configuration drsquoactivation duplugin x ougrave x est agrave remplacerpar le nom court du pluginagrave deacutesactiver (exemple npctrlpour Microsoft Silverlight Lesnoms courts des plugins sontindiqueacutes en affichant leurs infor-mations deacutetailleacutees depuis lrsquointer-face graphique)
0 pour ne jamais activer le plugin ou 1 pourdemander lrsquoautorisation agrave lrsquoutilisateur avant chaqueexeacutecution du plugin
plugindefaultstate Configuration drsquoactivation desautres plugins
0 pour ne jamais activer un plugin non explicite-ment autoriseacute par les regravegles preacuteceacutedentes
plugindefaultXpistate Configuration drsquoactivation desautres plugins au format XPI
0 pour ne jamais activer un plugin au format XPInon explicitement autoriseacute par les regravegles preacuteceacute-dentes
pluginsclick_to_play Cliquer pour lire le contenu neacute-cessitant un plugin
true pour activer le mode laquo Cliquer pour lire raquo
pluginsload_appdir_plugins Chargement automatique desplugins depuis des emplace-ments utiliseacutes avant Firefox 21
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 17 sur 40
Eacutetant donneacute que seuls les modules compleacutementaires teacuteleacute-deacuteployeacutes par les eacutequipes informatiquessont autoriseacutes il est recommandeacute de bloquer toute possibiliteacute drsquoajout de modules compleacutementaires parlrsquoutilisateur
Nom de strateacutegie Description Valeur recommandeacuteeextensionsgetAddonsgetWithPerformanceurl
URL de reacutecupeacuteration drsquoun module compleacutementaire Mettre agrave vide
extensionsgetAddonsmaxResults Nombre de reacutesultats maximum 0extensionsgetAddonsgeturl URL de consultation drsquoun module compleacutementaire Mettre agrave videextensionsgetAddonsrecommendedbrowseURL
URL de consultation des modules compleacutementairesrecommandeacutes
Mettre agrave vide
extensionsgetAddonsrecommendedurl
URL de consultation des modules compleacutementairesrecommandeacutes par API
Mettre agrave vide
extensionsgetAddonssearchbrowseURL
URL de recherche de modules compleacutementaires Mettre agrave vide
extensionsgetAddonssearchurl URL de recherche de modules compleacutementaires parAPI
Mettre agrave vide
extensionsgetAddonsshowPane Afficher le panneau drsquoajout de modules compleacutemen-taires
false
extensionshideInstallButton Cacher le bouton drsquoinstallation manuelle drsquoextensions true
extensionswebservicediscoverURL URL du catalogue drsquoextensions Mettre agrave videxpinstallenabled Autoriser lrsquoinstallation manuelle de modules au format
XPIfalse
xpinstallwhitelistrequired Obligation pour une archive XPI drsquoecirctre en liste blanchepour ecirctre installeacutee manuellement
true
xpinstallwhitelistaddxpinstallwhitelistadd
Liste blanche drsquoarchives XPI pouvant ecirctre installeacuteesmanuellement
Mettre agrave vide
Pour finir lrsquoentiteacute devra choisir sa strateacutegie de mise agrave jour des extensions teacuteleacute-deacuteployeacutees Lrsquoentiteacutequi voudra teacuteleacute-deacuteployer elle-mecircme les versions agrave jour des modules compleacutementaires apregraves une phase devalidation optera pour le parameacutetrage donneacute ci-dessous la responsabiliteacute du maintien en conditions deseacutecuriteacute sera alors deacuteporteacutee sur les services informatiques en charge du deacuteploiement de ces mises agrave jourDans le cas contraire les valeurs par deacutefaut permettent une mise agrave jour automatique des extensionspar Internet
Nom de strateacutegie Description Valeur recommandeacuteeextensionshotfixcertcheckAttributes
Veacuterifie les attributs du certificat de signature descorrectifs teacuteleacutechargeacutes
true
extensionshotfixcerts1sha1Fingerprint
Empreintes attendues du certificat de signature descorrectifs teacuteleacutechargeacutes
Laisser la valeur par deacutefaut(9153980CC186DF478F35229E11C9A7310449A1AA en date dereacutedaction de ce document)
extensionsupdateautoUpdateDefault
Teacuteleacutecharger et installer automatiquement les mises agravejour drsquoextensions
false
extensionsupdatebackgroundURL
URL de teacuteleacutechargement des mises agrave jour drsquoextensionsen arriegravere plan
Mettre agrave vide
extensionsupdateenabled Activer la mise agrave jour des extensions false
extensionsupdateinterval Intervalle de teacuteleacutechargement des mises agrave jour desextensions
86400 (soit 1 fois par jour)
pluginsupdatenotifyUser Notifier lrsquoutilisateur de la preacutesence drsquoune mise agrave jourpour ses modules compleacutementaires
false
pluginsupdateurl URL de mise agrave jour des modules compleacutementaires Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 18 sur 40
SSLTLS et certificats
Le parameacutetrage des suites cryptographiques autoriseacutees peut engendrer des problegravemes de compa-tibiliteacute selon le contexte Il est donc leacutegitime de preacutefeacuterer ne pas modifier la configuration par deacutefautDans un soucis de durcissement les recommandations suivantes pourraient toutefois ecirctre appliqueacutees
Nom de paramegravetre Description Valeur recommandeacuteesecurityssl3dhe_dss_aes_128_sha Autoriser ssl3dhe_dss_aes_128_sha false
securityssl3dhe_dss_aes_256_sha Autoriser ssl3dhe_dss_aes_256_sha false
securityssl3dhe_dss_camellia_128_sha Autoriser ssl3dhe_dss_camellia_128_sha false
securityssl3dhe_dss_camellia_256_sha Autoriser ssl3dhe_dss_camellia_256_sha false
securityssl3dhe_rsa_aes_128_sha Autoriser ssl3dhe_rsa_aes_128_sha true
securityssl3dhe_rsa_aes_256_sha Autoriser ssl3dhe_rsa_aes_256_sha true
securityssl3dhe_rsa_camellia_128_sha Autoriser ssl3dhe_rsa_camellia_128_sha false
securityssl3dhe_rsa_camellia_256_sha Autoriser ssl3dhe_rsa_camellia_256_sha false
securityssl3dhe_rsa_des_ede3_sha Autoriser ssl3dhe_rsa_des_ede3_sha false
securityssl3ecdhe_ecdsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_ecdsa_aes_128_gcm_sha256
true
securityssl3ecdhe_ecdsa_aes_128_sha Autoriser ssl3ecdhe_ecdsa_aes_128_sha true
securityssl3ecdhe_ecdsa_aes_256_sha Autoriser ssl3ecdhe_ecdsa_aes_256_sha true
securityssl3ecdhe_ecdsa_rc4_128_sha Autoriser ssl3ecdhe_ecdsa_rc4_128_sha false
securityssl3ecdhe_rsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_rsa_aes_128_gcm_sha256
true
securityssl3ecdhe_rsa_aes_128_sha Autoriser ssl3ecdhe_rsa_aes_128_sha true
securityssl3ecdhe_rsa_aes_256_sha Autoriser ssl3ecdhe_rsa_aes_256_sha true
securityssl3ecdhe_rsa_des_ede3_sha Autoriser ssl3ecdhe_rsa_des_ede3_sha false
securityssl3ecdhe_rsa_rc4_128_sha Autoriser ssl3ecdhe_rsa_rc4_128_sha false
securityssl3rsa_aes_128_sha Autoriser ssl3rsa_aes_128_sha true
securityssl3rsa_aes_256_sha Autoriser ssl3rsa_aes_256_sha true
securityssl3rsa_camellia_128_sha Autoriser ssl3rsa_camellia_128_sha false
securityssl3rsa_camellia_256_sha Autoriser ssl3rsa_camellia_256_sha false
securityssl3rsa_des_ede3_sha Autoriser ssl3rsa_des_ede3_sha false
securityssl3rsa_fips_des_ede3_sha Autoriser ssl3rsa_fips_des_ede3_sha false
securityssl3rsa_rc4_128_md5 Autoriser ssl3rsa_rc4_128_md5 false
securityssl3rsa_rc4_128_sha Autoriser ssl3rsa_rc4_128_sha false
securityssl3rsa_seed_sha Autoriser ssl3rsa_seed_sha false
Autres paramegravetres
Nom de paramegravetre Description Valeur recommandeacuteesecuritytlsversionmax Version maximum de
SSLTLS3 (ce qui correspond agrave TLS 12)
securitytlsversionmin Version minimum de SSLTLS 2 (ce qui correspond agrave TLS 11)securitysslallow_unrestricted_renego_everywhere__temporarily_available_pref
Activer la reneacutegociation SSL false pour remeacutedier agrave une attaque parle milieu connue
securitysslenable_false_start Activer laquo SSL False Start raquo false car non standardiseacute et amenantde potentielles vulneacuterabiliteacutes
securitysslenable_ocsp_stapling Activer lrsquoOCSP stapling23 true
23 httpsblogmozillaorgsecurity20130729ocsp-stapling-in-firefox
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 19 sur 40
Nom de paramegravetre Description Valeur recommandeacuteesecuritysslrequire_safe_negotiation
Neacutecessite une neacutegociation SSL qui nrsquoutilisepas une ancienne version SSLTLS vul-neacuterable agrave des attaques par le milieu
true est la valeur ideacuteale en termesde seacutecuriteacute mais false reste conseilleacutepour eacuteviter que de nombreux sitescouramment visiteacutes ne soient plus uti-lisables
securitysslrenego_unrestricted_hosts
Liste drsquohocirctes autoriseacutes agrave faire de la reneacute-gociation SSL avec drsquoanciennes versionsvulneacuterables du protocole
Liste drsquohocirctes seacutepareacutes par des virgules(ne supportant pas les wildcards)et qursquoil est utile de renseigner sisecuritysslrequire_safe_negotiationest configureacute agrave true
securityssltreat_unsafe_negotiation_as_broken
Informer lrsquoutilisateur (cadenas casseacute rougedans la barre de status) lorsque les neacutegoci-ations SSLTLS sont non seacutecuriseacutees
true
networkstricttransportsecuritypreloadlist
Charger la liste de sites deacuteclareacutes commeutilisant HSTS (HTTP Strict TransportSecurity24)
true
networkwebsocketallowInsecureFromHTTPS
Autoriser les WebSockets non seacutecuriseacuteepour un site consulteacute en HTTPS
false
securityOCSPenabled Activer OCSP 2 pour veacuterifier le certificat agrave partir delrsquoURL de service OCSP et de lrsquoautoriteacutede certification ayant signeacute le certifi-cat Notons que cette fonctionnaliteacuteest critiqueacutee pour des questions delatence des reacutepondeurs OCSP (de lrsquoor-dre de 300ms pour les plus rapides agraveplus drsquoune seconde pour les plus lents)OCSP tend donc agrave ecirctre remplaceacute pardes listes locales de certificats reacutevo-queacutes dans drsquoautres navigateurs maisFirefox ne dispose pas encore drsquounetelle liste Une entiteacute ayant des con-traintes particuliegraveres quant agrave la la-tence induite par OSCP pourrait opterpour une deacutesactivation drsquoOCSP avecla valeur 0
securityOCSPrequire Neacutecessite la validation du certificat parOCSP avant de continuer la navigation surle site
true si securityOCSPenabled a eacuteteacuteconfigureacute agrave true ou false dans le cascontraire
securitycert_pinningenforcement_level
Niveau de certificate pinning (eacutepinglage decertificats)25(agrave partir de Firefox 32)
2 pour utiliser lrsquoeacutepinglage strict
Gestionnaire de mots de passe
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownpasswords Effacer les mots de passe enregistreacutes agrave la
fermeture du navigateurtrue
signonrememberSignons Active le gestionnaire de mots de passe false
signonautofillForms Remplissage automatique des formulairesde login
false
24 httpsdevelopermozillaorgfrdocsSC3A9curitC3A9HTTP_Strict_Transport_Security25 Lrsquoeacutepinglage de certificats permet drsquoavoir une base locale de certificats connus et attendus pour certains sites Web
consulteacutes en HTTPS Ainsi si le certificat preacutesenteacute par le serveur est valide en tous points de vue mais nrsquoest pas lecertificat attendu la connexion sera coupeacutee Ce meacutecanisme permet drsquoeacuteviter une attaque par le milieu preacutesentant un fauxcertificat issu drsquoune autoriteacute de certification de confiance
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 20 sur 40
Confidentialiteacute
Il nrsquoexiste pas en date de reacutedaction de cette note de regravegle globale pour la deacutesactivation de FirefoxSync Sa deacutesactivation se fait par conseacutequent agrave travers plusieurs regravegles de configuration
Nom de paramegravetre Description Valeur recommandeacuteeservicessyncengineaddons Synchronisation des modules compleacutementaires false
servicessyncenginebookmarks Synchronisation des marque-pages false
servicessyncenginehistory Synchronisation de lrsquohistorique de navigation false
servicessyncenginepasswords Synchronisation des mots de passe stockeacutes false
servicessyncengineprefs Synchronisation des preacutefeacuterences false
servicessyncenginetabs Synchronisation des onglets ouverts false
servicessyncregisterEngines Moteurs de synchronisation enregistreacutes Mettre agrave videservicessyncjpakeserverURL URL du serveur synchronisation jpake Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessynctokenServerURI URI du serveur de jetons Mettre agrave videservicessyncnextSync Planification de la prochaine synchronisation 0
Il convient eacutegalement de deacutesactiver les diffeacuterents rapports agrave Mozilla
Nom de paramegravetre Description Valeur recommandeacuteedatareportinghealthreportaboutreportUrl URL de rapport de santeacute Mettre agrave videdatareportinghealthreportloggingconsoleEnabled
Activer la journalisation (console) du ser-vice de rapports de santeacute
false
datareportinghealthreportloggingdumpEnabled
Activer la journalisation (dumps) du ser-vice de rapports de santeacute
false
datareportinghealthreportnextDataSubmissionTime
Date de prochaine soumission de rapportde santeacute
Mettre agrave vide
datareportinghealthreportserviceenabled Activer le service de rapport de santeacute false
datareportinghealthreportuploadEnabled Autoriser lrsquoenvoi de donneacutees au serveur derapports de santeacute
false
datareportingpolicydataSubmissionEnabled Activer lrsquoenvoi de donneacutees agrave Mozilla agrave desfins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyAccepted
Accepter les conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyBypassAcceptance
Contourner lrsquoacceptation des conditionsdrsquoenvoi de donneacutees agrave Mozilla agrave des finsdrsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyResponseType
Reacuteponse aux conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
accepted-info-bar-dismissed
domipcpluginsreportCrashURL Inteacutegrer lrsquoURL au rapport de crash deplugins
false
domipcpluginsflashsubprocesscrashreporterenabled
Activer le rapport de crash du sous-processus flash
false
toolkittelemetryenabled Activer la fonctionnaliteacute de teacuteleacutemeacutetrie false
toolkittelemetryserver Adresse du serveur de teacuteleacutemeacutetrie Mettre agrave videbreakpadreportURL URL du rapport de crash Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 21 sur 40
Il peut eacutegalement ecirctre utile de configurer lrsquooption de suppression des donneacutees priveacutees (Clear PrivateData) en seacutelectionnant les eacuteleacutements qui seront supprimeacutes Lrsquoentiteacute pourra par exemple permettre auxutilisateurs de supprimer leurs donneacutees priveacutees dans le cadre drsquoune navigation sur internet ou bien delrsquointerdire srsquoil srsquoagit drsquoun navigateur deacutedieacute agrave lrsquointranet Une entiteacute pourrait eacutegalement vouloir toujoursgarder les historiques et le cache agrave des fins drsquoinvestigation (cela nrsquoempecircchera toutefois pas lrsquoutilisateurde les supprimer directement au niveau du systegraveme de fichiers dans son profil utilisateur)
Nom de paramegravetre Description Valeur recommandeacuteeprivacycpdcache Supprimer le cache lors drsquoune suppression des donneacutees
priveacuteesAu choix de lrsquoentiteacute
privacycpdcookies Supprimer les cookies lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpddownloads Supprimer lrsquohistorique des teacuteleacutechargements lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdformdata Supprimer lrsquohistorique de remplissage automatique desformulaire lors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdhistory Supprimer lrsquohistorique lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpdofflineApps Supprimer les applications disponibles hors connexionlors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdpasswords Supprimer les mots de passe enregistreacutes lors drsquoune sup-pression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsessions Supprimer les sessions en cours enregistreacutees lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsiteSettings Supprimer les paramegravetres par site lors drsquoune suppressiondes donneacutees priveacutees
Au choix de lrsquoentiteacute
privacysanitizesanitizeOnShutdown
Supprimer les donneacutees priveacutees agrave la fermeture du naviga-teur
En cas de besoin speacute-cifique de lrsquoentiteacute
Viennent pour finir divers autres paramegravetres lieacutes agrave la confidentialiteacute
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownsessions effacer les sessions de navigation en cours lors
de la fermeture du navigateurtrue
privacyclearOnShutdowncookies effacer les cookies de navigation lors de lafermeture du navigateur
true
privacydonottrackheaderenabled Activer Do-Not-Track true
geoenabled activer la geacuteolocalisation false
geowifiuri URI du service de geacuteolocalisation agrave utiliser Mettre agrave videnetworkprefetch-next Teacuteleacutechargement preacutedictif anticipeacute des docu-
ments lieacutes agrave la page Web visiteacutes (link prefetch-ing)26
false pour eacuteviter lrsquoeacutetablisse-ment de connexions et leteacuteleacutechargement de contenunon solliciteacutes
medianavigatorpermissiondisabled Contourne la permission drsquoacceacuteder agrave la web-cam
false
networkhttpsendRefererHeader Activer lrsquoenvoi de lrsquoentecircte referer 0 pour plus drsquoanonymat ou 2pour ne pas empecirccher le fonc-tionnement de certains sites
browsersend_pings Activer lrsquoenvoi de requecircte POST lors du clicsur un lien (fonctionnaliteacute souvent utiliseacuteepour tracer les clics)
false
26 Le link prefetching permet drsquoacceacuteleacuterer le surf en anticipant le chargement des documents lieacutes agrave la page visiteacutesLrsquoimpleacutementation de ce meacutecanisme dans Firefox ne transmet aucune information agrave Mozilla Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsWebHTTPLink_prefetching_FAQ
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 22 sur 40
Filtrage de contenu
Actions autoriseacutees aux les scripts
Nom de paramegravetre Description Valeur recommandeacuteedomallow_scripts_to_close_windows Autoriser les scripts agrave fermer
une fenecirctrefalse
domdisable_image_src_set Interdire la modification desimages sources par script
false
domdisable_window_flip Interdire le changement defenecirctre active par script
true
domdisable_window_move_resize Deacutetermine si les fenecirctrespeuvent ecirctre bougeacutees or red-imensionneacutees par script
false
domdisable_window_open_featureclose Interdire la creacuteation defenecirctre sans bouton defermeture
true pour eacuteviter les popups in-vasifs
domdisable_window_open_featurelocation Interdire la creacuteation defenecirctre sans barre drsquoadresse
true pour que lrsquoutilisateur puissetoujours veacuterifier ecirctre agrave lrsquoadressepreacutevue
domdisable_window_open_featurestatus Interdire la creacuteation defenecirctre sans barre de status
true pour que lrsquoutilisateur puissese rendre contre plus facilementdes tentatives de spoofing
domdisable_window_open_featuretitlebar Interdire la creacuteation defenecirctre sans barre de titre
true pour que lrsquoutilisateur puissebien voir qursquoil srsquoagit drsquoun popupFirefox
domdisable_window_open_featuretoolbar Interdire la creacuteation defenecirctre sans barre drsquooutils
false
domeventclipboardeventsenabled Permettre agrave un script desaisir les eacuteveacutenements dupresse papier
false
domeventcontextmenuenabled Permettre agrave un script desaisir les eacuteveacutenements drsquoac-cegraves au menu contextuel (clicdroit)
false
dominter-app-communication-apienabled Activer la communicationpar API entre applications
false
domipcpluginsenabled Activation du plugin con-tainer
true pour exeacutecuter les pluginsdans le plugin-container
domipcpluginsjavaenabled Exeacutecuter Java au sein duplugin-container
false pour eacuteviter des problegravemesde stabiliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 23 sur 40
Nom de strateacutegie Description Valeur recommandeacuteebrowsersafebrowsingenabled Utiliser la navigation seacutecuriseacutee
(protection contre le phishing etles logiciels malveillants)27
true
javascriptenabled Activation de Javascript true
securityxpconnectpluginunrestricted Autoriser le scripting de pluginspar des scripts qui ne sont pasde confiance
false agrave moins drsquoune incompatibiliteacute avecdes plugins etou pages Web neacutecessaires agravelrsquoentiteacute
securitymixed_contentblock_active_content
Bloquer le contenu mixte actif true
securitymixed_contentblock_display_content
Bloquer le contenu mixte passif false
securityfileuristrict_origin_policy
Politique drsquoorigine stricte pourles URi de type fichiers
true sauf pour les populations dedeacuteveloppeurs qursquoun tel paramegravetre pourraitbloquer pour le deacuteveloppement en local
networkcookiecookieBehavior Politique de gestion des cookies 1 pour nrsquoautoriser que les cookies duserveur drsquoorigine et bloquer les cookiestiers
networkcookielifetimePolicy Politique drsquoexpiration des cook-ies
2 pour conserver les cookies pendant toutela dureacutee de la session seulement
networkcookiethirdpartysessionOnly Restreindre les cookies tiers agrave ladureacutee de la session seulement
true
networkjaropen-unsafe-types Nrsquoouvrir que les jar servis avecun content-type adeacutequat
false
privacypopupspolicy Politique de popups 1 pour activer les popups ou 2 pour lesrejeter mais cela rendrait la navigationdifficile voire impossible sur une quantiteacutede sites Internet non neacutegligeable
privacypopupsshowBrowserMessage Afficher un message lorsqursquounpopup a eacuteteacute bloqueacute
true
browserpopupsshowPopupBlocker Afficher lrsquoicocircne du bloqueur depopups dans la barre de status
true
securitycspenable Activer la Content Security Pol-icy (politique de seacutecuriteacute descontenus) qui permet de deacute-tecter et de limiter lrsquoimpact decertains types drsquoattaques
true
full-screen-apienabled Activer lrsquoAPI permettant drsquoaf-ficher du contenu en plein eacutecranpour les modules compleacutemen-taires
false
notificationfeatureenabled Permettre les notifications sur lebureau
false
27 La fonctionnaliteacute de navigation seacutecuriseacutee consiste agrave synchroniser une liste locale drsquoadresses de sites maveillants(depuis les serveurs de Google par deacutefaut depuis que Firefox utilise leur service) pour alerter lrsquoutilisateur srsquoil srsquoapprecircte agraveen visiter un Elle consiste eacutegalement agrave analyser le contenu des pages pour repeacuterer drsquoeacuteventuelles tentatives drsquohameccedilonnage
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 24 sur 40
Moteur de recherche par deacutefaut
La configuration drsquoun moteur de recherche personnaliseacute ne peut pas se faire simplement par fichierde configuration et neacutecessite le deacuteploiement drsquoun module de recherche (search engine plugin) LrsquoannexeIV illustre la teacuteleacute-deacuteploiement drsquoun module de recherche utilisant le moteur franccedilais httpswwwqwantcom 28
Nom de paramegravetre Description Exemplebrowsersearchdefaultenginename Moteur de recherche par deacutefaut Qwantcom
browsersearchdefaulturl URL du moteur de recherche pardeacutefaut
httpswwwqwantcomq=searchTerms
browsersearchlog Journalisation de lrsquoutilisation desservices de recherche agrave des fins dedeacuteboggage
false
browsersearchopenintab Ouvrir les reacutesultats de recherchedans un nouvel onglet
false
browsersearchorder1 Moteur de recherche agrave utiliser enprioriteacute 1
Qwantcom
browsersearchsuggestenabled activer les suggestions false
browsersearchupdate Recherche de mises agrave jour pour lesmodules de recherche
false
keywordenabled Permettre de faire une recherchedepuis la barre drsquoadresse
true
Page(s) drsquoaccueil
Nom de strateacutegie Description Valeur recommandeacuteestartuphomepage_override_url Page drsquoaccueil apregraves une mise agrave jour de Firefox En fonction du choix de lrsquoentiteacutestartuphomepage_welcome_url Page drsquoaccueil au premier deacutemarrage En fonction du choix de lrsquoentiteacutebrowserstartuphomepage Page drsquoaccueil about blank pour une page vide
ou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
browserstartuppage Page drsquoaccueil 1 pour ouvrir la page drsquoac-cueil indiqueacutee par le paramegravetrebrowserstartuphomepage
browsersessionstoreresume_from_crash
Restauration de session apregraves crash false
browsersessionstoreenabled Activer le service de restauration de session false
browsernewtaburl Page ouverte par deacutefaut lors de la creacuteationdrsquoun nouvel onglet de navigation
about blank pour une page videou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
28 Ceci nrsquoest en aucun cas une recommandation ni une incitation agrave son utilisation mais un simple exemple
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 25 sur 40
Authentification HTTP
Nom de strateacutegie Description Valeur recommandeacuteenetworkauthforce-generic-ntlm Utiliser le module drsquoauthen-
tification NTLM de Firefoxplutocirct que celui fourni parles APIs du systegraveme
false
networkauthuse-sspi Utiliser SSPI plutocirct queGSSAPI pour lrsquoauthentifica-tion Kerberos
true sous Windows
networkntlmsend-lm-response Envoyer le LM Hash dans lareacuteponse NTLM
false
networkautomatic-ntlm-authallow-proxies
Authentification par NTLMautomatique avec lesserveurs proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networkautomatic-ntlm-authtrusted-uris
Liste des URIs autoriseacuteespour lrsquoauthentification parNTLM automatique
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationNTLM automatique
networkautomatic-ntlm-authallow-non-fqdn
Autoriser lrsquoauthentificationNTLM automatique avecdes sites sans FQDN
false agrave moins que la liste networkautomatic-ntlm-authtrusted-uris comporte des adressessans FQDN
networknegotiate-authallow-non-fqdn
Autoriser lrsquoauthentificationSPNEGO avec des sites sansFQDN
En fonction de lrsquoentiteacute
networknegotiate-authallow-proxies
Autoriser SPNEGO29si de-mandeacute par un serveur proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networknegotiate-authdelegation-uris
Liste des URIs autoriseacuteespour lesquels le navigateurpeut deacuteleacuteguer lrsquoautorisationde lrsquoutilisateur
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites auxquels elle souhaite permettre ladeacuteleacutegation SPNEGO
networknegotiate-authtrusted-uris Liste des URIs autoriseacuteespour engager une authentifi-cation SPNEGO
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationSPNEGO
networknegotiate-authgsslib Chemin vers une librairieGSSLIB speacutecifique
Mettre agrave vide
networknegotiate-authusing-native-gsslib
Utiliser la librairie GSSLIBnative du systegraveme
true
securitydefault_personal_cert Choix du certificat drsquoau-thentification client
Ask Every Time
29 SPNEGO est un standard qui permet de neacutegocier de lrsquoauthentification Kerberos NTLM ainsi que drsquoautresprotocoles supporteacutes pour le systegraveme SPNEGO est eacutegalement connu sous le nom du protocole drsquoauthentificationlaquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 26 sur 40
Serveur mandataire
Nom de paramegravetre Description Valeur recommandeacuteenetworkproxyautoconfig_url URL de configuration automatique du
proxyLaisser agrave vide
networkproxyftp Adresse du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyftp_port port du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp Adresse du proxy proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp_port port du proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyno_proxies_on Liste drsquoexceptions agrave lrsquoutilisation du serveurproxy
A minima localhost 127001 etdavantage en fonction de lrsquoentiteacute etdu peacuterimegravetre drsquoutilisation du naviga-teur
networkproxyshare_proxy_settings
Utiliser le mecircme proxy pour tous les pro-tocoles
false
networkproxysocks Adresse du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_port port du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_remote_dns
Reacutealiser les requecirctes DNS via le proxysocks
false
networkproxysocks_version Version du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl Adresse du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl_port port du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxytype Type drsquoutilisation du proxy 1 pour utiliser les valeurs in-diqueacutees par les paramegravetres ci-dessus(networkproxy)
networkhttpproxyversion version de proxy 11 par deacutefaut et en fonction duserveur proxy de lrsquoentiteacute
networkhttpproxypipelining Activer le pipelining30par proxy false pour des raisons de compat-ibiliteacute Lrsquoentiteacute peut choisir de lrsquoac-tiver si le pipelining est supporteacute parson serveur proxy drsquoentreprise
signonautologinproxy Saisie automatique du mot de passe deproxy
false
30 Le pipelining permet de faire plusieurs requecirctes HTTP simultaneacutement plutocirct que de les faire seacutequentiellement enattendant les reacuteponses de chacune drsquoentre elles Pour plus drsquoinformations httpwww-archivemozillaorgprojectsnetlibhttppipelining-faqhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 27 sur 40
Peacuterimegravetre de navigation
Nom de paramegravetre Description Valeur recommandeacuteenetworkprotocol-handlerexpose-all
Deacutetermine si le navigateur essayedrsquoouvrir les liens cliqueacutes dans lenavigateur en prioriteacute avant delaisser le systegraveme srsquoen charger en casdrsquoeacutechec (si le protocole du lien enquestion nrsquoest pas supporteacute par lenavigateur)
true
networkprotocol-handlerwarn-external-default
Avertir lrsquoutilisateur avant decharger un gestionnaire deprotocole tiers
true
networkprotocol-handlerexternal-default
Action pour lrsquoouverture drsquoun pro-tocole non pris en charge par lenavigateur
false de maniegravere agrave ne pas essayerde charger des protocoles non pris encharge nativement par le navigateur Lrsquoen-titeacute renseignera eacuteventuellement des ges-tionnaires de protocoles tiers pour desprotocoles qursquoelle souhaite explicitementpermettre tels que NNTP Mailto etc Pour illustrer par lrsquoexemple avecMailto le paramegravetre networkprotocol-handlerexternalmailto aurait pour valeurtrue et le paramegravetre networkprotocol-handlerappmailto avec pour valeur lechemin drsquoun exeacutecutable comme MozillaThunderbird ou Microsoft Outlook
networkprotocol-handlerexternalfile
Gestionnaire de protocole filesous Firefox
false
networkprotocol-handlerexternalftp
Gestionnaire de protocole ftpsous Firefox
false
geckohandlerServiceallowRegisterFromDifferentHost
Autoriser les sites Web agrave installerdes gestionnaires de protocoles oude contenus utilisable pour deshocirctes tiers
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 28 sur 40
Administration systegraveme maintenance et options diverses
Parameacutetrage des mises agrave jour
Nom de paramegravetre Description Valeur recommandeacuteeappupdateenabled Activation de la mise agrave jour automatique true
appupdateauto Teacuteleacutechargement et installationautomatiques (neacutecessite que le paramegravetreappupdateenabled ait pour valeurtrue)
true
appupdatecertcheckAttributes Veacuterifie les attributs du certificat du serveurde mise agrave jour
false
appupdatecertrequireBuiltIn Requiert lrsquointeacutegration des certificats duserveur de mise agrave jour et de toutes lesredirections intermeacutediaires
false
appupdatechannel Canal de mise agrave jour esr pour la version ESR de FirefoxappupdatedownloadbackgroundInterval
Temps de pause (en secondes) entrechaque teacuteleacutechargement en arriegravere plandrsquoun morceau de 300 Kb de mise agrave jour
Au choix de lrsquoentiteacute
appupdateidletime Temps de pause (en secondes) entre chaqueteacuteleacutechargement agrave la demande de lrsquoutilisa-teur) drsquoun morceau de 300 Kb de mise agravejour
60
appupdateinterval Intervalle de temps entre chaque veacuterifica-tion de disponibiliteacute de nouvelles mises agravejour
43200
appupdatemode Deacutetermine quelles mises agrave jour sontteacuteleacutechargeacutees en arriegravere plan
0 pour teacuteleacutecharger toutes les mises agravejour sans intervention de lrsquoutilisateur
appupdateserviceenabled Active le service de mise agrave jour de Firefox true
appupdateshowInstalledUI Deacutetermine si apregraves installation de mise agravejour une boicircte de dialogue informe lrsquoutil-isateur qursquoune mise agrave jour a eacuteteacute installeacutee
Au choix de lrsquoentiteacute
appupdatesilent Active le mode de mise agrave jour silencieux true pour une mise agrave jour silencieuseen arriegravere plan
appupdateurl URL de reacutecupeacuteration des mises agrave jour deFirefox
En fonction de la strateacutegie de mise agravejour de lrsquoentiteacute Pour une mise agrave jourdepuis les serveurs de Mozilla httpsaus3mozillaorgupdate3PRODUCTVERSIONBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONupdatexml sinon lrsquoURLdu serveur de mise agrave jour internede lrsquoentiteacute (qursquoil faudra eacutegalementrenseigner dans le paramegravetreappupdateurloverride)
appupdateurloverride URL de reacutecupeacuteration des mises agrave jour deFirefox
Paramegravetre agrave renseigner uniquementdans le cas ou la mise agrave jour deFirefox se fait depuis lrsquoURL drsquounserveur de mise agrave jour interne delrsquoentiteacute (agrave renseigner en plus duparamegravetre appupdateurl)
appupdateurldetails URL de consultation des informations rel-atives aux mises agrave jour disponibles
Laisser la valeur par deacutefautrhttpswwwmozillaorgLOCALEfirefoxnotes
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 29 sur 40
Configuration du cache
Nom de paramegravetre Description Valeur recommandeacuteebrowsercachecheck_doc_frequency Quand veacuterifier la mise agrave jour drsquoune page en
cache disque3 (veacuterifier quand la page estpeacuterimeacutee)
browsercachecompression_level Niveau de compression du cache disque Au choix de lrsquoentiteacute de 0(pas de compression) agrave 9(haut taux de compressionavec forte sollicitation du pro-cesseur)
browsercachediskcapacity Espace disque alloueacute au cache disque enKb
Au choix de lrsquoentiteacute
browsercachediskenable Utiliser le cache disque true
browsercachediskmax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache disque
Au choix de lrsquoentiteacute
browsercachedisksmart_sizeenabled Allocation intelligente de lrsquoespace disquealloueacute au cache en fonction de lrsquoespacedisponible
Au choix de lrsquoentiteacute
browsercachedisk_cache_ssl Mettre en cache disque les pages visiteacuteesen HTTPS
False de maniegravere agrave ne pasmettre en cache le contenuSSL
browsercachememoryenable Utiliser le cache meacutemoire true
browsercachememorymax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache meacutemoire
Au choix de lrsquoentiteacute
browsercachememory_limit Meacutemoire maximum utiliseacutee pour le cachemeacutemoire en Kb
Au choix de lrsquoentiteacute
browsercacheofflinecapacity Espace disque alloueacute au cache des applica-tions Web
Au choix de lrsquoentiteacute
browsercacheofflineenable Utiliser le cache des applications Web per-mettant une utilisation hors ligne
Au choix de lrsquoentiteacute
browsercacheuse_new_backend Utilisation du nouveau systegraveme de cache 0 (ne pas utiliser pour desquestions de stabiliteacute)
networkhttpuse-cache Utiliser le cache des documents HTTP true
mediacache_size Taille du cache pour les fichiers multimedia Au choix de lrsquoentiteacute par deacute-faut 512000
domstoragedefault_quota Quota de stockage cocircteacute client pour lespages Web
5120 taille par deacutefaut
domstorageenabled Active le stockage cocircteacute client pour les pagesWeb
true agrave deacutefaut de vulneacuterabil-iteacutes connues pour cette fonc-tionnaliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 30 sur 40
Deacutesactiver les options de deacuteveloppement (sauf pour les populations de deacuteveloppeurs)
Nom de paramegravetre Description Valeur recommandeacuteedevtoolsappmanagerenabled Activation des outils de deacuteveloppement module appmanager false
devtoolsdebuggerenabled Activation des outils de deacuteveloppement module deacutebogueur false
devtoolserrorconsoleenabled Activation des outils de deacuteveloppement module consoledrsquoerreurs
false
devtoolsfontinspectorenabled Activation des outils de deacuteveloppement module inspecteurde polices
false
devtoolsinspectorenabled Activation des outils de deacuteveloppement module inspecteur false
devtoolsnetmonitorenabled Activation des outils de deacuteveloppement module reacuteseau false
devtoolsprofilerenabled Activation des outils de deacuteveloppement module profileur false
devtoolsshadereditorenabled Activation des outils de deacuteveloppement module vue adaptive false
devtoolsstyleeditorenabled Activation des outils de deacuteveloppement module editeur destyles
false
devtoolstiltenabled Activation des outils de deacuteveloppement module tilt false
devtoolstoolbarenabled Activation des outils de deacuteveloppement module barre dedeacuteveloppement
false
Configurations diverses
Nom de paramegravetre Description Valeur recommandeacuteenetworkseerenable-hover-on-ssl Activer seer sur SSL false
networkseerenabled Activer seer false
networkhttppipelining Activer le pipelining pour le surfHTTP11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttppipeliningssl Activer le pipelining pour le surfHTTPS11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttpspdyenabled Activer SPDY31 false
networkhttpspdyenabledv2 Activer SPDY v2 false
networkhttpspdyenabledv3 Activer SPDY v3 false
networkhttpspdyenabledv3-1 Activer SPDY v31 false
browsershellcheckDefaultBrowser Veacuterifier si Firefox est configureacutecomme navigateur par deacutefaut
false dans le cadre de double naviga-teurs
browserdownloadmanagerscanWhenDone
Scan antivirus drsquoun fichier lorsqueson teacuteleacutechargement est termineacute
true
browserdownloaduseDownloadDir Utiliser le reacutepertoire de teacuteleacutecharge-ment par deacutefaut
false pour que lrsquoutilisateur indique agravequel emplacement il souhaite teacuteleacutechargerle fichier
browserfullscreenautohide Cacher la barre drsquooutils et drsquoongletsen mode plein eacutecran
false
31 SPDY est un protocole reacuteseau expeacuterimental de Google visant agrave augmenter les capaciteacutes du protocole HTTP pourreacuteduire le temps de chargement des pages Web en classant les objets par ordre de prioriteacute et en multiplexant les transfertspour ne neacutecessiter qursquoune seule connexion Ce protocole est vulneacuterable aux attaques CRIME (Compression Ratio Info-leakMade Easy) lorsqursquoil est utiliseacute avec HTTPS (ce qui est geacuteneacuteralement le cas)
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 31 sur 40
Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP
Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory
Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation
La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32
Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers
Fichiers de configuration
La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte
ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet
ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes
Fichier local-settingsjs
pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)
Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 32 sur 40
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
Les figures suivantes illustrent de maniegravere syntheacutetique les mesures de seacutecuriteacute appliqueacutees agrave unestrateacutegie de double navigateur
Figure 1 ndash Illustration drsquoune strateacutegie de double navigateur cas ougrave Firefox est utiliseacute commenavigateur Internet
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 14 sur 40
Figure 2 ndash Illustration drsquoune strateacutegie de double navigateur cas ougrave Firefox est utiliseacute commenavigateur Intranet
Ces figures illustrent deux cas distincts Le navigateur Firefox y est repreacutesenteacute mais la strateacutegieserait eacutequivalente avec drsquoautres navigateurs
Les regravegles de configuration recommandeacutees en annexe I se precirctent agrave un contexte ougrave le navigateur estdeacutedieacute agrave la navigation sur Internet
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 15 sur 40
Annexe I Strateacutegies de seacutecurisation de Firefox
Cette annexe liste sous forme de tableaux les valeurs recommandeacutees permettant de mettre en œuvreles recommandations formuleacutees dans cette note technique La liste des paramegravetres de configurationdisponibles est sujette agrave des eacutevolutions freacutequentes et certains sont peu voire pas documenteacutes Lesrecommandations et leurs indications de mise en œuvre figurant dans ce document sont baseacutees sur lesparamegravetres de configuration de Firefox dans sa version ESR 31 Ces derniers pourront ecirctre adapteacutesselon la version du navigateur deacuteployeacutee agrave la date de lecture du document
Depuis un navigateur Firefox il est possible drsquoafficher et de modifier les paramegravetres de configurationappliqueacutes en tapant aboutconfig dans la barre drsquoadresse Les paramegravetres verrouilleacutes sont afficheacutes enitalique La page aboutsupport affiche quant agrave elle un reacutecapitulatif des informations systegravemes etde version ainsi que les modifications importantes apporteacutees agrave la configuration par deacutefaut du navigateur
En environnement professionnel il est conseilleacute de deacuteployer une configuration de maniegravere centraliseacuteecomme expliqueacute en annexe II Pour un usage personnel de Firefox il est eacutegalement possible de srsquoinspirerde tout ou partie des paramegravetres indiqueacutes dans ce document agrave partir de la page aboutconfig
Seacutecuriteacute des modules compleacutementaires
Les regravegles de configuration preacutefixeacutees par le terme laquo extensions raquo ne srsquoappliquent pas toujoursuniquement aux extensions comme elles pourraient le laisser entendre mais parfois plus largementaux plugins voire aux modules compleacutementaires dans leur ensemble Il convient donc drsquoecirctre vigilantquant au peacuterimegravetre reacuteel drsquoapplication des regravegles de configuration dont les noms pourraient precircter agraveconfusion
Nom de strateacutegie Description Valeur recommandeacuteeextensionsautoDisableScopes Les extensions peuvent
ecirctre deacutesactiveacuteesautomatiquement enfonction de leur localisation
3 (les extensions deacuteposeacutees dans le profil Firefox delrsquoutilisateur ou dans le profil utilisateur Windowsseront automatiquement deacutesactiveacutees20)
extensionsenabledScopes Les extensions peuvent ecirctreactiveacutees automatiquementen fonction de leurlocalisation21
12 (seules les extensions reacutefeacuterenceacutees par une entreacutee enbase de registres22 ou deacuteposeacutees dans le sous-dossierdrsquoextensions agrave lrsquoemplacement de lrsquoexeacutecutable FireFoxseront activeacutees Attention ce paramegravetre a prioriteacute surextensionsautoDisableScopes
20 Contrairement agrave ce qursquoindique la MozillaZine Knownledge Base le paramegravetre extensionsautoDisableScopes nepermet pas de deacutesactiver un plugin pour ce faire il convient drsquoutiliser les paramegravetres pluginstatex21 Pour plus drsquoinformations sur le paramegravetre extensionsenabledScopes httpsdevelopermozillaorgen-US
Add-onsInstalling_extensions22 Article de Mozilla expliquant lrsquoajout la mise agrave jour et la suppression drsquoextensions ou de plugins pour Firefox par
base de registre httpsdevelopermozillaorgen-USdocsAdding_Extensions_using_the_Windows_Registry
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 16 sur 40
Nom de paramegravetre Description Valeur recommandeacuteeextensionsblocklistenabled Teacuteleacutechargement reacutegulier drsquoune
liste noire de modules reacutefeacuterenceacutescomme eacutetant malveillants
false si seuls les modules teacuteleacute-deacuteployeacutes par leseacutequipes informatique sont installeacutes ou true silrsquoutilisateur est en mesure drsquoinstaller des moduleslui-mecircme
extensionsblocklistdetailsURL
URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules
Celle par deacutefaut (httpswwwmozillaorgLOCALEblocklist)
extensionsblocklistitemURL URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules(variante)
Celle par deacutefaut (httpsaddonsmozillaorgLOCALEAPPblockedblockID)
extensionsblocklistinterval Intervalle de teacuteleacutechargement dela liste noire de modules ensecondes
86400 (soit 1 fois par jour)
extensionsblocklistlevel Niveau de blocage 2 (pour bloquer les extensions de la liste)extensionsblocklisturl Adresse de teacuteleacutechargement de la
liste noire de modulesCelle par deacutefaut (httpsaddonsmozillaorgblocklist3APP_IDAPP_VERSIONPRODUCTBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONPING_COUNTTOTAL_PING_COUNTDAYS_SINCE_LAST_PING)
extensionsenabledAddons Modules activeacutes au deacutemarragede Firefox
Mettre agrave vide
pdfjsdisabled Deacutesactiver la visionneuse PDFinteacutegreacutee agrave Firefox (pdfjs)
true pour que lrsquoutilisateur teacuteleacutecharge les PDF etles visionne via un lecteur PDF tiers maintenu enconditions de seacutecuriteacute par lrsquoentiteacute et ne faisant paslrsquoobjet de vulneacuterabiliteacutes freacutequentes ou false pourautoriser lrsquousage du lecteur de PDF inteacutegreacute
pluginstateflash Configuration drsquoactivation duplugin Flash
1 (demander lrsquoautorisation agrave lrsquoutilisateur avantchaque exeacutecution du plugin Flash) ou 2 (toujoursactiver) au choix de lrsquoentiteacute et en fonction desutilisateurs et des contraintes de seacutecuriteacute
pluginstatejava Configuration drsquoactivation duplugin Java
0 pour ne jamais activer le plugin Java (agrave moinsque lrsquoentiteacute souhaite utiliser ce plugin malgreacute lesrisques de seacutecuriteacute encourus auquel cas la valeuragrave donner serait 1 pour demander lrsquoautorisation agravelrsquoutilisateur agrave chaque exeacutecution du plugin Java)
pluginstatex Configuration drsquoactivation duplugin x ougrave x est agrave remplacerpar le nom court du pluginagrave deacutesactiver (exemple npctrlpour Microsoft Silverlight Lesnoms courts des plugins sontindiqueacutes en affichant leurs infor-mations deacutetailleacutees depuis lrsquointer-face graphique)
0 pour ne jamais activer le plugin ou 1 pourdemander lrsquoautorisation agrave lrsquoutilisateur avant chaqueexeacutecution du plugin
plugindefaultstate Configuration drsquoactivation desautres plugins
0 pour ne jamais activer un plugin non explicite-ment autoriseacute par les regravegles preacuteceacutedentes
plugindefaultXpistate Configuration drsquoactivation desautres plugins au format XPI
0 pour ne jamais activer un plugin au format XPInon explicitement autoriseacute par les regravegles preacuteceacute-dentes
pluginsclick_to_play Cliquer pour lire le contenu neacute-cessitant un plugin
true pour activer le mode laquo Cliquer pour lire raquo
pluginsload_appdir_plugins Chargement automatique desplugins depuis des emplace-ments utiliseacutes avant Firefox 21
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 17 sur 40
Eacutetant donneacute que seuls les modules compleacutementaires teacuteleacute-deacuteployeacutes par les eacutequipes informatiquessont autoriseacutes il est recommandeacute de bloquer toute possibiliteacute drsquoajout de modules compleacutementaires parlrsquoutilisateur
Nom de strateacutegie Description Valeur recommandeacuteeextensionsgetAddonsgetWithPerformanceurl
URL de reacutecupeacuteration drsquoun module compleacutementaire Mettre agrave vide
extensionsgetAddonsmaxResults Nombre de reacutesultats maximum 0extensionsgetAddonsgeturl URL de consultation drsquoun module compleacutementaire Mettre agrave videextensionsgetAddonsrecommendedbrowseURL
URL de consultation des modules compleacutementairesrecommandeacutes
Mettre agrave vide
extensionsgetAddonsrecommendedurl
URL de consultation des modules compleacutementairesrecommandeacutes par API
Mettre agrave vide
extensionsgetAddonssearchbrowseURL
URL de recherche de modules compleacutementaires Mettre agrave vide
extensionsgetAddonssearchurl URL de recherche de modules compleacutementaires parAPI
Mettre agrave vide
extensionsgetAddonsshowPane Afficher le panneau drsquoajout de modules compleacutemen-taires
false
extensionshideInstallButton Cacher le bouton drsquoinstallation manuelle drsquoextensions true
extensionswebservicediscoverURL URL du catalogue drsquoextensions Mettre agrave videxpinstallenabled Autoriser lrsquoinstallation manuelle de modules au format
XPIfalse
xpinstallwhitelistrequired Obligation pour une archive XPI drsquoecirctre en liste blanchepour ecirctre installeacutee manuellement
true
xpinstallwhitelistaddxpinstallwhitelistadd
Liste blanche drsquoarchives XPI pouvant ecirctre installeacuteesmanuellement
Mettre agrave vide
Pour finir lrsquoentiteacute devra choisir sa strateacutegie de mise agrave jour des extensions teacuteleacute-deacuteployeacutees Lrsquoentiteacutequi voudra teacuteleacute-deacuteployer elle-mecircme les versions agrave jour des modules compleacutementaires apregraves une phase devalidation optera pour le parameacutetrage donneacute ci-dessous la responsabiliteacute du maintien en conditions deseacutecuriteacute sera alors deacuteporteacutee sur les services informatiques en charge du deacuteploiement de ces mises agrave jourDans le cas contraire les valeurs par deacutefaut permettent une mise agrave jour automatique des extensionspar Internet
Nom de strateacutegie Description Valeur recommandeacuteeextensionshotfixcertcheckAttributes
Veacuterifie les attributs du certificat de signature descorrectifs teacuteleacutechargeacutes
true
extensionshotfixcerts1sha1Fingerprint
Empreintes attendues du certificat de signature descorrectifs teacuteleacutechargeacutes
Laisser la valeur par deacutefaut(9153980CC186DF478F35229E11C9A7310449A1AA en date dereacutedaction de ce document)
extensionsupdateautoUpdateDefault
Teacuteleacutecharger et installer automatiquement les mises agravejour drsquoextensions
false
extensionsupdatebackgroundURL
URL de teacuteleacutechargement des mises agrave jour drsquoextensionsen arriegravere plan
Mettre agrave vide
extensionsupdateenabled Activer la mise agrave jour des extensions false
extensionsupdateinterval Intervalle de teacuteleacutechargement des mises agrave jour desextensions
86400 (soit 1 fois par jour)
pluginsupdatenotifyUser Notifier lrsquoutilisateur de la preacutesence drsquoune mise agrave jourpour ses modules compleacutementaires
false
pluginsupdateurl URL de mise agrave jour des modules compleacutementaires Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 18 sur 40
SSLTLS et certificats
Le parameacutetrage des suites cryptographiques autoriseacutees peut engendrer des problegravemes de compa-tibiliteacute selon le contexte Il est donc leacutegitime de preacutefeacuterer ne pas modifier la configuration par deacutefautDans un soucis de durcissement les recommandations suivantes pourraient toutefois ecirctre appliqueacutees
Nom de paramegravetre Description Valeur recommandeacuteesecurityssl3dhe_dss_aes_128_sha Autoriser ssl3dhe_dss_aes_128_sha false
securityssl3dhe_dss_aes_256_sha Autoriser ssl3dhe_dss_aes_256_sha false
securityssl3dhe_dss_camellia_128_sha Autoriser ssl3dhe_dss_camellia_128_sha false
securityssl3dhe_dss_camellia_256_sha Autoriser ssl3dhe_dss_camellia_256_sha false
securityssl3dhe_rsa_aes_128_sha Autoriser ssl3dhe_rsa_aes_128_sha true
securityssl3dhe_rsa_aes_256_sha Autoriser ssl3dhe_rsa_aes_256_sha true
securityssl3dhe_rsa_camellia_128_sha Autoriser ssl3dhe_rsa_camellia_128_sha false
securityssl3dhe_rsa_camellia_256_sha Autoriser ssl3dhe_rsa_camellia_256_sha false
securityssl3dhe_rsa_des_ede3_sha Autoriser ssl3dhe_rsa_des_ede3_sha false
securityssl3ecdhe_ecdsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_ecdsa_aes_128_gcm_sha256
true
securityssl3ecdhe_ecdsa_aes_128_sha Autoriser ssl3ecdhe_ecdsa_aes_128_sha true
securityssl3ecdhe_ecdsa_aes_256_sha Autoriser ssl3ecdhe_ecdsa_aes_256_sha true
securityssl3ecdhe_ecdsa_rc4_128_sha Autoriser ssl3ecdhe_ecdsa_rc4_128_sha false
securityssl3ecdhe_rsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_rsa_aes_128_gcm_sha256
true
securityssl3ecdhe_rsa_aes_128_sha Autoriser ssl3ecdhe_rsa_aes_128_sha true
securityssl3ecdhe_rsa_aes_256_sha Autoriser ssl3ecdhe_rsa_aes_256_sha true
securityssl3ecdhe_rsa_des_ede3_sha Autoriser ssl3ecdhe_rsa_des_ede3_sha false
securityssl3ecdhe_rsa_rc4_128_sha Autoriser ssl3ecdhe_rsa_rc4_128_sha false
securityssl3rsa_aes_128_sha Autoriser ssl3rsa_aes_128_sha true
securityssl3rsa_aes_256_sha Autoriser ssl3rsa_aes_256_sha true
securityssl3rsa_camellia_128_sha Autoriser ssl3rsa_camellia_128_sha false
securityssl3rsa_camellia_256_sha Autoriser ssl3rsa_camellia_256_sha false
securityssl3rsa_des_ede3_sha Autoriser ssl3rsa_des_ede3_sha false
securityssl3rsa_fips_des_ede3_sha Autoriser ssl3rsa_fips_des_ede3_sha false
securityssl3rsa_rc4_128_md5 Autoriser ssl3rsa_rc4_128_md5 false
securityssl3rsa_rc4_128_sha Autoriser ssl3rsa_rc4_128_sha false
securityssl3rsa_seed_sha Autoriser ssl3rsa_seed_sha false
Autres paramegravetres
Nom de paramegravetre Description Valeur recommandeacuteesecuritytlsversionmax Version maximum de
SSLTLS3 (ce qui correspond agrave TLS 12)
securitytlsversionmin Version minimum de SSLTLS 2 (ce qui correspond agrave TLS 11)securitysslallow_unrestricted_renego_everywhere__temporarily_available_pref
Activer la reneacutegociation SSL false pour remeacutedier agrave une attaque parle milieu connue
securitysslenable_false_start Activer laquo SSL False Start raquo false car non standardiseacute et amenantde potentielles vulneacuterabiliteacutes
securitysslenable_ocsp_stapling Activer lrsquoOCSP stapling23 true
23 httpsblogmozillaorgsecurity20130729ocsp-stapling-in-firefox
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 19 sur 40
Nom de paramegravetre Description Valeur recommandeacuteesecuritysslrequire_safe_negotiation
Neacutecessite une neacutegociation SSL qui nrsquoutilisepas une ancienne version SSLTLS vul-neacuterable agrave des attaques par le milieu
true est la valeur ideacuteale en termesde seacutecuriteacute mais false reste conseilleacutepour eacuteviter que de nombreux sitescouramment visiteacutes ne soient plus uti-lisables
securitysslrenego_unrestricted_hosts
Liste drsquohocirctes autoriseacutes agrave faire de la reneacute-gociation SSL avec drsquoanciennes versionsvulneacuterables du protocole
Liste drsquohocirctes seacutepareacutes par des virgules(ne supportant pas les wildcards)et qursquoil est utile de renseigner sisecuritysslrequire_safe_negotiationest configureacute agrave true
securityssltreat_unsafe_negotiation_as_broken
Informer lrsquoutilisateur (cadenas casseacute rougedans la barre de status) lorsque les neacutegoci-ations SSLTLS sont non seacutecuriseacutees
true
networkstricttransportsecuritypreloadlist
Charger la liste de sites deacuteclareacutes commeutilisant HSTS (HTTP Strict TransportSecurity24)
true
networkwebsocketallowInsecureFromHTTPS
Autoriser les WebSockets non seacutecuriseacuteepour un site consulteacute en HTTPS
false
securityOCSPenabled Activer OCSP 2 pour veacuterifier le certificat agrave partir delrsquoURL de service OCSP et de lrsquoautoriteacutede certification ayant signeacute le certifi-cat Notons que cette fonctionnaliteacuteest critiqueacutee pour des questions delatence des reacutepondeurs OCSP (de lrsquoor-dre de 300ms pour les plus rapides agraveplus drsquoune seconde pour les plus lents)OCSP tend donc agrave ecirctre remplaceacute pardes listes locales de certificats reacutevo-queacutes dans drsquoautres navigateurs maisFirefox ne dispose pas encore drsquounetelle liste Une entiteacute ayant des con-traintes particuliegraveres quant agrave la la-tence induite par OSCP pourrait opterpour une deacutesactivation drsquoOCSP avecla valeur 0
securityOCSPrequire Neacutecessite la validation du certificat parOCSP avant de continuer la navigation surle site
true si securityOCSPenabled a eacuteteacuteconfigureacute agrave true ou false dans le cascontraire
securitycert_pinningenforcement_level
Niveau de certificate pinning (eacutepinglage decertificats)25(agrave partir de Firefox 32)
2 pour utiliser lrsquoeacutepinglage strict
Gestionnaire de mots de passe
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownpasswords Effacer les mots de passe enregistreacutes agrave la
fermeture du navigateurtrue
signonrememberSignons Active le gestionnaire de mots de passe false
signonautofillForms Remplissage automatique des formulairesde login
false
24 httpsdevelopermozillaorgfrdocsSC3A9curitC3A9HTTP_Strict_Transport_Security25 Lrsquoeacutepinglage de certificats permet drsquoavoir une base locale de certificats connus et attendus pour certains sites Web
consulteacutes en HTTPS Ainsi si le certificat preacutesenteacute par le serveur est valide en tous points de vue mais nrsquoest pas lecertificat attendu la connexion sera coupeacutee Ce meacutecanisme permet drsquoeacuteviter une attaque par le milieu preacutesentant un fauxcertificat issu drsquoune autoriteacute de certification de confiance
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 20 sur 40
Confidentialiteacute
Il nrsquoexiste pas en date de reacutedaction de cette note de regravegle globale pour la deacutesactivation de FirefoxSync Sa deacutesactivation se fait par conseacutequent agrave travers plusieurs regravegles de configuration
Nom de paramegravetre Description Valeur recommandeacuteeservicessyncengineaddons Synchronisation des modules compleacutementaires false
servicessyncenginebookmarks Synchronisation des marque-pages false
servicessyncenginehistory Synchronisation de lrsquohistorique de navigation false
servicessyncenginepasswords Synchronisation des mots de passe stockeacutes false
servicessyncengineprefs Synchronisation des preacutefeacuterences false
servicessyncenginetabs Synchronisation des onglets ouverts false
servicessyncregisterEngines Moteurs de synchronisation enregistreacutes Mettre agrave videservicessyncjpakeserverURL URL du serveur synchronisation jpake Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessynctokenServerURI URI du serveur de jetons Mettre agrave videservicessyncnextSync Planification de la prochaine synchronisation 0
Il convient eacutegalement de deacutesactiver les diffeacuterents rapports agrave Mozilla
Nom de paramegravetre Description Valeur recommandeacuteedatareportinghealthreportaboutreportUrl URL de rapport de santeacute Mettre agrave videdatareportinghealthreportloggingconsoleEnabled
Activer la journalisation (console) du ser-vice de rapports de santeacute
false
datareportinghealthreportloggingdumpEnabled
Activer la journalisation (dumps) du ser-vice de rapports de santeacute
false
datareportinghealthreportnextDataSubmissionTime
Date de prochaine soumission de rapportde santeacute
Mettre agrave vide
datareportinghealthreportserviceenabled Activer le service de rapport de santeacute false
datareportinghealthreportuploadEnabled Autoriser lrsquoenvoi de donneacutees au serveur derapports de santeacute
false
datareportingpolicydataSubmissionEnabled Activer lrsquoenvoi de donneacutees agrave Mozilla agrave desfins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyAccepted
Accepter les conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyBypassAcceptance
Contourner lrsquoacceptation des conditionsdrsquoenvoi de donneacutees agrave Mozilla agrave des finsdrsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyResponseType
Reacuteponse aux conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
accepted-info-bar-dismissed
domipcpluginsreportCrashURL Inteacutegrer lrsquoURL au rapport de crash deplugins
false
domipcpluginsflashsubprocesscrashreporterenabled
Activer le rapport de crash du sous-processus flash
false
toolkittelemetryenabled Activer la fonctionnaliteacute de teacuteleacutemeacutetrie false
toolkittelemetryserver Adresse du serveur de teacuteleacutemeacutetrie Mettre agrave videbreakpadreportURL URL du rapport de crash Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 21 sur 40
Il peut eacutegalement ecirctre utile de configurer lrsquooption de suppression des donneacutees priveacutees (Clear PrivateData) en seacutelectionnant les eacuteleacutements qui seront supprimeacutes Lrsquoentiteacute pourra par exemple permettre auxutilisateurs de supprimer leurs donneacutees priveacutees dans le cadre drsquoune navigation sur internet ou bien delrsquointerdire srsquoil srsquoagit drsquoun navigateur deacutedieacute agrave lrsquointranet Une entiteacute pourrait eacutegalement vouloir toujoursgarder les historiques et le cache agrave des fins drsquoinvestigation (cela nrsquoempecircchera toutefois pas lrsquoutilisateurde les supprimer directement au niveau du systegraveme de fichiers dans son profil utilisateur)
Nom de paramegravetre Description Valeur recommandeacuteeprivacycpdcache Supprimer le cache lors drsquoune suppression des donneacutees
priveacuteesAu choix de lrsquoentiteacute
privacycpdcookies Supprimer les cookies lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpddownloads Supprimer lrsquohistorique des teacuteleacutechargements lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdformdata Supprimer lrsquohistorique de remplissage automatique desformulaire lors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdhistory Supprimer lrsquohistorique lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpdofflineApps Supprimer les applications disponibles hors connexionlors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdpasswords Supprimer les mots de passe enregistreacutes lors drsquoune sup-pression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsessions Supprimer les sessions en cours enregistreacutees lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsiteSettings Supprimer les paramegravetres par site lors drsquoune suppressiondes donneacutees priveacutees
Au choix de lrsquoentiteacute
privacysanitizesanitizeOnShutdown
Supprimer les donneacutees priveacutees agrave la fermeture du naviga-teur
En cas de besoin speacute-cifique de lrsquoentiteacute
Viennent pour finir divers autres paramegravetres lieacutes agrave la confidentialiteacute
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownsessions effacer les sessions de navigation en cours lors
de la fermeture du navigateurtrue
privacyclearOnShutdowncookies effacer les cookies de navigation lors de lafermeture du navigateur
true
privacydonottrackheaderenabled Activer Do-Not-Track true
geoenabled activer la geacuteolocalisation false
geowifiuri URI du service de geacuteolocalisation agrave utiliser Mettre agrave videnetworkprefetch-next Teacuteleacutechargement preacutedictif anticipeacute des docu-
ments lieacutes agrave la page Web visiteacutes (link prefetch-ing)26
false pour eacuteviter lrsquoeacutetablisse-ment de connexions et leteacuteleacutechargement de contenunon solliciteacutes
medianavigatorpermissiondisabled Contourne la permission drsquoacceacuteder agrave la web-cam
false
networkhttpsendRefererHeader Activer lrsquoenvoi de lrsquoentecircte referer 0 pour plus drsquoanonymat ou 2pour ne pas empecirccher le fonc-tionnement de certains sites
browsersend_pings Activer lrsquoenvoi de requecircte POST lors du clicsur un lien (fonctionnaliteacute souvent utiliseacuteepour tracer les clics)
false
26 Le link prefetching permet drsquoacceacuteleacuterer le surf en anticipant le chargement des documents lieacutes agrave la page visiteacutesLrsquoimpleacutementation de ce meacutecanisme dans Firefox ne transmet aucune information agrave Mozilla Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsWebHTTPLink_prefetching_FAQ
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 22 sur 40
Filtrage de contenu
Actions autoriseacutees aux les scripts
Nom de paramegravetre Description Valeur recommandeacuteedomallow_scripts_to_close_windows Autoriser les scripts agrave fermer
une fenecirctrefalse
domdisable_image_src_set Interdire la modification desimages sources par script
false
domdisable_window_flip Interdire le changement defenecirctre active par script
true
domdisable_window_move_resize Deacutetermine si les fenecirctrespeuvent ecirctre bougeacutees or red-imensionneacutees par script
false
domdisable_window_open_featureclose Interdire la creacuteation defenecirctre sans bouton defermeture
true pour eacuteviter les popups in-vasifs
domdisable_window_open_featurelocation Interdire la creacuteation defenecirctre sans barre drsquoadresse
true pour que lrsquoutilisateur puissetoujours veacuterifier ecirctre agrave lrsquoadressepreacutevue
domdisable_window_open_featurestatus Interdire la creacuteation defenecirctre sans barre de status
true pour que lrsquoutilisateur puissese rendre contre plus facilementdes tentatives de spoofing
domdisable_window_open_featuretitlebar Interdire la creacuteation defenecirctre sans barre de titre
true pour que lrsquoutilisateur puissebien voir qursquoil srsquoagit drsquoun popupFirefox
domdisable_window_open_featuretoolbar Interdire la creacuteation defenecirctre sans barre drsquooutils
false
domeventclipboardeventsenabled Permettre agrave un script desaisir les eacuteveacutenements dupresse papier
false
domeventcontextmenuenabled Permettre agrave un script desaisir les eacuteveacutenements drsquoac-cegraves au menu contextuel (clicdroit)
false
dominter-app-communication-apienabled Activer la communicationpar API entre applications
false
domipcpluginsenabled Activation du plugin con-tainer
true pour exeacutecuter les pluginsdans le plugin-container
domipcpluginsjavaenabled Exeacutecuter Java au sein duplugin-container
false pour eacuteviter des problegravemesde stabiliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 23 sur 40
Nom de strateacutegie Description Valeur recommandeacuteebrowsersafebrowsingenabled Utiliser la navigation seacutecuriseacutee
(protection contre le phishing etles logiciels malveillants)27
true
javascriptenabled Activation de Javascript true
securityxpconnectpluginunrestricted Autoriser le scripting de pluginspar des scripts qui ne sont pasde confiance
false agrave moins drsquoune incompatibiliteacute avecdes plugins etou pages Web neacutecessaires agravelrsquoentiteacute
securitymixed_contentblock_active_content
Bloquer le contenu mixte actif true
securitymixed_contentblock_display_content
Bloquer le contenu mixte passif false
securityfileuristrict_origin_policy
Politique drsquoorigine stricte pourles URi de type fichiers
true sauf pour les populations dedeacuteveloppeurs qursquoun tel paramegravetre pourraitbloquer pour le deacuteveloppement en local
networkcookiecookieBehavior Politique de gestion des cookies 1 pour nrsquoautoriser que les cookies duserveur drsquoorigine et bloquer les cookiestiers
networkcookielifetimePolicy Politique drsquoexpiration des cook-ies
2 pour conserver les cookies pendant toutela dureacutee de la session seulement
networkcookiethirdpartysessionOnly Restreindre les cookies tiers agrave ladureacutee de la session seulement
true
networkjaropen-unsafe-types Nrsquoouvrir que les jar servis avecun content-type adeacutequat
false
privacypopupspolicy Politique de popups 1 pour activer les popups ou 2 pour lesrejeter mais cela rendrait la navigationdifficile voire impossible sur une quantiteacutede sites Internet non neacutegligeable
privacypopupsshowBrowserMessage Afficher un message lorsqursquounpopup a eacuteteacute bloqueacute
true
browserpopupsshowPopupBlocker Afficher lrsquoicocircne du bloqueur depopups dans la barre de status
true
securitycspenable Activer la Content Security Pol-icy (politique de seacutecuriteacute descontenus) qui permet de deacute-tecter et de limiter lrsquoimpact decertains types drsquoattaques
true
full-screen-apienabled Activer lrsquoAPI permettant drsquoaf-ficher du contenu en plein eacutecranpour les modules compleacutemen-taires
false
notificationfeatureenabled Permettre les notifications sur lebureau
false
27 La fonctionnaliteacute de navigation seacutecuriseacutee consiste agrave synchroniser une liste locale drsquoadresses de sites maveillants(depuis les serveurs de Google par deacutefaut depuis que Firefox utilise leur service) pour alerter lrsquoutilisateur srsquoil srsquoapprecircte agraveen visiter un Elle consiste eacutegalement agrave analyser le contenu des pages pour repeacuterer drsquoeacuteventuelles tentatives drsquohameccedilonnage
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 24 sur 40
Moteur de recherche par deacutefaut
La configuration drsquoun moteur de recherche personnaliseacute ne peut pas se faire simplement par fichierde configuration et neacutecessite le deacuteploiement drsquoun module de recherche (search engine plugin) LrsquoannexeIV illustre la teacuteleacute-deacuteploiement drsquoun module de recherche utilisant le moteur franccedilais httpswwwqwantcom 28
Nom de paramegravetre Description Exemplebrowsersearchdefaultenginename Moteur de recherche par deacutefaut Qwantcom
browsersearchdefaulturl URL du moteur de recherche pardeacutefaut
httpswwwqwantcomq=searchTerms
browsersearchlog Journalisation de lrsquoutilisation desservices de recherche agrave des fins dedeacuteboggage
false
browsersearchopenintab Ouvrir les reacutesultats de recherchedans un nouvel onglet
false
browsersearchorder1 Moteur de recherche agrave utiliser enprioriteacute 1
Qwantcom
browsersearchsuggestenabled activer les suggestions false
browsersearchupdate Recherche de mises agrave jour pour lesmodules de recherche
false
keywordenabled Permettre de faire une recherchedepuis la barre drsquoadresse
true
Page(s) drsquoaccueil
Nom de strateacutegie Description Valeur recommandeacuteestartuphomepage_override_url Page drsquoaccueil apregraves une mise agrave jour de Firefox En fonction du choix de lrsquoentiteacutestartuphomepage_welcome_url Page drsquoaccueil au premier deacutemarrage En fonction du choix de lrsquoentiteacutebrowserstartuphomepage Page drsquoaccueil about blank pour une page vide
ou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
browserstartuppage Page drsquoaccueil 1 pour ouvrir la page drsquoac-cueil indiqueacutee par le paramegravetrebrowserstartuphomepage
browsersessionstoreresume_from_crash
Restauration de session apregraves crash false
browsersessionstoreenabled Activer le service de restauration de session false
browsernewtaburl Page ouverte par deacutefaut lors de la creacuteationdrsquoun nouvel onglet de navigation
about blank pour une page videou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
28 Ceci nrsquoest en aucun cas une recommandation ni une incitation agrave son utilisation mais un simple exemple
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 25 sur 40
Authentification HTTP
Nom de strateacutegie Description Valeur recommandeacuteenetworkauthforce-generic-ntlm Utiliser le module drsquoauthen-
tification NTLM de Firefoxplutocirct que celui fourni parles APIs du systegraveme
false
networkauthuse-sspi Utiliser SSPI plutocirct queGSSAPI pour lrsquoauthentifica-tion Kerberos
true sous Windows
networkntlmsend-lm-response Envoyer le LM Hash dans lareacuteponse NTLM
false
networkautomatic-ntlm-authallow-proxies
Authentification par NTLMautomatique avec lesserveurs proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networkautomatic-ntlm-authtrusted-uris
Liste des URIs autoriseacuteespour lrsquoauthentification parNTLM automatique
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationNTLM automatique
networkautomatic-ntlm-authallow-non-fqdn
Autoriser lrsquoauthentificationNTLM automatique avecdes sites sans FQDN
false agrave moins que la liste networkautomatic-ntlm-authtrusted-uris comporte des adressessans FQDN
networknegotiate-authallow-non-fqdn
Autoriser lrsquoauthentificationSPNEGO avec des sites sansFQDN
En fonction de lrsquoentiteacute
networknegotiate-authallow-proxies
Autoriser SPNEGO29si de-mandeacute par un serveur proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networknegotiate-authdelegation-uris
Liste des URIs autoriseacuteespour lesquels le navigateurpeut deacuteleacuteguer lrsquoautorisationde lrsquoutilisateur
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites auxquels elle souhaite permettre ladeacuteleacutegation SPNEGO
networknegotiate-authtrusted-uris Liste des URIs autoriseacuteespour engager une authentifi-cation SPNEGO
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationSPNEGO
networknegotiate-authgsslib Chemin vers une librairieGSSLIB speacutecifique
Mettre agrave vide
networknegotiate-authusing-native-gsslib
Utiliser la librairie GSSLIBnative du systegraveme
true
securitydefault_personal_cert Choix du certificat drsquoau-thentification client
Ask Every Time
29 SPNEGO est un standard qui permet de neacutegocier de lrsquoauthentification Kerberos NTLM ainsi que drsquoautresprotocoles supporteacutes pour le systegraveme SPNEGO est eacutegalement connu sous le nom du protocole drsquoauthentificationlaquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 26 sur 40
Serveur mandataire
Nom de paramegravetre Description Valeur recommandeacuteenetworkproxyautoconfig_url URL de configuration automatique du
proxyLaisser agrave vide
networkproxyftp Adresse du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyftp_port port du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp Adresse du proxy proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp_port port du proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyno_proxies_on Liste drsquoexceptions agrave lrsquoutilisation du serveurproxy
A minima localhost 127001 etdavantage en fonction de lrsquoentiteacute etdu peacuterimegravetre drsquoutilisation du naviga-teur
networkproxyshare_proxy_settings
Utiliser le mecircme proxy pour tous les pro-tocoles
false
networkproxysocks Adresse du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_port port du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_remote_dns
Reacutealiser les requecirctes DNS via le proxysocks
false
networkproxysocks_version Version du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl Adresse du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl_port port du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxytype Type drsquoutilisation du proxy 1 pour utiliser les valeurs in-diqueacutees par les paramegravetres ci-dessus(networkproxy)
networkhttpproxyversion version de proxy 11 par deacutefaut et en fonction duserveur proxy de lrsquoentiteacute
networkhttpproxypipelining Activer le pipelining30par proxy false pour des raisons de compat-ibiliteacute Lrsquoentiteacute peut choisir de lrsquoac-tiver si le pipelining est supporteacute parson serveur proxy drsquoentreprise
signonautologinproxy Saisie automatique du mot de passe deproxy
false
30 Le pipelining permet de faire plusieurs requecirctes HTTP simultaneacutement plutocirct que de les faire seacutequentiellement enattendant les reacuteponses de chacune drsquoentre elles Pour plus drsquoinformations httpwww-archivemozillaorgprojectsnetlibhttppipelining-faqhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 27 sur 40
Peacuterimegravetre de navigation
Nom de paramegravetre Description Valeur recommandeacuteenetworkprotocol-handlerexpose-all
Deacutetermine si le navigateur essayedrsquoouvrir les liens cliqueacutes dans lenavigateur en prioriteacute avant delaisser le systegraveme srsquoen charger en casdrsquoeacutechec (si le protocole du lien enquestion nrsquoest pas supporteacute par lenavigateur)
true
networkprotocol-handlerwarn-external-default
Avertir lrsquoutilisateur avant decharger un gestionnaire deprotocole tiers
true
networkprotocol-handlerexternal-default
Action pour lrsquoouverture drsquoun pro-tocole non pris en charge par lenavigateur
false de maniegravere agrave ne pas essayerde charger des protocoles non pris encharge nativement par le navigateur Lrsquoen-titeacute renseignera eacuteventuellement des ges-tionnaires de protocoles tiers pour desprotocoles qursquoelle souhaite explicitementpermettre tels que NNTP Mailto etc Pour illustrer par lrsquoexemple avecMailto le paramegravetre networkprotocol-handlerexternalmailto aurait pour valeurtrue et le paramegravetre networkprotocol-handlerappmailto avec pour valeur lechemin drsquoun exeacutecutable comme MozillaThunderbird ou Microsoft Outlook
networkprotocol-handlerexternalfile
Gestionnaire de protocole filesous Firefox
false
networkprotocol-handlerexternalftp
Gestionnaire de protocole ftpsous Firefox
false
geckohandlerServiceallowRegisterFromDifferentHost
Autoriser les sites Web agrave installerdes gestionnaires de protocoles oude contenus utilisable pour deshocirctes tiers
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 28 sur 40
Administration systegraveme maintenance et options diverses
Parameacutetrage des mises agrave jour
Nom de paramegravetre Description Valeur recommandeacuteeappupdateenabled Activation de la mise agrave jour automatique true
appupdateauto Teacuteleacutechargement et installationautomatiques (neacutecessite que le paramegravetreappupdateenabled ait pour valeurtrue)
true
appupdatecertcheckAttributes Veacuterifie les attributs du certificat du serveurde mise agrave jour
false
appupdatecertrequireBuiltIn Requiert lrsquointeacutegration des certificats duserveur de mise agrave jour et de toutes lesredirections intermeacutediaires
false
appupdatechannel Canal de mise agrave jour esr pour la version ESR de FirefoxappupdatedownloadbackgroundInterval
Temps de pause (en secondes) entrechaque teacuteleacutechargement en arriegravere plandrsquoun morceau de 300 Kb de mise agrave jour
Au choix de lrsquoentiteacute
appupdateidletime Temps de pause (en secondes) entre chaqueteacuteleacutechargement agrave la demande de lrsquoutilisa-teur) drsquoun morceau de 300 Kb de mise agravejour
60
appupdateinterval Intervalle de temps entre chaque veacuterifica-tion de disponibiliteacute de nouvelles mises agravejour
43200
appupdatemode Deacutetermine quelles mises agrave jour sontteacuteleacutechargeacutees en arriegravere plan
0 pour teacuteleacutecharger toutes les mises agravejour sans intervention de lrsquoutilisateur
appupdateserviceenabled Active le service de mise agrave jour de Firefox true
appupdateshowInstalledUI Deacutetermine si apregraves installation de mise agravejour une boicircte de dialogue informe lrsquoutil-isateur qursquoune mise agrave jour a eacuteteacute installeacutee
Au choix de lrsquoentiteacute
appupdatesilent Active le mode de mise agrave jour silencieux true pour une mise agrave jour silencieuseen arriegravere plan
appupdateurl URL de reacutecupeacuteration des mises agrave jour deFirefox
En fonction de la strateacutegie de mise agravejour de lrsquoentiteacute Pour une mise agrave jourdepuis les serveurs de Mozilla httpsaus3mozillaorgupdate3PRODUCTVERSIONBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONupdatexml sinon lrsquoURLdu serveur de mise agrave jour internede lrsquoentiteacute (qursquoil faudra eacutegalementrenseigner dans le paramegravetreappupdateurloverride)
appupdateurloverride URL de reacutecupeacuteration des mises agrave jour deFirefox
Paramegravetre agrave renseigner uniquementdans le cas ou la mise agrave jour deFirefox se fait depuis lrsquoURL drsquounserveur de mise agrave jour interne delrsquoentiteacute (agrave renseigner en plus duparamegravetre appupdateurl)
appupdateurldetails URL de consultation des informations rel-atives aux mises agrave jour disponibles
Laisser la valeur par deacutefautrhttpswwwmozillaorgLOCALEfirefoxnotes
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 29 sur 40
Configuration du cache
Nom de paramegravetre Description Valeur recommandeacuteebrowsercachecheck_doc_frequency Quand veacuterifier la mise agrave jour drsquoune page en
cache disque3 (veacuterifier quand la page estpeacuterimeacutee)
browsercachecompression_level Niveau de compression du cache disque Au choix de lrsquoentiteacute de 0(pas de compression) agrave 9(haut taux de compressionavec forte sollicitation du pro-cesseur)
browsercachediskcapacity Espace disque alloueacute au cache disque enKb
Au choix de lrsquoentiteacute
browsercachediskenable Utiliser le cache disque true
browsercachediskmax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache disque
Au choix de lrsquoentiteacute
browsercachedisksmart_sizeenabled Allocation intelligente de lrsquoespace disquealloueacute au cache en fonction de lrsquoespacedisponible
Au choix de lrsquoentiteacute
browsercachedisk_cache_ssl Mettre en cache disque les pages visiteacuteesen HTTPS
False de maniegravere agrave ne pasmettre en cache le contenuSSL
browsercachememoryenable Utiliser le cache meacutemoire true
browsercachememorymax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache meacutemoire
Au choix de lrsquoentiteacute
browsercachememory_limit Meacutemoire maximum utiliseacutee pour le cachemeacutemoire en Kb
Au choix de lrsquoentiteacute
browsercacheofflinecapacity Espace disque alloueacute au cache des applica-tions Web
Au choix de lrsquoentiteacute
browsercacheofflineenable Utiliser le cache des applications Web per-mettant une utilisation hors ligne
Au choix de lrsquoentiteacute
browsercacheuse_new_backend Utilisation du nouveau systegraveme de cache 0 (ne pas utiliser pour desquestions de stabiliteacute)
networkhttpuse-cache Utiliser le cache des documents HTTP true
mediacache_size Taille du cache pour les fichiers multimedia Au choix de lrsquoentiteacute par deacute-faut 512000
domstoragedefault_quota Quota de stockage cocircteacute client pour lespages Web
5120 taille par deacutefaut
domstorageenabled Active le stockage cocircteacute client pour les pagesWeb
true agrave deacutefaut de vulneacuterabil-iteacutes connues pour cette fonc-tionnaliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 30 sur 40
Deacutesactiver les options de deacuteveloppement (sauf pour les populations de deacuteveloppeurs)
Nom de paramegravetre Description Valeur recommandeacuteedevtoolsappmanagerenabled Activation des outils de deacuteveloppement module appmanager false
devtoolsdebuggerenabled Activation des outils de deacuteveloppement module deacutebogueur false
devtoolserrorconsoleenabled Activation des outils de deacuteveloppement module consoledrsquoerreurs
false
devtoolsfontinspectorenabled Activation des outils de deacuteveloppement module inspecteurde polices
false
devtoolsinspectorenabled Activation des outils de deacuteveloppement module inspecteur false
devtoolsnetmonitorenabled Activation des outils de deacuteveloppement module reacuteseau false
devtoolsprofilerenabled Activation des outils de deacuteveloppement module profileur false
devtoolsshadereditorenabled Activation des outils de deacuteveloppement module vue adaptive false
devtoolsstyleeditorenabled Activation des outils de deacuteveloppement module editeur destyles
false
devtoolstiltenabled Activation des outils de deacuteveloppement module tilt false
devtoolstoolbarenabled Activation des outils de deacuteveloppement module barre dedeacuteveloppement
false
Configurations diverses
Nom de paramegravetre Description Valeur recommandeacuteenetworkseerenable-hover-on-ssl Activer seer sur SSL false
networkseerenabled Activer seer false
networkhttppipelining Activer le pipelining pour le surfHTTP11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttppipeliningssl Activer le pipelining pour le surfHTTPS11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttpspdyenabled Activer SPDY31 false
networkhttpspdyenabledv2 Activer SPDY v2 false
networkhttpspdyenabledv3 Activer SPDY v3 false
networkhttpspdyenabledv3-1 Activer SPDY v31 false
browsershellcheckDefaultBrowser Veacuterifier si Firefox est configureacutecomme navigateur par deacutefaut
false dans le cadre de double naviga-teurs
browserdownloadmanagerscanWhenDone
Scan antivirus drsquoun fichier lorsqueson teacuteleacutechargement est termineacute
true
browserdownloaduseDownloadDir Utiliser le reacutepertoire de teacuteleacutecharge-ment par deacutefaut
false pour que lrsquoutilisateur indique agravequel emplacement il souhaite teacuteleacutechargerle fichier
browserfullscreenautohide Cacher la barre drsquooutils et drsquoongletsen mode plein eacutecran
false
31 SPDY est un protocole reacuteseau expeacuterimental de Google visant agrave augmenter les capaciteacutes du protocole HTTP pourreacuteduire le temps de chargement des pages Web en classant les objets par ordre de prioriteacute et en multiplexant les transfertspour ne neacutecessiter qursquoune seule connexion Ce protocole est vulneacuterable aux attaques CRIME (Compression Ratio Info-leakMade Easy) lorsqursquoil est utiliseacute avec HTTPS (ce qui est geacuteneacuteralement le cas)
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 31 sur 40
Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP
Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory
Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation
La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32
Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers
Fichiers de configuration
La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte
ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet
ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes
Fichier local-settingsjs
pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)
Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 32 sur 40
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
Figure 2 ndash Illustration drsquoune strateacutegie de double navigateur cas ougrave Firefox est utiliseacute commenavigateur Intranet
Ces figures illustrent deux cas distincts Le navigateur Firefox y est repreacutesenteacute mais la strateacutegieserait eacutequivalente avec drsquoautres navigateurs
Les regravegles de configuration recommandeacutees en annexe I se precirctent agrave un contexte ougrave le navigateur estdeacutedieacute agrave la navigation sur Internet
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 15 sur 40
Annexe I Strateacutegies de seacutecurisation de Firefox
Cette annexe liste sous forme de tableaux les valeurs recommandeacutees permettant de mettre en œuvreles recommandations formuleacutees dans cette note technique La liste des paramegravetres de configurationdisponibles est sujette agrave des eacutevolutions freacutequentes et certains sont peu voire pas documenteacutes Lesrecommandations et leurs indications de mise en œuvre figurant dans ce document sont baseacutees sur lesparamegravetres de configuration de Firefox dans sa version ESR 31 Ces derniers pourront ecirctre adapteacutesselon la version du navigateur deacuteployeacutee agrave la date de lecture du document
Depuis un navigateur Firefox il est possible drsquoafficher et de modifier les paramegravetres de configurationappliqueacutes en tapant aboutconfig dans la barre drsquoadresse Les paramegravetres verrouilleacutes sont afficheacutes enitalique La page aboutsupport affiche quant agrave elle un reacutecapitulatif des informations systegravemes etde version ainsi que les modifications importantes apporteacutees agrave la configuration par deacutefaut du navigateur
En environnement professionnel il est conseilleacute de deacuteployer une configuration de maniegravere centraliseacuteecomme expliqueacute en annexe II Pour un usage personnel de Firefox il est eacutegalement possible de srsquoinspirerde tout ou partie des paramegravetres indiqueacutes dans ce document agrave partir de la page aboutconfig
Seacutecuriteacute des modules compleacutementaires
Les regravegles de configuration preacutefixeacutees par le terme laquo extensions raquo ne srsquoappliquent pas toujoursuniquement aux extensions comme elles pourraient le laisser entendre mais parfois plus largementaux plugins voire aux modules compleacutementaires dans leur ensemble Il convient donc drsquoecirctre vigilantquant au peacuterimegravetre reacuteel drsquoapplication des regravegles de configuration dont les noms pourraient precircter agraveconfusion
Nom de strateacutegie Description Valeur recommandeacuteeextensionsautoDisableScopes Les extensions peuvent
ecirctre deacutesactiveacuteesautomatiquement enfonction de leur localisation
3 (les extensions deacuteposeacutees dans le profil Firefox delrsquoutilisateur ou dans le profil utilisateur Windowsseront automatiquement deacutesactiveacutees20)
extensionsenabledScopes Les extensions peuvent ecirctreactiveacutees automatiquementen fonction de leurlocalisation21
12 (seules les extensions reacutefeacuterenceacutees par une entreacutee enbase de registres22 ou deacuteposeacutees dans le sous-dossierdrsquoextensions agrave lrsquoemplacement de lrsquoexeacutecutable FireFoxseront activeacutees Attention ce paramegravetre a prioriteacute surextensionsautoDisableScopes
20 Contrairement agrave ce qursquoindique la MozillaZine Knownledge Base le paramegravetre extensionsautoDisableScopes nepermet pas de deacutesactiver un plugin pour ce faire il convient drsquoutiliser les paramegravetres pluginstatex21 Pour plus drsquoinformations sur le paramegravetre extensionsenabledScopes httpsdevelopermozillaorgen-US
Add-onsInstalling_extensions22 Article de Mozilla expliquant lrsquoajout la mise agrave jour et la suppression drsquoextensions ou de plugins pour Firefox par
base de registre httpsdevelopermozillaorgen-USdocsAdding_Extensions_using_the_Windows_Registry
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 16 sur 40
Nom de paramegravetre Description Valeur recommandeacuteeextensionsblocklistenabled Teacuteleacutechargement reacutegulier drsquoune
liste noire de modules reacutefeacuterenceacutescomme eacutetant malveillants
false si seuls les modules teacuteleacute-deacuteployeacutes par leseacutequipes informatique sont installeacutes ou true silrsquoutilisateur est en mesure drsquoinstaller des moduleslui-mecircme
extensionsblocklistdetailsURL
URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules
Celle par deacutefaut (httpswwwmozillaorgLOCALEblocklist)
extensionsblocklistitemURL URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules(variante)
Celle par deacutefaut (httpsaddonsmozillaorgLOCALEAPPblockedblockID)
extensionsblocklistinterval Intervalle de teacuteleacutechargement dela liste noire de modules ensecondes
86400 (soit 1 fois par jour)
extensionsblocklistlevel Niveau de blocage 2 (pour bloquer les extensions de la liste)extensionsblocklisturl Adresse de teacuteleacutechargement de la
liste noire de modulesCelle par deacutefaut (httpsaddonsmozillaorgblocklist3APP_IDAPP_VERSIONPRODUCTBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONPING_COUNTTOTAL_PING_COUNTDAYS_SINCE_LAST_PING)
extensionsenabledAddons Modules activeacutes au deacutemarragede Firefox
Mettre agrave vide
pdfjsdisabled Deacutesactiver la visionneuse PDFinteacutegreacutee agrave Firefox (pdfjs)
true pour que lrsquoutilisateur teacuteleacutecharge les PDF etles visionne via un lecteur PDF tiers maintenu enconditions de seacutecuriteacute par lrsquoentiteacute et ne faisant paslrsquoobjet de vulneacuterabiliteacutes freacutequentes ou false pourautoriser lrsquousage du lecteur de PDF inteacutegreacute
pluginstateflash Configuration drsquoactivation duplugin Flash
1 (demander lrsquoautorisation agrave lrsquoutilisateur avantchaque exeacutecution du plugin Flash) ou 2 (toujoursactiver) au choix de lrsquoentiteacute et en fonction desutilisateurs et des contraintes de seacutecuriteacute
pluginstatejava Configuration drsquoactivation duplugin Java
0 pour ne jamais activer le plugin Java (agrave moinsque lrsquoentiteacute souhaite utiliser ce plugin malgreacute lesrisques de seacutecuriteacute encourus auquel cas la valeuragrave donner serait 1 pour demander lrsquoautorisation agravelrsquoutilisateur agrave chaque exeacutecution du plugin Java)
pluginstatex Configuration drsquoactivation duplugin x ougrave x est agrave remplacerpar le nom court du pluginagrave deacutesactiver (exemple npctrlpour Microsoft Silverlight Lesnoms courts des plugins sontindiqueacutes en affichant leurs infor-mations deacutetailleacutees depuis lrsquointer-face graphique)
0 pour ne jamais activer le plugin ou 1 pourdemander lrsquoautorisation agrave lrsquoutilisateur avant chaqueexeacutecution du plugin
plugindefaultstate Configuration drsquoactivation desautres plugins
0 pour ne jamais activer un plugin non explicite-ment autoriseacute par les regravegles preacuteceacutedentes
plugindefaultXpistate Configuration drsquoactivation desautres plugins au format XPI
0 pour ne jamais activer un plugin au format XPInon explicitement autoriseacute par les regravegles preacuteceacute-dentes
pluginsclick_to_play Cliquer pour lire le contenu neacute-cessitant un plugin
true pour activer le mode laquo Cliquer pour lire raquo
pluginsload_appdir_plugins Chargement automatique desplugins depuis des emplace-ments utiliseacutes avant Firefox 21
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 17 sur 40
Eacutetant donneacute que seuls les modules compleacutementaires teacuteleacute-deacuteployeacutes par les eacutequipes informatiquessont autoriseacutes il est recommandeacute de bloquer toute possibiliteacute drsquoajout de modules compleacutementaires parlrsquoutilisateur
Nom de strateacutegie Description Valeur recommandeacuteeextensionsgetAddonsgetWithPerformanceurl
URL de reacutecupeacuteration drsquoun module compleacutementaire Mettre agrave vide
extensionsgetAddonsmaxResults Nombre de reacutesultats maximum 0extensionsgetAddonsgeturl URL de consultation drsquoun module compleacutementaire Mettre agrave videextensionsgetAddonsrecommendedbrowseURL
URL de consultation des modules compleacutementairesrecommandeacutes
Mettre agrave vide
extensionsgetAddonsrecommendedurl
URL de consultation des modules compleacutementairesrecommandeacutes par API
Mettre agrave vide
extensionsgetAddonssearchbrowseURL
URL de recherche de modules compleacutementaires Mettre agrave vide
extensionsgetAddonssearchurl URL de recherche de modules compleacutementaires parAPI
Mettre agrave vide
extensionsgetAddonsshowPane Afficher le panneau drsquoajout de modules compleacutemen-taires
false
extensionshideInstallButton Cacher le bouton drsquoinstallation manuelle drsquoextensions true
extensionswebservicediscoverURL URL du catalogue drsquoextensions Mettre agrave videxpinstallenabled Autoriser lrsquoinstallation manuelle de modules au format
XPIfalse
xpinstallwhitelistrequired Obligation pour une archive XPI drsquoecirctre en liste blanchepour ecirctre installeacutee manuellement
true
xpinstallwhitelistaddxpinstallwhitelistadd
Liste blanche drsquoarchives XPI pouvant ecirctre installeacuteesmanuellement
Mettre agrave vide
Pour finir lrsquoentiteacute devra choisir sa strateacutegie de mise agrave jour des extensions teacuteleacute-deacuteployeacutees Lrsquoentiteacutequi voudra teacuteleacute-deacuteployer elle-mecircme les versions agrave jour des modules compleacutementaires apregraves une phase devalidation optera pour le parameacutetrage donneacute ci-dessous la responsabiliteacute du maintien en conditions deseacutecuriteacute sera alors deacuteporteacutee sur les services informatiques en charge du deacuteploiement de ces mises agrave jourDans le cas contraire les valeurs par deacutefaut permettent une mise agrave jour automatique des extensionspar Internet
Nom de strateacutegie Description Valeur recommandeacuteeextensionshotfixcertcheckAttributes
Veacuterifie les attributs du certificat de signature descorrectifs teacuteleacutechargeacutes
true
extensionshotfixcerts1sha1Fingerprint
Empreintes attendues du certificat de signature descorrectifs teacuteleacutechargeacutes
Laisser la valeur par deacutefaut(9153980CC186DF478F35229E11C9A7310449A1AA en date dereacutedaction de ce document)
extensionsupdateautoUpdateDefault
Teacuteleacutecharger et installer automatiquement les mises agravejour drsquoextensions
false
extensionsupdatebackgroundURL
URL de teacuteleacutechargement des mises agrave jour drsquoextensionsen arriegravere plan
Mettre agrave vide
extensionsupdateenabled Activer la mise agrave jour des extensions false
extensionsupdateinterval Intervalle de teacuteleacutechargement des mises agrave jour desextensions
86400 (soit 1 fois par jour)
pluginsupdatenotifyUser Notifier lrsquoutilisateur de la preacutesence drsquoune mise agrave jourpour ses modules compleacutementaires
false
pluginsupdateurl URL de mise agrave jour des modules compleacutementaires Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 18 sur 40
SSLTLS et certificats
Le parameacutetrage des suites cryptographiques autoriseacutees peut engendrer des problegravemes de compa-tibiliteacute selon le contexte Il est donc leacutegitime de preacutefeacuterer ne pas modifier la configuration par deacutefautDans un soucis de durcissement les recommandations suivantes pourraient toutefois ecirctre appliqueacutees
Nom de paramegravetre Description Valeur recommandeacuteesecurityssl3dhe_dss_aes_128_sha Autoriser ssl3dhe_dss_aes_128_sha false
securityssl3dhe_dss_aes_256_sha Autoriser ssl3dhe_dss_aes_256_sha false
securityssl3dhe_dss_camellia_128_sha Autoriser ssl3dhe_dss_camellia_128_sha false
securityssl3dhe_dss_camellia_256_sha Autoriser ssl3dhe_dss_camellia_256_sha false
securityssl3dhe_rsa_aes_128_sha Autoriser ssl3dhe_rsa_aes_128_sha true
securityssl3dhe_rsa_aes_256_sha Autoriser ssl3dhe_rsa_aes_256_sha true
securityssl3dhe_rsa_camellia_128_sha Autoriser ssl3dhe_rsa_camellia_128_sha false
securityssl3dhe_rsa_camellia_256_sha Autoriser ssl3dhe_rsa_camellia_256_sha false
securityssl3dhe_rsa_des_ede3_sha Autoriser ssl3dhe_rsa_des_ede3_sha false
securityssl3ecdhe_ecdsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_ecdsa_aes_128_gcm_sha256
true
securityssl3ecdhe_ecdsa_aes_128_sha Autoriser ssl3ecdhe_ecdsa_aes_128_sha true
securityssl3ecdhe_ecdsa_aes_256_sha Autoriser ssl3ecdhe_ecdsa_aes_256_sha true
securityssl3ecdhe_ecdsa_rc4_128_sha Autoriser ssl3ecdhe_ecdsa_rc4_128_sha false
securityssl3ecdhe_rsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_rsa_aes_128_gcm_sha256
true
securityssl3ecdhe_rsa_aes_128_sha Autoriser ssl3ecdhe_rsa_aes_128_sha true
securityssl3ecdhe_rsa_aes_256_sha Autoriser ssl3ecdhe_rsa_aes_256_sha true
securityssl3ecdhe_rsa_des_ede3_sha Autoriser ssl3ecdhe_rsa_des_ede3_sha false
securityssl3ecdhe_rsa_rc4_128_sha Autoriser ssl3ecdhe_rsa_rc4_128_sha false
securityssl3rsa_aes_128_sha Autoriser ssl3rsa_aes_128_sha true
securityssl3rsa_aes_256_sha Autoriser ssl3rsa_aes_256_sha true
securityssl3rsa_camellia_128_sha Autoriser ssl3rsa_camellia_128_sha false
securityssl3rsa_camellia_256_sha Autoriser ssl3rsa_camellia_256_sha false
securityssl3rsa_des_ede3_sha Autoriser ssl3rsa_des_ede3_sha false
securityssl3rsa_fips_des_ede3_sha Autoriser ssl3rsa_fips_des_ede3_sha false
securityssl3rsa_rc4_128_md5 Autoriser ssl3rsa_rc4_128_md5 false
securityssl3rsa_rc4_128_sha Autoriser ssl3rsa_rc4_128_sha false
securityssl3rsa_seed_sha Autoriser ssl3rsa_seed_sha false
Autres paramegravetres
Nom de paramegravetre Description Valeur recommandeacuteesecuritytlsversionmax Version maximum de
SSLTLS3 (ce qui correspond agrave TLS 12)
securitytlsversionmin Version minimum de SSLTLS 2 (ce qui correspond agrave TLS 11)securitysslallow_unrestricted_renego_everywhere__temporarily_available_pref
Activer la reneacutegociation SSL false pour remeacutedier agrave une attaque parle milieu connue
securitysslenable_false_start Activer laquo SSL False Start raquo false car non standardiseacute et amenantde potentielles vulneacuterabiliteacutes
securitysslenable_ocsp_stapling Activer lrsquoOCSP stapling23 true
23 httpsblogmozillaorgsecurity20130729ocsp-stapling-in-firefox
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 19 sur 40
Nom de paramegravetre Description Valeur recommandeacuteesecuritysslrequire_safe_negotiation
Neacutecessite une neacutegociation SSL qui nrsquoutilisepas une ancienne version SSLTLS vul-neacuterable agrave des attaques par le milieu
true est la valeur ideacuteale en termesde seacutecuriteacute mais false reste conseilleacutepour eacuteviter que de nombreux sitescouramment visiteacutes ne soient plus uti-lisables
securitysslrenego_unrestricted_hosts
Liste drsquohocirctes autoriseacutes agrave faire de la reneacute-gociation SSL avec drsquoanciennes versionsvulneacuterables du protocole
Liste drsquohocirctes seacutepareacutes par des virgules(ne supportant pas les wildcards)et qursquoil est utile de renseigner sisecuritysslrequire_safe_negotiationest configureacute agrave true
securityssltreat_unsafe_negotiation_as_broken
Informer lrsquoutilisateur (cadenas casseacute rougedans la barre de status) lorsque les neacutegoci-ations SSLTLS sont non seacutecuriseacutees
true
networkstricttransportsecuritypreloadlist
Charger la liste de sites deacuteclareacutes commeutilisant HSTS (HTTP Strict TransportSecurity24)
true
networkwebsocketallowInsecureFromHTTPS
Autoriser les WebSockets non seacutecuriseacuteepour un site consulteacute en HTTPS
false
securityOCSPenabled Activer OCSP 2 pour veacuterifier le certificat agrave partir delrsquoURL de service OCSP et de lrsquoautoriteacutede certification ayant signeacute le certifi-cat Notons que cette fonctionnaliteacuteest critiqueacutee pour des questions delatence des reacutepondeurs OCSP (de lrsquoor-dre de 300ms pour les plus rapides agraveplus drsquoune seconde pour les plus lents)OCSP tend donc agrave ecirctre remplaceacute pardes listes locales de certificats reacutevo-queacutes dans drsquoautres navigateurs maisFirefox ne dispose pas encore drsquounetelle liste Une entiteacute ayant des con-traintes particuliegraveres quant agrave la la-tence induite par OSCP pourrait opterpour une deacutesactivation drsquoOCSP avecla valeur 0
securityOCSPrequire Neacutecessite la validation du certificat parOCSP avant de continuer la navigation surle site
true si securityOCSPenabled a eacuteteacuteconfigureacute agrave true ou false dans le cascontraire
securitycert_pinningenforcement_level
Niveau de certificate pinning (eacutepinglage decertificats)25(agrave partir de Firefox 32)
2 pour utiliser lrsquoeacutepinglage strict
Gestionnaire de mots de passe
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownpasswords Effacer les mots de passe enregistreacutes agrave la
fermeture du navigateurtrue
signonrememberSignons Active le gestionnaire de mots de passe false
signonautofillForms Remplissage automatique des formulairesde login
false
24 httpsdevelopermozillaorgfrdocsSC3A9curitC3A9HTTP_Strict_Transport_Security25 Lrsquoeacutepinglage de certificats permet drsquoavoir une base locale de certificats connus et attendus pour certains sites Web
consulteacutes en HTTPS Ainsi si le certificat preacutesenteacute par le serveur est valide en tous points de vue mais nrsquoest pas lecertificat attendu la connexion sera coupeacutee Ce meacutecanisme permet drsquoeacuteviter une attaque par le milieu preacutesentant un fauxcertificat issu drsquoune autoriteacute de certification de confiance
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 20 sur 40
Confidentialiteacute
Il nrsquoexiste pas en date de reacutedaction de cette note de regravegle globale pour la deacutesactivation de FirefoxSync Sa deacutesactivation se fait par conseacutequent agrave travers plusieurs regravegles de configuration
Nom de paramegravetre Description Valeur recommandeacuteeservicessyncengineaddons Synchronisation des modules compleacutementaires false
servicessyncenginebookmarks Synchronisation des marque-pages false
servicessyncenginehistory Synchronisation de lrsquohistorique de navigation false
servicessyncenginepasswords Synchronisation des mots de passe stockeacutes false
servicessyncengineprefs Synchronisation des preacutefeacuterences false
servicessyncenginetabs Synchronisation des onglets ouverts false
servicessyncregisterEngines Moteurs de synchronisation enregistreacutes Mettre agrave videservicessyncjpakeserverURL URL du serveur synchronisation jpake Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessynctokenServerURI URI du serveur de jetons Mettre agrave videservicessyncnextSync Planification de la prochaine synchronisation 0
Il convient eacutegalement de deacutesactiver les diffeacuterents rapports agrave Mozilla
Nom de paramegravetre Description Valeur recommandeacuteedatareportinghealthreportaboutreportUrl URL de rapport de santeacute Mettre agrave videdatareportinghealthreportloggingconsoleEnabled
Activer la journalisation (console) du ser-vice de rapports de santeacute
false
datareportinghealthreportloggingdumpEnabled
Activer la journalisation (dumps) du ser-vice de rapports de santeacute
false
datareportinghealthreportnextDataSubmissionTime
Date de prochaine soumission de rapportde santeacute
Mettre agrave vide
datareportinghealthreportserviceenabled Activer le service de rapport de santeacute false
datareportinghealthreportuploadEnabled Autoriser lrsquoenvoi de donneacutees au serveur derapports de santeacute
false
datareportingpolicydataSubmissionEnabled Activer lrsquoenvoi de donneacutees agrave Mozilla agrave desfins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyAccepted
Accepter les conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyBypassAcceptance
Contourner lrsquoacceptation des conditionsdrsquoenvoi de donneacutees agrave Mozilla agrave des finsdrsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyResponseType
Reacuteponse aux conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
accepted-info-bar-dismissed
domipcpluginsreportCrashURL Inteacutegrer lrsquoURL au rapport de crash deplugins
false
domipcpluginsflashsubprocesscrashreporterenabled
Activer le rapport de crash du sous-processus flash
false
toolkittelemetryenabled Activer la fonctionnaliteacute de teacuteleacutemeacutetrie false
toolkittelemetryserver Adresse du serveur de teacuteleacutemeacutetrie Mettre agrave videbreakpadreportURL URL du rapport de crash Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 21 sur 40
Il peut eacutegalement ecirctre utile de configurer lrsquooption de suppression des donneacutees priveacutees (Clear PrivateData) en seacutelectionnant les eacuteleacutements qui seront supprimeacutes Lrsquoentiteacute pourra par exemple permettre auxutilisateurs de supprimer leurs donneacutees priveacutees dans le cadre drsquoune navigation sur internet ou bien delrsquointerdire srsquoil srsquoagit drsquoun navigateur deacutedieacute agrave lrsquointranet Une entiteacute pourrait eacutegalement vouloir toujoursgarder les historiques et le cache agrave des fins drsquoinvestigation (cela nrsquoempecircchera toutefois pas lrsquoutilisateurde les supprimer directement au niveau du systegraveme de fichiers dans son profil utilisateur)
Nom de paramegravetre Description Valeur recommandeacuteeprivacycpdcache Supprimer le cache lors drsquoune suppression des donneacutees
priveacuteesAu choix de lrsquoentiteacute
privacycpdcookies Supprimer les cookies lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpddownloads Supprimer lrsquohistorique des teacuteleacutechargements lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdformdata Supprimer lrsquohistorique de remplissage automatique desformulaire lors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdhistory Supprimer lrsquohistorique lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpdofflineApps Supprimer les applications disponibles hors connexionlors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdpasswords Supprimer les mots de passe enregistreacutes lors drsquoune sup-pression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsessions Supprimer les sessions en cours enregistreacutees lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsiteSettings Supprimer les paramegravetres par site lors drsquoune suppressiondes donneacutees priveacutees
Au choix de lrsquoentiteacute
privacysanitizesanitizeOnShutdown
Supprimer les donneacutees priveacutees agrave la fermeture du naviga-teur
En cas de besoin speacute-cifique de lrsquoentiteacute
Viennent pour finir divers autres paramegravetres lieacutes agrave la confidentialiteacute
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownsessions effacer les sessions de navigation en cours lors
de la fermeture du navigateurtrue
privacyclearOnShutdowncookies effacer les cookies de navigation lors de lafermeture du navigateur
true
privacydonottrackheaderenabled Activer Do-Not-Track true
geoenabled activer la geacuteolocalisation false
geowifiuri URI du service de geacuteolocalisation agrave utiliser Mettre agrave videnetworkprefetch-next Teacuteleacutechargement preacutedictif anticipeacute des docu-
ments lieacutes agrave la page Web visiteacutes (link prefetch-ing)26
false pour eacuteviter lrsquoeacutetablisse-ment de connexions et leteacuteleacutechargement de contenunon solliciteacutes
medianavigatorpermissiondisabled Contourne la permission drsquoacceacuteder agrave la web-cam
false
networkhttpsendRefererHeader Activer lrsquoenvoi de lrsquoentecircte referer 0 pour plus drsquoanonymat ou 2pour ne pas empecirccher le fonc-tionnement de certains sites
browsersend_pings Activer lrsquoenvoi de requecircte POST lors du clicsur un lien (fonctionnaliteacute souvent utiliseacuteepour tracer les clics)
false
26 Le link prefetching permet drsquoacceacuteleacuterer le surf en anticipant le chargement des documents lieacutes agrave la page visiteacutesLrsquoimpleacutementation de ce meacutecanisme dans Firefox ne transmet aucune information agrave Mozilla Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsWebHTTPLink_prefetching_FAQ
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 22 sur 40
Filtrage de contenu
Actions autoriseacutees aux les scripts
Nom de paramegravetre Description Valeur recommandeacuteedomallow_scripts_to_close_windows Autoriser les scripts agrave fermer
une fenecirctrefalse
domdisable_image_src_set Interdire la modification desimages sources par script
false
domdisable_window_flip Interdire le changement defenecirctre active par script
true
domdisable_window_move_resize Deacutetermine si les fenecirctrespeuvent ecirctre bougeacutees or red-imensionneacutees par script
false
domdisable_window_open_featureclose Interdire la creacuteation defenecirctre sans bouton defermeture
true pour eacuteviter les popups in-vasifs
domdisable_window_open_featurelocation Interdire la creacuteation defenecirctre sans barre drsquoadresse
true pour que lrsquoutilisateur puissetoujours veacuterifier ecirctre agrave lrsquoadressepreacutevue
domdisable_window_open_featurestatus Interdire la creacuteation defenecirctre sans barre de status
true pour que lrsquoutilisateur puissese rendre contre plus facilementdes tentatives de spoofing
domdisable_window_open_featuretitlebar Interdire la creacuteation defenecirctre sans barre de titre
true pour que lrsquoutilisateur puissebien voir qursquoil srsquoagit drsquoun popupFirefox
domdisable_window_open_featuretoolbar Interdire la creacuteation defenecirctre sans barre drsquooutils
false
domeventclipboardeventsenabled Permettre agrave un script desaisir les eacuteveacutenements dupresse papier
false
domeventcontextmenuenabled Permettre agrave un script desaisir les eacuteveacutenements drsquoac-cegraves au menu contextuel (clicdroit)
false
dominter-app-communication-apienabled Activer la communicationpar API entre applications
false
domipcpluginsenabled Activation du plugin con-tainer
true pour exeacutecuter les pluginsdans le plugin-container
domipcpluginsjavaenabled Exeacutecuter Java au sein duplugin-container
false pour eacuteviter des problegravemesde stabiliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 23 sur 40
Nom de strateacutegie Description Valeur recommandeacuteebrowsersafebrowsingenabled Utiliser la navigation seacutecuriseacutee
(protection contre le phishing etles logiciels malveillants)27
true
javascriptenabled Activation de Javascript true
securityxpconnectpluginunrestricted Autoriser le scripting de pluginspar des scripts qui ne sont pasde confiance
false agrave moins drsquoune incompatibiliteacute avecdes plugins etou pages Web neacutecessaires agravelrsquoentiteacute
securitymixed_contentblock_active_content
Bloquer le contenu mixte actif true
securitymixed_contentblock_display_content
Bloquer le contenu mixte passif false
securityfileuristrict_origin_policy
Politique drsquoorigine stricte pourles URi de type fichiers
true sauf pour les populations dedeacuteveloppeurs qursquoun tel paramegravetre pourraitbloquer pour le deacuteveloppement en local
networkcookiecookieBehavior Politique de gestion des cookies 1 pour nrsquoautoriser que les cookies duserveur drsquoorigine et bloquer les cookiestiers
networkcookielifetimePolicy Politique drsquoexpiration des cook-ies
2 pour conserver les cookies pendant toutela dureacutee de la session seulement
networkcookiethirdpartysessionOnly Restreindre les cookies tiers agrave ladureacutee de la session seulement
true
networkjaropen-unsafe-types Nrsquoouvrir que les jar servis avecun content-type adeacutequat
false
privacypopupspolicy Politique de popups 1 pour activer les popups ou 2 pour lesrejeter mais cela rendrait la navigationdifficile voire impossible sur une quantiteacutede sites Internet non neacutegligeable
privacypopupsshowBrowserMessage Afficher un message lorsqursquounpopup a eacuteteacute bloqueacute
true
browserpopupsshowPopupBlocker Afficher lrsquoicocircne du bloqueur depopups dans la barre de status
true
securitycspenable Activer la Content Security Pol-icy (politique de seacutecuriteacute descontenus) qui permet de deacute-tecter et de limiter lrsquoimpact decertains types drsquoattaques
true
full-screen-apienabled Activer lrsquoAPI permettant drsquoaf-ficher du contenu en plein eacutecranpour les modules compleacutemen-taires
false
notificationfeatureenabled Permettre les notifications sur lebureau
false
27 La fonctionnaliteacute de navigation seacutecuriseacutee consiste agrave synchroniser une liste locale drsquoadresses de sites maveillants(depuis les serveurs de Google par deacutefaut depuis que Firefox utilise leur service) pour alerter lrsquoutilisateur srsquoil srsquoapprecircte agraveen visiter un Elle consiste eacutegalement agrave analyser le contenu des pages pour repeacuterer drsquoeacuteventuelles tentatives drsquohameccedilonnage
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 24 sur 40
Moteur de recherche par deacutefaut
La configuration drsquoun moteur de recherche personnaliseacute ne peut pas se faire simplement par fichierde configuration et neacutecessite le deacuteploiement drsquoun module de recherche (search engine plugin) LrsquoannexeIV illustre la teacuteleacute-deacuteploiement drsquoun module de recherche utilisant le moteur franccedilais httpswwwqwantcom 28
Nom de paramegravetre Description Exemplebrowsersearchdefaultenginename Moteur de recherche par deacutefaut Qwantcom
browsersearchdefaulturl URL du moteur de recherche pardeacutefaut
httpswwwqwantcomq=searchTerms
browsersearchlog Journalisation de lrsquoutilisation desservices de recherche agrave des fins dedeacuteboggage
false
browsersearchopenintab Ouvrir les reacutesultats de recherchedans un nouvel onglet
false
browsersearchorder1 Moteur de recherche agrave utiliser enprioriteacute 1
Qwantcom
browsersearchsuggestenabled activer les suggestions false
browsersearchupdate Recherche de mises agrave jour pour lesmodules de recherche
false
keywordenabled Permettre de faire une recherchedepuis la barre drsquoadresse
true
Page(s) drsquoaccueil
Nom de strateacutegie Description Valeur recommandeacuteestartuphomepage_override_url Page drsquoaccueil apregraves une mise agrave jour de Firefox En fonction du choix de lrsquoentiteacutestartuphomepage_welcome_url Page drsquoaccueil au premier deacutemarrage En fonction du choix de lrsquoentiteacutebrowserstartuphomepage Page drsquoaccueil about blank pour une page vide
ou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
browserstartuppage Page drsquoaccueil 1 pour ouvrir la page drsquoac-cueil indiqueacutee par le paramegravetrebrowserstartuphomepage
browsersessionstoreresume_from_crash
Restauration de session apregraves crash false
browsersessionstoreenabled Activer le service de restauration de session false
browsernewtaburl Page ouverte par deacutefaut lors de la creacuteationdrsquoun nouvel onglet de navigation
about blank pour une page videou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
28 Ceci nrsquoest en aucun cas une recommandation ni une incitation agrave son utilisation mais un simple exemple
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 25 sur 40
Authentification HTTP
Nom de strateacutegie Description Valeur recommandeacuteenetworkauthforce-generic-ntlm Utiliser le module drsquoauthen-
tification NTLM de Firefoxplutocirct que celui fourni parles APIs du systegraveme
false
networkauthuse-sspi Utiliser SSPI plutocirct queGSSAPI pour lrsquoauthentifica-tion Kerberos
true sous Windows
networkntlmsend-lm-response Envoyer le LM Hash dans lareacuteponse NTLM
false
networkautomatic-ntlm-authallow-proxies
Authentification par NTLMautomatique avec lesserveurs proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networkautomatic-ntlm-authtrusted-uris
Liste des URIs autoriseacuteespour lrsquoauthentification parNTLM automatique
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationNTLM automatique
networkautomatic-ntlm-authallow-non-fqdn
Autoriser lrsquoauthentificationNTLM automatique avecdes sites sans FQDN
false agrave moins que la liste networkautomatic-ntlm-authtrusted-uris comporte des adressessans FQDN
networknegotiate-authallow-non-fqdn
Autoriser lrsquoauthentificationSPNEGO avec des sites sansFQDN
En fonction de lrsquoentiteacute
networknegotiate-authallow-proxies
Autoriser SPNEGO29si de-mandeacute par un serveur proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networknegotiate-authdelegation-uris
Liste des URIs autoriseacuteespour lesquels le navigateurpeut deacuteleacuteguer lrsquoautorisationde lrsquoutilisateur
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites auxquels elle souhaite permettre ladeacuteleacutegation SPNEGO
networknegotiate-authtrusted-uris Liste des URIs autoriseacuteespour engager une authentifi-cation SPNEGO
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationSPNEGO
networknegotiate-authgsslib Chemin vers une librairieGSSLIB speacutecifique
Mettre agrave vide
networknegotiate-authusing-native-gsslib
Utiliser la librairie GSSLIBnative du systegraveme
true
securitydefault_personal_cert Choix du certificat drsquoau-thentification client
Ask Every Time
29 SPNEGO est un standard qui permet de neacutegocier de lrsquoauthentification Kerberos NTLM ainsi que drsquoautresprotocoles supporteacutes pour le systegraveme SPNEGO est eacutegalement connu sous le nom du protocole drsquoauthentificationlaquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 26 sur 40
Serveur mandataire
Nom de paramegravetre Description Valeur recommandeacuteenetworkproxyautoconfig_url URL de configuration automatique du
proxyLaisser agrave vide
networkproxyftp Adresse du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyftp_port port du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp Adresse du proxy proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp_port port du proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyno_proxies_on Liste drsquoexceptions agrave lrsquoutilisation du serveurproxy
A minima localhost 127001 etdavantage en fonction de lrsquoentiteacute etdu peacuterimegravetre drsquoutilisation du naviga-teur
networkproxyshare_proxy_settings
Utiliser le mecircme proxy pour tous les pro-tocoles
false
networkproxysocks Adresse du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_port port du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_remote_dns
Reacutealiser les requecirctes DNS via le proxysocks
false
networkproxysocks_version Version du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl Adresse du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl_port port du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxytype Type drsquoutilisation du proxy 1 pour utiliser les valeurs in-diqueacutees par les paramegravetres ci-dessus(networkproxy)
networkhttpproxyversion version de proxy 11 par deacutefaut et en fonction duserveur proxy de lrsquoentiteacute
networkhttpproxypipelining Activer le pipelining30par proxy false pour des raisons de compat-ibiliteacute Lrsquoentiteacute peut choisir de lrsquoac-tiver si le pipelining est supporteacute parson serveur proxy drsquoentreprise
signonautologinproxy Saisie automatique du mot de passe deproxy
false
30 Le pipelining permet de faire plusieurs requecirctes HTTP simultaneacutement plutocirct que de les faire seacutequentiellement enattendant les reacuteponses de chacune drsquoentre elles Pour plus drsquoinformations httpwww-archivemozillaorgprojectsnetlibhttppipelining-faqhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 27 sur 40
Peacuterimegravetre de navigation
Nom de paramegravetre Description Valeur recommandeacuteenetworkprotocol-handlerexpose-all
Deacutetermine si le navigateur essayedrsquoouvrir les liens cliqueacutes dans lenavigateur en prioriteacute avant delaisser le systegraveme srsquoen charger en casdrsquoeacutechec (si le protocole du lien enquestion nrsquoest pas supporteacute par lenavigateur)
true
networkprotocol-handlerwarn-external-default
Avertir lrsquoutilisateur avant decharger un gestionnaire deprotocole tiers
true
networkprotocol-handlerexternal-default
Action pour lrsquoouverture drsquoun pro-tocole non pris en charge par lenavigateur
false de maniegravere agrave ne pas essayerde charger des protocoles non pris encharge nativement par le navigateur Lrsquoen-titeacute renseignera eacuteventuellement des ges-tionnaires de protocoles tiers pour desprotocoles qursquoelle souhaite explicitementpermettre tels que NNTP Mailto etc Pour illustrer par lrsquoexemple avecMailto le paramegravetre networkprotocol-handlerexternalmailto aurait pour valeurtrue et le paramegravetre networkprotocol-handlerappmailto avec pour valeur lechemin drsquoun exeacutecutable comme MozillaThunderbird ou Microsoft Outlook
networkprotocol-handlerexternalfile
Gestionnaire de protocole filesous Firefox
false
networkprotocol-handlerexternalftp
Gestionnaire de protocole ftpsous Firefox
false
geckohandlerServiceallowRegisterFromDifferentHost
Autoriser les sites Web agrave installerdes gestionnaires de protocoles oude contenus utilisable pour deshocirctes tiers
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 28 sur 40
Administration systegraveme maintenance et options diverses
Parameacutetrage des mises agrave jour
Nom de paramegravetre Description Valeur recommandeacuteeappupdateenabled Activation de la mise agrave jour automatique true
appupdateauto Teacuteleacutechargement et installationautomatiques (neacutecessite que le paramegravetreappupdateenabled ait pour valeurtrue)
true
appupdatecertcheckAttributes Veacuterifie les attributs du certificat du serveurde mise agrave jour
false
appupdatecertrequireBuiltIn Requiert lrsquointeacutegration des certificats duserveur de mise agrave jour et de toutes lesredirections intermeacutediaires
false
appupdatechannel Canal de mise agrave jour esr pour la version ESR de FirefoxappupdatedownloadbackgroundInterval
Temps de pause (en secondes) entrechaque teacuteleacutechargement en arriegravere plandrsquoun morceau de 300 Kb de mise agrave jour
Au choix de lrsquoentiteacute
appupdateidletime Temps de pause (en secondes) entre chaqueteacuteleacutechargement agrave la demande de lrsquoutilisa-teur) drsquoun morceau de 300 Kb de mise agravejour
60
appupdateinterval Intervalle de temps entre chaque veacuterifica-tion de disponibiliteacute de nouvelles mises agravejour
43200
appupdatemode Deacutetermine quelles mises agrave jour sontteacuteleacutechargeacutees en arriegravere plan
0 pour teacuteleacutecharger toutes les mises agravejour sans intervention de lrsquoutilisateur
appupdateserviceenabled Active le service de mise agrave jour de Firefox true
appupdateshowInstalledUI Deacutetermine si apregraves installation de mise agravejour une boicircte de dialogue informe lrsquoutil-isateur qursquoune mise agrave jour a eacuteteacute installeacutee
Au choix de lrsquoentiteacute
appupdatesilent Active le mode de mise agrave jour silencieux true pour une mise agrave jour silencieuseen arriegravere plan
appupdateurl URL de reacutecupeacuteration des mises agrave jour deFirefox
En fonction de la strateacutegie de mise agravejour de lrsquoentiteacute Pour une mise agrave jourdepuis les serveurs de Mozilla httpsaus3mozillaorgupdate3PRODUCTVERSIONBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONupdatexml sinon lrsquoURLdu serveur de mise agrave jour internede lrsquoentiteacute (qursquoil faudra eacutegalementrenseigner dans le paramegravetreappupdateurloverride)
appupdateurloverride URL de reacutecupeacuteration des mises agrave jour deFirefox
Paramegravetre agrave renseigner uniquementdans le cas ou la mise agrave jour deFirefox se fait depuis lrsquoURL drsquounserveur de mise agrave jour interne delrsquoentiteacute (agrave renseigner en plus duparamegravetre appupdateurl)
appupdateurldetails URL de consultation des informations rel-atives aux mises agrave jour disponibles
Laisser la valeur par deacutefautrhttpswwwmozillaorgLOCALEfirefoxnotes
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 29 sur 40
Configuration du cache
Nom de paramegravetre Description Valeur recommandeacuteebrowsercachecheck_doc_frequency Quand veacuterifier la mise agrave jour drsquoune page en
cache disque3 (veacuterifier quand la page estpeacuterimeacutee)
browsercachecompression_level Niveau de compression du cache disque Au choix de lrsquoentiteacute de 0(pas de compression) agrave 9(haut taux de compressionavec forte sollicitation du pro-cesseur)
browsercachediskcapacity Espace disque alloueacute au cache disque enKb
Au choix de lrsquoentiteacute
browsercachediskenable Utiliser le cache disque true
browsercachediskmax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache disque
Au choix de lrsquoentiteacute
browsercachedisksmart_sizeenabled Allocation intelligente de lrsquoespace disquealloueacute au cache en fonction de lrsquoespacedisponible
Au choix de lrsquoentiteacute
browsercachedisk_cache_ssl Mettre en cache disque les pages visiteacuteesen HTTPS
False de maniegravere agrave ne pasmettre en cache le contenuSSL
browsercachememoryenable Utiliser le cache meacutemoire true
browsercachememorymax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache meacutemoire
Au choix de lrsquoentiteacute
browsercachememory_limit Meacutemoire maximum utiliseacutee pour le cachemeacutemoire en Kb
Au choix de lrsquoentiteacute
browsercacheofflinecapacity Espace disque alloueacute au cache des applica-tions Web
Au choix de lrsquoentiteacute
browsercacheofflineenable Utiliser le cache des applications Web per-mettant une utilisation hors ligne
Au choix de lrsquoentiteacute
browsercacheuse_new_backend Utilisation du nouveau systegraveme de cache 0 (ne pas utiliser pour desquestions de stabiliteacute)
networkhttpuse-cache Utiliser le cache des documents HTTP true
mediacache_size Taille du cache pour les fichiers multimedia Au choix de lrsquoentiteacute par deacute-faut 512000
domstoragedefault_quota Quota de stockage cocircteacute client pour lespages Web
5120 taille par deacutefaut
domstorageenabled Active le stockage cocircteacute client pour les pagesWeb
true agrave deacutefaut de vulneacuterabil-iteacutes connues pour cette fonc-tionnaliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 30 sur 40
Deacutesactiver les options de deacuteveloppement (sauf pour les populations de deacuteveloppeurs)
Nom de paramegravetre Description Valeur recommandeacuteedevtoolsappmanagerenabled Activation des outils de deacuteveloppement module appmanager false
devtoolsdebuggerenabled Activation des outils de deacuteveloppement module deacutebogueur false
devtoolserrorconsoleenabled Activation des outils de deacuteveloppement module consoledrsquoerreurs
false
devtoolsfontinspectorenabled Activation des outils de deacuteveloppement module inspecteurde polices
false
devtoolsinspectorenabled Activation des outils de deacuteveloppement module inspecteur false
devtoolsnetmonitorenabled Activation des outils de deacuteveloppement module reacuteseau false
devtoolsprofilerenabled Activation des outils de deacuteveloppement module profileur false
devtoolsshadereditorenabled Activation des outils de deacuteveloppement module vue adaptive false
devtoolsstyleeditorenabled Activation des outils de deacuteveloppement module editeur destyles
false
devtoolstiltenabled Activation des outils de deacuteveloppement module tilt false
devtoolstoolbarenabled Activation des outils de deacuteveloppement module barre dedeacuteveloppement
false
Configurations diverses
Nom de paramegravetre Description Valeur recommandeacuteenetworkseerenable-hover-on-ssl Activer seer sur SSL false
networkseerenabled Activer seer false
networkhttppipelining Activer le pipelining pour le surfHTTP11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttppipeliningssl Activer le pipelining pour le surfHTTPS11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttpspdyenabled Activer SPDY31 false
networkhttpspdyenabledv2 Activer SPDY v2 false
networkhttpspdyenabledv3 Activer SPDY v3 false
networkhttpspdyenabledv3-1 Activer SPDY v31 false
browsershellcheckDefaultBrowser Veacuterifier si Firefox est configureacutecomme navigateur par deacutefaut
false dans le cadre de double naviga-teurs
browserdownloadmanagerscanWhenDone
Scan antivirus drsquoun fichier lorsqueson teacuteleacutechargement est termineacute
true
browserdownloaduseDownloadDir Utiliser le reacutepertoire de teacuteleacutecharge-ment par deacutefaut
false pour que lrsquoutilisateur indique agravequel emplacement il souhaite teacuteleacutechargerle fichier
browserfullscreenautohide Cacher la barre drsquooutils et drsquoongletsen mode plein eacutecran
false
31 SPDY est un protocole reacuteseau expeacuterimental de Google visant agrave augmenter les capaciteacutes du protocole HTTP pourreacuteduire le temps de chargement des pages Web en classant les objets par ordre de prioriteacute et en multiplexant les transfertspour ne neacutecessiter qursquoune seule connexion Ce protocole est vulneacuterable aux attaques CRIME (Compression Ratio Info-leakMade Easy) lorsqursquoil est utiliseacute avec HTTPS (ce qui est geacuteneacuteralement le cas)
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 31 sur 40
Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP
Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory
Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation
La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32
Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers
Fichiers de configuration
La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte
ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet
ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes
Fichier local-settingsjs
pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)
Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 32 sur 40
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
Annexe I Strateacutegies de seacutecurisation de Firefox
Cette annexe liste sous forme de tableaux les valeurs recommandeacutees permettant de mettre en œuvreles recommandations formuleacutees dans cette note technique La liste des paramegravetres de configurationdisponibles est sujette agrave des eacutevolutions freacutequentes et certains sont peu voire pas documenteacutes Lesrecommandations et leurs indications de mise en œuvre figurant dans ce document sont baseacutees sur lesparamegravetres de configuration de Firefox dans sa version ESR 31 Ces derniers pourront ecirctre adapteacutesselon la version du navigateur deacuteployeacutee agrave la date de lecture du document
Depuis un navigateur Firefox il est possible drsquoafficher et de modifier les paramegravetres de configurationappliqueacutes en tapant aboutconfig dans la barre drsquoadresse Les paramegravetres verrouilleacutes sont afficheacutes enitalique La page aboutsupport affiche quant agrave elle un reacutecapitulatif des informations systegravemes etde version ainsi que les modifications importantes apporteacutees agrave la configuration par deacutefaut du navigateur
En environnement professionnel il est conseilleacute de deacuteployer une configuration de maniegravere centraliseacuteecomme expliqueacute en annexe II Pour un usage personnel de Firefox il est eacutegalement possible de srsquoinspirerde tout ou partie des paramegravetres indiqueacutes dans ce document agrave partir de la page aboutconfig
Seacutecuriteacute des modules compleacutementaires
Les regravegles de configuration preacutefixeacutees par le terme laquo extensions raquo ne srsquoappliquent pas toujoursuniquement aux extensions comme elles pourraient le laisser entendre mais parfois plus largementaux plugins voire aux modules compleacutementaires dans leur ensemble Il convient donc drsquoecirctre vigilantquant au peacuterimegravetre reacuteel drsquoapplication des regravegles de configuration dont les noms pourraient precircter agraveconfusion
Nom de strateacutegie Description Valeur recommandeacuteeextensionsautoDisableScopes Les extensions peuvent
ecirctre deacutesactiveacuteesautomatiquement enfonction de leur localisation
3 (les extensions deacuteposeacutees dans le profil Firefox delrsquoutilisateur ou dans le profil utilisateur Windowsseront automatiquement deacutesactiveacutees20)
extensionsenabledScopes Les extensions peuvent ecirctreactiveacutees automatiquementen fonction de leurlocalisation21
12 (seules les extensions reacutefeacuterenceacutees par une entreacutee enbase de registres22 ou deacuteposeacutees dans le sous-dossierdrsquoextensions agrave lrsquoemplacement de lrsquoexeacutecutable FireFoxseront activeacutees Attention ce paramegravetre a prioriteacute surextensionsautoDisableScopes
20 Contrairement agrave ce qursquoindique la MozillaZine Knownledge Base le paramegravetre extensionsautoDisableScopes nepermet pas de deacutesactiver un plugin pour ce faire il convient drsquoutiliser les paramegravetres pluginstatex21 Pour plus drsquoinformations sur le paramegravetre extensionsenabledScopes httpsdevelopermozillaorgen-US
Add-onsInstalling_extensions22 Article de Mozilla expliquant lrsquoajout la mise agrave jour et la suppression drsquoextensions ou de plugins pour Firefox par
base de registre httpsdevelopermozillaorgen-USdocsAdding_Extensions_using_the_Windows_Registry
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 16 sur 40
Nom de paramegravetre Description Valeur recommandeacuteeextensionsblocklistenabled Teacuteleacutechargement reacutegulier drsquoune
liste noire de modules reacutefeacuterenceacutescomme eacutetant malveillants
false si seuls les modules teacuteleacute-deacuteployeacutes par leseacutequipes informatique sont installeacutes ou true silrsquoutilisateur est en mesure drsquoinstaller des moduleslui-mecircme
extensionsblocklistdetailsURL
URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules
Celle par deacutefaut (httpswwwmozillaorgLOCALEblocklist)
extensionsblocklistitemURL URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules(variante)
Celle par deacutefaut (httpsaddonsmozillaorgLOCALEAPPblockedblockID)
extensionsblocklistinterval Intervalle de teacuteleacutechargement dela liste noire de modules ensecondes
86400 (soit 1 fois par jour)
extensionsblocklistlevel Niveau de blocage 2 (pour bloquer les extensions de la liste)extensionsblocklisturl Adresse de teacuteleacutechargement de la
liste noire de modulesCelle par deacutefaut (httpsaddonsmozillaorgblocklist3APP_IDAPP_VERSIONPRODUCTBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONPING_COUNTTOTAL_PING_COUNTDAYS_SINCE_LAST_PING)
extensionsenabledAddons Modules activeacutes au deacutemarragede Firefox
Mettre agrave vide
pdfjsdisabled Deacutesactiver la visionneuse PDFinteacutegreacutee agrave Firefox (pdfjs)
true pour que lrsquoutilisateur teacuteleacutecharge les PDF etles visionne via un lecteur PDF tiers maintenu enconditions de seacutecuriteacute par lrsquoentiteacute et ne faisant paslrsquoobjet de vulneacuterabiliteacutes freacutequentes ou false pourautoriser lrsquousage du lecteur de PDF inteacutegreacute
pluginstateflash Configuration drsquoactivation duplugin Flash
1 (demander lrsquoautorisation agrave lrsquoutilisateur avantchaque exeacutecution du plugin Flash) ou 2 (toujoursactiver) au choix de lrsquoentiteacute et en fonction desutilisateurs et des contraintes de seacutecuriteacute
pluginstatejava Configuration drsquoactivation duplugin Java
0 pour ne jamais activer le plugin Java (agrave moinsque lrsquoentiteacute souhaite utiliser ce plugin malgreacute lesrisques de seacutecuriteacute encourus auquel cas la valeuragrave donner serait 1 pour demander lrsquoautorisation agravelrsquoutilisateur agrave chaque exeacutecution du plugin Java)
pluginstatex Configuration drsquoactivation duplugin x ougrave x est agrave remplacerpar le nom court du pluginagrave deacutesactiver (exemple npctrlpour Microsoft Silverlight Lesnoms courts des plugins sontindiqueacutes en affichant leurs infor-mations deacutetailleacutees depuis lrsquointer-face graphique)
0 pour ne jamais activer le plugin ou 1 pourdemander lrsquoautorisation agrave lrsquoutilisateur avant chaqueexeacutecution du plugin
plugindefaultstate Configuration drsquoactivation desautres plugins
0 pour ne jamais activer un plugin non explicite-ment autoriseacute par les regravegles preacuteceacutedentes
plugindefaultXpistate Configuration drsquoactivation desautres plugins au format XPI
0 pour ne jamais activer un plugin au format XPInon explicitement autoriseacute par les regravegles preacuteceacute-dentes
pluginsclick_to_play Cliquer pour lire le contenu neacute-cessitant un plugin
true pour activer le mode laquo Cliquer pour lire raquo
pluginsload_appdir_plugins Chargement automatique desplugins depuis des emplace-ments utiliseacutes avant Firefox 21
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 17 sur 40
Eacutetant donneacute que seuls les modules compleacutementaires teacuteleacute-deacuteployeacutes par les eacutequipes informatiquessont autoriseacutes il est recommandeacute de bloquer toute possibiliteacute drsquoajout de modules compleacutementaires parlrsquoutilisateur
Nom de strateacutegie Description Valeur recommandeacuteeextensionsgetAddonsgetWithPerformanceurl
URL de reacutecupeacuteration drsquoun module compleacutementaire Mettre agrave vide
extensionsgetAddonsmaxResults Nombre de reacutesultats maximum 0extensionsgetAddonsgeturl URL de consultation drsquoun module compleacutementaire Mettre agrave videextensionsgetAddonsrecommendedbrowseURL
URL de consultation des modules compleacutementairesrecommandeacutes
Mettre agrave vide
extensionsgetAddonsrecommendedurl
URL de consultation des modules compleacutementairesrecommandeacutes par API
Mettre agrave vide
extensionsgetAddonssearchbrowseURL
URL de recherche de modules compleacutementaires Mettre agrave vide
extensionsgetAddonssearchurl URL de recherche de modules compleacutementaires parAPI
Mettre agrave vide
extensionsgetAddonsshowPane Afficher le panneau drsquoajout de modules compleacutemen-taires
false
extensionshideInstallButton Cacher le bouton drsquoinstallation manuelle drsquoextensions true
extensionswebservicediscoverURL URL du catalogue drsquoextensions Mettre agrave videxpinstallenabled Autoriser lrsquoinstallation manuelle de modules au format
XPIfalse
xpinstallwhitelistrequired Obligation pour une archive XPI drsquoecirctre en liste blanchepour ecirctre installeacutee manuellement
true
xpinstallwhitelistaddxpinstallwhitelistadd
Liste blanche drsquoarchives XPI pouvant ecirctre installeacuteesmanuellement
Mettre agrave vide
Pour finir lrsquoentiteacute devra choisir sa strateacutegie de mise agrave jour des extensions teacuteleacute-deacuteployeacutees Lrsquoentiteacutequi voudra teacuteleacute-deacuteployer elle-mecircme les versions agrave jour des modules compleacutementaires apregraves une phase devalidation optera pour le parameacutetrage donneacute ci-dessous la responsabiliteacute du maintien en conditions deseacutecuriteacute sera alors deacuteporteacutee sur les services informatiques en charge du deacuteploiement de ces mises agrave jourDans le cas contraire les valeurs par deacutefaut permettent une mise agrave jour automatique des extensionspar Internet
Nom de strateacutegie Description Valeur recommandeacuteeextensionshotfixcertcheckAttributes
Veacuterifie les attributs du certificat de signature descorrectifs teacuteleacutechargeacutes
true
extensionshotfixcerts1sha1Fingerprint
Empreintes attendues du certificat de signature descorrectifs teacuteleacutechargeacutes
Laisser la valeur par deacutefaut(9153980CC186DF478F35229E11C9A7310449A1AA en date dereacutedaction de ce document)
extensionsupdateautoUpdateDefault
Teacuteleacutecharger et installer automatiquement les mises agravejour drsquoextensions
false
extensionsupdatebackgroundURL
URL de teacuteleacutechargement des mises agrave jour drsquoextensionsen arriegravere plan
Mettre agrave vide
extensionsupdateenabled Activer la mise agrave jour des extensions false
extensionsupdateinterval Intervalle de teacuteleacutechargement des mises agrave jour desextensions
86400 (soit 1 fois par jour)
pluginsupdatenotifyUser Notifier lrsquoutilisateur de la preacutesence drsquoune mise agrave jourpour ses modules compleacutementaires
false
pluginsupdateurl URL de mise agrave jour des modules compleacutementaires Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 18 sur 40
SSLTLS et certificats
Le parameacutetrage des suites cryptographiques autoriseacutees peut engendrer des problegravemes de compa-tibiliteacute selon le contexte Il est donc leacutegitime de preacutefeacuterer ne pas modifier la configuration par deacutefautDans un soucis de durcissement les recommandations suivantes pourraient toutefois ecirctre appliqueacutees
Nom de paramegravetre Description Valeur recommandeacuteesecurityssl3dhe_dss_aes_128_sha Autoriser ssl3dhe_dss_aes_128_sha false
securityssl3dhe_dss_aes_256_sha Autoriser ssl3dhe_dss_aes_256_sha false
securityssl3dhe_dss_camellia_128_sha Autoriser ssl3dhe_dss_camellia_128_sha false
securityssl3dhe_dss_camellia_256_sha Autoriser ssl3dhe_dss_camellia_256_sha false
securityssl3dhe_rsa_aes_128_sha Autoriser ssl3dhe_rsa_aes_128_sha true
securityssl3dhe_rsa_aes_256_sha Autoriser ssl3dhe_rsa_aes_256_sha true
securityssl3dhe_rsa_camellia_128_sha Autoriser ssl3dhe_rsa_camellia_128_sha false
securityssl3dhe_rsa_camellia_256_sha Autoriser ssl3dhe_rsa_camellia_256_sha false
securityssl3dhe_rsa_des_ede3_sha Autoriser ssl3dhe_rsa_des_ede3_sha false
securityssl3ecdhe_ecdsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_ecdsa_aes_128_gcm_sha256
true
securityssl3ecdhe_ecdsa_aes_128_sha Autoriser ssl3ecdhe_ecdsa_aes_128_sha true
securityssl3ecdhe_ecdsa_aes_256_sha Autoriser ssl3ecdhe_ecdsa_aes_256_sha true
securityssl3ecdhe_ecdsa_rc4_128_sha Autoriser ssl3ecdhe_ecdsa_rc4_128_sha false
securityssl3ecdhe_rsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_rsa_aes_128_gcm_sha256
true
securityssl3ecdhe_rsa_aes_128_sha Autoriser ssl3ecdhe_rsa_aes_128_sha true
securityssl3ecdhe_rsa_aes_256_sha Autoriser ssl3ecdhe_rsa_aes_256_sha true
securityssl3ecdhe_rsa_des_ede3_sha Autoriser ssl3ecdhe_rsa_des_ede3_sha false
securityssl3ecdhe_rsa_rc4_128_sha Autoriser ssl3ecdhe_rsa_rc4_128_sha false
securityssl3rsa_aes_128_sha Autoriser ssl3rsa_aes_128_sha true
securityssl3rsa_aes_256_sha Autoriser ssl3rsa_aes_256_sha true
securityssl3rsa_camellia_128_sha Autoriser ssl3rsa_camellia_128_sha false
securityssl3rsa_camellia_256_sha Autoriser ssl3rsa_camellia_256_sha false
securityssl3rsa_des_ede3_sha Autoriser ssl3rsa_des_ede3_sha false
securityssl3rsa_fips_des_ede3_sha Autoriser ssl3rsa_fips_des_ede3_sha false
securityssl3rsa_rc4_128_md5 Autoriser ssl3rsa_rc4_128_md5 false
securityssl3rsa_rc4_128_sha Autoriser ssl3rsa_rc4_128_sha false
securityssl3rsa_seed_sha Autoriser ssl3rsa_seed_sha false
Autres paramegravetres
Nom de paramegravetre Description Valeur recommandeacuteesecuritytlsversionmax Version maximum de
SSLTLS3 (ce qui correspond agrave TLS 12)
securitytlsversionmin Version minimum de SSLTLS 2 (ce qui correspond agrave TLS 11)securitysslallow_unrestricted_renego_everywhere__temporarily_available_pref
Activer la reneacutegociation SSL false pour remeacutedier agrave une attaque parle milieu connue
securitysslenable_false_start Activer laquo SSL False Start raquo false car non standardiseacute et amenantde potentielles vulneacuterabiliteacutes
securitysslenable_ocsp_stapling Activer lrsquoOCSP stapling23 true
23 httpsblogmozillaorgsecurity20130729ocsp-stapling-in-firefox
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 19 sur 40
Nom de paramegravetre Description Valeur recommandeacuteesecuritysslrequire_safe_negotiation
Neacutecessite une neacutegociation SSL qui nrsquoutilisepas une ancienne version SSLTLS vul-neacuterable agrave des attaques par le milieu
true est la valeur ideacuteale en termesde seacutecuriteacute mais false reste conseilleacutepour eacuteviter que de nombreux sitescouramment visiteacutes ne soient plus uti-lisables
securitysslrenego_unrestricted_hosts
Liste drsquohocirctes autoriseacutes agrave faire de la reneacute-gociation SSL avec drsquoanciennes versionsvulneacuterables du protocole
Liste drsquohocirctes seacutepareacutes par des virgules(ne supportant pas les wildcards)et qursquoil est utile de renseigner sisecuritysslrequire_safe_negotiationest configureacute agrave true
securityssltreat_unsafe_negotiation_as_broken
Informer lrsquoutilisateur (cadenas casseacute rougedans la barre de status) lorsque les neacutegoci-ations SSLTLS sont non seacutecuriseacutees
true
networkstricttransportsecuritypreloadlist
Charger la liste de sites deacuteclareacutes commeutilisant HSTS (HTTP Strict TransportSecurity24)
true
networkwebsocketallowInsecureFromHTTPS
Autoriser les WebSockets non seacutecuriseacuteepour un site consulteacute en HTTPS
false
securityOCSPenabled Activer OCSP 2 pour veacuterifier le certificat agrave partir delrsquoURL de service OCSP et de lrsquoautoriteacutede certification ayant signeacute le certifi-cat Notons que cette fonctionnaliteacuteest critiqueacutee pour des questions delatence des reacutepondeurs OCSP (de lrsquoor-dre de 300ms pour les plus rapides agraveplus drsquoune seconde pour les plus lents)OCSP tend donc agrave ecirctre remplaceacute pardes listes locales de certificats reacutevo-queacutes dans drsquoautres navigateurs maisFirefox ne dispose pas encore drsquounetelle liste Une entiteacute ayant des con-traintes particuliegraveres quant agrave la la-tence induite par OSCP pourrait opterpour une deacutesactivation drsquoOCSP avecla valeur 0
securityOCSPrequire Neacutecessite la validation du certificat parOCSP avant de continuer la navigation surle site
true si securityOCSPenabled a eacuteteacuteconfigureacute agrave true ou false dans le cascontraire
securitycert_pinningenforcement_level
Niveau de certificate pinning (eacutepinglage decertificats)25(agrave partir de Firefox 32)
2 pour utiliser lrsquoeacutepinglage strict
Gestionnaire de mots de passe
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownpasswords Effacer les mots de passe enregistreacutes agrave la
fermeture du navigateurtrue
signonrememberSignons Active le gestionnaire de mots de passe false
signonautofillForms Remplissage automatique des formulairesde login
false
24 httpsdevelopermozillaorgfrdocsSC3A9curitC3A9HTTP_Strict_Transport_Security25 Lrsquoeacutepinglage de certificats permet drsquoavoir une base locale de certificats connus et attendus pour certains sites Web
consulteacutes en HTTPS Ainsi si le certificat preacutesenteacute par le serveur est valide en tous points de vue mais nrsquoest pas lecertificat attendu la connexion sera coupeacutee Ce meacutecanisme permet drsquoeacuteviter une attaque par le milieu preacutesentant un fauxcertificat issu drsquoune autoriteacute de certification de confiance
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 20 sur 40
Confidentialiteacute
Il nrsquoexiste pas en date de reacutedaction de cette note de regravegle globale pour la deacutesactivation de FirefoxSync Sa deacutesactivation se fait par conseacutequent agrave travers plusieurs regravegles de configuration
Nom de paramegravetre Description Valeur recommandeacuteeservicessyncengineaddons Synchronisation des modules compleacutementaires false
servicessyncenginebookmarks Synchronisation des marque-pages false
servicessyncenginehistory Synchronisation de lrsquohistorique de navigation false
servicessyncenginepasswords Synchronisation des mots de passe stockeacutes false
servicessyncengineprefs Synchronisation des preacutefeacuterences false
servicessyncenginetabs Synchronisation des onglets ouverts false
servicessyncregisterEngines Moteurs de synchronisation enregistreacutes Mettre agrave videservicessyncjpakeserverURL URL du serveur synchronisation jpake Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessynctokenServerURI URI du serveur de jetons Mettre agrave videservicessyncnextSync Planification de la prochaine synchronisation 0
Il convient eacutegalement de deacutesactiver les diffeacuterents rapports agrave Mozilla
Nom de paramegravetre Description Valeur recommandeacuteedatareportinghealthreportaboutreportUrl URL de rapport de santeacute Mettre agrave videdatareportinghealthreportloggingconsoleEnabled
Activer la journalisation (console) du ser-vice de rapports de santeacute
false
datareportinghealthreportloggingdumpEnabled
Activer la journalisation (dumps) du ser-vice de rapports de santeacute
false
datareportinghealthreportnextDataSubmissionTime
Date de prochaine soumission de rapportde santeacute
Mettre agrave vide
datareportinghealthreportserviceenabled Activer le service de rapport de santeacute false
datareportinghealthreportuploadEnabled Autoriser lrsquoenvoi de donneacutees au serveur derapports de santeacute
false
datareportingpolicydataSubmissionEnabled Activer lrsquoenvoi de donneacutees agrave Mozilla agrave desfins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyAccepted
Accepter les conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyBypassAcceptance
Contourner lrsquoacceptation des conditionsdrsquoenvoi de donneacutees agrave Mozilla agrave des finsdrsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyResponseType
Reacuteponse aux conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
accepted-info-bar-dismissed
domipcpluginsreportCrashURL Inteacutegrer lrsquoURL au rapport de crash deplugins
false
domipcpluginsflashsubprocesscrashreporterenabled
Activer le rapport de crash du sous-processus flash
false
toolkittelemetryenabled Activer la fonctionnaliteacute de teacuteleacutemeacutetrie false
toolkittelemetryserver Adresse du serveur de teacuteleacutemeacutetrie Mettre agrave videbreakpadreportURL URL du rapport de crash Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 21 sur 40
Il peut eacutegalement ecirctre utile de configurer lrsquooption de suppression des donneacutees priveacutees (Clear PrivateData) en seacutelectionnant les eacuteleacutements qui seront supprimeacutes Lrsquoentiteacute pourra par exemple permettre auxutilisateurs de supprimer leurs donneacutees priveacutees dans le cadre drsquoune navigation sur internet ou bien delrsquointerdire srsquoil srsquoagit drsquoun navigateur deacutedieacute agrave lrsquointranet Une entiteacute pourrait eacutegalement vouloir toujoursgarder les historiques et le cache agrave des fins drsquoinvestigation (cela nrsquoempecircchera toutefois pas lrsquoutilisateurde les supprimer directement au niveau du systegraveme de fichiers dans son profil utilisateur)
Nom de paramegravetre Description Valeur recommandeacuteeprivacycpdcache Supprimer le cache lors drsquoune suppression des donneacutees
priveacuteesAu choix de lrsquoentiteacute
privacycpdcookies Supprimer les cookies lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpddownloads Supprimer lrsquohistorique des teacuteleacutechargements lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdformdata Supprimer lrsquohistorique de remplissage automatique desformulaire lors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdhistory Supprimer lrsquohistorique lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpdofflineApps Supprimer les applications disponibles hors connexionlors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdpasswords Supprimer les mots de passe enregistreacutes lors drsquoune sup-pression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsessions Supprimer les sessions en cours enregistreacutees lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsiteSettings Supprimer les paramegravetres par site lors drsquoune suppressiondes donneacutees priveacutees
Au choix de lrsquoentiteacute
privacysanitizesanitizeOnShutdown
Supprimer les donneacutees priveacutees agrave la fermeture du naviga-teur
En cas de besoin speacute-cifique de lrsquoentiteacute
Viennent pour finir divers autres paramegravetres lieacutes agrave la confidentialiteacute
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownsessions effacer les sessions de navigation en cours lors
de la fermeture du navigateurtrue
privacyclearOnShutdowncookies effacer les cookies de navigation lors de lafermeture du navigateur
true
privacydonottrackheaderenabled Activer Do-Not-Track true
geoenabled activer la geacuteolocalisation false
geowifiuri URI du service de geacuteolocalisation agrave utiliser Mettre agrave videnetworkprefetch-next Teacuteleacutechargement preacutedictif anticipeacute des docu-
ments lieacutes agrave la page Web visiteacutes (link prefetch-ing)26
false pour eacuteviter lrsquoeacutetablisse-ment de connexions et leteacuteleacutechargement de contenunon solliciteacutes
medianavigatorpermissiondisabled Contourne la permission drsquoacceacuteder agrave la web-cam
false
networkhttpsendRefererHeader Activer lrsquoenvoi de lrsquoentecircte referer 0 pour plus drsquoanonymat ou 2pour ne pas empecirccher le fonc-tionnement de certains sites
browsersend_pings Activer lrsquoenvoi de requecircte POST lors du clicsur un lien (fonctionnaliteacute souvent utiliseacuteepour tracer les clics)
false
26 Le link prefetching permet drsquoacceacuteleacuterer le surf en anticipant le chargement des documents lieacutes agrave la page visiteacutesLrsquoimpleacutementation de ce meacutecanisme dans Firefox ne transmet aucune information agrave Mozilla Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsWebHTTPLink_prefetching_FAQ
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 22 sur 40
Filtrage de contenu
Actions autoriseacutees aux les scripts
Nom de paramegravetre Description Valeur recommandeacuteedomallow_scripts_to_close_windows Autoriser les scripts agrave fermer
une fenecirctrefalse
domdisable_image_src_set Interdire la modification desimages sources par script
false
domdisable_window_flip Interdire le changement defenecirctre active par script
true
domdisable_window_move_resize Deacutetermine si les fenecirctrespeuvent ecirctre bougeacutees or red-imensionneacutees par script
false
domdisable_window_open_featureclose Interdire la creacuteation defenecirctre sans bouton defermeture
true pour eacuteviter les popups in-vasifs
domdisable_window_open_featurelocation Interdire la creacuteation defenecirctre sans barre drsquoadresse
true pour que lrsquoutilisateur puissetoujours veacuterifier ecirctre agrave lrsquoadressepreacutevue
domdisable_window_open_featurestatus Interdire la creacuteation defenecirctre sans barre de status
true pour que lrsquoutilisateur puissese rendre contre plus facilementdes tentatives de spoofing
domdisable_window_open_featuretitlebar Interdire la creacuteation defenecirctre sans barre de titre
true pour que lrsquoutilisateur puissebien voir qursquoil srsquoagit drsquoun popupFirefox
domdisable_window_open_featuretoolbar Interdire la creacuteation defenecirctre sans barre drsquooutils
false
domeventclipboardeventsenabled Permettre agrave un script desaisir les eacuteveacutenements dupresse papier
false
domeventcontextmenuenabled Permettre agrave un script desaisir les eacuteveacutenements drsquoac-cegraves au menu contextuel (clicdroit)
false
dominter-app-communication-apienabled Activer la communicationpar API entre applications
false
domipcpluginsenabled Activation du plugin con-tainer
true pour exeacutecuter les pluginsdans le plugin-container
domipcpluginsjavaenabled Exeacutecuter Java au sein duplugin-container
false pour eacuteviter des problegravemesde stabiliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 23 sur 40
Nom de strateacutegie Description Valeur recommandeacuteebrowsersafebrowsingenabled Utiliser la navigation seacutecuriseacutee
(protection contre le phishing etles logiciels malveillants)27
true
javascriptenabled Activation de Javascript true
securityxpconnectpluginunrestricted Autoriser le scripting de pluginspar des scripts qui ne sont pasde confiance
false agrave moins drsquoune incompatibiliteacute avecdes plugins etou pages Web neacutecessaires agravelrsquoentiteacute
securitymixed_contentblock_active_content
Bloquer le contenu mixte actif true
securitymixed_contentblock_display_content
Bloquer le contenu mixte passif false
securityfileuristrict_origin_policy
Politique drsquoorigine stricte pourles URi de type fichiers
true sauf pour les populations dedeacuteveloppeurs qursquoun tel paramegravetre pourraitbloquer pour le deacuteveloppement en local
networkcookiecookieBehavior Politique de gestion des cookies 1 pour nrsquoautoriser que les cookies duserveur drsquoorigine et bloquer les cookiestiers
networkcookielifetimePolicy Politique drsquoexpiration des cook-ies
2 pour conserver les cookies pendant toutela dureacutee de la session seulement
networkcookiethirdpartysessionOnly Restreindre les cookies tiers agrave ladureacutee de la session seulement
true
networkjaropen-unsafe-types Nrsquoouvrir que les jar servis avecun content-type adeacutequat
false
privacypopupspolicy Politique de popups 1 pour activer les popups ou 2 pour lesrejeter mais cela rendrait la navigationdifficile voire impossible sur une quantiteacutede sites Internet non neacutegligeable
privacypopupsshowBrowserMessage Afficher un message lorsqursquounpopup a eacuteteacute bloqueacute
true
browserpopupsshowPopupBlocker Afficher lrsquoicocircne du bloqueur depopups dans la barre de status
true
securitycspenable Activer la Content Security Pol-icy (politique de seacutecuriteacute descontenus) qui permet de deacute-tecter et de limiter lrsquoimpact decertains types drsquoattaques
true
full-screen-apienabled Activer lrsquoAPI permettant drsquoaf-ficher du contenu en plein eacutecranpour les modules compleacutemen-taires
false
notificationfeatureenabled Permettre les notifications sur lebureau
false
27 La fonctionnaliteacute de navigation seacutecuriseacutee consiste agrave synchroniser une liste locale drsquoadresses de sites maveillants(depuis les serveurs de Google par deacutefaut depuis que Firefox utilise leur service) pour alerter lrsquoutilisateur srsquoil srsquoapprecircte agraveen visiter un Elle consiste eacutegalement agrave analyser le contenu des pages pour repeacuterer drsquoeacuteventuelles tentatives drsquohameccedilonnage
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 24 sur 40
Moteur de recherche par deacutefaut
La configuration drsquoun moteur de recherche personnaliseacute ne peut pas se faire simplement par fichierde configuration et neacutecessite le deacuteploiement drsquoun module de recherche (search engine plugin) LrsquoannexeIV illustre la teacuteleacute-deacuteploiement drsquoun module de recherche utilisant le moteur franccedilais httpswwwqwantcom 28
Nom de paramegravetre Description Exemplebrowsersearchdefaultenginename Moteur de recherche par deacutefaut Qwantcom
browsersearchdefaulturl URL du moteur de recherche pardeacutefaut
httpswwwqwantcomq=searchTerms
browsersearchlog Journalisation de lrsquoutilisation desservices de recherche agrave des fins dedeacuteboggage
false
browsersearchopenintab Ouvrir les reacutesultats de recherchedans un nouvel onglet
false
browsersearchorder1 Moteur de recherche agrave utiliser enprioriteacute 1
Qwantcom
browsersearchsuggestenabled activer les suggestions false
browsersearchupdate Recherche de mises agrave jour pour lesmodules de recherche
false
keywordenabled Permettre de faire une recherchedepuis la barre drsquoadresse
true
Page(s) drsquoaccueil
Nom de strateacutegie Description Valeur recommandeacuteestartuphomepage_override_url Page drsquoaccueil apregraves une mise agrave jour de Firefox En fonction du choix de lrsquoentiteacutestartuphomepage_welcome_url Page drsquoaccueil au premier deacutemarrage En fonction du choix de lrsquoentiteacutebrowserstartuphomepage Page drsquoaccueil about blank pour une page vide
ou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
browserstartuppage Page drsquoaccueil 1 pour ouvrir la page drsquoac-cueil indiqueacutee par le paramegravetrebrowserstartuphomepage
browsersessionstoreresume_from_crash
Restauration de session apregraves crash false
browsersessionstoreenabled Activer le service de restauration de session false
browsernewtaburl Page ouverte par deacutefaut lors de la creacuteationdrsquoun nouvel onglet de navigation
about blank pour une page videou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
28 Ceci nrsquoest en aucun cas une recommandation ni une incitation agrave son utilisation mais un simple exemple
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 25 sur 40
Authentification HTTP
Nom de strateacutegie Description Valeur recommandeacuteenetworkauthforce-generic-ntlm Utiliser le module drsquoauthen-
tification NTLM de Firefoxplutocirct que celui fourni parles APIs du systegraveme
false
networkauthuse-sspi Utiliser SSPI plutocirct queGSSAPI pour lrsquoauthentifica-tion Kerberos
true sous Windows
networkntlmsend-lm-response Envoyer le LM Hash dans lareacuteponse NTLM
false
networkautomatic-ntlm-authallow-proxies
Authentification par NTLMautomatique avec lesserveurs proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networkautomatic-ntlm-authtrusted-uris
Liste des URIs autoriseacuteespour lrsquoauthentification parNTLM automatique
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationNTLM automatique
networkautomatic-ntlm-authallow-non-fqdn
Autoriser lrsquoauthentificationNTLM automatique avecdes sites sans FQDN
false agrave moins que la liste networkautomatic-ntlm-authtrusted-uris comporte des adressessans FQDN
networknegotiate-authallow-non-fqdn
Autoriser lrsquoauthentificationSPNEGO avec des sites sansFQDN
En fonction de lrsquoentiteacute
networknegotiate-authallow-proxies
Autoriser SPNEGO29si de-mandeacute par un serveur proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networknegotiate-authdelegation-uris
Liste des URIs autoriseacuteespour lesquels le navigateurpeut deacuteleacuteguer lrsquoautorisationde lrsquoutilisateur
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites auxquels elle souhaite permettre ladeacuteleacutegation SPNEGO
networknegotiate-authtrusted-uris Liste des URIs autoriseacuteespour engager une authentifi-cation SPNEGO
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationSPNEGO
networknegotiate-authgsslib Chemin vers une librairieGSSLIB speacutecifique
Mettre agrave vide
networknegotiate-authusing-native-gsslib
Utiliser la librairie GSSLIBnative du systegraveme
true
securitydefault_personal_cert Choix du certificat drsquoau-thentification client
Ask Every Time
29 SPNEGO est un standard qui permet de neacutegocier de lrsquoauthentification Kerberos NTLM ainsi que drsquoautresprotocoles supporteacutes pour le systegraveme SPNEGO est eacutegalement connu sous le nom du protocole drsquoauthentificationlaquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 26 sur 40
Serveur mandataire
Nom de paramegravetre Description Valeur recommandeacuteenetworkproxyautoconfig_url URL de configuration automatique du
proxyLaisser agrave vide
networkproxyftp Adresse du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyftp_port port du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp Adresse du proxy proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp_port port du proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyno_proxies_on Liste drsquoexceptions agrave lrsquoutilisation du serveurproxy
A minima localhost 127001 etdavantage en fonction de lrsquoentiteacute etdu peacuterimegravetre drsquoutilisation du naviga-teur
networkproxyshare_proxy_settings
Utiliser le mecircme proxy pour tous les pro-tocoles
false
networkproxysocks Adresse du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_port port du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_remote_dns
Reacutealiser les requecirctes DNS via le proxysocks
false
networkproxysocks_version Version du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl Adresse du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl_port port du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxytype Type drsquoutilisation du proxy 1 pour utiliser les valeurs in-diqueacutees par les paramegravetres ci-dessus(networkproxy)
networkhttpproxyversion version de proxy 11 par deacutefaut et en fonction duserveur proxy de lrsquoentiteacute
networkhttpproxypipelining Activer le pipelining30par proxy false pour des raisons de compat-ibiliteacute Lrsquoentiteacute peut choisir de lrsquoac-tiver si le pipelining est supporteacute parson serveur proxy drsquoentreprise
signonautologinproxy Saisie automatique du mot de passe deproxy
false
30 Le pipelining permet de faire plusieurs requecirctes HTTP simultaneacutement plutocirct que de les faire seacutequentiellement enattendant les reacuteponses de chacune drsquoentre elles Pour plus drsquoinformations httpwww-archivemozillaorgprojectsnetlibhttppipelining-faqhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 27 sur 40
Peacuterimegravetre de navigation
Nom de paramegravetre Description Valeur recommandeacuteenetworkprotocol-handlerexpose-all
Deacutetermine si le navigateur essayedrsquoouvrir les liens cliqueacutes dans lenavigateur en prioriteacute avant delaisser le systegraveme srsquoen charger en casdrsquoeacutechec (si le protocole du lien enquestion nrsquoest pas supporteacute par lenavigateur)
true
networkprotocol-handlerwarn-external-default
Avertir lrsquoutilisateur avant decharger un gestionnaire deprotocole tiers
true
networkprotocol-handlerexternal-default
Action pour lrsquoouverture drsquoun pro-tocole non pris en charge par lenavigateur
false de maniegravere agrave ne pas essayerde charger des protocoles non pris encharge nativement par le navigateur Lrsquoen-titeacute renseignera eacuteventuellement des ges-tionnaires de protocoles tiers pour desprotocoles qursquoelle souhaite explicitementpermettre tels que NNTP Mailto etc Pour illustrer par lrsquoexemple avecMailto le paramegravetre networkprotocol-handlerexternalmailto aurait pour valeurtrue et le paramegravetre networkprotocol-handlerappmailto avec pour valeur lechemin drsquoun exeacutecutable comme MozillaThunderbird ou Microsoft Outlook
networkprotocol-handlerexternalfile
Gestionnaire de protocole filesous Firefox
false
networkprotocol-handlerexternalftp
Gestionnaire de protocole ftpsous Firefox
false
geckohandlerServiceallowRegisterFromDifferentHost
Autoriser les sites Web agrave installerdes gestionnaires de protocoles oude contenus utilisable pour deshocirctes tiers
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 28 sur 40
Administration systegraveme maintenance et options diverses
Parameacutetrage des mises agrave jour
Nom de paramegravetre Description Valeur recommandeacuteeappupdateenabled Activation de la mise agrave jour automatique true
appupdateauto Teacuteleacutechargement et installationautomatiques (neacutecessite que le paramegravetreappupdateenabled ait pour valeurtrue)
true
appupdatecertcheckAttributes Veacuterifie les attributs du certificat du serveurde mise agrave jour
false
appupdatecertrequireBuiltIn Requiert lrsquointeacutegration des certificats duserveur de mise agrave jour et de toutes lesredirections intermeacutediaires
false
appupdatechannel Canal de mise agrave jour esr pour la version ESR de FirefoxappupdatedownloadbackgroundInterval
Temps de pause (en secondes) entrechaque teacuteleacutechargement en arriegravere plandrsquoun morceau de 300 Kb de mise agrave jour
Au choix de lrsquoentiteacute
appupdateidletime Temps de pause (en secondes) entre chaqueteacuteleacutechargement agrave la demande de lrsquoutilisa-teur) drsquoun morceau de 300 Kb de mise agravejour
60
appupdateinterval Intervalle de temps entre chaque veacuterifica-tion de disponibiliteacute de nouvelles mises agravejour
43200
appupdatemode Deacutetermine quelles mises agrave jour sontteacuteleacutechargeacutees en arriegravere plan
0 pour teacuteleacutecharger toutes les mises agravejour sans intervention de lrsquoutilisateur
appupdateserviceenabled Active le service de mise agrave jour de Firefox true
appupdateshowInstalledUI Deacutetermine si apregraves installation de mise agravejour une boicircte de dialogue informe lrsquoutil-isateur qursquoune mise agrave jour a eacuteteacute installeacutee
Au choix de lrsquoentiteacute
appupdatesilent Active le mode de mise agrave jour silencieux true pour une mise agrave jour silencieuseen arriegravere plan
appupdateurl URL de reacutecupeacuteration des mises agrave jour deFirefox
En fonction de la strateacutegie de mise agravejour de lrsquoentiteacute Pour une mise agrave jourdepuis les serveurs de Mozilla httpsaus3mozillaorgupdate3PRODUCTVERSIONBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONupdatexml sinon lrsquoURLdu serveur de mise agrave jour internede lrsquoentiteacute (qursquoil faudra eacutegalementrenseigner dans le paramegravetreappupdateurloverride)
appupdateurloverride URL de reacutecupeacuteration des mises agrave jour deFirefox
Paramegravetre agrave renseigner uniquementdans le cas ou la mise agrave jour deFirefox se fait depuis lrsquoURL drsquounserveur de mise agrave jour interne delrsquoentiteacute (agrave renseigner en plus duparamegravetre appupdateurl)
appupdateurldetails URL de consultation des informations rel-atives aux mises agrave jour disponibles
Laisser la valeur par deacutefautrhttpswwwmozillaorgLOCALEfirefoxnotes
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 29 sur 40
Configuration du cache
Nom de paramegravetre Description Valeur recommandeacuteebrowsercachecheck_doc_frequency Quand veacuterifier la mise agrave jour drsquoune page en
cache disque3 (veacuterifier quand la page estpeacuterimeacutee)
browsercachecompression_level Niveau de compression du cache disque Au choix de lrsquoentiteacute de 0(pas de compression) agrave 9(haut taux de compressionavec forte sollicitation du pro-cesseur)
browsercachediskcapacity Espace disque alloueacute au cache disque enKb
Au choix de lrsquoentiteacute
browsercachediskenable Utiliser le cache disque true
browsercachediskmax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache disque
Au choix de lrsquoentiteacute
browsercachedisksmart_sizeenabled Allocation intelligente de lrsquoespace disquealloueacute au cache en fonction de lrsquoespacedisponible
Au choix de lrsquoentiteacute
browsercachedisk_cache_ssl Mettre en cache disque les pages visiteacuteesen HTTPS
False de maniegravere agrave ne pasmettre en cache le contenuSSL
browsercachememoryenable Utiliser le cache meacutemoire true
browsercachememorymax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache meacutemoire
Au choix de lrsquoentiteacute
browsercachememory_limit Meacutemoire maximum utiliseacutee pour le cachemeacutemoire en Kb
Au choix de lrsquoentiteacute
browsercacheofflinecapacity Espace disque alloueacute au cache des applica-tions Web
Au choix de lrsquoentiteacute
browsercacheofflineenable Utiliser le cache des applications Web per-mettant une utilisation hors ligne
Au choix de lrsquoentiteacute
browsercacheuse_new_backend Utilisation du nouveau systegraveme de cache 0 (ne pas utiliser pour desquestions de stabiliteacute)
networkhttpuse-cache Utiliser le cache des documents HTTP true
mediacache_size Taille du cache pour les fichiers multimedia Au choix de lrsquoentiteacute par deacute-faut 512000
domstoragedefault_quota Quota de stockage cocircteacute client pour lespages Web
5120 taille par deacutefaut
domstorageenabled Active le stockage cocircteacute client pour les pagesWeb
true agrave deacutefaut de vulneacuterabil-iteacutes connues pour cette fonc-tionnaliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 30 sur 40
Deacutesactiver les options de deacuteveloppement (sauf pour les populations de deacuteveloppeurs)
Nom de paramegravetre Description Valeur recommandeacuteedevtoolsappmanagerenabled Activation des outils de deacuteveloppement module appmanager false
devtoolsdebuggerenabled Activation des outils de deacuteveloppement module deacutebogueur false
devtoolserrorconsoleenabled Activation des outils de deacuteveloppement module consoledrsquoerreurs
false
devtoolsfontinspectorenabled Activation des outils de deacuteveloppement module inspecteurde polices
false
devtoolsinspectorenabled Activation des outils de deacuteveloppement module inspecteur false
devtoolsnetmonitorenabled Activation des outils de deacuteveloppement module reacuteseau false
devtoolsprofilerenabled Activation des outils de deacuteveloppement module profileur false
devtoolsshadereditorenabled Activation des outils de deacuteveloppement module vue adaptive false
devtoolsstyleeditorenabled Activation des outils de deacuteveloppement module editeur destyles
false
devtoolstiltenabled Activation des outils de deacuteveloppement module tilt false
devtoolstoolbarenabled Activation des outils de deacuteveloppement module barre dedeacuteveloppement
false
Configurations diverses
Nom de paramegravetre Description Valeur recommandeacuteenetworkseerenable-hover-on-ssl Activer seer sur SSL false
networkseerenabled Activer seer false
networkhttppipelining Activer le pipelining pour le surfHTTP11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttppipeliningssl Activer le pipelining pour le surfHTTPS11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttpspdyenabled Activer SPDY31 false
networkhttpspdyenabledv2 Activer SPDY v2 false
networkhttpspdyenabledv3 Activer SPDY v3 false
networkhttpspdyenabledv3-1 Activer SPDY v31 false
browsershellcheckDefaultBrowser Veacuterifier si Firefox est configureacutecomme navigateur par deacutefaut
false dans le cadre de double naviga-teurs
browserdownloadmanagerscanWhenDone
Scan antivirus drsquoun fichier lorsqueson teacuteleacutechargement est termineacute
true
browserdownloaduseDownloadDir Utiliser le reacutepertoire de teacuteleacutecharge-ment par deacutefaut
false pour que lrsquoutilisateur indique agravequel emplacement il souhaite teacuteleacutechargerle fichier
browserfullscreenautohide Cacher la barre drsquooutils et drsquoongletsen mode plein eacutecran
false
31 SPDY est un protocole reacuteseau expeacuterimental de Google visant agrave augmenter les capaciteacutes du protocole HTTP pourreacuteduire le temps de chargement des pages Web en classant les objets par ordre de prioriteacute et en multiplexant les transfertspour ne neacutecessiter qursquoune seule connexion Ce protocole est vulneacuterable aux attaques CRIME (Compression Ratio Info-leakMade Easy) lorsqursquoil est utiliseacute avec HTTPS (ce qui est geacuteneacuteralement le cas)
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 31 sur 40
Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP
Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory
Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation
La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32
Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers
Fichiers de configuration
La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte
ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet
ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes
Fichier local-settingsjs
pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)
Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 32 sur 40
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
Nom de paramegravetre Description Valeur recommandeacuteeextensionsblocklistenabled Teacuteleacutechargement reacutegulier drsquoune
liste noire de modules reacutefeacuterenceacutescomme eacutetant malveillants
false si seuls les modules teacuteleacute-deacuteployeacutes par leseacutequipes informatique sont installeacutes ou true silrsquoutilisateur est en mesure drsquoinstaller des moduleslui-mecircme
extensionsblocklistdetailsURL
URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules
Celle par deacutefaut (httpswwwmozillaorgLOCALEblocklist)
extensionsblocklistitemURL URL de la page qursquoun utilisa-teur peut visiter pour en savoirplus sur la liste noire de modules(variante)
Celle par deacutefaut (httpsaddonsmozillaorgLOCALEAPPblockedblockID)
extensionsblocklistinterval Intervalle de teacuteleacutechargement dela liste noire de modules ensecondes
86400 (soit 1 fois par jour)
extensionsblocklistlevel Niveau de blocage 2 (pour bloquer les extensions de la liste)extensionsblocklisturl Adresse de teacuteleacutechargement de la
liste noire de modulesCelle par deacutefaut (httpsaddonsmozillaorgblocklist3APP_IDAPP_VERSIONPRODUCTBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONPING_COUNTTOTAL_PING_COUNTDAYS_SINCE_LAST_PING)
extensionsenabledAddons Modules activeacutes au deacutemarragede Firefox
Mettre agrave vide
pdfjsdisabled Deacutesactiver la visionneuse PDFinteacutegreacutee agrave Firefox (pdfjs)
true pour que lrsquoutilisateur teacuteleacutecharge les PDF etles visionne via un lecteur PDF tiers maintenu enconditions de seacutecuriteacute par lrsquoentiteacute et ne faisant paslrsquoobjet de vulneacuterabiliteacutes freacutequentes ou false pourautoriser lrsquousage du lecteur de PDF inteacutegreacute
pluginstateflash Configuration drsquoactivation duplugin Flash
1 (demander lrsquoautorisation agrave lrsquoutilisateur avantchaque exeacutecution du plugin Flash) ou 2 (toujoursactiver) au choix de lrsquoentiteacute et en fonction desutilisateurs et des contraintes de seacutecuriteacute
pluginstatejava Configuration drsquoactivation duplugin Java
0 pour ne jamais activer le plugin Java (agrave moinsque lrsquoentiteacute souhaite utiliser ce plugin malgreacute lesrisques de seacutecuriteacute encourus auquel cas la valeuragrave donner serait 1 pour demander lrsquoautorisation agravelrsquoutilisateur agrave chaque exeacutecution du plugin Java)
pluginstatex Configuration drsquoactivation duplugin x ougrave x est agrave remplacerpar le nom court du pluginagrave deacutesactiver (exemple npctrlpour Microsoft Silverlight Lesnoms courts des plugins sontindiqueacutes en affichant leurs infor-mations deacutetailleacutees depuis lrsquointer-face graphique)
0 pour ne jamais activer le plugin ou 1 pourdemander lrsquoautorisation agrave lrsquoutilisateur avant chaqueexeacutecution du plugin
plugindefaultstate Configuration drsquoactivation desautres plugins
0 pour ne jamais activer un plugin non explicite-ment autoriseacute par les regravegles preacuteceacutedentes
plugindefaultXpistate Configuration drsquoactivation desautres plugins au format XPI
0 pour ne jamais activer un plugin au format XPInon explicitement autoriseacute par les regravegles preacuteceacute-dentes
pluginsclick_to_play Cliquer pour lire le contenu neacute-cessitant un plugin
true pour activer le mode laquo Cliquer pour lire raquo
pluginsload_appdir_plugins Chargement automatique desplugins depuis des emplace-ments utiliseacutes avant Firefox 21
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 17 sur 40
Eacutetant donneacute que seuls les modules compleacutementaires teacuteleacute-deacuteployeacutes par les eacutequipes informatiquessont autoriseacutes il est recommandeacute de bloquer toute possibiliteacute drsquoajout de modules compleacutementaires parlrsquoutilisateur
Nom de strateacutegie Description Valeur recommandeacuteeextensionsgetAddonsgetWithPerformanceurl
URL de reacutecupeacuteration drsquoun module compleacutementaire Mettre agrave vide
extensionsgetAddonsmaxResults Nombre de reacutesultats maximum 0extensionsgetAddonsgeturl URL de consultation drsquoun module compleacutementaire Mettre agrave videextensionsgetAddonsrecommendedbrowseURL
URL de consultation des modules compleacutementairesrecommandeacutes
Mettre agrave vide
extensionsgetAddonsrecommendedurl
URL de consultation des modules compleacutementairesrecommandeacutes par API
Mettre agrave vide
extensionsgetAddonssearchbrowseURL
URL de recherche de modules compleacutementaires Mettre agrave vide
extensionsgetAddonssearchurl URL de recherche de modules compleacutementaires parAPI
Mettre agrave vide
extensionsgetAddonsshowPane Afficher le panneau drsquoajout de modules compleacutemen-taires
false
extensionshideInstallButton Cacher le bouton drsquoinstallation manuelle drsquoextensions true
extensionswebservicediscoverURL URL du catalogue drsquoextensions Mettre agrave videxpinstallenabled Autoriser lrsquoinstallation manuelle de modules au format
XPIfalse
xpinstallwhitelistrequired Obligation pour une archive XPI drsquoecirctre en liste blanchepour ecirctre installeacutee manuellement
true
xpinstallwhitelistaddxpinstallwhitelistadd
Liste blanche drsquoarchives XPI pouvant ecirctre installeacuteesmanuellement
Mettre agrave vide
Pour finir lrsquoentiteacute devra choisir sa strateacutegie de mise agrave jour des extensions teacuteleacute-deacuteployeacutees Lrsquoentiteacutequi voudra teacuteleacute-deacuteployer elle-mecircme les versions agrave jour des modules compleacutementaires apregraves une phase devalidation optera pour le parameacutetrage donneacute ci-dessous la responsabiliteacute du maintien en conditions deseacutecuriteacute sera alors deacuteporteacutee sur les services informatiques en charge du deacuteploiement de ces mises agrave jourDans le cas contraire les valeurs par deacutefaut permettent une mise agrave jour automatique des extensionspar Internet
Nom de strateacutegie Description Valeur recommandeacuteeextensionshotfixcertcheckAttributes
Veacuterifie les attributs du certificat de signature descorrectifs teacuteleacutechargeacutes
true
extensionshotfixcerts1sha1Fingerprint
Empreintes attendues du certificat de signature descorrectifs teacuteleacutechargeacutes
Laisser la valeur par deacutefaut(9153980CC186DF478F35229E11C9A7310449A1AA en date dereacutedaction de ce document)
extensionsupdateautoUpdateDefault
Teacuteleacutecharger et installer automatiquement les mises agravejour drsquoextensions
false
extensionsupdatebackgroundURL
URL de teacuteleacutechargement des mises agrave jour drsquoextensionsen arriegravere plan
Mettre agrave vide
extensionsupdateenabled Activer la mise agrave jour des extensions false
extensionsupdateinterval Intervalle de teacuteleacutechargement des mises agrave jour desextensions
86400 (soit 1 fois par jour)
pluginsupdatenotifyUser Notifier lrsquoutilisateur de la preacutesence drsquoune mise agrave jourpour ses modules compleacutementaires
false
pluginsupdateurl URL de mise agrave jour des modules compleacutementaires Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 18 sur 40
SSLTLS et certificats
Le parameacutetrage des suites cryptographiques autoriseacutees peut engendrer des problegravemes de compa-tibiliteacute selon le contexte Il est donc leacutegitime de preacutefeacuterer ne pas modifier la configuration par deacutefautDans un soucis de durcissement les recommandations suivantes pourraient toutefois ecirctre appliqueacutees
Nom de paramegravetre Description Valeur recommandeacuteesecurityssl3dhe_dss_aes_128_sha Autoriser ssl3dhe_dss_aes_128_sha false
securityssl3dhe_dss_aes_256_sha Autoriser ssl3dhe_dss_aes_256_sha false
securityssl3dhe_dss_camellia_128_sha Autoriser ssl3dhe_dss_camellia_128_sha false
securityssl3dhe_dss_camellia_256_sha Autoriser ssl3dhe_dss_camellia_256_sha false
securityssl3dhe_rsa_aes_128_sha Autoriser ssl3dhe_rsa_aes_128_sha true
securityssl3dhe_rsa_aes_256_sha Autoriser ssl3dhe_rsa_aes_256_sha true
securityssl3dhe_rsa_camellia_128_sha Autoriser ssl3dhe_rsa_camellia_128_sha false
securityssl3dhe_rsa_camellia_256_sha Autoriser ssl3dhe_rsa_camellia_256_sha false
securityssl3dhe_rsa_des_ede3_sha Autoriser ssl3dhe_rsa_des_ede3_sha false
securityssl3ecdhe_ecdsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_ecdsa_aes_128_gcm_sha256
true
securityssl3ecdhe_ecdsa_aes_128_sha Autoriser ssl3ecdhe_ecdsa_aes_128_sha true
securityssl3ecdhe_ecdsa_aes_256_sha Autoriser ssl3ecdhe_ecdsa_aes_256_sha true
securityssl3ecdhe_ecdsa_rc4_128_sha Autoriser ssl3ecdhe_ecdsa_rc4_128_sha false
securityssl3ecdhe_rsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_rsa_aes_128_gcm_sha256
true
securityssl3ecdhe_rsa_aes_128_sha Autoriser ssl3ecdhe_rsa_aes_128_sha true
securityssl3ecdhe_rsa_aes_256_sha Autoriser ssl3ecdhe_rsa_aes_256_sha true
securityssl3ecdhe_rsa_des_ede3_sha Autoriser ssl3ecdhe_rsa_des_ede3_sha false
securityssl3ecdhe_rsa_rc4_128_sha Autoriser ssl3ecdhe_rsa_rc4_128_sha false
securityssl3rsa_aes_128_sha Autoriser ssl3rsa_aes_128_sha true
securityssl3rsa_aes_256_sha Autoriser ssl3rsa_aes_256_sha true
securityssl3rsa_camellia_128_sha Autoriser ssl3rsa_camellia_128_sha false
securityssl3rsa_camellia_256_sha Autoriser ssl3rsa_camellia_256_sha false
securityssl3rsa_des_ede3_sha Autoriser ssl3rsa_des_ede3_sha false
securityssl3rsa_fips_des_ede3_sha Autoriser ssl3rsa_fips_des_ede3_sha false
securityssl3rsa_rc4_128_md5 Autoriser ssl3rsa_rc4_128_md5 false
securityssl3rsa_rc4_128_sha Autoriser ssl3rsa_rc4_128_sha false
securityssl3rsa_seed_sha Autoriser ssl3rsa_seed_sha false
Autres paramegravetres
Nom de paramegravetre Description Valeur recommandeacuteesecuritytlsversionmax Version maximum de
SSLTLS3 (ce qui correspond agrave TLS 12)
securitytlsversionmin Version minimum de SSLTLS 2 (ce qui correspond agrave TLS 11)securitysslallow_unrestricted_renego_everywhere__temporarily_available_pref
Activer la reneacutegociation SSL false pour remeacutedier agrave une attaque parle milieu connue
securitysslenable_false_start Activer laquo SSL False Start raquo false car non standardiseacute et amenantde potentielles vulneacuterabiliteacutes
securitysslenable_ocsp_stapling Activer lrsquoOCSP stapling23 true
23 httpsblogmozillaorgsecurity20130729ocsp-stapling-in-firefox
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 19 sur 40
Nom de paramegravetre Description Valeur recommandeacuteesecuritysslrequire_safe_negotiation
Neacutecessite une neacutegociation SSL qui nrsquoutilisepas une ancienne version SSLTLS vul-neacuterable agrave des attaques par le milieu
true est la valeur ideacuteale en termesde seacutecuriteacute mais false reste conseilleacutepour eacuteviter que de nombreux sitescouramment visiteacutes ne soient plus uti-lisables
securitysslrenego_unrestricted_hosts
Liste drsquohocirctes autoriseacutes agrave faire de la reneacute-gociation SSL avec drsquoanciennes versionsvulneacuterables du protocole
Liste drsquohocirctes seacutepareacutes par des virgules(ne supportant pas les wildcards)et qursquoil est utile de renseigner sisecuritysslrequire_safe_negotiationest configureacute agrave true
securityssltreat_unsafe_negotiation_as_broken
Informer lrsquoutilisateur (cadenas casseacute rougedans la barre de status) lorsque les neacutegoci-ations SSLTLS sont non seacutecuriseacutees
true
networkstricttransportsecuritypreloadlist
Charger la liste de sites deacuteclareacutes commeutilisant HSTS (HTTP Strict TransportSecurity24)
true
networkwebsocketallowInsecureFromHTTPS
Autoriser les WebSockets non seacutecuriseacuteepour un site consulteacute en HTTPS
false
securityOCSPenabled Activer OCSP 2 pour veacuterifier le certificat agrave partir delrsquoURL de service OCSP et de lrsquoautoriteacutede certification ayant signeacute le certifi-cat Notons que cette fonctionnaliteacuteest critiqueacutee pour des questions delatence des reacutepondeurs OCSP (de lrsquoor-dre de 300ms pour les plus rapides agraveplus drsquoune seconde pour les plus lents)OCSP tend donc agrave ecirctre remplaceacute pardes listes locales de certificats reacutevo-queacutes dans drsquoautres navigateurs maisFirefox ne dispose pas encore drsquounetelle liste Une entiteacute ayant des con-traintes particuliegraveres quant agrave la la-tence induite par OSCP pourrait opterpour une deacutesactivation drsquoOCSP avecla valeur 0
securityOCSPrequire Neacutecessite la validation du certificat parOCSP avant de continuer la navigation surle site
true si securityOCSPenabled a eacuteteacuteconfigureacute agrave true ou false dans le cascontraire
securitycert_pinningenforcement_level
Niveau de certificate pinning (eacutepinglage decertificats)25(agrave partir de Firefox 32)
2 pour utiliser lrsquoeacutepinglage strict
Gestionnaire de mots de passe
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownpasswords Effacer les mots de passe enregistreacutes agrave la
fermeture du navigateurtrue
signonrememberSignons Active le gestionnaire de mots de passe false
signonautofillForms Remplissage automatique des formulairesde login
false
24 httpsdevelopermozillaorgfrdocsSC3A9curitC3A9HTTP_Strict_Transport_Security25 Lrsquoeacutepinglage de certificats permet drsquoavoir une base locale de certificats connus et attendus pour certains sites Web
consulteacutes en HTTPS Ainsi si le certificat preacutesenteacute par le serveur est valide en tous points de vue mais nrsquoest pas lecertificat attendu la connexion sera coupeacutee Ce meacutecanisme permet drsquoeacuteviter une attaque par le milieu preacutesentant un fauxcertificat issu drsquoune autoriteacute de certification de confiance
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 20 sur 40
Confidentialiteacute
Il nrsquoexiste pas en date de reacutedaction de cette note de regravegle globale pour la deacutesactivation de FirefoxSync Sa deacutesactivation se fait par conseacutequent agrave travers plusieurs regravegles de configuration
Nom de paramegravetre Description Valeur recommandeacuteeservicessyncengineaddons Synchronisation des modules compleacutementaires false
servicessyncenginebookmarks Synchronisation des marque-pages false
servicessyncenginehistory Synchronisation de lrsquohistorique de navigation false
servicessyncenginepasswords Synchronisation des mots de passe stockeacutes false
servicessyncengineprefs Synchronisation des preacutefeacuterences false
servicessyncenginetabs Synchronisation des onglets ouverts false
servicessyncregisterEngines Moteurs de synchronisation enregistreacutes Mettre agrave videservicessyncjpakeserverURL URL du serveur synchronisation jpake Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessynctokenServerURI URI du serveur de jetons Mettre agrave videservicessyncnextSync Planification de la prochaine synchronisation 0
Il convient eacutegalement de deacutesactiver les diffeacuterents rapports agrave Mozilla
Nom de paramegravetre Description Valeur recommandeacuteedatareportinghealthreportaboutreportUrl URL de rapport de santeacute Mettre agrave videdatareportinghealthreportloggingconsoleEnabled
Activer la journalisation (console) du ser-vice de rapports de santeacute
false
datareportinghealthreportloggingdumpEnabled
Activer la journalisation (dumps) du ser-vice de rapports de santeacute
false
datareportinghealthreportnextDataSubmissionTime
Date de prochaine soumission de rapportde santeacute
Mettre agrave vide
datareportinghealthreportserviceenabled Activer le service de rapport de santeacute false
datareportinghealthreportuploadEnabled Autoriser lrsquoenvoi de donneacutees au serveur derapports de santeacute
false
datareportingpolicydataSubmissionEnabled Activer lrsquoenvoi de donneacutees agrave Mozilla agrave desfins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyAccepted
Accepter les conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyBypassAcceptance
Contourner lrsquoacceptation des conditionsdrsquoenvoi de donneacutees agrave Mozilla agrave des finsdrsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyResponseType
Reacuteponse aux conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
accepted-info-bar-dismissed
domipcpluginsreportCrashURL Inteacutegrer lrsquoURL au rapport de crash deplugins
false
domipcpluginsflashsubprocesscrashreporterenabled
Activer le rapport de crash du sous-processus flash
false
toolkittelemetryenabled Activer la fonctionnaliteacute de teacuteleacutemeacutetrie false
toolkittelemetryserver Adresse du serveur de teacuteleacutemeacutetrie Mettre agrave videbreakpadreportURL URL du rapport de crash Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 21 sur 40
Il peut eacutegalement ecirctre utile de configurer lrsquooption de suppression des donneacutees priveacutees (Clear PrivateData) en seacutelectionnant les eacuteleacutements qui seront supprimeacutes Lrsquoentiteacute pourra par exemple permettre auxutilisateurs de supprimer leurs donneacutees priveacutees dans le cadre drsquoune navigation sur internet ou bien delrsquointerdire srsquoil srsquoagit drsquoun navigateur deacutedieacute agrave lrsquointranet Une entiteacute pourrait eacutegalement vouloir toujoursgarder les historiques et le cache agrave des fins drsquoinvestigation (cela nrsquoempecircchera toutefois pas lrsquoutilisateurde les supprimer directement au niveau du systegraveme de fichiers dans son profil utilisateur)
Nom de paramegravetre Description Valeur recommandeacuteeprivacycpdcache Supprimer le cache lors drsquoune suppression des donneacutees
priveacuteesAu choix de lrsquoentiteacute
privacycpdcookies Supprimer les cookies lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpddownloads Supprimer lrsquohistorique des teacuteleacutechargements lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdformdata Supprimer lrsquohistorique de remplissage automatique desformulaire lors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdhistory Supprimer lrsquohistorique lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpdofflineApps Supprimer les applications disponibles hors connexionlors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdpasswords Supprimer les mots de passe enregistreacutes lors drsquoune sup-pression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsessions Supprimer les sessions en cours enregistreacutees lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsiteSettings Supprimer les paramegravetres par site lors drsquoune suppressiondes donneacutees priveacutees
Au choix de lrsquoentiteacute
privacysanitizesanitizeOnShutdown
Supprimer les donneacutees priveacutees agrave la fermeture du naviga-teur
En cas de besoin speacute-cifique de lrsquoentiteacute
Viennent pour finir divers autres paramegravetres lieacutes agrave la confidentialiteacute
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownsessions effacer les sessions de navigation en cours lors
de la fermeture du navigateurtrue
privacyclearOnShutdowncookies effacer les cookies de navigation lors de lafermeture du navigateur
true
privacydonottrackheaderenabled Activer Do-Not-Track true
geoenabled activer la geacuteolocalisation false
geowifiuri URI du service de geacuteolocalisation agrave utiliser Mettre agrave videnetworkprefetch-next Teacuteleacutechargement preacutedictif anticipeacute des docu-
ments lieacutes agrave la page Web visiteacutes (link prefetch-ing)26
false pour eacuteviter lrsquoeacutetablisse-ment de connexions et leteacuteleacutechargement de contenunon solliciteacutes
medianavigatorpermissiondisabled Contourne la permission drsquoacceacuteder agrave la web-cam
false
networkhttpsendRefererHeader Activer lrsquoenvoi de lrsquoentecircte referer 0 pour plus drsquoanonymat ou 2pour ne pas empecirccher le fonc-tionnement de certains sites
browsersend_pings Activer lrsquoenvoi de requecircte POST lors du clicsur un lien (fonctionnaliteacute souvent utiliseacuteepour tracer les clics)
false
26 Le link prefetching permet drsquoacceacuteleacuterer le surf en anticipant le chargement des documents lieacutes agrave la page visiteacutesLrsquoimpleacutementation de ce meacutecanisme dans Firefox ne transmet aucune information agrave Mozilla Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsWebHTTPLink_prefetching_FAQ
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 22 sur 40
Filtrage de contenu
Actions autoriseacutees aux les scripts
Nom de paramegravetre Description Valeur recommandeacuteedomallow_scripts_to_close_windows Autoriser les scripts agrave fermer
une fenecirctrefalse
domdisable_image_src_set Interdire la modification desimages sources par script
false
domdisable_window_flip Interdire le changement defenecirctre active par script
true
domdisable_window_move_resize Deacutetermine si les fenecirctrespeuvent ecirctre bougeacutees or red-imensionneacutees par script
false
domdisable_window_open_featureclose Interdire la creacuteation defenecirctre sans bouton defermeture
true pour eacuteviter les popups in-vasifs
domdisable_window_open_featurelocation Interdire la creacuteation defenecirctre sans barre drsquoadresse
true pour que lrsquoutilisateur puissetoujours veacuterifier ecirctre agrave lrsquoadressepreacutevue
domdisable_window_open_featurestatus Interdire la creacuteation defenecirctre sans barre de status
true pour que lrsquoutilisateur puissese rendre contre plus facilementdes tentatives de spoofing
domdisable_window_open_featuretitlebar Interdire la creacuteation defenecirctre sans barre de titre
true pour que lrsquoutilisateur puissebien voir qursquoil srsquoagit drsquoun popupFirefox
domdisable_window_open_featuretoolbar Interdire la creacuteation defenecirctre sans barre drsquooutils
false
domeventclipboardeventsenabled Permettre agrave un script desaisir les eacuteveacutenements dupresse papier
false
domeventcontextmenuenabled Permettre agrave un script desaisir les eacuteveacutenements drsquoac-cegraves au menu contextuel (clicdroit)
false
dominter-app-communication-apienabled Activer la communicationpar API entre applications
false
domipcpluginsenabled Activation du plugin con-tainer
true pour exeacutecuter les pluginsdans le plugin-container
domipcpluginsjavaenabled Exeacutecuter Java au sein duplugin-container
false pour eacuteviter des problegravemesde stabiliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 23 sur 40
Nom de strateacutegie Description Valeur recommandeacuteebrowsersafebrowsingenabled Utiliser la navigation seacutecuriseacutee
(protection contre le phishing etles logiciels malveillants)27
true
javascriptenabled Activation de Javascript true
securityxpconnectpluginunrestricted Autoriser le scripting de pluginspar des scripts qui ne sont pasde confiance
false agrave moins drsquoune incompatibiliteacute avecdes plugins etou pages Web neacutecessaires agravelrsquoentiteacute
securitymixed_contentblock_active_content
Bloquer le contenu mixte actif true
securitymixed_contentblock_display_content
Bloquer le contenu mixte passif false
securityfileuristrict_origin_policy
Politique drsquoorigine stricte pourles URi de type fichiers
true sauf pour les populations dedeacuteveloppeurs qursquoun tel paramegravetre pourraitbloquer pour le deacuteveloppement en local
networkcookiecookieBehavior Politique de gestion des cookies 1 pour nrsquoautoriser que les cookies duserveur drsquoorigine et bloquer les cookiestiers
networkcookielifetimePolicy Politique drsquoexpiration des cook-ies
2 pour conserver les cookies pendant toutela dureacutee de la session seulement
networkcookiethirdpartysessionOnly Restreindre les cookies tiers agrave ladureacutee de la session seulement
true
networkjaropen-unsafe-types Nrsquoouvrir que les jar servis avecun content-type adeacutequat
false
privacypopupspolicy Politique de popups 1 pour activer les popups ou 2 pour lesrejeter mais cela rendrait la navigationdifficile voire impossible sur une quantiteacutede sites Internet non neacutegligeable
privacypopupsshowBrowserMessage Afficher un message lorsqursquounpopup a eacuteteacute bloqueacute
true
browserpopupsshowPopupBlocker Afficher lrsquoicocircne du bloqueur depopups dans la barre de status
true
securitycspenable Activer la Content Security Pol-icy (politique de seacutecuriteacute descontenus) qui permet de deacute-tecter et de limiter lrsquoimpact decertains types drsquoattaques
true
full-screen-apienabled Activer lrsquoAPI permettant drsquoaf-ficher du contenu en plein eacutecranpour les modules compleacutemen-taires
false
notificationfeatureenabled Permettre les notifications sur lebureau
false
27 La fonctionnaliteacute de navigation seacutecuriseacutee consiste agrave synchroniser une liste locale drsquoadresses de sites maveillants(depuis les serveurs de Google par deacutefaut depuis que Firefox utilise leur service) pour alerter lrsquoutilisateur srsquoil srsquoapprecircte agraveen visiter un Elle consiste eacutegalement agrave analyser le contenu des pages pour repeacuterer drsquoeacuteventuelles tentatives drsquohameccedilonnage
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 24 sur 40
Moteur de recherche par deacutefaut
La configuration drsquoun moteur de recherche personnaliseacute ne peut pas se faire simplement par fichierde configuration et neacutecessite le deacuteploiement drsquoun module de recherche (search engine plugin) LrsquoannexeIV illustre la teacuteleacute-deacuteploiement drsquoun module de recherche utilisant le moteur franccedilais httpswwwqwantcom 28
Nom de paramegravetre Description Exemplebrowsersearchdefaultenginename Moteur de recherche par deacutefaut Qwantcom
browsersearchdefaulturl URL du moteur de recherche pardeacutefaut
httpswwwqwantcomq=searchTerms
browsersearchlog Journalisation de lrsquoutilisation desservices de recherche agrave des fins dedeacuteboggage
false
browsersearchopenintab Ouvrir les reacutesultats de recherchedans un nouvel onglet
false
browsersearchorder1 Moteur de recherche agrave utiliser enprioriteacute 1
Qwantcom
browsersearchsuggestenabled activer les suggestions false
browsersearchupdate Recherche de mises agrave jour pour lesmodules de recherche
false
keywordenabled Permettre de faire une recherchedepuis la barre drsquoadresse
true
Page(s) drsquoaccueil
Nom de strateacutegie Description Valeur recommandeacuteestartuphomepage_override_url Page drsquoaccueil apregraves une mise agrave jour de Firefox En fonction du choix de lrsquoentiteacutestartuphomepage_welcome_url Page drsquoaccueil au premier deacutemarrage En fonction du choix de lrsquoentiteacutebrowserstartuphomepage Page drsquoaccueil about blank pour une page vide
ou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
browserstartuppage Page drsquoaccueil 1 pour ouvrir la page drsquoac-cueil indiqueacutee par le paramegravetrebrowserstartuphomepage
browsersessionstoreresume_from_crash
Restauration de session apregraves crash false
browsersessionstoreenabled Activer le service de restauration de session false
browsernewtaburl Page ouverte par deacutefaut lors de la creacuteationdrsquoun nouvel onglet de navigation
about blank pour une page videou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
28 Ceci nrsquoest en aucun cas une recommandation ni une incitation agrave son utilisation mais un simple exemple
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 25 sur 40
Authentification HTTP
Nom de strateacutegie Description Valeur recommandeacuteenetworkauthforce-generic-ntlm Utiliser le module drsquoauthen-
tification NTLM de Firefoxplutocirct que celui fourni parles APIs du systegraveme
false
networkauthuse-sspi Utiliser SSPI plutocirct queGSSAPI pour lrsquoauthentifica-tion Kerberos
true sous Windows
networkntlmsend-lm-response Envoyer le LM Hash dans lareacuteponse NTLM
false
networkautomatic-ntlm-authallow-proxies
Authentification par NTLMautomatique avec lesserveurs proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networkautomatic-ntlm-authtrusted-uris
Liste des URIs autoriseacuteespour lrsquoauthentification parNTLM automatique
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationNTLM automatique
networkautomatic-ntlm-authallow-non-fqdn
Autoriser lrsquoauthentificationNTLM automatique avecdes sites sans FQDN
false agrave moins que la liste networkautomatic-ntlm-authtrusted-uris comporte des adressessans FQDN
networknegotiate-authallow-non-fqdn
Autoriser lrsquoauthentificationSPNEGO avec des sites sansFQDN
En fonction de lrsquoentiteacute
networknegotiate-authallow-proxies
Autoriser SPNEGO29si de-mandeacute par un serveur proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networknegotiate-authdelegation-uris
Liste des URIs autoriseacuteespour lesquels le navigateurpeut deacuteleacuteguer lrsquoautorisationde lrsquoutilisateur
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites auxquels elle souhaite permettre ladeacuteleacutegation SPNEGO
networknegotiate-authtrusted-uris Liste des URIs autoriseacuteespour engager une authentifi-cation SPNEGO
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationSPNEGO
networknegotiate-authgsslib Chemin vers une librairieGSSLIB speacutecifique
Mettre agrave vide
networknegotiate-authusing-native-gsslib
Utiliser la librairie GSSLIBnative du systegraveme
true
securitydefault_personal_cert Choix du certificat drsquoau-thentification client
Ask Every Time
29 SPNEGO est un standard qui permet de neacutegocier de lrsquoauthentification Kerberos NTLM ainsi que drsquoautresprotocoles supporteacutes pour le systegraveme SPNEGO est eacutegalement connu sous le nom du protocole drsquoauthentificationlaquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 26 sur 40
Serveur mandataire
Nom de paramegravetre Description Valeur recommandeacuteenetworkproxyautoconfig_url URL de configuration automatique du
proxyLaisser agrave vide
networkproxyftp Adresse du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyftp_port port du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp Adresse du proxy proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp_port port du proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyno_proxies_on Liste drsquoexceptions agrave lrsquoutilisation du serveurproxy
A minima localhost 127001 etdavantage en fonction de lrsquoentiteacute etdu peacuterimegravetre drsquoutilisation du naviga-teur
networkproxyshare_proxy_settings
Utiliser le mecircme proxy pour tous les pro-tocoles
false
networkproxysocks Adresse du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_port port du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_remote_dns
Reacutealiser les requecirctes DNS via le proxysocks
false
networkproxysocks_version Version du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl Adresse du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl_port port du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxytype Type drsquoutilisation du proxy 1 pour utiliser les valeurs in-diqueacutees par les paramegravetres ci-dessus(networkproxy)
networkhttpproxyversion version de proxy 11 par deacutefaut et en fonction duserveur proxy de lrsquoentiteacute
networkhttpproxypipelining Activer le pipelining30par proxy false pour des raisons de compat-ibiliteacute Lrsquoentiteacute peut choisir de lrsquoac-tiver si le pipelining est supporteacute parson serveur proxy drsquoentreprise
signonautologinproxy Saisie automatique du mot de passe deproxy
false
30 Le pipelining permet de faire plusieurs requecirctes HTTP simultaneacutement plutocirct que de les faire seacutequentiellement enattendant les reacuteponses de chacune drsquoentre elles Pour plus drsquoinformations httpwww-archivemozillaorgprojectsnetlibhttppipelining-faqhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 27 sur 40
Peacuterimegravetre de navigation
Nom de paramegravetre Description Valeur recommandeacuteenetworkprotocol-handlerexpose-all
Deacutetermine si le navigateur essayedrsquoouvrir les liens cliqueacutes dans lenavigateur en prioriteacute avant delaisser le systegraveme srsquoen charger en casdrsquoeacutechec (si le protocole du lien enquestion nrsquoest pas supporteacute par lenavigateur)
true
networkprotocol-handlerwarn-external-default
Avertir lrsquoutilisateur avant decharger un gestionnaire deprotocole tiers
true
networkprotocol-handlerexternal-default
Action pour lrsquoouverture drsquoun pro-tocole non pris en charge par lenavigateur
false de maniegravere agrave ne pas essayerde charger des protocoles non pris encharge nativement par le navigateur Lrsquoen-titeacute renseignera eacuteventuellement des ges-tionnaires de protocoles tiers pour desprotocoles qursquoelle souhaite explicitementpermettre tels que NNTP Mailto etc Pour illustrer par lrsquoexemple avecMailto le paramegravetre networkprotocol-handlerexternalmailto aurait pour valeurtrue et le paramegravetre networkprotocol-handlerappmailto avec pour valeur lechemin drsquoun exeacutecutable comme MozillaThunderbird ou Microsoft Outlook
networkprotocol-handlerexternalfile
Gestionnaire de protocole filesous Firefox
false
networkprotocol-handlerexternalftp
Gestionnaire de protocole ftpsous Firefox
false
geckohandlerServiceallowRegisterFromDifferentHost
Autoriser les sites Web agrave installerdes gestionnaires de protocoles oude contenus utilisable pour deshocirctes tiers
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 28 sur 40
Administration systegraveme maintenance et options diverses
Parameacutetrage des mises agrave jour
Nom de paramegravetre Description Valeur recommandeacuteeappupdateenabled Activation de la mise agrave jour automatique true
appupdateauto Teacuteleacutechargement et installationautomatiques (neacutecessite que le paramegravetreappupdateenabled ait pour valeurtrue)
true
appupdatecertcheckAttributes Veacuterifie les attributs du certificat du serveurde mise agrave jour
false
appupdatecertrequireBuiltIn Requiert lrsquointeacutegration des certificats duserveur de mise agrave jour et de toutes lesredirections intermeacutediaires
false
appupdatechannel Canal de mise agrave jour esr pour la version ESR de FirefoxappupdatedownloadbackgroundInterval
Temps de pause (en secondes) entrechaque teacuteleacutechargement en arriegravere plandrsquoun morceau de 300 Kb de mise agrave jour
Au choix de lrsquoentiteacute
appupdateidletime Temps de pause (en secondes) entre chaqueteacuteleacutechargement agrave la demande de lrsquoutilisa-teur) drsquoun morceau de 300 Kb de mise agravejour
60
appupdateinterval Intervalle de temps entre chaque veacuterifica-tion de disponibiliteacute de nouvelles mises agravejour
43200
appupdatemode Deacutetermine quelles mises agrave jour sontteacuteleacutechargeacutees en arriegravere plan
0 pour teacuteleacutecharger toutes les mises agravejour sans intervention de lrsquoutilisateur
appupdateserviceenabled Active le service de mise agrave jour de Firefox true
appupdateshowInstalledUI Deacutetermine si apregraves installation de mise agravejour une boicircte de dialogue informe lrsquoutil-isateur qursquoune mise agrave jour a eacuteteacute installeacutee
Au choix de lrsquoentiteacute
appupdatesilent Active le mode de mise agrave jour silencieux true pour une mise agrave jour silencieuseen arriegravere plan
appupdateurl URL de reacutecupeacuteration des mises agrave jour deFirefox
En fonction de la strateacutegie de mise agravejour de lrsquoentiteacute Pour une mise agrave jourdepuis les serveurs de Mozilla httpsaus3mozillaorgupdate3PRODUCTVERSIONBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONupdatexml sinon lrsquoURLdu serveur de mise agrave jour internede lrsquoentiteacute (qursquoil faudra eacutegalementrenseigner dans le paramegravetreappupdateurloverride)
appupdateurloverride URL de reacutecupeacuteration des mises agrave jour deFirefox
Paramegravetre agrave renseigner uniquementdans le cas ou la mise agrave jour deFirefox se fait depuis lrsquoURL drsquounserveur de mise agrave jour interne delrsquoentiteacute (agrave renseigner en plus duparamegravetre appupdateurl)
appupdateurldetails URL de consultation des informations rel-atives aux mises agrave jour disponibles
Laisser la valeur par deacutefautrhttpswwwmozillaorgLOCALEfirefoxnotes
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 29 sur 40
Configuration du cache
Nom de paramegravetre Description Valeur recommandeacuteebrowsercachecheck_doc_frequency Quand veacuterifier la mise agrave jour drsquoune page en
cache disque3 (veacuterifier quand la page estpeacuterimeacutee)
browsercachecompression_level Niveau de compression du cache disque Au choix de lrsquoentiteacute de 0(pas de compression) agrave 9(haut taux de compressionavec forte sollicitation du pro-cesseur)
browsercachediskcapacity Espace disque alloueacute au cache disque enKb
Au choix de lrsquoentiteacute
browsercachediskenable Utiliser le cache disque true
browsercachediskmax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache disque
Au choix de lrsquoentiteacute
browsercachedisksmart_sizeenabled Allocation intelligente de lrsquoespace disquealloueacute au cache en fonction de lrsquoespacedisponible
Au choix de lrsquoentiteacute
browsercachedisk_cache_ssl Mettre en cache disque les pages visiteacuteesen HTTPS
False de maniegravere agrave ne pasmettre en cache le contenuSSL
browsercachememoryenable Utiliser le cache meacutemoire true
browsercachememorymax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache meacutemoire
Au choix de lrsquoentiteacute
browsercachememory_limit Meacutemoire maximum utiliseacutee pour le cachemeacutemoire en Kb
Au choix de lrsquoentiteacute
browsercacheofflinecapacity Espace disque alloueacute au cache des applica-tions Web
Au choix de lrsquoentiteacute
browsercacheofflineenable Utiliser le cache des applications Web per-mettant une utilisation hors ligne
Au choix de lrsquoentiteacute
browsercacheuse_new_backend Utilisation du nouveau systegraveme de cache 0 (ne pas utiliser pour desquestions de stabiliteacute)
networkhttpuse-cache Utiliser le cache des documents HTTP true
mediacache_size Taille du cache pour les fichiers multimedia Au choix de lrsquoentiteacute par deacute-faut 512000
domstoragedefault_quota Quota de stockage cocircteacute client pour lespages Web
5120 taille par deacutefaut
domstorageenabled Active le stockage cocircteacute client pour les pagesWeb
true agrave deacutefaut de vulneacuterabil-iteacutes connues pour cette fonc-tionnaliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 30 sur 40
Deacutesactiver les options de deacuteveloppement (sauf pour les populations de deacuteveloppeurs)
Nom de paramegravetre Description Valeur recommandeacuteedevtoolsappmanagerenabled Activation des outils de deacuteveloppement module appmanager false
devtoolsdebuggerenabled Activation des outils de deacuteveloppement module deacutebogueur false
devtoolserrorconsoleenabled Activation des outils de deacuteveloppement module consoledrsquoerreurs
false
devtoolsfontinspectorenabled Activation des outils de deacuteveloppement module inspecteurde polices
false
devtoolsinspectorenabled Activation des outils de deacuteveloppement module inspecteur false
devtoolsnetmonitorenabled Activation des outils de deacuteveloppement module reacuteseau false
devtoolsprofilerenabled Activation des outils de deacuteveloppement module profileur false
devtoolsshadereditorenabled Activation des outils de deacuteveloppement module vue adaptive false
devtoolsstyleeditorenabled Activation des outils de deacuteveloppement module editeur destyles
false
devtoolstiltenabled Activation des outils de deacuteveloppement module tilt false
devtoolstoolbarenabled Activation des outils de deacuteveloppement module barre dedeacuteveloppement
false
Configurations diverses
Nom de paramegravetre Description Valeur recommandeacuteenetworkseerenable-hover-on-ssl Activer seer sur SSL false
networkseerenabled Activer seer false
networkhttppipelining Activer le pipelining pour le surfHTTP11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttppipeliningssl Activer le pipelining pour le surfHTTPS11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttpspdyenabled Activer SPDY31 false
networkhttpspdyenabledv2 Activer SPDY v2 false
networkhttpspdyenabledv3 Activer SPDY v3 false
networkhttpspdyenabledv3-1 Activer SPDY v31 false
browsershellcheckDefaultBrowser Veacuterifier si Firefox est configureacutecomme navigateur par deacutefaut
false dans le cadre de double naviga-teurs
browserdownloadmanagerscanWhenDone
Scan antivirus drsquoun fichier lorsqueson teacuteleacutechargement est termineacute
true
browserdownloaduseDownloadDir Utiliser le reacutepertoire de teacuteleacutecharge-ment par deacutefaut
false pour que lrsquoutilisateur indique agravequel emplacement il souhaite teacuteleacutechargerle fichier
browserfullscreenautohide Cacher la barre drsquooutils et drsquoongletsen mode plein eacutecran
false
31 SPDY est un protocole reacuteseau expeacuterimental de Google visant agrave augmenter les capaciteacutes du protocole HTTP pourreacuteduire le temps de chargement des pages Web en classant les objets par ordre de prioriteacute et en multiplexant les transfertspour ne neacutecessiter qursquoune seule connexion Ce protocole est vulneacuterable aux attaques CRIME (Compression Ratio Info-leakMade Easy) lorsqursquoil est utiliseacute avec HTTPS (ce qui est geacuteneacuteralement le cas)
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 31 sur 40
Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP
Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory
Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation
La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32
Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers
Fichiers de configuration
La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte
ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet
ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes
Fichier local-settingsjs
pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)
Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 32 sur 40
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
Eacutetant donneacute que seuls les modules compleacutementaires teacuteleacute-deacuteployeacutes par les eacutequipes informatiquessont autoriseacutes il est recommandeacute de bloquer toute possibiliteacute drsquoajout de modules compleacutementaires parlrsquoutilisateur
Nom de strateacutegie Description Valeur recommandeacuteeextensionsgetAddonsgetWithPerformanceurl
URL de reacutecupeacuteration drsquoun module compleacutementaire Mettre agrave vide
extensionsgetAddonsmaxResults Nombre de reacutesultats maximum 0extensionsgetAddonsgeturl URL de consultation drsquoun module compleacutementaire Mettre agrave videextensionsgetAddonsrecommendedbrowseURL
URL de consultation des modules compleacutementairesrecommandeacutes
Mettre agrave vide
extensionsgetAddonsrecommendedurl
URL de consultation des modules compleacutementairesrecommandeacutes par API
Mettre agrave vide
extensionsgetAddonssearchbrowseURL
URL de recherche de modules compleacutementaires Mettre agrave vide
extensionsgetAddonssearchurl URL de recherche de modules compleacutementaires parAPI
Mettre agrave vide
extensionsgetAddonsshowPane Afficher le panneau drsquoajout de modules compleacutemen-taires
false
extensionshideInstallButton Cacher le bouton drsquoinstallation manuelle drsquoextensions true
extensionswebservicediscoverURL URL du catalogue drsquoextensions Mettre agrave videxpinstallenabled Autoriser lrsquoinstallation manuelle de modules au format
XPIfalse
xpinstallwhitelistrequired Obligation pour une archive XPI drsquoecirctre en liste blanchepour ecirctre installeacutee manuellement
true
xpinstallwhitelistaddxpinstallwhitelistadd
Liste blanche drsquoarchives XPI pouvant ecirctre installeacuteesmanuellement
Mettre agrave vide
Pour finir lrsquoentiteacute devra choisir sa strateacutegie de mise agrave jour des extensions teacuteleacute-deacuteployeacutees Lrsquoentiteacutequi voudra teacuteleacute-deacuteployer elle-mecircme les versions agrave jour des modules compleacutementaires apregraves une phase devalidation optera pour le parameacutetrage donneacute ci-dessous la responsabiliteacute du maintien en conditions deseacutecuriteacute sera alors deacuteporteacutee sur les services informatiques en charge du deacuteploiement de ces mises agrave jourDans le cas contraire les valeurs par deacutefaut permettent une mise agrave jour automatique des extensionspar Internet
Nom de strateacutegie Description Valeur recommandeacuteeextensionshotfixcertcheckAttributes
Veacuterifie les attributs du certificat de signature descorrectifs teacuteleacutechargeacutes
true
extensionshotfixcerts1sha1Fingerprint
Empreintes attendues du certificat de signature descorrectifs teacuteleacutechargeacutes
Laisser la valeur par deacutefaut(9153980CC186DF478F35229E11C9A7310449A1AA en date dereacutedaction de ce document)
extensionsupdateautoUpdateDefault
Teacuteleacutecharger et installer automatiquement les mises agravejour drsquoextensions
false
extensionsupdatebackgroundURL
URL de teacuteleacutechargement des mises agrave jour drsquoextensionsen arriegravere plan
Mettre agrave vide
extensionsupdateenabled Activer la mise agrave jour des extensions false
extensionsupdateinterval Intervalle de teacuteleacutechargement des mises agrave jour desextensions
86400 (soit 1 fois par jour)
pluginsupdatenotifyUser Notifier lrsquoutilisateur de la preacutesence drsquoune mise agrave jourpour ses modules compleacutementaires
false
pluginsupdateurl URL de mise agrave jour des modules compleacutementaires Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 18 sur 40
SSLTLS et certificats
Le parameacutetrage des suites cryptographiques autoriseacutees peut engendrer des problegravemes de compa-tibiliteacute selon le contexte Il est donc leacutegitime de preacutefeacuterer ne pas modifier la configuration par deacutefautDans un soucis de durcissement les recommandations suivantes pourraient toutefois ecirctre appliqueacutees
Nom de paramegravetre Description Valeur recommandeacuteesecurityssl3dhe_dss_aes_128_sha Autoriser ssl3dhe_dss_aes_128_sha false
securityssl3dhe_dss_aes_256_sha Autoriser ssl3dhe_dss_aes_256_sha false
securityssl3dhe_dss_camellia_128_sha Autoriser ssl3dhe_dss_camellia_128_sha false
securityssl3dhe_dss_camellia_256_sha Autoriser ssl3dhe_dss_camellia_256_sha false
securityssl3dhe_rsa_aes_128_sha Autoriser ssl3dhe_rsa_aes_128_sha true
securityssl3dhe_rsa_aes_256_sha Autoriser ssl3dhe_rsa_aes_256_sha true
securityssl3dhe_rsa_camellia_128_sha Autoriser ssl3dhe_rsa_camellia_128_sha false
securityssl3dhe_rsa_camellia_256_sha Autoriser ssl3dhe_rsa_camellia_256_sha false
securityssl3dhe_rsa_des_ede3_sha Autoriser ssl3dhe_rsa_des_ede3_sha false
securityssl3ecdhe_ecdsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_ecdsa_aes_128_gcm_sha256
true
securityssl3ecdhe_ecdsa_aes_128_sha Autoriser ssl3ecdhe_ecdsa_aes_128_sha true
securityssl3ecdhe_ecdsa_aes_256_sha Autoriser ssl3ecdhe_ecdsa_aes_256_sha true
securityssl3ecdhe_ecdsa_rc4_128_sha Autoriser ssl3ecdhe_ecdsa_rc4_128_sha false
securityssl3ecdhe_rsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_rsa_aes_128_gcm_sha256
true
securityssl3ecdhe_rsa_aes_128_sha Autoriser ssl3ecdhe_rsa_aes_128_sha true
securityssl3ecdhe_rsa_aes_256_sha Autoriser ssl3ecdhe_rsa_aes_256_sha true
securityssl3ecdhe_rsa_des_ede3_sha Autoriser ssl3ecdhe_rsa_des_ede3_sha false
securityssl3ecdhe_rsa_rc4_128_sha Autoriser ssl3ecdhe_rsa_rc4_128_sha false
securityssl3rsa_aes_128_sha Autoriser ssl3rsa_aes_128_sha true
securityssl3rsa_aes_256_sha Autoriser ssl3rsa_aes_256_sha true
securityssl3rsa_camellia_128_sha Autoriser ssl3rsa_camellia_128_sha false
securityssl3rsa_camellia_256_sha Autoriser ssl3rsa_camellia_256_sha false
securityssl3rsa_des_ede3_sha Autoriser ssl3rsa_des_ede3_sha false
securityssl3rsa_fips_des_ede3_sha Autoriser ssl3rsa_fips_des_ede3_sha false
securityssl3rsa_rc4_128_md5 Autoriser ssl3rsa_rc4_128_md5 false
securityssl3rsa_rc4_128_sha Autoriser ssl3rsa_rc4_128_sha false
securityssl3rsa_seed_sha Autoriser ssl3rsa_seed_sha false
Autres paramegravetres
Nom de paramegravetre Description Valeur recommandeacuteesecuritytlsversionmax Version maximum de
SSLTLS3 (ce qui correspond agrave TLS 12)
securitytlsversionmin Version minimum de SSLTLS 2 (ce qui correspond agrave TLS 11)securitysslallow_unrestricted_renego_everywhere__temporarily_available_pref
Activer la reneacutegociation SSL false pour remeacutedier agrave une attaque parle milieu connue
securitysslenable_false_start Activer laquo SSL False Start raquo false car non standardiseacute et amenantde potentielles vulneacuterabiliteacutes
securitysslenable_ocsp_stapling Activer lrsquoOCSP stapling23 true
23 httpsblogmozillaorgsecurity20130729ocsp-stapling-in-firefox
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 19 sur 40
Nom de paramegravetre Description Valeur recommandeacuteesecuritysslrequire_safe_negotiation
Neacutecessite une neacutegociation SSL qui nrsquoutilisepas une ancienne version SSLTLS vul-neacuterable agrave des attaques par le milieu
true est la valeur ideacuteale en termesde seacutecuriteacute mais false reste conseilleacutepour eacuteviter que de nombreux sitescouramment visiteacutes ne soient plus uti-lisables
securitysslrenego_unrestricted_hosts
Liste drsquohocirctes autoriseacutes agrave faire de la reneacute-gociation SSL avec drsquoanciennes versionsvulneacuterables du protocole
Liste drsquohocirctes seacutepareacutes par des virgules(ne supportant pas les wildcards)et qursquoil est utile de renseigner sisecuritysslrequire_safe_negotiationest configureacute agrave true
securityssltreat_unsafe_negotiation_as_broken
Informer lrsquoutilisateur (cadenas casseacute rougedans la barre de status) lorsque les neacutegoci-ations SSLTLS sont non seacutecuriseacutees
true
networkstricttransportsecuritypreloadlist
Charger la liste de sites deacuteclareacutes commeutilisant HSTS (HTTP Strict TransportSecurity24)
true
networkwebsocketallowInsecureFromHTTPS
Autoriser les WebSockets non seacutecuriseacuteepour un site consulteacute en HTTPS
false
securityOCSPenabled Activer OCSP 2 pour veacuterifier le certificat agrave partir delrsquoURL de service OCSP et de lrsquoautoriteacutede certification ayant signeacute le certifi-cat Notons que cette fonctionnaliteacuteest critiqueacutee pour des questions delatence des reacutepondeurs OCSP (de lrsquoor-dre de 300ms pour les plus rapides agraveplus drsquoune seconde pour les plus lents)OCSP tend donc agrave ecirctre remplaceacute pardes listes locales de certificats reacutevo-queacutes dans drsquoautres navigateurs maisFirefox ne dispose pas encore drsquounetelle liste Une entiteacute ayant des con-traintes particuliegraveres quant agrave la la-tence induite par OSCP pourrait opterpour une deacutesactivation drsquoOCSP avecla valeur 0
securityOCSPrequire Neacutecessite la validation du certificat parOCSP avant de continuer la navigation surle site
true si securityOCSPenabled a eacuteteacuteconfigureacute agrave true ou false dans le cascontraire
securitycert_pinningenforcement_level
Niveau de certificate pinning (eacutepinglage decertificats)25(agrave partir de Firefox 32)
2 pour utiliser lrsquoeacutepinglage strict
Gestionnaire de mots de passe
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownpasswords Effacer les mots de passe enregistreacutes agrave la
fermeture du navigateurtrue
signonrememberSignons Active le gestionnaire de mots de passe false
signonautofillForms Remplissage automatique des formulairesde login
false
24 httpsdevelopermozillaorgfrdocsSC3A9curitC3A9HTTP_Strict_Transport_Security25 Lrsquoeacutepinglage de certificats permet drsquoavoir une base locale de certificats connus et attendus pour certains sites Web
consulteacutes en HTTPS Ainsi si le certificat preacutesenteacute par le serveur est valide en tous points de vue mais nrsquoest pas lecertificat attendu la connexion sera coupeacutee Ce meacutecanisme permet drsquoeacuteviter une attaque par le milieu preacutesentant un fauxcertificat issu drsquoune autoriteacute de certification de confiance
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 20 sur 40
Confidentialiteacute
Il nrsquoexiste pas en date de reacutedaction de cette note de regravegle globale pour la deacutesactivation de FirefoxSync Sa deacutesactivation se fait par conseacutequent agrave travers plusieurs regravegles de configuration
Nom de paramegravetre Description Valeur recommandeacuteeservicessyncengineaddons Synchronisation des modules compleacutementaires false
servicessyncenginebookmarks Synchronisation des marque-pages false
servicessyncenginehistory Synchronisation de lrsquohistorique de navigation false
servicessyncenginepasswords Synchronisation des mots de passe stockeacutes false
servicessyncengineprefs Synchronisation des preacutefeacuterences false
servicessyncenginetabs Synchronisation des onglets ouverts false
servicessyncregisterEngines Moteurs de synchronisation enregistreacutes Mettre agrave videservicessyncjpakeserverURL URL du serveur synchronisation jpake Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessynctokenServerURI URI du serveur de jetons Mettre agrave videservicessyncnextSync Planification de la prochaine synchronisation 0
Il convient eacutegalement de deacutesactiver les diffeacuterents rapports agrave Mozilla
Nom de paramegravetre Description Valeur recommandeacuteedatareportinghealthreportaboutreportUrl URL de rapport de santeacute Mettre agrave videdatareportinghealthreportloggingconsoleEnabled
Activer la journalisation (console) du ser-vice de rapports de santeacute
false
datareportinghealthreportloggingdumpEnabled
Activer la journalisation (dumps) du ser-vice de rapports de santeacute
false
datareportinghealthreportnextDataSubmissionTime
Date de prochaine soumission de rapportde santeacute
Mettre agrave vide
datareportinghealthreportserviceenabled Activer le service de rapport de santeacute false
datareportinghealthreportuploadEnabled Autoriser lrsquoenvoi de donneacutees au serveur derapports de santeacute
false
datareportingpolicydataSubmissionEnabled Activer lrsquoenvoi de donneacutees agrave Mozilla agrave desfins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyAccepted
Accepter les conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyBypassAcceptance
Contourner lrsquoacceptation des conditionsdrsquoenvoi de donneacutees agrave Mozilla agrave des finsdrsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyResponseType
Reacuteponse aux conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
accepted-info-bar-dismissed
domipcpluginsreportCrashURL Inteacutegrer lrsquoURL au rapport de crash deplugins
false
domipcpluginsflashsubprocesscrashreporterenabled
Activer le rapport de crash du sous-processus flash
false
toolkittelemetryenabled Activer la fonctionnaliteacute de teacuteleacutemeacutetrie false
toolkittelemetryserver Adresse du serveur de teacuteleacutemeacutetrie Mettre agrave videbreakpadreportURL URL du rapport de crash Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 21 sur 40
Il peut eacutegalement ecirctre utile de configurer lrsquooption de suppression des donneacutees priveacutees (Clear PrivateData) en seacutelectionnant les eacuteleacutements qui seront supprimeacutes Lrsquoentiteacute pourra par exemple permettre auxutilisateurs de supprimer leurs donneacutees priveacutees dans le cadre drsquoune navigation sur internet ou bien delrsquointerdire srsquoil srsquoagit drsquoun navigateur deacutedieacute agrave lrsquointranet Une entiteacute pourrait eacutegalement vouloir toujoursgarder les historiques et le cache agrave des fins drsquoinvestigation (cela nrsquoempecircchera toutefois pas lrsquoutilisateurde les supprimer directement au niveau du systegraveme de fichiers dans son profil utilisateur)
Nom de paramegravetre Description Valeur recommandeacuteeprivacycpdcache Supprimer le cache lors drsquoune suppression des donneacutees
priveacuteesAu choix de lrsquoentiteacute
privacycpdcookies Supprimer les cookies lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpddownloads Supprimer lrsquohistorique des teacuteleacutechargements lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdformdata Supprimer lrsquohistorique de remplissage automatique desformulaire lors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdhistory Supprimer lrsquohistorique lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpdofflineApps Supprimer les applications disponibles hors connexionlors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdpasswords Supprimer les mots de passe enregistreacutes lors drsquoune sup-pression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsessions Supprimer les sessions en cours enregistreacutees lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsiteSettings Supprimer les paramegravetres par site lors drsquoune suppressiondes donneacutees priveacutees
Au choix de lrsquoentiteacute
privacysanitizesanitizeOnShutdown
Supprimer les donneacutees priveacutees agrave la fermeture du naviga-teur
En cas de besoin speacute-cifique de lrsquoentiteacute
Viennent pour finir divers autres paramegravetres lieacutes agrave la confidentialiteacute
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownsessions effacer les sessions de navigation en cours lors
de la fermeture du navigateurtrue
privacyclearOnShutdowncookies effacer les cookies de navigation lors de lafermeture du navigateur
true
privacydonottrackheaderenabled Activer Do-Not-Track true
geoenabled activer la geacuteolocalisation false
geowifiuri URI du service de geacuteolocalisation agrave utiliser Mettre agrave videnetworkprefetch-next Teacuteleacutechargement preacutedictif anticipeacute des docu-
ments lieacutes agrave la page Web visiteacutes (link prefetch-ing)26
false pour eacuteviter lrsquoeacutetablisse-ment de connexions et leteacuteleacutechargement de contenunon solliciteacutes
medianavigatorpermissiondisabled Contourne la permission drsquoacceacuteder agrave la web-cam
false
networkhttpsendRefererHeader Activer lrsquoenvoi de lrsquoentecircte referer 0 pour plus drsquoanonymat ou 2pour ne pas empecirccher le fonc-tionnement de certains sites
browsersend_pings Activer lrsquoenvoi de requecircte POST lors du clicsur un lien (fonctionnaliteacute souvent utiliseacuteepour tracer les clics)
false
26 Le link prefetching permet drsquoacceacuteleacuterer le surf en anticipant le chargement des documents lieacutes agrave la page visiteacutesLrsquoimpleacutementation de ce meacutecanisme dans Firefox ne transmet aucune information agrave Mozilla Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsWebHTTPLink_prefetching_FAQ
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 22 sur 40
Filtrage de contenu
Actions autoriseacutees aux les scripts
Nom de paramegravetre Description Valeur recommandeacuteedomallow_scripts_to_close_windows Autoriser les scripts agrave fermer
une fenecirctrefalse
domdisable_image_src_set Interdire la modification desimages sources par script
false
domdisable_window_flip Interdire le changement defenecirctre active par script
true
domdisable_window_move_resize Deacutetermine si les fenecirctrespeuvent ecirctre bougeacutees or red-imensionneacutees par script
false
domdisable_window_open_featureclose Interdire la creacuteation defenecirctre sans bouton defermeture
true pour eacuteviter les popups in-vasifs
domdisable_window_open_featurelocation Interdire la creacuteation defenecirctre sans barre drsquoadresse
true pour que lrsquoutilisateur puissetoujours veacuterifier ecirctre agrave lrsquoadressepreacutevue
domdisable_window_open_featurestatus Interdire la creacuteation defenecirctre sans barre de status
true pour que lrsquoutilisateur puissese rendre contre plus facilementdes tentatives de spoofing
domdisable_window_open_featuretitlebar Interdire la creacuteation defenecirctre sans barre de titre
true pour que lrsquoutilisateur puissebien voir qursquoil srsquoagit drsquoun popupFirefox
domdisable_window_open_featuretoolbar Interdire la creacuteation defenecirctre sans barre drsquooutils
false
domeventclipboardeventsenabled Permettre agrave un script desaisir les eacuteveacutenements dupresse papier
false
domeventcontextmenuenabled Permettre agrave un script desaisir les eacuteveacutenements drsquoac-cegraves au menu contextuel (clicdroit)
false
dominter-app-communication-apienabled Activer la communicationpar API entre applications
false
domipcpluginsenabled Activation du plugin con-tainer
true pour exeacutecuter les pluginsdans le plugin-container
domipcpluginsjavaenabled Exeacutecuter Java au sein duplugin-container
false pour eacuteviter des problegravemesde stabiliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 23 sur 40
Nom de strateacutegie Description Valeur recommandeacuteebrowsersafebrowsingenabled Utiliser la navigation seacutecuriseacutee
(protection contre le phishing etles logiciels malveillants)27
true
javascriptenabled Activation de Javascript true
securityxpconnectpluginunrestricted Autoriser le scripting de pluginspar des scripts qui ne sont pasde confiance
false agrave moins drsquoune incompatibiliteacute avecdes plugins etou pages Web neacutecessaires agravelrsquoentiteacute
securitymixed_contentblock_active_content
Bloquer le contenu mixte actif true
securitymixed_contentblock_display_content
Bloquer le contenu mixte passif false
securityfileuristrict_origin_policy
Politique drsquoorigine stricte pourles URi de type fichiers
true sauf pour les populations dedeacuteveloppeurs qursquoun tel paramegravetre pourraitbloquer pour le deacuteveloppement en local
networkcookiecookieBehavior Politique de gestion des cookies 1 pour nrsquoautoriser que les cookies duserveur drsquoorigine et bloquer les cookiestiers
networkcookielifetimePolicy Politique drsquoexpiration des cook-ies
2 pour conserver les cookies pendant toutela dureacutee de la session seulement
networkcookiethirdpartysessionOnly Restreindre les cookies tiers agrave ladureacutee de la session seulement
true
networkjaropen-unsafe-types Nrsquoouvrir que les jar servis avecun content-type adeacutequat
false
privacypopupspolicy Politique de popups 1 pour activer les popups ou 2 pour lesrejeter mais cela rendrait la navigationdifficile voire impossible sur une quantiteacutede sites Internet non neacutegligeable
privacypopupsshowBrowserMessage Afficher un message lorsqursquounpopup a eacuteteacute bloqueacute
true
browserpopupsshowPopupBlocker Afficher lrsquoicocircne du bloqueur depopups dans la barre de status
true
securitycspenable Activer la Content Security Pol-icy (politique de seacutecuriteacute descontenus) qui permet de deacute-tecter et de limiter lrsquoimpact decertains types drsquoattaques
true
full-screen-apienabled Activer lrsquoAPI permettant drsquoaf-ficher du contenu en plein eacutecranpour les modules compleacutemen-taires
false
notificationfeatureenabled Permettre les notifications sur lebureau
false
27 La fonctionnaliteacute de navigation seacutecuriseacutee consiste agrave synchroniser une liste locale drsquoadresses de sites maveillants(depuis les serveurs de Google par deacutefaut depuis que Firefox utilise leur service) pour alerter lrsquoutilisateur srsquoil srsquoapprecircte agraveen visiter un Elle consiste eacutegalement agrave analyser le contenu des pages pour repeacuterer drsquoeacuteventuelles tentatives drsquohameccedilonnage
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 24 sur 40
Moteur de recherche par deacutefaut
La configuration drsquoun moteur de recherche personnaliseacute ne peut pas se faire simplement par fichierde configuration et neacutecessite le deacuteploiement drsquoun module de recherche (search engine plugin) LrsquoannexeIV illustre la teacuteleacute-deacuteploiement drsquoun module de recherche utilisant le moteur franccedilais httpswwwqwantcom 28
Nom de paramegravetre Description Exemplebrowsersearchdefaultenginename Moteur de recherche par deacutefaut Qwantcom
browsersearchdefaulturl URL du moteur de recherche pardeacutefaut
httpswwwqwantcomq=searchTerms
browsersearchlog Journalisation de lrsquoutilisation desservices de recherche agrave des fins dedeacuteboggage
false
browsersearchopenintab Ouvrir les reacutesultats de recherchedans un nouvel onglet
false
browsersearchorder1 Moteur de recherche agrave utiliser enprioriteacute 1
Qwantcom
browsersearchsuggestenabled activer les suggestions false
browsersearchupdate Recherche de mises agrave jour pour lesmodules de recherche
false
keywordenabled Permettre de faire une recherchedepuis la barre drsquoadresse
true
Page(s) drsquoaccueil
Nom de strateacutegie Description Valeur recommandeacuteestartuphomepage_override_url Page drsquoaccueil apregraves une mise agrave jour de Firefox En fonction du choix de lrsquoentiteacutestartuphomepage_welcome_url Page drsquoaccueil au premier deacutemarrage En fonction du choix de lrsquoentiteacutebrowserstartuphomepage Page drsquoaccueil about blank pour une page vide
ou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
browserstartuppage Page drsquoaccueil 1 pour ouvrir la page drsquoac-cueil indiqueacutee par le paramegravetrebrowserstartuphomepage
browsersessionstoreresume_from_crash
Restauration de session apregraves crash false
browsersessionstoreenabled Activer le service de restauration de session false
browsernewtaburl Page ouverte par deacutefaut lors de la creacuteationdrsquoun nouvel onglet de navigation
about blank pour une page videou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
28 Ceci nrsquoest en aucun cas une recommandation ni une incitation agrave son utilisation mais un simple exemple
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 25 sur 40
Authentification HTTP
Nom de strateacutegie Description Valeur recommandeacuteenetworkauthforce-generic-ntlm Utiliser le module drsquoauthen-
tification NTLM de Firefoxplutocirct que celui fourni parles APIs du systegraveme
false
networkauthuse-sspi Utiliser SSPI plutocirct queGSSAPI pour lrsquoauthentifica-tion Kerberos
true sous Windows
networkntlmsend-lm-response Envoyer le LM Hash dans lareacuteponse NTLM
false
networkautomatic-ntlm-authallow-proxies
Authentification par NTLMautomatique avec lesserveurs proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networkautomatic-ntlm-authtrusted-uris
Liste des URIs autoriseacuteespour lrsquoauthentification parNTLM automatique
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationNTLM automatique
networkautomatic-ntlm-authallow-non-fqdn
Autoriser lrsquoauthentificationNTLM automatique avecdes sites sans FQDN
false agrave moins que la liste networkautomatic-ntlm-authtrusted-uris comporte des adressessans FQDN
networknegotiate-authallow-non-fqdn
Autoriser lrsquoauthentificationSPNEGO avec des sites sansFQDN
En fonction de lrsquoentiteacute
networknegotiate-authallow-proxies
Autoriser SPNEGO29si de-mandeacute par un serveur proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networknegotiate-authdelegation-uris
Liste des URIs autoriseacuteespour lesquels le navigateurpeut deacuteleacuteguer lrsquoautorisationde lrsquoutilisateur
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites auxquels elle souhaite permettre ladeacuteleacutegation SPNEGO
networknegotiate-authtrusted-uris Liste des URIs autoriseacuteespour engager une authentifi-cation SPNEGO
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationSPNEGO
networknegotiate-authgsslib Chemin vers une librairieGSSLIB speacutecifique
Mettre agrave vide
networknegotiate-authusing-native-gsslib
Utiliser la librairie GSSLIBnative du systegraveme
true
securitydefault_personal_cert Choix du certificat drsquoau-thentification client
Ask Every Time
29 SPNEGO est un standard qui permet de neacutegocier de lrsquoauthentification Kerberos NTLM ainsi que drsquoautresprotocoles supporteacutes pour le systegraveme SPNEGO est eacutegalement connu sous le nom du protocole drsquoauthentificationlaquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 26 sur 40
Serveur mandataire
Nom de paramegravetre Description Valeur recommandeacuteenetworkproxyautoconfig_url URL de configuration automatique du
proxyLaisser agrave vide
networkproxyftp Adresse du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyftp_port port du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp Adresse du proxy proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp_port port du proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyno_proxies_on Liste drsquoexceptions agrave lrsquoutilisation du serveurproxy
A minima localhost 127001 etdavantage en fonction de lrsquoentiteacute etdu peacuterimegravetre drsquoutilisation du naviga-teur
networkproxyshare_proxy_settings
Utiliser le mecircme proxy pour tous les pro-tocoles
false
networkproxysocks Adresse du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_port port du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_remote_dns
Reacutealiser les requecirctes DNS via le proxysocks
false
networkproxysocks_version Version du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl Adresse du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl_port port du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxytype Type drsquoutilisation du proxy 1 pour utiliser les valeurs in-diqueacutees par les paramegravetres ci-dessus(networkproxy)
networkhttpproxyversion version de proxy 11 par deacutefaut et en fonction duserveur proxy de lrsquoentiteacute
networkhttpproxypipelining Activer le pipelining30par proxy false pour des raisons de compat-ibiliteacute Lrsquoentiteacute peut choisir de lrsquoac-tiver si le pipelining est supporteacute parson serveur proxy drsquoentreprise
signonautologinproxy Saisie automatique du mot de passe deproxy
false
30 Le pipelining permet de faire plusieurs requecirctes HTTP simultaneacutement plutocirct que de les faire seacutequentiellement enattendant les reacuteponses de chacune drsquoentre elles Pour plus drsquoinformations httpwww-archivemozillaorgprojectsnetlibhttppipelining-faqhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 27 sur 40
Peacuterimegravetre de navigation
Nom de paramegravetre Description Valeur recommandeacuteenetworkprotocol-handlerexpose-all
Deacutetermine si le navigateur essayedrsquoouvrir les liens cliqueacutes dans lenavigateur en prioriteacute avant delaisser le systegraveme srsquoen charger en casdrsquoeacutechec (si le protocole du lien enquestion nrsquoest pas supporteacute par lenavigateur)
true
networkprotocol-handlerwarn-external-default
Avertir lrsquoutilisateur avant decharger un gestionnaire deprotocole tiers
true
networkprotocol-handlerexternal-default
Action pour lrsquoouverture drsquoun pro-tocole non pris en charge par lenavigateur
false de maniegravere agrave ne pas essayerde charger des protocoles non pris encharge nativement par le navigateur Lrsquoen-titeacute renseignera eacuteventuellement des ges-tionnaires de protocoles tiers pour desprotocoles qursquoelle souhaite explicitementpermettre tels que NNTP Mailto etc Pour illustrer par lrsquoexemple avecMailto le paramegravetre networkprotocol-handlerexternalmailto aurait pour valeurtrue et le paramegravetre networkprotocol-handlerappmailto avec pour valeur lechemin drsquoun exeacutecutable comme MozillaThunderbird ou Microsoft Outlook
networkprotocol-handlerexternalfile
Gestionnaire de protocole filesous Firefox
false
networkprotocol-handlerexternalftp
Gestionnaire de protocole ftpsous Firefox
false
geckohandlerServiceallowRegisterFromDifferentHost
Autoriser les sites Web agrave installerdes gestionnaires de protocoles oude contenus utilisable pour deshocirctes tiers
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 28 sur 40
Administration systegraveme maintenance et options diverses
Parameacutetrage des mises agrave jour
Nom de paramegravetre Description Valeur recommandeacuteeappupdateenabled Activation de la mise agrave jour automatique true
appupdateauto Teacuteleacutechargement et installationautomatiques (neacutecessite que le paramegravetreappupdateenabled ait pour valeurtrue)
true
appupdatecertcheckAttributes Veacuterifie les attributs du certificat du serveurde mise agrave jour
false
appupdatecertrequireBuiltIn Requiert lrsquointeacutegration des certificats duserveur de mise agrave jour et de toutes lesredirections intermeacutediaires
false
appupdatechannel Canal de mise agrave jour esr pour la version ESR de FirefoxappupdatedownloadbackgroundInterval
Temps de pause (en secondes) entrechaque teacuteleacutechargement en arriegravere plandrsquoun morceau de 300 Kb de mise agrave jour
Au choix de lrsquoentiteacute
appupdateidletime Temps de pause (en secondes) entre chaqueteacuteleacutechargement agrave la demande de lrsquoutilisa-teur) drsquoun morceau de 300 Kb de mise agravejour
60
appupdateinterval Intervalle de temps entre chaque veacuterifica-tion de disponibiliteacute de nouvelles mises agravejour
43200
appupdatemode Deacutetermine quelles mises agrave jour sontteacuteleacutechargeacutees en arriegravere plan
0 pour teacuteleacutecharger toutes les mises agravejour sans intervention de lrsquoutilisateur
appupdateserviceenabled Active le service de mise agrave jour de Firefox true
appupdateshowInstalledUI Deacutetermine si apregraves installation de mise agravejour une boicircte de dialogue informe lrsquoutil-isateur qursquoune mise agrave jour a eacuteteacute installeacutee
Au choix de lrsquoentiteacute
appupdatesilent Active le mode de mise agrave jour silencieux true pour une mise agrave jour silencieuseen arriegravere plan
appupdateurl URL de reacutecupeacuteration des mises agrave jour deFirefox
En fonction de la strateacutegie de mise agravejour de lrsquoentiteacute Pour une mise agrave jourdepuis les serveurs de Mozilla httpsaus3mozillaorgupdate3PRODUCTVERSIONBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONupdatexml sinon lrsquoURLdu serveur de mise agrave jour internede lrsquoentiteacute (qursquoil faudra eacutegalementrenseigner dans le paramegravetreappupdateurloverride)
appupdateurloverride URL de reacutecupeacuteration des mises agrave jour deFirefox
Paramegravetre agrave renseigner uniquementdans le cas ou la mise agrave jour deFirefox se fait depuis lrsquoURL drsquounserveur de mise agrave jour interne delrsquoentiteacute (agrave renseigner en plus duparamegravetre appupdateurl)
appupdateurldetails URL de consultation des informations rel-atives aux mises agrave jour disponibles
Laisser la valeur par deacutefautrhttpswwwmozillaorgLOCALEfirefoxnotes
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 29 sur 40
Configuration du cache
Nom de paramegravetre Description Valeur recommandeacuteebrowsercachecheck_doc_frequency Quand veacuterifier la mise agrave jour drsquoune page en
cache disque3 (veacuterifier quand la page estpeacuterimeacutee)
browsercachecompression_level Niveau de compression du cache disque Au choix de lrsquoentiteacute de 0(pas de compression) agrave 9(haut taux de compressionavec forte sollicitation du pro-cesseur)
browsercachediskcapacity Espace disque alloueacute au cache disque enKb
Au choix de lrsquoentiteacute
browsercachediskenable Utiliser le cache disque true
browsercachediskmax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache disque
Au choix de lrsquoentiteacute
browsercachedisksmart_sizeenabled Allocation intelligente de lrsquoespace disquealloueacute au cache en fonction de lrsquoespacedisponible
Au choix de lrsquoentiteacute
browsercachedisk_cache_ssl Mettre en cache disque les pages visiteacuteesen HTTPS
False de maniegravere agrave ne pasmettre en cache le contenuSSL
browsercachememoryenable Utiliser le cache meacutemoire true
browsercachememorymax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache meacutemoire
Au choix de lrsquoentiteacute
browsercachememory_limit Meacutemoire maximum utiliseacutee pour le cachemeacutemoire en Kb
Au choix de lrsquoentiteacute
browsercacheofflinecapacity Espace disque alloueacute au cache des applica-tions Web
Au choix de lrsquoentiteacute
browsercacheofflineenable Utiliser le cache des applications Web per-mettant une utilisation hors ligne
Au choix de lrsquoentiteacute
browsercacheuse_new_backend Utilisation du nouveau systegraveme de cache 0 (ne pas utiliser pour desquestions de stabiliteacute)
networkhttpuse-cache Utiliser le cache des documents HTTP true
mediacache_size Taille du cache pour les fichiers multimedia Au choix de lrsquoentiteacute par deacute-faut 512000
domstoragedefault_quota Quota de stockage cocircteacute client pour lespages Web
5120 taille par deacutefaut
domstorageenabled Active le stockage cocircteacute client pour les pagesWeb
true agrave deacutefaut de vulneacuterabil-iteacutes connues pour cette fonc-tionnaliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 30 sur 40
Deacutesactiver les options de deacuteveloppement (sauf pour les populations de deacuteveloppeurs)
Nom de paramegravetre Description Valeur recommandeacuteedevtoolsappmanagerenabled Activation des outils de deacuteveloppement module appmanager false
devtoolsdebuggerenabled Activation des outils de deacuteveloppement module deacutebogueur false
devtoolserrorconsoleenabled Activation des outils de deacuteveloppement module consoledrsquoerreurs
false
devtoolsfontinspectorenabled Activation des outils de deacuteveloppement module inspecteurde polices
false
devtoolsinspectorenabled Activation des outils de deacuteveloppement module inspecteur false
devtoolsnetmonitorenabled Activation des outils de deacuteveloppement module reacuteseau false
devtoolsprofilerenabled Activation des outils de deacuteveloppement module profileur false
devtoolsshadereditorenabled Activation des outils de deacuteveloppement module vue adaptive false
devtoolsstyleeditorenabled Activation des outils de deacuteveloppement module editeur destyles
false
devtoolstiltenabled Activation des outils de deacuteveloppement module tilt false
devtoolstoolbarenabled Activation des outils de deacuteveloppement module barre dedeacuteveloppement
false
Configurations diverses
Nom de paramegravetre Description Valeur recommandeacuteenetworkseerenable-hover-on-ssl Activer seer sur SSL false
networkseerenabled Activer seer false
networkhttppipelining Activer le pipelining pour le surfHTTP11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttppipeliningssl Activer le pipelining pour le surfHTTPS11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttpspdyenabled Activer SPDY31 false
networkhttpspdyenabledv2 Activer SPDY v2 false
networkhttpspdyenabledv3 Activer SPDY v3 false
networkhttpspdyenabledv3-1 Activer SPDY v31 false
browsershellcheckDefaultBrowser Veacuterifier si Firefox est configureacutecomme navigateur par deacutefaut
false dans le cadre de double naviga-teurs
browserdownloadmanagerscanWhenDone
Scan antivirus drsquoun fichier lorsqueson teacuteleacutechargement est termineacute
true
browserdownloaduseDownloadDir Utiliser le reacutepertoire de teacuteleacutecharge-ment par deacutefaut
false pour que lrsquoutilisateur indique agravequel emplacement il souhaite teacuteleacutechargerle fichier
browserfullscreenautohide Cacher la barre drsquooutils et drsquoongletsen mode plein eacutecran
false
31 SPDY est un protocole reacuteseau expeacuterimental de Google visant agrave augmenter les capaciteacutes du protocole HTTP pourreacuteduire le temps de chargement des pages Web en classant les objets par ordre de prioriteacute et en multiplexant les transfertspour ne neacutecessiter qursquoune seule connexion Ce protocole est vulneacuterable aux attaques CRIME (Compression Ratio Info-leakMade Easy) lorsqursquoil est utiliseacute avec HTTPS (ce qui est geacuteneacuteralement le cas)
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 31 sur 40
Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP
Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory
Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation
La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32
Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers
Fichiers de configuration
La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte
ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet
ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes
Fichier local-settingsjs
pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)
Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 32 sur 40
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
SSLTLS et certificats
Le parameacutetrage des suites cryptographiques autoriseacutees peut engendrer des problegravemes de compa-tibiliteacute selon le contexte Il est donc leacutegitime de preacutefeacuterer ne pas modifier la configuration par deacutefautDans un soucis de durcissement les recommandations suivantes pourraient toutefois ecirctre appliqueacutees
Nom de paramegravetre Description Valeur recommandeacuteesecurityssl3dhe_dss_aes_128_sha Autoriser ssl3dhe_dss_aes_128_sha false
securityssl3dhe_dss_aes_256_sha Autoriser ssl3dhe_dss_aes_256_sha false
securityssl3dhe_dss_camellia_128_sha Autoriser ssl3dhe_dss_camellia_128_sha false
securityssl3dhe_dss_camellia_256_sha Autoriser ssl3dhe_dss_camellia_256_sha false
securityssl3dhe_rsa_aes_128_sha Autoriser ssl3dhe_rsa_aes_128_sha true
securityssl3dhe_rsa_aes_256_sha Autoriser ssl3dhe_rsa_aes_256_sha true
securityssl3dhe_rsa_camellia_128_sha Autoriser ssl3dhe_rsa_camellia_128_sha false
securityssl3dhe_rsa_camellia_256_sha Autoriser ssl3dhe_rsa_camellia_256_sha false
securityssl3dhe_rsa_des_ede3_sha Autoriser ssl3dhe_rsa_des_ede3_sha false
securityssl3ecdhe_ecdsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_ecdsa_aes_128_gcm_sha256
true
securityssl3ecdhe_ecdsa_aes_128_sha Autoriser ssl3ecdhe_ecdsa_aes_128_sha true
securityssl3ecdhe_ecdsa_aes_256_sha Autoriser ssl3ecdhe_ecdsa_aes_256_sha true
securityssl3ecdhe_ecdsa_rc4_128_sha Autoriser ssl3ecdhe_ecdsa_rc4_128_sha false
securityssl3ecdhe_rsa_aes_128_gcm_sha256
Autoriser ssl3ecdhe_rsa_aes_128_gcm_sha256
true
securityssl3ecdhe_rsa_aes_128_sha Autoriser ssl3ecdhe_rsa_aes_128_sha true
securityssl3ecdhe_rsa_aes_256_sha Autoriser ssl3ecdhe_rsa_aes_256_sha true
securityssl3ecdhe_rsa_des_ede3_sha Autoriser ssl3ecdhe_rsa_des_ede3_sha false
securityssl3ecdhe_rsa_rc4_128_sha Autoriser ssl3ecdhe_rsa_rc4_128_sha false
securityssl3rsa_aes_128_sha Autoriser ssl3rsa_aes_128_sha true
securityssl3rsa_aes_256_sha Autoriser ssl3rsa_aes_256_sha true
securityssl3rsa_camellia_128_sha Autoriser ssl3rsa_camellia_128_sha false
securityssl3rsa_camellia_256_sha Autoriser ssl3rsa_camellia_256_sha false
securityssl3rsa_des_ede3_sha Autoriser ssl3rsa_des_ede3_sha false
securityssl3rsa_fips_des_ede3_sha Autoriser ssl3rsa_fips_des_ede3_sha false
securityssl3rsa_rc4_128_md5 Autoriser ssl3rsa_rc4_128_md5 false
securityssl3rsa_rc4_128_sha Autoriser ssl3rsa_rc4_128_sha false
securityssl3rsa_seed_sha Autoriser ssl3rsa_seed_sha false
Autres paramegravetres
Nom de paramegravetre Description Valeur recommandeacuteesecuritytlsversionmax Version maximum de
SSLTLS3 (ce qui correspond agrave TLS 12)
securitytlsversionmin Version minimum de SSLTLS 2 (ce qui correspond agrave TLS 11)securitysslallow_unrestricted_renego_everywhere__temporarily_available_pref
Activer la reneacutegociation SSL false pour remeacutedier agrave une attaque parle milieu connue
securitysslenable_false_start Activer laquo SSL False Start raquo false car non standardiseacute et amenantde potentielles vulneacuterabiliteacutes
securitysslenable_ocsp_stapling Activer lrsquoOCSP stapling23 true
23 httpsblogmozillaorgsecurity20130729ocsp-stapling-in-firefox
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 19 sur 40
Nom de paramegravetre Description Valeur recommandeacuteesecuritysslrequire_safe_negotiation
Neacutecessite une neacutegociation SSL qui nrsquoutilisepas une ancienne version SSLTLS vul-neacuterable agrave des attaques par le milieu
true est la valeur ideacuteale en termesde seacutecuriteacute mais false reste conseilleacutepour eacuteviter que de nombreux sitescouramment visiteacutes ne soient plus uti-lisables
securitysslrenego_unrestricted_hosts
Liste drsquohocirctes autoriseacutes agrave faire de la reneacute-gociation SSL avec drsquoanciennes versionsvulneacuterables du protocole
Liste drsquohocirctes seacutepareacutes par des virgules(ne supportant pas les wildcards)et qursquoil est utile de renseigner sisecuritysslrequire_safe_negotiationest configureacute agrave true
securityssltreat_unsafe_negotiation_as_broken
Informer lrsquoutilisateur (cadenas casseacute rougedans la barre de status) lorsque les neacutegoci-ations SSLTLS sont non seacutecuriseacutees
true
networkstricttransportsecuritypreloadlist
Charger la liste de sites deacuteclareacutes commeutilisant HSTS (HTTP Strict TransportSecurity24)
true
networkwebsocketallowInsecureFromHTTPS
Autoriser les WebSockets non seacutecuriseacuteepour un site consulteacute en HTTPS
false
securityOCSPenabled Activer OCSP 2 pour veacuterifier le certificat agrave partir delrsquoURL de service OCSP et de lrsquoautoriteacutede certification ayant signeacute le certifi-cat Notons que cette fonctionnaliteacuteest critiqueacutee pour des questions delatence des reacutepondeurs OCSP (de lrsquoor-dre de 300ms pour les plus rapides agraveplus drsquoune seconde pour les plus lents)OCSP tend donc agrave ecirctre remplaceacute pardes listes locales de certificats reacutevo-queacutes dans drsquoautres navigateurs maisFirefox ne dispose pas encore drsquounetelle liste Une entiteacute ayant des con-traintes particuliegraveres quant agrave la la-tence induite par OSCP pourrait opterpour une deacutesactivation drsquoOCSP avecla valeur 0
securityOCSPrequire Neacutecessite la validation du certificat parOCSP avant de continuer la navigation surle site
true si securityOCSPenabled a eacuteteacuteconfigureacute agrave true ou false dans le cascontraire
securitycert_pinningenforcement_level
Niveau de certificate pinning (eacutepinglage decertificats)25(agrave partir de Firefox 32)
2 pour utiliser lrsquoeacutepinglage strict
Gestionnaire de mots de passe
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownpasswords Effacer les mots de passe enregistreacutes agrave la
fermeture du navigateurtrue
signonrememberSignons Active le gestionnaire de mots de passe false
signonautofillForms Remplissage automatique des formulairesde login
false
24 httpsdevelopermozillaorgfrdocsSC3A9curitC3A9HTTP_Strict_Transport_Security25 Lrsquoeacutepinglage de certificats permet drsquoavoir une base locale de certificats connus et attendus pour certains sites Web
consulteacutes en HTTPS Ainsi si le certificat preacutesenteacute par le serveur est valide en tous points de vue mais nrsquoest pas lecertificat attendu la connexion sera coupeacutee Ce meacutecanisme permet drsquoeacuteviter une attaque par le milieu preacutesentant un fauxcertificat issu drsquoune autoriteacute de certification de confiance
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 20 sur 40
Confidentialiteacute
Il nrsquoexiste pas en date de reacutedaction de cette note de regravegle globale pour la deacutesactivation de FirefoxSync Sa deacutesactivation se fait par conseacutequent agrave travers plusieurs regravegles de configuration
Nom de paramegravetre Description Valeur recommandeacuteeservicessyncengineaddons Synchronisation des modules compleacutementaires false
servicessyncenginebookmarks Synchronisation des marque-pages false
servicessyncenginehistory Synchronisation de lrsquohistorique de navigation false
servicessyncenginepasswords Synchronisation des mots de passe stockeacutes false
servicessyncengineprefs Synchronisation des preacutefeacuterences false
servicessyncenginetabs Synchronisation des onglets ouverts false
servicessyncregisterEngines Moteurs de synchronisation enregistreacutes Mettre agrave videservicessyncjpakeserverURL URL du serveur synchronisation jpake Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessynctokenServerURI URI du serveur de jetons Mettre agrave videservicessyncnextSync Planification de la prochaine synchronisation 0
Il convient eacutegalement de deacutesactiver les diffeacuterents rapports agrave Mozilla
Nom de paramegravetre Description Valeur recommandeacuteedatareportinghealthreportaboutreportUrl URL de rapport de santeacute Mettre agrave videdatareportinghealthreportloggingconsoleEnabled
Activer la journalisation (console) du ser-vice de rapports de santeacute
false
datareportinghealthreportloggingdumpEnabled
Activer la journalisation (dumps) du ser-vice de rapports de santeacute
false
datareportinghealthreportnextDataSubmissionTime
Date de prochaine soumission de rapportde santeacute
Mettre agrave vide
datareportinghealthreportserviceenabled Activer le service de rapport de santeacute false
datareportinghealthreportuploadEnabled Autoriser lrsquoenvoi de donneacutees au serveur derapports de santeacute
false
datareportingpolicydataSubmissionEnabled Activer lrsquoenvoi de donneacutees agrave Mozilla agrave desfins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyAccepted
Accepter les conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyBypassAcceptance
Contourner lrsquoacceptation des conditionsdrsquoenvoi de donneacutees agrave Mozilla agrave des finsdrsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyResponseType
Reacuteponse aux conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
accepted-info-bar-dismissed
domipcpluginsreportCrashURL Inteacutegrer lrsquoURL au rapport de crash deplugins
false
domipcpluginsflashsubprocesscrashreporterenabled
Activer le rapport de crash du sous-processus flash
false
toolkittelemetryenabled Activer la fonctionnaliteacute de teacuteleacutemeacutetrie false
toolkittelemetryserver Adresse du serveur de teacuteleacutemeacutetrie Mettre agrave videbreakpadreportURL URL du rapport de crash Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 21 sur 40
Il peut eacutegalement ecirctre utile de configurer lrsquooption de suppression des donneacutees priveacutees (Clear PrivateData) en seacutelectionnant les eacuteleacutements qui seront supprimeacutes Lrsquoentiteacute pourra par exemple permettre auxutilisateurs de supprimer leurs donneacutees priveacutees dans le cadre drsquoune navigation sur internet ou bien delrsquointerdire srsquoil srsquoagit drsquoun navigateur deacutedieacute agrave lrsquointranet Une entiteacute pourrait eacutegalement vouloir toujoursgarder les historiques et le cache agrave des fins drsquoinvestigation (cela nrsquoempecircchera toutefois pas lrsquoutilisateurde les supprimer directement au niveau du systegraveme de fichiers dans son profil utilisateur)
Nom de paramegravetre Description Valeur recommandeacuteeprivacycpdcache Supprimer le cache lors drsquoune suppression des donneacutees
priveacuteesAu choix de lrsquoentiteacute
privacycpdcookies Supprimer les cookies lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpddownloads Supprimer lrsquohistorique des teacuteleacutechargements lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdformdata Supprimer lrsquohistorique de remplissage automatique desformulaire lors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdhistory Supprimer lrsquohistorique lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpdofflineApps Supprimer les applications disponibles hors connexionlors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdpasswords Supprimer les mots de passe enregistreacutes lors drsquoune sup-pression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsessions Supprimer les sessions en cours enregistreacutees lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsiteSettings Supprimer les paramegravetres par site lors drsquoune suppressiondes donneacutees priveacutees
Au choix de lrsquoentiteacute
privacysanitizesanitizeOnShutdown
Supprimer les donneacutees priveacutees agrave la fermeture du naviga-teur
En cas de besoin speacute-cifique de lrsquoentiteacute
Viennent pour finir divers autres paramegravetres lieacutes agrave la confidentialiteacute
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownsessions effacer les sessions de navigation en cours lors
de la fermeture du navigateurtrue
privacyclearOnShutdowncookies effacer les cookies de navigation lors de lafermeture du navigateur
true
privacydonottrackheaderenabled Activer Do-Not-Track true
geoenabled activer la geacuteolocalisation false
geowifiuri URI du service de geacuteolocalisation agrave utiliser Mettre agrave videnetworkprefetch-next Teacuteleacutechargement preacutedictif anticipeacute des docu-
ments lieacutes agrave la page Web visiteacutes (link prefetch-ing)26
false pour eacuteviter lrsquoeacutetablisse-ment de connexions et leteacuteleacutechargement de contenunon solliciteacutes
medianavigatorpermissiondisabled Contourne la permission drsquoacceacuteder agrave la web-cam
false
networkhttpsendRefererHeader Activer lrsquoenvoi de lrsquoentecircte referer 0 pour plus drsquoanonymat ou 2pour ne pas empecirccher le fonc-tionnement de certains sites
browsersend_pings Activer lrsquoenvoi de requecircte POST lors du clicsur un lien (fonctionnaliteacute souvent utiliseacuteepour tracer les clics)
false
26 Le link prefetching permet drsquoacceacuteleacuterer le surf en anticipant le chargement des documents lieacutes agrave la page visiteacutesLrsquoimpleacutementation de ce meacutecanisme dans Firefox ne transmet aucune information agrave Mozilla Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsWebHTTPLink_prefetching_FAQ
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 22 sur 40
Filtrage de contenu
Actions autoriseacutees aux les scripts
Nom de paramegravetre Description Valeur recommandeacuteedomallow_scripts_to_close_windows Autoriser les scripts agrave fermer
une fenecirctrefalse
domdisable_image_src_set Interdire la modification desimages sources par script
false
domdisable_window_flip Interdire le changement defenecirctre active par script
true
domdisable_window_move_resize Deacutetermine si les fenecirctrespeuvent ecirctre bougeacutees or red-imensionneacutees par script
false
domdisable_window_open_featureclose Interdire la creacuteation defenecirctre sans bouton defermeture
true pour eacuteviter les popups in-vasifs
domdisable_window_open_featurelocation Interdire la creacuteation defenecirctre sans barre drsquoadresse
true pour que lrsquoutilisateur puissetoujours veacuterifier ecirctre agrave lrsquoadressepreacutevue
domdisable_window_open_featurestatus Interdire la creacuteation defenecirctre sans barre de status
true pour que lrsquoutilisateur puissese rendre contre plus facilementdes tentatives de spoofing
domdisable_window_open_featuretitlebar Interdire la creacuteation defenecirctre sans barre de titre
true pour que lrsquoutilisateur puissebien voir qursquoil srsquoagit drsquoun popupFirefox
domdisable_window_open_featuretoolbar Interdire la creacuteation defenecirctre sans barre drsquooutils
false
domeventclipboardeventsenabled Permettre agrave un script desaisir les eacuteveacutenements dupresse papier
false
domeventcontextmenuenabled Permettre agrave un script desaisir les eacuteveacutenements drsquoac-cegraves au menu contextuel (clicdroit)
false
dominter-app-communication-apienabled Activer la communicationpar API entre applications
false
domipcpluginsenabled Activation du plugin con-tainer
true pour exeacutecuter les pluginsdans le plugin-container
domipcpluginsjavaenabled Exeacutecuter Java au sein duplugin-container
false pour eacuteviter des problegravemesde stabiliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 23 sur 40
Nom de strateacutegie Description Valeur recommandeacuteebrowsersafebrowsingenabled Utiliser la navigation seacutecuriseacutee
(protection contre le phishing etles logiciels malveillants)27
true
javascriptenabled Activation de Javascript true
securityxpconnectpluginunrestricted Autoriser le scripting de pluginspar des scripts qui ne sont pasde confiance
false agrave moins drsquoune incompatibiliteacute avecdes plugins etou pages Web neacutecessaires agravelrsquoentiteacute
securitymixed_contentblock_active_content
Bloquer le contenu mixte actif true
securitymixed_contentblock_display_content
Bloquer le contenu mixte passif false
securityfileuristrict_origin_policy
Politique drsquoorigine stricte pourles URi de type fichiers
true sauf pour les populations dedeacuteveloppeurs qursquoun tel paramegravetre pourraitbloquer pour le deacuteveloppement en local
networkcookiecookieBehavior Politique de gestion des cookies 1 pour nrsquoautoriser que les cookies duserveur drsquoorigine et bloquer les cookiestiers
networkcookielifetimePolicy Politique drsquoexpiration des cook-ies
2 pour conserver les cookies pendant toutela dureacutee de la session seulement
networkcookiethirdpartysessionOnly Restreindre les cookies tiers agrave ladureacutee de la session seulement
true
networkjaropen-unsafe-types Nrsquoouvrir que les jar servis avecun content-type adeacutequat
false
privacypopupspolicy Politique de popups 1 pour activer les popups ou 2 pour lesrejeter mais cela rendrait la navigationdifficile voire impossible sur une quantiteacutede sites Internet non neacutegligeable
privacypopupsshowBrowserMessage Afficher un message lorsqursquounpopup a eacuteteacute bloqueacute
true
browserpopupsshowPopupBlocker Afficher lrsquoicocircne du bloqueur depopups dans la barre de status
true
securitycspenable Activer la Content Security Pol-icy (politique de seacutecuriteacute descontenus) qui permet de deacute-tecter et de limiter lrsquoimpact decertains types drsquoattaques
true
full-screen-apienabled Activer lrsquoAPI permettant drsquoaf-ficher du contenu en plein eacutecranpour les modules compleacutemen-taires
false
notificationfeatureenabled Permettre les notifications sur lebureau
false
27 La fonctionnaliteacute de navigation seacutecuriseacutee consiste agrave synchroniser une liste locale drsquoadresses de sites maveillants(depuis les serveurs de Google par deacutefaut depuis que Firefox utilise leur service) pour alerter lrsquoutilisateur srsquoil srsquoapprecircte agraveen visiter un Elle consiste eacutegalement agrave analyser le contenu des pages pour repeacuterer drsquoeacuteventuelles tentatives drsquohameccedilonnage
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 24 sur 40
Moteur de recherche par deacutefaut
La configuration drsquoun moteur de recherche personnaliseacute ne peut pas se faire simplement par fichierde configuration et neacutecessite le deacuteploiement drsquoun module de recherche (search engine plugin) LrsquoannexeIV illustre la teacuteleacute-deacuteploiement drsquoun module de recherche utilisant le moteur franccedilais httpswwwqwantcom 28
Nom de paramegravetre Description Exemplebrowsersearchdefaultenginename Moteur de recherche par deacutefaut Qwantcom
browsersearchdefaulturl URL du moteur de recherche pardeacutefaut
httpswwwqwantcomq=searchTerms
browsersearchlog Journalisation de lrsquoutilisation desservices de recherche agrave des fins dedeacuteboggage
false
browsersearchopenintab Ouvrir les reacutesultats de recherchedans un nouvel onglet
false
browsersearchorder1 Moteur de recherche agrave utiliser enprioriteacute 1
Qwantcom
browsersearchsuggestenabled activer les suggestions false
browsersearchupdate Recherche de mises agrave jour pour lesmodules de recherche
false
keywordenabled Permettre de faire une recherchedepuis la barre drsquoadresse
true
Page(s) drsquoaccueil
Nom de strateacutegie Description Valeur recommandeacuteestartuphomepage_override_url Page drsquoaccueil apregraves une mise agrave jour de Firefox En fonction du choix de lrsquoentiteacutestartuphomepage_welcome_url Page drsquoaccueil au premier deacutemarrage En fonction du choix de lrsquoentiteacutebrowserstartuphomepage Page drsquoaccueil about blank pour une page vide
ou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
browserstartuppage Page drsquoaccueil 1 pour ouvrir la page drsquoac-cueil indiqueacutee par le paramegravetrebrowserstartuphomepage
browsersessionstoreresume_from_crash
Restauration de session apregraves crash false
browsersessionstoreenabled Activer le service de restauration de session false
browsernewtaburl Page ouverte par deacutefaut lors de la creacuteationdrsquoun nouvel onglet de navigation
about blank pour une page videou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
28 Ceci nrsquoest en aucun cas une recommandation ni une incitation agrave son utilisation mais un simple exemple
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 25 sur 40
Authentification HTTP
Nom de strateacutegie Description Valeur recommandeacuteenetworkauthforce-generic-ntlm Utiliser le module drsquoauthen-
tification NTLM de Firefoxplutocirct que celui fourni parles APIs du systegraveme
false
networkauthuse-sspi Utiliser SSPI plutocirct queGSSAPI pour lrsquoauthentifica-tion Kerberos
true sous Windows
networkntlmsend-lm-response Envoyer le LM Hash dans lareacuteponse NTLM
false
networkautomatic-ntlm-authallow-proxies
Authentification par NTLMautomatique avec lesserveurs proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networkautomatic-ntlm-authtrusted-uris
Liste des URIs autoriseacuteespour lrsquoauthentification parNTLM automatique
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationNTLM automatique
networkautomatic-ntlm-authallow-non-fqdn
Autoriser lrsquoauthentificationNTLM automatique avecdes sites sans FQDN
false agrave moins que la liste networkautomatic-ntlm-authtrusted-uris comporte des adressessans FQDN
networknegotiate-authallow-non-fqdn
Autoriser lrsquoauthentificationSPNEGO avec des sites sansFQDN
En fonction de lrsquoentiteacute
networknegotiate-authallow-proxies
Autoriser SPNEGO29si de-mandeacute par un serveur proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networknegotiate-authdelegation-uris
Liste des URIs autoriseacuteespour lesquels le navigateurpeut deacuteleacuteguer lrsquoautorisationde lrsquoutilisateur
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites auxquels elle souhaite permettre ladeacuteleacutegation SPNEGO
networknegotiate-authtrusted-uris Liste des URIs autoriseacuteespour engager une authentifi-cation SPNEGO
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationSPNEGO
networknegotiate-authgsslib Chemin vers une librairieGSSLIB speacutecifique
Mettre agrave vide
networknegotiate-authusing-native-gsslib
Utiliser la librairie GSSLIBnative du systegraveme
true
securitydefault_personal_cert Choix du certificat drsquoau-thentification client
Ask Every Time
29 SPNEGO est un standard qui permet de neacutegocier de lrsquoauthentification Kerberos NTLM ainsi que drsquoautresprotocoles supporteacutes pour le systegraveme SPNEGO est eacutegalement connu sous le nom du protocole drsquoauthentificationlaquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 26 sur 40
Serveur mandataire
Nom de paramegravetre Description Valeur recommandeacuteenetworkproxyautoconfig_url URL de configuration automatique du
proxyLaisser agrave vide
networkproxyftp Adresse du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyftp_port port du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp Adresse du proxy proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp_port port du proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyno_proxies_on Liste drsquoexceptions agrave lrsquoutilisation du serveurproxy
A minima localhost 127001 etdavantage en fonction de lrsquoentiteacute etdu peacuterimegravetre drsquoutilisation du naviga-teur
networkproxyshare_proxy_settings
Utiliser le mecircme proxy pour tous les pro-tocoles
false
networkproxysocks Adresse du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_port port du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_remote_dns
Reacutealiser les requecirctes DNS via le proxysocks
false
networkproxysocks_version Version du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl Adresse du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl_port port du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxytype Type drsquoutilisation du proxy 1 pour utiliser les valeurs in-diqueacutees par les paramegravetres ci-dessus(networkproxy)
networkhttpproxyversion version de proxy 11 par deacutefaut et en fonction duserveur proxy de lrsquoentiteacute
networkhttpproxypipelining Activer le pipelining30par proxy false pour des raisons de compat-ibiliteacute Lrsquoentiteacute peut choisir de lrsquoac-tiver si le pipelining est supporteacute parson serveur proxy drsquoentreprise
signonautologinproxy Saisie automatique du mot de passe deproxy
false
30 Le pipelining permet de faire plusieurs requecirctes HTTP simultaneacutement plutocirct que de les faire seacutequentiellement enattendant les reacuteponses de chacune drsquoentre elles Pour plus drsquoinformations httpwww-archivemozillaorgprojectsnetlibhttppipelining-faqhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 27 sur 40
Peacuterimegravetre de navigation
Nom de paramegravetre Description Valeur recommandeacuteenetworkprotocol-handlerexpose-all
Deacutetermine si le navigateur essayedrsquoouvrir les liens cliqueacutes dans lenavigateur en prioriteacute avant delaisser le systegraveme srsquoen charger en casdrsquoeacutechec (si le protocole du lien enquestion nrsquoest pas supporteacute par lenavigateur)
true
networkprotocol-handlerwarn-external-default
Avertir lrsquoutilisateur avant decharger un gestionnaire deprotocole tiers
true
networkprotocol-handlerexternal-default
Action pour lrsquoouverture drsquoun pro-tocole non pris en charge par lenavigateur
false de maniegravere agrave ne pas essayerde charger des protocoles non pris encharge nativement par le navigateur Lrsquoen-titeacute renseignera eacuteventuellement des ges-tionnaires de protocoles tiers pour desprotocoles qursquoelle souhaite explicitementpermettre tels que NNTP Mailto etc Pour illustrer par lrsquoexemple avecMailto le paramegravetre networkprotocol-handlerexternalmailto aurait pour valeurtrue et le paramegravetre networkprotocol-handlerappmailto avec pour valeur lechemin drsquoun exeacutecutable comme MozillaThunderbird ou Microsoft Outlook
networkprotocol-handlerexternalfile
Gestionnaire de protocole filesous Firefox
false
networkprotocol-handlerexternalftp
Gestionnaire de protocole ftpsous Firefox
false
geckohandlerServiceallowRegisterFromDifferentHost
Autoriser les sites Web agrave installerdes gestionnaires de protocoles oude contenus utilisable pour deshocirctes tiers
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 28 sur 40
Administration systegraveme maintenance et options diverses
Parameacutetrage des mises agrave jour
Nom de paramegravetre Description Valeur recommandeacuteeappupdateenabled Activation de la mise agrave jour automatique true
appupdateauto Teacuteleacutechargement et installationautomatiques (neacutecessite que le paramegravetreappupdateenabled ait pour valeurtrue)
true
appupdatecertcheckAttributes Veacuterifie les attributs du certificat du serveurde mise agrave jour
false
appupdatecertrequireBuiltIn Requiert lrsquointeacutegration des certificats duserveur de mise agrave jour et de toutes lesredirections intermeacutediaires
false
appupdatechannel Canal de mise agrave jour esr pour la version ESR de FirefoxappupdatedownloadbackgroundInterval
Temps de pause (en secondes) entrechaque teacuteleacutechargement en arriegravere plandrsquoun morceau de 300 Kb de mise agrave jour
Au choix de lrsquoentiteacute
appupdateidletime Temps de pause (en secondes) entre chaqueteacuteleacutechargement agrave la demande de lrsquoutilisa-teur) drsquoun morceau de 300 Kb de mise agravejour
60
appupdateinterval Intervalle de temps entre chaque veacuterifica-tion de disponibiliteacute de nouvelles mises agravejour
43200
appupdatemode Deacutetermine quelles mises agrave jour sontteacuteleacutechargeacutees en arriegravere plan
0 pour teacuteleacutecharger toutes les mises agravejour sans intervention de lrsquoutilisateur
appupdateserviceenabled Active le service de mise agrave jour de Firefox true
appupdateshowInstalledUI Deacutetermine si apregraves installation de mise agravejour une boicircte de dialogue informe lrsquoutil-isateur qursquoune mise agrave jour a eacuteteacute installeacutee
Au choix de lrsquoentiteacute
appupdatesilent Active le mode de mise agrave jour silencieux true pour une mise agrave jour silencieuseen arriegravere plan
appupdateurl URL de reacutecupeacuteration des mises agrave jour deFirefox
En fonction de la strateacutegie de mise agravejour de lrsquoentiteacute Pour une mise agrave jourdepuis les serveurs de Mozilla httpsaus3mozillaorgupdate3PRODUCTVERSIONBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONupdatexml sinon lrsquoURLdu serveur de mise agrave jour internede lrsquoentiteacute (qursquoil faudra eacutegalementrenseigner dans le paramegravetreappupdateurloverride)
appupdateurloverride URL de reacutecupeacuteration des mises agrave jour deFirefox
Paramegravetre agrave renseigner uniquementdans le cas ou la mise agrave jour deFirefox se fait depuis lrsquoURL drsquounserveur de mise agrave jour interne delrsquoentiteacute (agrave renseigner en plus duparamegravetre appupdateurl)
appupdateurldetails URL de consultation des informations rel-atives aux mises agrave jour disponibles
Laisser la valeur par deacutefautrhttpswwwmozillaorgLOCALEfirefoxnotes
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 29 sur 40
Configuration du cache
Nom de paramegravetre Description Valeur recommandeacuteebrowsercachecheck_doc_frequency Quand veacuterifier la mise agrave jour drsquoune page en
cache disque3 (veacuterifier quand la page estpeacuterimeacutee)
browsercachecompression_level Niveau de compression du cache disque Au choix de lrsquoentiteacute de 0(pas de compression) agrave 9(haut taux de compressionavec forte sollicitation du pro-cesseur)
browsercachediskcapacity Espace disque alloueacute au cache disque enKb
Au choix de lrsquoentiteacute
browsercachediskenable Utiliser le cache disque true
browsercachediskmax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache disque
Au choix de lrsquoentiteacute
browsercachedisksmart_sizeenabled Allocation intelligente de lrsquoespace disquealloueacute au cache en fonction de lrsquoespacedisponible
Au choix de lrsquoentiteacute
browsercachedisk_cache_ssl Mettre en cache disque les pages visiteacuteesen HTTPS
False de maniegravere agrave ne pasmettre en cache le contenuSSL
browsercachememoryenable Utiliser le cache meacutemoire true
browsercachememorymax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache meacutemoire
Au choix de lrsquoentiteacute
browsercachememory_limit Meacutemoire maximum utiliseacutee pour le cachemeacutemoire en Kb
Au choix de lrsquoentiteacute
browsercacheofflinecapacity Espace disque alloueacute au cache des applica-tions Web
Au choix de lrsquoentiteacute
browsercacheofflineenable Utiliser le cache des applications Web per-mettant une utilisation hors ligne
Au choix de lrsquoentiteacute
browsercacheuse_new_backend Utilisation du nouveau systegraveme de cache 0 (ne pas utiliser pour desquestions de stabiliteacute)
networkhttpuse-cache Utiliser le cache des documents HTTP true
mediacache_size Taille du cache pour les fichiers multimedia Au choix de lrsquoentiteacute par deacute-faut 512000
domstoragedefault_quota Quota de stockage cocircteacute client pour lespages Web
5120 taille par deacutefaut
domstorageenabled Active le stockage cocircteacute client pour les pagesWeb
true agrave deacutefaut de vulneacuterabil-iteacutes connues pour cette fonc-tionnaliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 30 sur 40
Deacutesactiver les options de deacuteveloppement (sauf pour les populations de deacuteveloppeurs)
Nom de paramegravetre Description Valeur recommandeacuteedevtoolsappmanagerenabled Activation des outils de deacuteveloppement module appmanager false
devtoolsdebuggerenabled Activation des outils de deacuteveloppement module deacutebogueur false
devtoolserrorconsoleenabled Activation des outils de deacuteveloppement module consoledrsquoerreurs
false
devtoolsfontinspectorenabled Activation des outils de deacuteveloppement module inspecteurde polices
false
devtoolsinspectorenabled Activation des outils de deacuteveloppement module inspecteur false
devtoolsnetmonitorenabled Activation des outils de deacuteveloppement module reacuteseau false
devtoolsprofilerenabled Activation des outils de deacuteveloppement module profileur false
devtoolsshadereditorenabled Activation des outils de deacuteveloppement module vue adaptive false
devtoolsstyleeditorenabled Activation des outils de deacuteveloppement module editeur destyles
false
devtoolstiltenabled Activation des outils de deacuteveloppement module tilt false
devtoolstoolbarenabled Activation des outils de deacuteveloppement module barre dedeacuteveloppement
false
Configurations diverses
Nom de paramegravetre Description Valeur recommandeacuteenetworkseerenable-hover-on-ssl Activer seer sur SSL false
networkseerenabled Activer seer false
networkhttppipelining Activer le pipelining pour le surfHTTP11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttppipeliningssl Activer le pipelining pour le surfHTTPS11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttpspdyenabled Activer SPDY31 false
networkhttpspdyenabledv2 Activer SPDY v2 false
networkhttpspdyenabledv3 Activer SPDY v3 false
networkhttpspdyenabledv3-1 Activer SPDY v31 false
browsershellcheckDefaultBrowser Veacuterifier si Firefox est configureacutecomme navigateur par deacutefaut
false dans le cadre de double naviga-teurs
browserdownloadmanagerscanWhenDone
Scan antivirus drsquoun fichier lorsqueson teacuteleacutechargement est termineacute
true
browserdownloaduseDownloadDir Utiliser le reacutepertoire de teacuteleacutecharge-ment par deacutefaut
false pour que lrsquoutilisateur indique agravequel emplacement il souhaite teacuteleacutechargerle fichier
browserfullscreenautohide Cacher la barre drsquooutils et drsquoongletsen mode plein eacutecran
false
31 SPDY est un protocole reacuteseau expeacuterimental de Google visant agrave augmenter les capaciteacutes du protocole HTTP pourreacuteduire le temps de chargement des pages Web en classant les objets par ordre de prioriteacute et en multiplexant les transfertspour ne neacutecessiter qursquoune seule connexion Ce protocole est vulneacuterable aux attaques CRIME (Compression Ratio Info-leakMade Easy) lorsqursquoil est utiliseacute avec HTTPS (ce qui est geacuteneacuteralement le cas)
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 31 sur 40
Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP
Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory
Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation
La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32
Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers
Fichiers de configuration
La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte
ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet
ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes
Fichier local-settingsjs
pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)
Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 32 sur 40
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
Nom de paramegravetre Description Valeur recommandeacuteesecuritysslrequire_safe_negotiation
Neacutecessite une neacutegociation SSL qui nrsquoutilisepas une ancienne version SSLTLS vul-neacuterable agrave des attaques par le milieu
true est la valeur ideacuteale en termesde seacutecuriteacute mais false reste conseilleacutepour eacuteviter que de nombreux sitescouramment visiteacutes ne soient plus uti-lisables
securitysslrenego_unrestricted_hosts
Liste drsquohocirctes autoriseacutes agrave faire de la reneacute-gociation SSL avec drsquoanciennes versionsvulneacuterables du protocole
Liste drsquohocirctes seacutepareacutes par des virgules(ne supportant pas les wildcards)et qursquoil est utile de renseigner sisecuritysslrequire_safe_negotiationest configureacute agrave true
securityssltreat_unsafe_negotiation_as_broken
Informer lrsquoutilisateur (cadenas casseacute rougedans la barre de status) lorsque les neacutegoci-ations SSLTLS sont non seacutecuriseacutees
true
networkstricttransportsecuritypreloadlist
Charger la liste de sites deacuteclareacutes commeutilisant HSTS (HTTP Strict TransportSecurity24)
true
networkwebsocketallowInsecureFromHTTPS
Autoriser les WebSockets non seacutecuriseacuteepour un site consulteacute en HTTPS
false
securityOCSPenabled Activer OCSP 2 pour veacuterifier le certificat agrave partir delrsquoURL de service OCSP et de lrsquoautoriteacutede certification ayant signeacute le certifi-cat Notons que cette fonctionnaliteacuteest critiqueacutee pour des questions delatence des reacutepondeurs OCSP (de lrsquoor-dre de 300ms pour les plus rapides agraveplus drsquoune seconde pour les plus lents)OCSP tend donc agrave ecirctre remplaceacute pardes listes locales de certificats reacutevo-queacutes dans drsquoautres navigateurs maisFirefox ne dispose pas encore drsquounetelle liste Une entiteacute ayant des con-traintes particuliegraveres quant agrave la la-tence induite par OSCP pourrait opterpour une deacutesactivation drsquoOCSP avecla valeur 0
securityOCSPrequire Neacutecessite la validation du certificat parOCSP avant de continuer la navigation surle site
true si securityOCSPenabled a eacuteteacuteconfigureacute agrave true ou false dans le cascontraire
securitycert_pinningenforcement_level
Niveau de certificate pinning (eacutepinglage decertificats)25(agrave partir de Firefox 32)
2 pour utiliser lrsquoeacutepinglage strict
Gestionnaire de mots de passe
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownpasswords Effacer les mots de passe enregistreacutes agrave la
fermeture du navigateurtrue
signonrememberSignons Active le gestionnaire de mots de passe false
signonautofillForms Remplissage automatique des formulairesde login
false
24 httpsdevelopermozillaorgfrdocsSC3A9curitC3A9HTTP_Strict_Transport_Security25 Lrsquoeacutepinglage de certificats permet drsquoavoir une base locale de certificats connus et attendus pour certains sites Web
consulteacutes en HTTPS Ainsi si le certificat preacutesenteacute par le serveur est valide en tous points de vue mais nrsquoest pas lecertificat attendu la connexion sera coupeacutee Ce meacutecanisme permet drsquoeacuteviter une attaque par le milieu preacutesentant un fauxcertificat issu drsquoune autoriteacute de certification de confiance
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 20 sur 40
Confidentialiteacute
Il nrsquoexiste pas en date de reacutedaction de cette note de regravegle globale pour la deacutesactivation de FirefoxSync Sa deacutesactivation se fait par conseacutequent agrave travers plusieurs regravegles de configuration
Nom de paramegravetre Description Valeur recommandeacuteeservicessyncengineaddons Synchronisation des modules compleacutementaires false
servicessyncenginebookmarks Synchronisation des marque-pages false
servicessyncenginehistory Synchronisation de lrsquohistorique de navigation false
servicessyncenginepasswords Synchronisation des mots de passe stockeacutes false
servicessyncengineprefs Synchronisation des preacutefeacuterences false
servicessyncenginetabs Synchronisation des onglets ouverts false
servicessyncregisterEngines Moteurs de synchronisation enregistreacutes Mettre agrave videservicessyncjpakeserverURL URL du serveur synchronisation jpake Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessynctokenServerURI URI du serveur de jetons Mettre agrave videservicessyncnextSync Planification de la prochaine synchronisation 0
Il convient eacutegalement de deacutesactiver les diffeacuterents rapports agrave Mozilla
Nom de paramegravetre Description Valeur recommandeacuteedatareportinghealthreportaboutreportUrl URL de rapport de santeacute Mettre agrave videdatareportinghealthreportloggingconsoleEnabled
Activer la journalisation (console) du ser-vice de rapports de santeacute
false
datareportinghealthreportloggingdumpEnabled
Activer la journalisation (dumps) du ser-vice de rapports de santeacute
false
datareportinghealthreportnextDataSubmissionTime
Date de prochaine soumission de rapportde santeacute
Mettre agrave vide
datareportinghealthreportserviceenabled Activer le service de rapport de santeacute false
datareportinghealthreportuploadEnabled Autoriser lrsquoenvoi de donneacutees au serveur derapports de santeacute
false
datareportingpolicydataSubmissionEnabled Activer lrsquoenvoi de donneacutees agrave Mozilla agrave desfins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyAccepted
Accepter les conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyBypassAcceptance
Contourner lrsquoacceptation des conditionsdrsquoenvoi de donneacutees agrave Mozilla agrave des finsdrsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyResponseType
Reacuteponse aux conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
accepted-info-bar-dismissed
domipcpluginsreportCrashURL Inteacutegrer lrsquoURL au rapport de crash deplugins
false
domipcpluginsflashsubprocesscrashreporterenabled
Activer le rapport de crash du sous-processus flash
false
toolkittelemetryenabled Activer la fonctionnaliteacute de teacuteleacutemeacutetrie false
toolkittelemetryserver Adresse du serveur de teacuteleacutemeacutetrie Mettre agrave videbreakpadreportURL URL du rapport de crash Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 21 sur 40
Il peut eacutegalement ecirctre utile de configurer lrsquooption de suppression des donneacutees priveacutees (Clear PrivateData) en seacutelectionnant les eacuteleacutements qui seront supprimeacutes Lrsquoentiteacute pourra par exemple permettre auxutilisateurs de supprimer leurs donneacutees priveacutees dans le cadre drsquoune navigation sur internet ou bien delrsquointerdire srsquoil srsquoagit drsquoun navigateur deacutedieacute agrave lrsquointranet Une entiteacute pourrait eacutegalement vouloir toujoursgarder les historiques et le cache agrave des fins drsquoinvestigation (cela nrsquoempecircchera toutefois pas lrsquoutilisateurde les supprimer directement au niveau du systegraveme de fichiers dans son profil utilisateur)
Nom de paramegravetre Description Valeur recommandeacuteeprivacycpdcache Supprimer le cache lors drsquoune suppression des donneacutees
priveacuteesAu choix de lrsquoentiteacute
privacycpdcookies Supprimer les cookies lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpddownloads Supprimer lrsquohistorique des teacuteleacutechargements lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdformdata Supprimer lrsquohistorique de remplissage automatique desformulaire lors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdhistory Supprimer lrsquohistorique lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpdofflineApps Supprimer les applications disponibles hors connexionlors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdpasswords Supprimer les mots de passe enregistreacutes lors drsquoune sup-pression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsessions Supprimer les sessions en cours enregistreacutees lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsiteSettings Supprimer les paramegravetres par site lors drsquoune suppressiondes donneacutees priveacutees
Au choix de lrsquoentiteacute
privacysanitizesanitizeOnShutdown
Supprimer les donneacutees priveacutees agrave la fermeture du naviga-teur
En cas de besoin speacute-cifique de lrsquoentiteacute
Viennent pour finir divers autres paramegravetres lieacutes agrave la confidentialiteacute
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownsessions effacer les sessions de navigation en cours lors
de la fermeture du navigateurtrue
privacyclearOnShutdowncookies effacer les cookies de navigation lors de lafermeture du navigateur
true
privacydonottrackheaderenabled Activer Do-Not-Track true
geoenabled activer la geacuteolocalisation false
geowifiuri URI du service de geacuteolocalisation agrave utiliser Mettre agrave videnetworkprefetch-next Teacuteleacutechargement preacutedictif anticipeacute des docu-
ments lieacutes agrave la page Web visiteacutes (link prefetch-ing)26
false pour eacuteviter lrsquoeacutetablisse-ment de connexions et leteacuteleacutechargement de contenunon solliciteacutes
medianavigatorpermissiondisabled Contourne la permission drsquoacceacuteder agrave la web-cam
false
networkhttpsendRefererHeader Activer lrsquoenvoi de lrsquoentecircte referer 0 pour plus drsquoanonymat ou 2pour ne pas empecirccher le fonc-tionnement de certains sites
browsersend_pings Activer lrsquoenvoi de requecircte POST lors du clicsur un lien (fonctionnaliteacute souvent utiliseacuteepour tracer les clics)
false
26 Le link prefetching permet drsquoacceacuteleacuterer le surf en anticipant le chargement des documents lieacutes agrave la page visiteacutesLrsquoimpleacutementation de ce meacutecanisme dans Firefox ne transmet aucune information agrave Mozilla Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsWebHTTPLink_prefetching_FAQ
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 22 sur 40
Filtrage de contenu
Actions autoriseacutees aux les scripts
Nom de paramegravetre Description Valeur recommandeacuteedomallow_scripts_to_close_windows Autoriser les scripts agrave fermer
une fenecirctrefalse
domdisable_image_src_set Interdire la modification desimages sources par script
false
domdisable_window_flip Interdire le changement defenecirctre active par script
true
domdisable_window_move_resize Deacutetermine si les fenecirctrespeuvent ecirctre bougeacutees or red-imensionneacutees par script
false
domdisable_window_open_featureclose Interdire la creacuteation defenecirctre sans bouton defermeture
true pour eacuteviter les popups in-vasifs
domdisable_window_open_featurelocation Interdire la creacuteation defenecirctre sans barre drsquoadresse
true pour que lrsquoutilisateur puissetoujours veacuterifier ecirctre agrave lrsquoadressepreacutevue
domdisable_window_open_featurestatus Interdire la creacuteation defenecirctre sans barre de status
true pour que lrsquoutilisateur puissese rendre contre plus facilementdes tentatives de spoofing
domdisable_window_open_featuretitlebar Interdire la creacuteation defenecirctre sans barre de titre
true pour que lrsquoutilisateur puissebien voir qursquoil srsquoagit drsquoun popupFirefox
domdisable_window_open_featuretoolbar Interdire la creacuteation defenecirctre sans barre drsquooutils
false
domeventclipboardeventsenabled Permettre agrave un script desaisir les eacuteveacutenements dupresse papier
false
domeventcontextmenuenabled Permettre agrave un script desaisir les eacuteveacutenements drsquoac-cegraves au menu contextuel (clicdroit)
false
dominter-app-communication-apienabled Activer la communicationpar API entre applications
false
domipcpluginsenabled Activation du plugin con-tainer
true pour exeacutecuter les pluginsdans le plugin-container
domipcpluginsjavaenabled Exeacutecuter Java au sein duplugin-container
false pour eacuteviter des problegravemesde stabiliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 23 sur 40
Nom de strateacutegie Description Valeur recommandeacuteebrowsersafebrowsingenabled Utiliser la navigation seacutecuriseacutee
(protection contre le phishing etles logiciels malveillants)27
true
javascriptenabled Activation de Javascript true
securityxpconnectpluginunrestricted Autoriser le scripting de pluginspar des scripts qui ne sont pasde confiance
false agrave moins drsquoune incompatibiliteacute avecdes plugins etou pages Web neacutecessaires agravelrsquoentiteacute
securitymixed_contentblock_active_content
Bloquer le contenu mixte actif true
securitymixed_contentblock_display_content
Bloquer le contenu mixte passif false
securityfileuristrict_origin_policy
Politique drsquoorigine stricte pourles URi de type fichiers
true sauf pour les populations dedeacuteveloppeurs qursquoun tel paramegravetre pourraitbloquer pour le deacuteveloppement en local
networkcookiecookieBehavior Politique de gestion des cookies 1 pour nrsquoautoriser que les cookies duserveur drsquoorigine et bloquer les cookiestiers
networkcookielifetimePolicy Politique drsquoexpiration des cook-ies
2 pour conserver les cookies pendant toutela dureacutee de la session seulement
networkcookiethirdpartysessionOnly Restreindre les cookies tiers agrave ladureacutee de la session seulement
true
networkjaropen-unsafe-types Nrsquoouvrir que les jar servis avecun content-type adeacutequat
false
privacypopupspolicy Politique de popups 1 pour activer les popups ou 2 pour lesrejeter mais cela rendrait la navigationdifficile voire impossible sur une quantiteacutede sites Internet non neacutegligeable
privacypopupsshowBrowserMessage Afficher un message lorsqursquounpopup a eacuteteacute bloqueacute
true
browserpopupsshowPopupBlocker Afficher lrsquoicocircne du bloqueur depopups dans la barre de status
true
securitycspenable Activer la Content Security Pol-icy (politique de seacutecuriteacute descontenus) qui permet de deacute-tecter et de limiter lrsquoimpact decertains types drsquoattaques
true
full-screen-apienabled Activer lrsquoAPI permettant drsquoaf-ficher du contenu en plein eacutecranpour les modules compleacutemen-taires
false
notificationfeatureenabled Permettre les notifications sur lebureau
false
27 La fonctionnaliteacute de navigation seacutecuriseacutee consiste agrave synchroniser une liste locale drsquoadresses de sites maveillants(depuis les serveurs de Google par deacutefaut depuis que Firefox utilise leur service) pour alerter lrsquoutilisateur srsquoil srsquoapprecircte agraveen visiter un Elle consiste eacutegalement agrave analyser le contenu des pages pour repeacuterer drsquoeacuteventuelles tentatives drsquohameccedilonnage
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 24 sur 40
Moteur de recherche par deacutefaut
La configuration drsquoun moteur de recherche personnaliseacute ne peut pas se faire simplement par fichierde configuration et neacutecessite le deacuteploiement drsquoun module de recherche (search engine plugin) LrsquoannexeIV illustre la teacuteleacute-deacuteploiement drsquoun module de recherche utilisant le moteur franccedilais httpswwwqwantcom 28
Nom de paramegravetre Description Exemplebrowsersearchdefaultenginename Moteur de recherche par deacutefaut Qwantcom
browsersearchdefaulturl URL du moteur de recherche pardeacutefaut
httpswwwqwantcomq=searchTerms
browsersearchlog Journalisation de lrsquoutilisation desservices de recherche agrave des fins dedeacuteboggage
false
browsersearchopenintab Ouvrir les reacutesultats de recherchedans un nouvel onglet
false
browsersearchorder1 Moteur de recherche agrave utiliser enprioriteacute 1
Qwantcom
browsersearchsuggestenabled activer les suggestions false
browsersearchupdate Recherche de mises agrave jour pour lesmodules de recherche
false
keywordenabled Permettre de faire une recherchedepuis la barre drsquoadresse
true
Page(s) drsquoaccueil
Nom de strateacutegie Description Valeur recommandeacuteestartuphomepage_override_url Page drsquoaccueil apregraves une mise agrave jour de Firefox En fonction du choix de lrsquoentiteacutestartuphomepage_welcome_url Page drsquoaccueil au premier deacutemarrage En fonction du choix de lrsquoentiteacutebrowserstartuphomepage Page drsquoaccueil about blank pour une page vide
ou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
browserstartuppage Page drsquoaccueil 1 pour ouvrir la page drsquoac-cueil indiqueacutee par le paramegravetrebrowserstartuphomepage
browsersessionstoreresume_from_crash
Restauration de session apregraves crash false
browsersessionstoreenabled Activer le service de restauration de session false
browsernewtaburl Page ouverte par deacutefaut lors de la creacuteationdrsquoun nouvel onglet de navigation
about blank pour une page videou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
28 Ceci nrsquoest en aucun cas une recommandation ni une incitation agrave son utilisation mais un simple exemple
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 25 sur 40
Authentification HTTP
Nom de strateacutegie Description Valeur recommandeacuteenetworkauthforce-generic-ntlm Utiliser le module drsquoauthen-
tification NTLM de Firefoxplutocirct que celui fourni parles APIs du systegraveme
false
networkauthuse-sspi Utiliser SSPI plutocirct queGSSAPI pour lrsquoauthentifica-tion Kerberos
true sous Windows
networkntlmsend-lm-response Envoyer le LM Hash dans lareacuteponse NTLM
false
networkautomatic-ntlm-authallow-proxies
Authentification par NTLMautomatique avec lesserveurs proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networkautomatic-ntlm-authtrusted-uris
Liste des URIs autoriseacuteespour lrsquoauthentification parNTLM automatique
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationNTLM automatique
networkautomatic-ntlm-authallow-non-fqdn
Autoriser lrsquoauthentificationNTLM automatique avecdes sites sans FQDN
false agrave moins que la liste networkautomatic-ntlm-authtrusted-uris comporte des adressessans FQDN
networknegotiate-authallow-non-fqdn
Autoriser lrsquoauthentificationSPNEGO avec des sites sansFQDN
En fonction de lrsquoentiteacute
networknegotiate-authallow-proxies
Autoriser SPNEGO29si de-mandeacute par un serveur proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networknegotiate-authdelegation-uris
Liste des URIs autoriseacuteespour lesquels le navigateurpeut deacuteleacuteguer lrsquoautorisationde lrsquoutilisateur
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites auxquels elle souhaite permettre ladeacuteleacutegation SPNEGO
networknegotiate-authtrusted-uris Liste des URIs autoriseacuteespour engager une authentifi-cation SPNEGO
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationSPNEGO
networknegotiate-authgsslib Chemin vers une librairieGSSLIB speacutecifique
Mettre agrave vide
networknegotiate-authusing-native-gsslib
Utiliser la librairie GSSLIBnative du systegraveme
true
securitydefault_personal_cert Choix du certificat drsquoau-thentification client
Ask Every Time
29 SPNEGO est un standard qui permet de neacutegocier de lrsquoauthentification Kerberos NTLM ainsi que drsquoautresprotocoles supporteacutes pour le systegraveme SPNEGO est eacutegalement connu sous le nom du protocole drsquoauthentificationlaquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 26 sur 40
Serveur mandataire
Nom de paramegravetre Description Valeur recommandeacuteenetworkproxyautoconfig_url URL de configuration automatique du
proxyLaisser agrave vide
networkproxyftp Adresse du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyftp_port port du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp Adresse du proxy proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp_port port du proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyno_proxies_on Liste drsquoexceptions agrave lrsquoutilisation du serveurproxy
A minima localhost 127001 etdavantage en fonction de lrsquoentiteacute etdu peacuterimegravetre drsquoutilisation du naviga-teur
networkproxyshare_proxy_settings
Utiliser le mecircme proxy pour tous les pro-tocoles
false
networkproxysocks Adresse du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_port port du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_remote_dns
Reacutealiser les requecirctes DNS via le proxysocks
false
networkproxysocks_version Version du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl Adresse du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl_port port du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxytype Type drsquoutilisation du proxy 1 pour utiliser les valeurs in-diqueacutees par les paramegravetres ci-dessus(networkproxy)
networkhttpproxyversion version de proxy 11 par deacutefaut et en fonction duserveur proxy de lrsquoentiteacute
networkhttpproxypipelining Activer le pipelining30par proxy false pour des raisons de compat-ibiliteacute Lrsquoentiteacute peut choisir de lrsquoac-tiver si le pipelining est supporteacute parson serveur proxy drsquoentreprise
signonautologinproxy Saisie automatique du mot de passe deproxy
false
30 Le pipelining permet de faire plusieurs requecirctes HTTP simultaneacutement plutocirct que de les faire seacutequentiellement enattendant les reacuteponses de chacune drsquoentre elles Pour plus drsquoinformations httpwww-archivemozillaorgprojectsnetlibhttppipelining-faqhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 27 sur 40
Peacuterimegravetre de navigation
Nom de paramegravetre Description Valeur recommandeacuteenetworkprotocol-handlerexpose-all
Deacutetermine si le navigateur essayedrsquoouvrir les liens cliqueacutes dans lenavigateur en prioriteacute avant delaisser le systegraveme srsquoen charger en casdrsquoeacutechec (si le protocole du lien enquestion nrsquoest pas supporteacute par lenavigateur)
true
networkprotocol-handlerwarn-external-default
Avertir lrsquoutilisateur avant decharger un gestionnaire deprotocole tiers
true
networkprotocol-handlerexternal-default
Action pour lrsquoouverture drsquoun pro-tocole non pris en charge par lenavigateur
false de maniegravere agrave ne pas essayerde charger des protocoles non pris encharge nativement par le navigateur Lrsquoen-titeacute renseignera eacuteventuellement des ges-tionnaires de protocoles tiers pour desprotocoles qursquoelle souhaite explicitementpermettre tels que NNTP Mailto etc Pour illustrer par lrsquoexemple avecMailto le paramegravetre networkprotocol-handlerexternalmailto aurait pour valeurtrue et le paramegravetre networkprotocol-handlerappmailto avec pour valeur lechemin drsquoun exeacutecutable comme MozillaThunderbird ou Microsoft Outlook
networkprotocol-handlerexternalfile
Gestionnaire de protocole filesous Firefox
false
networkprotocol-handlerexternalftp
Gestionnaire de protocole ftpsous Firefox
false
geckohandlerServiceallowRegisterFromDifferentHost
Autoriser les sites Web agrave installerdes gestionnaires de protocoles oude contenus utilisable pour deshocirctes tiers
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 28 sur 40
Administration systegraveme maintenance et options diverses
Parameacutetrage des mises agrave jour
Nom de paramegravetre Description Valeur recommandeacuteeappupdateenabled Activation de la mise agrave jour automatique true
appupdateauto Teacuteleacutechargement et installationautomatiques (neacutecessite que le paramegravetreappupdateenabled ait pour valeurtrue)
true
appupdatecertcheckAttributes Veacuterifie les attributs du certificat du serveurde mise agrave jour
false
appupdatecertrequireBuiltIn Requiert lrsquointeacutegration des certificats duserveur de mise agrave jour et de toutes lesredirections intermeacutediaires
false
appupdatechannel Canal de mise agrave jour esr pour la version ESR de FirefoxappupdatedownloadbackgroundInterval
Temps de pause (en secondes) entrechaque teacuteleacutechargement en arriegravere plandrsquoun morceau de 300 Kb de mise agrave jour
Au choix de lrsquoentiteacute
appupdateidletime Temps de pause (en secondes) entre chaqueteacuteleacutechargement agrave la demande de lrsquoutilisa-teur) drsquoun morceau de 300 Kb de mise agravejour
60
appupdateinterval Intervalle de temps entre chaque veacuterifica-tion de disponibiliteacute de nouvelles mises agravejour
43200
appupdatemode Deacutetermine quelles mises agrave jour sontteacuteleacutechargeacutees en arriegravere plan
0 pour teacuteleacutecharger toutes les mises agravejour sans intervention de lrsquoutilisateur
appupdateserviceenabled Active le service de mise agrave jour de Firefox true
appupdateshowInstalledUI Deacutetermine si apregraves installation de mise agravejour une boicircte de dialogue informe lrsquoutil-isateur qursquoune mise agrave jour a eacuteteacute installeacutee
Au choix de lrsquoentiteacute
appupdatesilent Active le mode de mise agrave jour silencieux true pour une mise agrave jour silencieuseen arriegravere plan
appupdateurl URL de reacutecupeacuteration des mises agrave jour deFirefox
En fonction de la strateacutegie de mise agravejour de lrsquoentiteacute Pour une mise agrave jourdepuis les serveurs de Mozilla httpsaus3mozillaorgupdate3PRODUCTVERSIONBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONupdatexml sinon lrsquoURLdu serveur de mise agrave jour internede lrsquoentiteacute (qursquoil faudra eacutegalementrenseigner dans le paramegravetreappupdateurloverride)
appupdateurloverride URL de reacutecupeacuteration des mises agrave jour deFirefox
Paramegravetre agrave renseigner uniquementdans le cas ou la mise agrave jour deFirefox se fait depuis lrsquoURL drsquounserveur de mise agrave jour interne delrsquoentiteacute (agrave renseigner en plus duparamegravetre appupdateurl)
appupdateurldetails URL de consultation des informations rel-atives aux mises agrave jour disponibles
Laisser la valeur par deacutefautrhttpswwwmozillaorgLOCALEfirefoxnotes
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 29 sur 40
Configuration du cache
Nom de paramegravetre Description Valeur recommandeacuteebrowsercachecheck_doc_frequency Quand veacuterifier la mise agrave jour drsquoune page en
cache disque3 (veacuterifier quand la page estpeacuterimeacutee)
browsercachecompression_level Niveau de compression du cache disque Au choix de lrsquoentiteacute de 0(pas de compression) agrave 9(haut taux de compressionavec forte sollicitation du pro-cesseur)
browsercachediskcapacity Espace disque alloueacute au cache disque enKb
Au choix de lrsquoentiteacute
browsercachediskenable Utiliser le cache disque true
browsercachediskmax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache disque
Au choix de lrsquoentiteacute
browsercachedisksmart_sizeenabled Allocation intelligente de lrsquoespace disquealloueacute au cache en fonction de lrsquoespacedisponible
Au choix de lrsquoentiteacute
browsercachedisk_cache_ssl Mettre en cache disque les pages visiteacuteesen HTTPS
False de maniegravere agrave ne pasmettre en cache le contenuSSL
browsercachememoryenable Utiliser le cache meacutemoire true
browsercachememorymax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache meacutemoire
Au choix de lrsquoentiteacute
browsercachememory_limit Meacutemoire maximum utiliseacutee pour le cachemeacutemoire en Kb
Au choix de lrsquoentiteacute
browsercacheofflinecapacity Espace disque alloueacute au cache des applica-tions Web
Au choix de lrsquoentiteacute
browsercacheofflineenable Utiliser le cache des applications Web per-mettant une utilisation hors ligne
Au choix de lrsquoentiteacute
browsercacheuse_new_backend Utilisation du nouveau systegraveme de cache 0 (ne pas utiliser pour desquestions de stabiliteacute)
networkhttpuse-cache Utiliser le cache des documents HTTP true
mediacache_size Taille du cache pour les fichiers multimedia Au choix de lrsquoentiteacute par deacute-faut 512000
domstoragedefault_quota Quota de stockage cocircteacute client pour lespages Web
5120 taille par deacutefaut
domstorageenabled Active le stockage cocircteacute client pour les pagesWeb
true agrave deacutefaut de vulneacuterabil-iteacutes connues pour cette fonc-tionnaliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 30 sur 40
Deacutesactiver les options de deacuteveloppement (sauf pour les populations de deacuteveloppeurs)
Nom de paramegravetre Description Valeur recommandeacuteedevtoolsappmanagerenabled Activation des outils de deacuteveloppement module appmanager false
devtoolsdebuggerenabled Activation des outils de deacuteveloppement module deacutebogueur false
devtoolserrorconsoleenabled Activation des outils de deacuteveloppement module consoledrsquoerreurs
false
devtoolsfontinspectorenabled Activation des outils de deacuteveloppement module inspecteurde polices
false
devtoolsinspectorenabled Activation des outils de deacuteveloppement module inspecteur false
devtoolsnetmonitorenabled Activation des outils de deacuteveloppement module reacuteseau false
devtoolsprofilerenabled Activation des outils de deacuteveloppement module profileur false
devtoolsshadereditorenabled Activation des outils de deacuteveloppement module vue adaptive false
devtoolsstyleeditorenabled Activation des outils de deacuteveloppement module editeur destyles
false
devtoolstiltenabled Activation des outils de deacuteveloppement module tilt false
devtoolstoolbarenabled Activation des outils de deacuteveloppement module barre dedeacuteveloppement
false
Configurations diverses
Nom de paramegravetre Description Valeur recommandeacuteenetworkseerenable-hover-on-ssl Activer seer sur SSL false
networkseerenabled Activer seer false
networkhttppipelining Activer le pipelining pour le surfHTTP11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttppipeliningssl Activer le pipelining pour le surfHTTPS11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttpspdyenabled Activer SPDY31 false
networkhttpspdyenabledv2 Activer SPDY v2 false
networkhttpspdyenabledv3 Activer SPDY v3 false
networkhttpspdyenabledv3-1 Activer SPDY v31 false
browsershellcheckDefaultBrowser Veacuterifier si Firefox est configureacutecomme navigateur par deacutefaut
false dans le cadre de double naviga-teurs
browserdownloadmanagerscanWhenDone
Scan antivirus drsquoun fichier lorsqueson teacuteleacutechargement est termineacute
true
browserdownloaduseDownloadDir Utiliser le reacutepertoire de teacuteleacutecharge-ment par deacutefaut
false pour que lrsquoutilisateur indique agravequel emplacement il souhaite teacuteleacutechargerle fichier
browserfullscreenautohide Cacher la barre drsquooutils et drsquoongletsen mode plein eacutecran
false
31 SPDY est un protocole reacuteseau expeacuterimental de Google visant agrave augmenter les capaciteacutes du protocole HTTP pourreacuteduire le temps de chargement des pages Web en classant les objets par ordre de prioriteacute et en multiplexant les transfertspour ne neacutecessiter qursquoune seule connexion Ce protocole est vulneacuterable aux attaques CRIME (Compression Ratio Info-leakMade Easy) lorsqursquoil est utiliseacute avec HTTPS (ce qui est geacuteneacuteralement le cas)
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 31 sur 40
Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP
Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory
Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation
La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32
Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers
Fichiers de configuration
La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte
ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet
ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes
Fichier local-settingsjs
pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)
Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 32 sur 40
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
Confidentialiteacute
Il nrsquoexiste pas en date de reacutedaction de cette note de regravegle globale pour la deacutesactivation de FirefoxSync Sa deacutesactivation se fait par conseacutequent agrave travers plusieurs regravegles de configuration
Nom de paramegravetre Description Valeur recommandeacuteeservicessyncengineaddons Synchronisation des modules compleacutementaires false
servicessyncenginebookmarks Synchronisation des marque-pages false
servicessyncenginehistory Synchronisation de lrsquohistorique de navigation false
servicessyncenginepasswords Synchronisation des mots de passe stockeacutes false
servicessyncengineprefs Synchronisation des preacutefeacuterences false
servicessyncenginetabs Synchronisation des onglets ouverts false
servicessyncregisterEngines Moteurs de synchronisation enregistreacutes Mettre agrave videservicessyncjpakeserverURL URL du serveur synchronisation jpake Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessyncserverURL URL du serveur de synchronisation Mettre agrave videservicessynctokenServerURI URI du serveur de jetons Mettre agrave videservicessyncnextSync Planification de la prochaine synchronisation 0
Il convient eacutegalement de deacutesactiver les diffeacuterents rapports agrave Mozilla
Nom de paramegravetre Description Valeur recommandeacuteedatareportinghealthreportaboutreportUrl URL de rapport de santeacute Mettre agrave videdatareportinghealthreportloggingconsoleEnabled
Activer la journalisation (console) du ser-vice de rapports de santeacute
false
datareportinghealthreportloggingdumpEnabled
Activer la journalisation (dumps) du ser-vice de rapports de santeacute
false
datareportinghealthreportnextDataSubmissionTime
Date de prochaine soumission de rapportde santeacute
Mettre agrave vide
datareportinghealthreportserviceenabled Activer le service de rapport de santeacute false
datareportinghealthreportuploadEnabled Autoriser lrsquoenvoi de donneacutees au serveur derapports de santeacute
false
datareportingpolicydataSubmissionEnabled Activer lrsquoenvoi de donneacutees agrave Mozilla agrave desfins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyAccepted
Accepter les conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyBypassAcceptance
Contourner lrsquoacceptation des conditionsdrsquoenvoi de donneacutees agrave Mozilla agrave des finsdrsquoameacutelioration
false
datareportingpolicydataSubmissionPolicyResponseType
Reacuteponse aux conditions drsquoenvoi de donneacuteesagrave Mozilla agrave des fins drsquoameacutelioration
accepted-info-bar-dismissed
domipcpluginsreportCrashURL Inteacutegrer lrsquoURL au rapport de crash deplugins
false
domipcpluginsflashsubprocesscrashreporterenabled
Activer le rapport de crash du sous-processus flash
false
toolkittelemetryenabled Activer la fonctionnaliteacute de teacuteleacutemeacutetrie false
toolkittelemetryserver Adresse du serveur de teacuteleacutemeacutetrie Mettre agrave videbreakpadreportURL URL du rapport de crash Mettre agrave vide
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 21 sur 40
Il peut eacutegalement ecirctre utile de configurer lrsquooption de suppression des donneacutees priveacutees (Clear PrivateData) en seacutelectionnant les eacuteleacutements qui seront supprimeacutes Lrsquoentiteacute pourra par exemple permettre auxutilisateurs de supprimer leurs donneacutees priveacutees dans le cadre drsquoune navigation sur internet ou bien delrsquointerdire srsquoil srsquoagit drsquoun navigateur deacutedieacute agrave lrsquointranet Une entiteacute pourrait eacutegalement vouloir toujoursgarder les historiques et le cache agrave des fins drsquoinvestigation (cela nrsquoempecircchera toutefois pas lrsquoutilisateurde les supprimer directement au niveau du systegraveme de fichiers dans son profil utilisateur)
Nom de paramegravetre Description Valeur recommandeacuteeprivacycpdcache Supprimer le cache lors drsquoune suppression des donneacutees
priveacuteesAu choix de lrsquoentiteacute
privacycpdcookies Supprimer les cookies lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpddownloads Supprimer lrsquohistorique des teacuteleacutechargements lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdformdata Supprimer lrsquohistorique de remplissage automatique desformulaire lors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdhistory Supprimer lrsquohistorique lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpdofflineApps Supprimer les applications disponibles hors connexionlors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdpasswords Supprimer les mots de passe enregistreacutes lors drsquoune sup-pression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsessions Supprimer les sessions en cours enregistreacutees lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsiteSettings Supprimer les paramegravetres par site lors drsquoune suppressiondes donneacutees priveacutees
Au choix de lrsquoentiteacute
privacysanitizesanitizeOnShutdown
Supprimer les donneacutees priveacutees agrave la fermeture du naviga-teur
En cas de besoin speacute-cifique de lrsquoentiteacute
Viennent pour finir divers autres paramegravetres lieacutes agrave la confidentialiteacute
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownsessions effacer les sessions de navigation en cours lors
de la fermeture du navigateurtrue
privacyclearOnShutdowncookies effacer les cookies de navigation lors de lafermeture du navigateur
true
privacydonottrackheaderenabled Activer Do-Not-Track true
geoenabled activer la geacuteolocalisation false
geowifiuri URI du service de geacuteolocalisation agrave utiliser Mettre agrave videnetworkprefetch-next Teacuteleacutechargement preacutedictif anticipeacute des docu-
ments lieacutes agrave la page Web visiteacutes (link prefetch-ing)26
false pour eacuteviter lrsquoeacutetablisse-ment de connexions et leteacuteleacutechargement de contenunon solliciteacutes
medianavigatorpermissiondisabled Contourne la permission drsquoacceacuteder agrave la web-cam
false
networkhttpsendRefererHeader Activer lrsquoenvoi de lrsquoentecircte referer 0 pour plus drsquoanonymat ou 2pour ne pas empecirccher le fonc-tionnement de certains sites
browsersend_pings Activer lrsquoenvoi de requecircte POST lors du clicsur un lien (fonctionnaliteacute souvent utiliseacuteepour tracer les clics)
false
26 Le link prefetching permet drsquoacceacuteleacuterer le surf en anticipant le chargement des documents lieacutes agrave la page visiteacutesLrsquoimpleacutementation de ce meacutecanisme dans Firefox ne transmet aucune information agrave Mozilla Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsWebHTTPLink_prefetching_FAQ
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 22 sur 40
Filtrage de contenu
Actions autoriseacutees aux les scripts
Nom de paramegravetre Description Valeur recommandeacuteedomallow_scripts_to_close_windows Autoriser les scripts agrave fermer
une fenecirctrefalse
domdisable_image_src_set Interdire la modification desimages sources par script
false
domdisable_window_flip Interdire le changement defenecirctre active par script
true
domdisable_window_move_resize Deacutetermine si les fenecirctrespeuvent ecirctre bougeacutees or red-imensionneacutees par script
false
domdisable_window_open_featureclose Interdire la creacuteation defenecirctre sans bouton defermeture
true pour eacuteviter les popups in-vasifs
domdisable_window_open_featurelocation Interdire la creacuteation defenecirctre sans barre drsquoadresse
true pour que lrsquoutilisateur puissetoujours veacuterifier ecirctre agrave lrsquoadressepreacutevue
domdisable_window_open_featurestatus Interdire la creacuteation defenecirctre sans barre de status
true pour que lrsquoutilisateur puissese rendre contre plus facilementdes tentatives de spoofing
domdisable_window_open_featuretitlebar Interdire la creacuteation defenecirctre sans barre de titre
true pour que lrsquoutilisateur puissebien voir qursquoil srsquoagit drsquoun popupFirefox
domdisable_window_open_featuretoolbar Interdire la creacuteation defenecirctre sans barre drsquooutils
false
domeventclipboardeventsenabled Permettre agrave un script desaisir les eacuteveacutenements dupresse papier
false
domeventcontextmenuenabled Permettre agrave un script desaisir les eacuteveacutenements drsquoac-cegraves au menu contextuel (clicdroit)
false
dominter-app-communication-apienabled Activer la communicationpar API entre applications
false
domipcpluginsenabled Activation du plugin con-tainer
true pour exeacutecuter les pluginsdans le plugin-container
domipcpluginsjavaenabled Exeacutecuter Java au sein duplugin-container
false pour eacuteviter des problegravemesde stabiliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 23 sur 40
Nom de strateacutegie Description Valeur recommandeacuteebrowsersafebrowsingenabled Utiliser la navigation seacutecuriseacutee
(protection contre le phishing etles logiciels malveillants)27
true
javascriptenabled Activation de Javascript true
securityxpconnectpluginunrestricted Autoriser le scripting de pluginspar des scripts qui ne sont pasde confiance
false agrave moins drsquoune incompatibiliteacute avecdes plugins etou pages Web neacutecessaires agravelrsquoentiteacute
securitymixed_contentblock_active_content
Bloquer le contenu mixte actif true
securitymixed_contentblock_display_content
Bloquer le contenu mixte passif false
securityfileuristrict_origin_policy
Politique drsquoorigine stricte pourles URi de type fichiers
true sauf pour les populations dedeacuteveloppeurs qursquoun tel paramegravetre pourraitbloquer pour le deacuteveloppement en local
networkcookiecookieBehavior Politique de gestion des cookies 1 pour nrsquoautoriser que les cookies duserveur drsquoorigine et bloquer les cookiestiers
networkcookielifetimePolicy Politique drsquoexpiration des cook-ies
2 pour conserver les cookies pendant toutela dureacutee de la session seulement
networkcookiethirdpartysessionOnly Restreindre les cookies tiers agrave ladureacutee de la session seulement
true
networkjaropen-unsafe-types Nrsquoouvrir que les jar servis avecun content-type adeacutequat
false
privacypopupspolicy Politique de popups 1 pour activer les popups ou 2 pour lesrejeter mais cela rendrait la navigationdifficile voire impossible sur une quantiteacutede sites Internet non neacutegligeable
privacypopupsshowBrowserMessage Afficher un message lorsqursquounpopup a eacuteteacute bloqueacute
true
browserpopupsshowPopupBlocker Afficher lrsquoicocircne du bloqueur depopups dans la barre de status
true
securitycspenable Activer la Content Security Pol-icy (politique de seacutecuriteacute descontenus) qui permet de deacute-tecter et de limiter lrsquoimpact decertains types drsquoattaques
true
full-screen-apienabled Activer lrsquoAPI permettant drsquoaf-ficher du contenu en plein eacutecranpour les modules compleacutemen-taires
false
notificationfeatureenabled Permettre les notifications sur lebureau
false
27 La fonctionnaliteacute de navigation seacutecuriseacutee consiste agrave synchroniser une liste locale drsquoadresses de sites maveillants(depuis les serveurs de Google par deacutefaut depuis que Firefox utilise leur service) pour alerter lrsquoutilisateur srsquoil srsquoapprecircte agraveen visiter un Elle consiste eacutegalement agrave analyser le contenu des pages pour repeacuterer drsquoeacuteventuelles tentatives drsquohameccedilonnage
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 24 sur 40
Moteur de recherche par deacutefaut
La configuration drsquoun moteur de recherche personnaliseacute ne peut pas se faire simplement par fichierde configuration et neacutecessite le deacuteploiement drsquoun module de recherche (search engine plugin) LrsquoannexeIV illustre la teacuteleacute-deacuteploiement drsquoun module de recherche utilisant le moteur franccedilais httpswwwqwantcom 28
Nom de paramegravetre Description Exemplebrowsersearchdefaultenginename Moteur de recherche par deacutefaut Qwantcom
browsersearchdefaulturl URL du moteur de recherche pardeacutefaut
httpswwwqwantcomq=searchTerms
browsersearchlog Journalisation de lrsquoutilisation desservices de recherche agrave des fins dedeacuteboggage
false
browsersearchopenintab Ouvrir les reacutesultats de recherchedans un nouvel onglet
false
browsersearchorder1 Moteur de recherche agrave utiliser enprioriteacute 1
Qwantcom
browsersearchsuggestenabled activer les suggestions false
browsersearchupdate Recherche de mises agrave jour pour lesmodules de recherche
false
keywordenabled Permettre de faire une recherchedepuis la barre drsquoadresse
true
Page(s) drsquoaccueil
Nom de strateacutegie Description Valeur recommandeacuteestartuphomepage_override_url Page drsquoaccueil apregraves une mise agrave jour de Firefox En fonction du choix de lrsquoentiteacutestartuphomepage_welcome_url Page drsquoaccueil au premier deacutemarrage En fonction du choix de lrsquoentiteacutebrowserstartuphomepage Page drsquoaccueil about blank pour une page vide
ou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
browserstartuppage Page drsquoaccueil 1 pour ouvrir la page drsquoac-cueil indiqueacutee par le paramegravetrebrowserstartuphomepage
browsersessionstoreresume_from_crash
Restauration de session apregraves crash false
browsersessionstoreenabled Activer le service de restauration de session false
browsernewtaburl Page ouverte par deacutefaut lors de la creacuteationdrsquoun nouvel onglet de navigation
about blank pour une page videou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
28 Ceci nrsquoest en aucun cas une recommandation ni une incitation agrave son utilisation mais un simple exemple
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 25 sur 40
Authentification HTTP
Nom de strateacutegie Description Valeur recommandeacuteenetworkauthforce-generic-ntlm Utiliser le module drsquoauthen-
tification NTLM de Firefoxplutocirct que celui fourni parles APIs du systegraveme
false
networkauthuse-sspi Utiliser SSPI plutocirct queGSSAPI pour lrsquoauthentifica-tion Kerberos
true sous Windows
networkntlmsend-lm-response Envoyer le LM Hash dans lareacuteponse NTLM
false
networkautomatic-ntlm-authallow-proxies
Authentification par NTLMautomatique avec lesserveurs proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networkautomatic-ntlm-authtrusted-uris
Liste des URIs autoriseacuteespour lrsquoauthentification parNTLM automatique
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationNTLM automatique
networkautomatic-ntlm-authallow-non-fqdn
Autoriser lrsquoauthentificationNTLM automatique avecdes sites sans FQDN
false agrave moins que la liste networkautomatic-ntlm-authtrusted-uris comporte des adressessans FQDN
networknegotiate-authallow-non-fqdn
Autoriser lrsquoauthentificationSPNEGO avec des sites sansFQDN
En fonction de lrsquoentiteacute
networknegotiate-authallow-proxies
Autoriser SPNEGO29si de-mandeacute par un serveur proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networknegotiate-authdelegation-uris
Liste des URIs autoriseacuteespour lesquels le navigateurpeut deacuteleacuteguer lrsquoautorisationde lrsquoutilisateur
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites auxquels elle souhaite permettre ladeacuteleacutegation SPNEGO
networknegotiate-authtrusted-uris Liste des URIs autoriseacuteespour engager une authentifi-cation SPNEGO
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationSPNEGO
networknegotiate-authgsslib Chemin vers une librairieGSSLIB speacutecifique
Mettre agrave vide
networknegotiate-authusing-native-gsslib
Utiliser la librairie GSSLIBnative du systegraveme
true
securitydefault_personal_cert Choix du certificat drsquoau-thentification client
Ask Every Time
29 SPNEGO est un standard qui permet de neacutegocier de lrsquoauthentification Kerberos NTLM ainsi que drsquoautresprotocoles supporteacutes pour le systegraveme SPNEGO est eacutegalement connu sous le nom du protocole drsquoauthentificationlaquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 26 sur 40
Serveur mandataire
Nom de paramegravetre Description Valeur recommandeacuteenetworkproxyautoconfig_url URL de configuration automatique du
proxyLaisser agrave vide
networkproxyftp Adresse du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyftp_port port du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp Adresse du proxy proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp_port port du proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyno_proxies_on Liste drsquoexceptions agrave lrsquoutilisation du serveurproxy
A minima localhost 127001 etdavantage en fonction de lrsquoentiteacute etdu peacuterimegravetre drsquoutilisation du naviga-teur
networkproxyshare_proxy_settings
Utiliser le mecircme proxy pour tous les pro-tocoles
false
networkproxysocks Adresse du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_port port du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_remote_dns
Reacutealiser les requecirctes DNS via le proxysocks
false
networkproxysocks_version Version du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl Adresse du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl_port port du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxytype Type drsquoutilisation du proxy 1 pour utiliser les valeurs in-diqueacutees par les paramegravetres ci-dessus(networkproxy)
networkhttpproxyversion version de proxy 11 par deacutefaut et en fonction duserveur proxy de lrsquoentiteacute
networkhttpproxypipelining Activer le pipelining30par proxy false pour des raisons de compat-ibiliteacute Lrsquoentiteacute peut choisir de lrsquoac-tiver si le pipelining est supporteacute parson serveur proxy drsquoentreprise
signonautologinproxy Saisie automatique du mot de passe deproxy
false
30 Le pipelining permet de faire plusieurs requecirctes HTTP simultaneacutement plutocirct que de les faire seacutequentiellement enattendant les reacuteponses de chacune drsquoentre elles Pour plus drsquoinformations httpwww-archivemozillaorgprojectsnetlibhttppipelining-faqhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 27 sur 40
Peacuterimegravetre de navigation
Nom de paramegravetre Description Valeur recommandeacuteenetworkprotocol-handlerexpose-all
Deacutetermine si le navigateur essayedrsquoouvrir les liens cliqueacutes dans lenavigateur en prioriteacute avant delaisser le systegraveme srsquoen charger en casdrsquoeacutechec (si le protocole du lien enquestion nrsquoest pas supporteacute par lenavigateur)
true
networkprotocol-handlerwarn-external-default
Avertir lrsquoutilisateur avant decharger un gestionnaire deprotocole tiers
true
networkprotocol-handlerexternal-default
Action pour lrsquoouverture drsquoun pro-tocole non pris en charge par lenavigateur
false de maniegravere agrave ne pas essayerde charger des protocoles non pris encharge nativement par le navigateur Lrsquoen-titeacute renseignera eacuteventuellement des ges-tionnaires de protocoles tiers pour desprotocoles qursquoelle souhaite explicitementpermettre tels que NNTP Mailto etc Pour illustrer par lrsquoexemple avecMailto le paramegravetre networkprotocol-handlerexternalmailto aurait pour valeurtrue et le paramegravetre networkprotocol-handlerappmailto avec pour valeur lechemin drsquoun exeacutecutable comme MozillaThunderbird ou Microsoft Outlook
networkprotocol-handlerexternalfile
Gestionnaire de protocole filesous Firefox
false
networkprotocol-handlerexternalftp
Gestionnaire de protocole ftpsous Firefox
false
geckohandlerServiceallowRegisterFromDifferentHost
Autoriser les sites Web agrave installerdes gestionnaires de protocoles oude contenus utilisable pour deshocirctes tiers
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 28 sur 40
Administration systegraveme maintenance et options diverses
Parameacutetrage des mises agrave jour
Nom de paramegravetre Description Valeur recommandeacuteeappupdateenabled Activation de la mise agrave jour automatique true
appupdateauto Teacuteleacutechargement et installationautomatiques (neacutecessite que le paramegravetreappupdateenabled ait pour valeurtrue)
true
appupdatecertcheckAttributes Veacuterifie les attributs du certificat du serveurde mise agrave jour
false
appupdatecertrequireBuiltIn Requiert lrsquointeacutegration des certificats duserveur de mise agrave jour et de toutes lesredirections intermeacutediaires
false
appupdatechannel Canal de mise agrave jour esr pour la version ESR de FirefoxappupdatedownloadbackgroundInterval
Temps de pause (en secondes) entrechaque teacuteleacutechargement en arriegravere plandrsquoun morceau de 300 Kb de mise agrave jour
Au choix de lrsquoentiteacute
appupdateidletime Temps de pause (en secondes) entre chaqueteacuteleacutechargement agrave la demande de lrsquoutilisa-teur) drsquoun morceau de 300 Kb de mise agravejour
60
appupdateinterval Intervalle de temps entre chaque veacuterifica-tion de disponibiliteacute de nouvelles mises agravejour
43200
appupdatemode Deacutetermine quelles mises agrave jour sontteacuteleacutechargeacutees en arriegravere plan
0 pour teacuteleacutecharger toutes les mises agravejour sans intervention de lrsquoutilisateur
appupdateserviceenabled Active le service de mise agrave jour de Firefox true
appupdateshowInstalledUI Deacutetermine si apregraves installation de mise agravejour une boicircte de dialogue informe lrsquoutil-isateur qursquoune mise agrave jour a eacuteteacute installeacutee
Au choix de lrsquoentiteacute
appupdatesilent Active le mode de mise agrave jour silencieux true pour une mise agrave jour silencieuseen arriegravere plan
appupdateurl URL de reacutecupeacuteration des mises agrave jour deFirefox
En fonction de la strateacutegie de mise agravejour de lrsquoentiteacute Pour une mise agrave jourdepuis les serveurs de Mozilla httpsaus3mozillaorgupdate3PRODUCTVERSIONBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONupdatexml sinon lrsquoURLdu serveur de mise agrave jour internede lrsquoentiteacute (qursquoil faudra eacutegalementrenseigner dans le paramegravetreappupdateurloverride)
appupdateurloverride URL de reacutecupeacuteration des mises agrave jour deFirefox
Paramegravetre agrave renseigner uniquementdans le cas ou la mise agrave jour deFirefox se fait depuis lrsquoURL drsquounserveur de mise agrave jour interne delrsquoentiteacute (agrave renseigner en plus duparamegravetre appupdateurl)
appupdateurldetails URL de consultation des informations rel-atives aux mises agrave jour disponibles
Laisser la valeur par deacutefautrhttpswwwmozillaorgLOCALEfirefoxnotes
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 29 sur 40
Configuration du cache
Nom de paramegravetre Description Valeur recommandeacuteebrowsercachecheck_doc_frequency Quand veacuterifier la mise agrave jour drsquoune page en
cache disque3 (veacuterifier quand la page estpeacuterimeacutee)
browsercachecompression_level Niveau de compression du cache disque Au choix de lrsquoentiteacute de 0(pas de compression) agrave 9(haut taux de compressionavec forte sollicitation du pro-cesseur)
browsercachediskcapacity Espace disque alloueacute au cache disque enKb
Au choix de lrsquoentiteacute
browsercachediskenable Utiliser le cache disque true
browsercachediskmax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache disque
Au choix de lrsquoentiteacute
browsercachedisksmart_sizeenabled Allocation intelligente de lrsquoespace disquealloueacute au cache en fonction de lrsquoespacedisponible
Au choix de lrsquoentiteacute
browsercachedisk_cache_ssl Mettre en cache disque les pages visiteacuteesen HTTPS
False de maniegravere agrave ne pasmettre en cache le contenuSSL
browsercachememoryenable Utiliser le cache meacutemoire true
browsercachememorymax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache meacutemoire
Au choix de lrsquoentiteacute
browsercachememory_limit Meacutemoire maximum utiliseacutee pour le cachemeacutemoire en Kb
Au choix de lrsquoentiteacute
browsercacheofflinecapacity Espace disque alloueacute au cache des applica-tions Web
Au choix de lrsquoentiteacute
browsercacheofflineenable Utiliser le cache des applications Web per-mettant une utilisation hors ligne
Au choix de lrsquoentiteacute
browsercacheuse_new_backend Utilisation du nouveau systegraveme de cache 0 (ne pas utiliser pour desquestions de stabiliteacute)
networkhttpuse-cache Utiliser le cache des documents HTTP true
mediacache_size Taille du cache pour les fichiers multimedia Au choix de lrsquoentiteacute par deacute-faut 512000
domstoragedefault_quota Quota de stockage cocircteacute client pour lespages Web
5120 taille par deacutefaut
domstorageenabled Active le stockage cocircteacute client pour les pagesWeb
true agrave deacutefaut de vulneacuterabil-iteacutes connues pour cette fonc-tionnaliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 30 sur 40
Deacutesactiver les options de deacuteveloppement (sauf pour les populations de deacuteveloppeurs)
Nom de paramegravetre Description Valeur recommandeacuteedevtoolsappmanagerenabled Activation des outils de deacuteveloppement module appmanager false
devtoolsdebuggerenabled Activation des outils de deacuteveloppement module deacutebogueur false
devtoolserrorconsoleenabled Activation des outils de deacuteveloppement module consoledrsquoerreurs
false
devtoolsfontinspectorenabled Activation des outils de deacuteveloppement module inspecteurde polices
false
devtoolsinspectorenabled Activation des outils de deacuteveloppement module inspecteur false
devtoolsnetmonitorenabled Activation des outils de deacuteveloppement module reacuteseau false
devtoolsprofilerenabled Activation des outils de deacuteveloppement module profileur false
devtoolsshadereditorenabled Activation des outils de deacuteveloppement module vue adaptive false
devtoolsstyleeditorenabled Activation des outils de deacuteveloppement module editeur destyles
false
devtoolstiltenabled Activation des outils de deacuteveloppement module tilt false
devtoolstoolbarenabled Activation des outils de deacuteveloppement module barre dedeacuteveloppement
false
Configurations diverses
Nom de paramegravetre Description Valeur recommandeacuteenetworkseerenable-hover-on-ssl Activer seer sur SSL false
networkseerenabled Activer seer false
networkhttppipelining Activer le pipelining pour le surfHTTP11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttppipeliningssl Activer le pipelining pour le surfHTTPS11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttpspdyenabled Activer SPDY31 false
networkhttpspdyenabledv2 Activer SPDY v2 false
networkhttpspdyenabledv3 Activer SPDY v3 false
networkhttpspdyenabledv3-1 Activer SPDY v31 false
browsershellcheckDefaultBrowser Veacuterifier si Firefox est configureacutecomme navigateur par deacutefaut
false dans le cadre de double naviga-teurs
browserdownloadmanagerscanWhenDone
Scan antivirus drsquoun fichier lorsqueson teacuteleacutechargement est termineacute
true
browserdownloaduseDownloadDir Utiliser le reacutepertoire de teacuteleacutecharge-ment par deacutefaut
false pour que lrsquoutilisateur indique agravequel emplacement il souhaite teacuteleacutechargerle fichier
browserfullscreenautohide Cacher la barre drsquooutils et drsquoongletsen mode plein eacutecran
false
31 SPDY est un protocole reacuteseau expeacuterimental de Google visant agrave augmenter les capaciteacutes du protocole HTTP pourreacuteduire le temps de chargement des pages Web en classant les objets par ordre de prioriteacute et en multiplexant les transfertspour ne neacutecessiter qursquoune seule connexion Ce protocole est vulneacuterable aux attaques CRIME (Compression Ratio Info-leakMade Easy) lorsqursquoil est utiliseacute avec HTTPS (ce qui est geacuteneacuteralement le cas)
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 31 sur 40
Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP
Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory
Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation
La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32
Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers
Fichiers de configuration
La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte
ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet
ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes
Fichier local-settingsjs
pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)
Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 32 sur 40
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
Il peut eacutegalement ecirctre utile de configurer lrsquooption de suppression des donneacutees priveacutees (Clear PrivateData) en seacutelectionnant les eacuteleacutements qui seront supprimeacutes Lrsquoentiteacute pourra par exemple permettre auxutilisateurs de supprimer leurs donneacutees priveacutees dans le cadre drsquoune navigation sur internet ou bien delrsquointerdire srsquoil srsquoagit drsquoun navigateur deacutedieacute agrave lrsquointranet Une entiteacute pourrait eacutegalement vouloir toujoursgarder les historiques et le cache agrave des fins drsquoinvestigation (cela nrsquoempecircchera toutefois pas lrsquoutilisateurde les supprimer directement au niveau du systegraveme de fichiers dans son profil utilisateur)
Nom de paramegravetre Description Valeur recommandeacuteeprivacycpdcache Supprimer le cache lors drsquoune suppression des donneacutees
priveacuteesAu choix de lrsquoentiteacute
privacycpdcookies Supprimer les cookies lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpddownloads Supprimer lrsquohistorique des teacuteleacutechargements lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdformdata Supprimer lrsquohistorique de remplissage automatique desformulaire lors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdhistory Supprimer lrsquohistorique lors drsquoune suppression des donneacuteespriveacutees
Au choix de lrsquoentiteacute
privacycpdofflineApps Supprimer les applications disponibles hors connexionlors drsquoune suppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdpasswords Supprimer les mots de passe enregistreacutes lors drsquoune sup-pression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsessions Supprimer les sessions en cours enregistreacutees lors drsquounesuppression des donneacutees priveacutees
Au choix de lrsquoentiteacute
privacycpdsiteSettings Supprimer les paramegravetres par site lors drsquoune suppressiondes donneacutees priveacutees
Au choix de lrsquoentiteacute
privacysanitizesanitizeOnShutdown
Supprimer les donneacutees priveacutees agrave la fermeture du naviga-teur
En cas de besoin speacute-cifique de lrsquoentiteacute
Viennent pour finir divers autres paramegravetres lieacutes agrave la confidentialiteacute
Nom de paramegravetre Description Valeur recommandeacuteeprivacyclearOnShutdownsessions effacer les sessions de navigation en cours lors
de la fermeture du navigateurtrue
privacyclearOnShutdowncookies effacer les cookies de navigation lors de lafermeture du navigateur
true
privacydonottrackheaderenabled Activer Do-Not-Track true
geoenabled activer la geacuteolocalisation false
geowifiuri URI du service de geacuteolocalisation agrave utiliser Mettre agrave videnetworkprefetch-next Teacuteleacutechargement preacutedictif anticipeacute des docu-
ments lieacutes agrave la page Web visiteacutes (link prefetch-ing)26
false pour eacuteviter lrsquoeacutetablisse-ment de connexions et leteacuteleacutechargement de contenunon solliciteacutes
medianavigatorpermissiondisabled Contourne la permission drsquoacceacuteder agrave la web-cam
false
networkhttpsendRefererHeader Activer lrsquoenvoi de lrsquoentecircte referer 0 pour plus drsquoanonymat ou 2pour ne pas empecirccher le fonc-tionnement de certains sites
browsersend_pings Activer lrsquoenvoi de requecircte POST lors du clicsur un lien (fonctionnaliteacute souvent utiliseacuteepour tracer les clics)
false
26 Le link prefetching permet drsquoacceacuteleacuterer le surf en anticipant le chargement des documents lieacutes agrave la page visiteacutesLrsquoimpleacutementation de ce meacutecanisme dans Firefox ne transmet aucune information agrave Mozilla Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsWebHTTPLink_prefetching_FAQ
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 22 sur 40
Filtrage de contenu
Actions autoriseacutees aux les scripts
Nom de paramegravetre Description Valeur recommandeacuteedomallow_scripts_to_close_windows Autoriser les scripts agrave fermer
une fenecirctrefalse
domdisable_image_src_set Interdire la modification desimages sources par script
false
domdisable_window_flip Interdire le changement defenecirctre active par script
true
domdisable_window_move_resize Deacutetermine si les fenecirctrespeuvent ecirctre bougeacutees or red-imensionneacutees par script
false
domdisable_window_open_featureclose Interdire la creacuteation defenecirctre sans bouton defermeture
true pour eacuteviter les popups in-vasifs
domdisable_window_open_featurelocation Interdire la creacuteation defenecirctre sans barre drsquoadresse
true pour que lrsquoutilisateur puissetoujours veacuterifier ecirctre agrave lrsquoadressepreacutevue
domdisable_window_open_featurestatus Interdire la creacuteation defenecirctre sans barre de status
true pour que lrsquoutilisateur puissese rendre contre plus facilementdes tentatives de spoofing
domdisable_window_open_featuretitlebar Interdire la creacuteation defenecirctre sans barre de titre
true pour que lrsquoutilisateur puissebien voir qursquoil srsquoagit drsquoun popupFirefox
domdisable_window_open_featuretoolbar Interdire la creacuteation defenecirctre sans barre drsquooutils
false
domeventclipboardeventsenabled Permettre agrave un script desaisir les eacuteveacutenements dupresse papier
false
domeventcontextmenuenabled Permettre agrave un script desaisir les eacuteveacutenements drsquoac-cegraves au menu contextuel (clicdroit)
false
dominter-app-communication-apienabled Activer la communicationpar API entre applications
false
domipcpluginsenabled Activation du plugin con-tainer
true pour exeacutecuter les pluginsdans le plugin-container
domipcpluginsjavaenabled Exeacutecuter Java au sein duplugin-container
false pour eacuteviter des problegravemesde stabiliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 23 sur 40
Nom de strateacutegie Description Valeur recommandeacuteebrowsersafebrowsingenabled Utiliser la navigation seacutecuriseacutee
(protection contre le phishing etles logiciels malveillants)27
true
javascriptenabled Activation de Javascript true
securityxpconnectpluginunrestricted Autoriser le scripting de pluginspar des scripts qui ne sont pasde confiance
false agrave moins drsquoune incompatibiliteacute avecdes plugins etou pages Web neacutecessaires agravelrsquoentiteacute
securitymixed_contentblock_active_content
Bloquer le contenu mixte actif true
securitymixed_contentblock_display_content
Bloquer le contenu mixte passif false
securityfileuristrict_origin_policy
Politique drsquoorigine stricte pourles URi de type fichiers
true sauf pour les populations dedeacuteveloppeurs qursquoun tel paramegravetre pourraitbloquer pour le deacuteveloppement en local
networkcookiecookieBehavior Politique de gestion des cookies 1 pour nrsquoautoriser que les cookies duserveur drsquoorigine et bloquer les cookiestiers
networkcookielifetimePolicy Politique drsquoexpiration des cook-ies
2 pour conserver les cookies pendant toutela dureacutee de la session seulement
networkcookiethirdpartysessionOnly Restreindre les cookies tiers agrave ladureacutee de la session seulement
true
networkjaropen-unsafe-types Nrsquoouvrir que les jar servis avecun content-type adeacutequat
false
privacypopupspolicy Politique de popups 1 pour activer les popups ou 2 pour lesrejeter mais cela rendrait la navigationdifficile voire impossible sur une quantiteacutede sites Internet non neacutegligeable
privacypopupsshowBrowserMessage Afficher un message lorsqursquounpopup a eacuteteacute bloqueacute
true
browserpopupsshowPopupBlocker Afficher lrsquoicocircne du bloqueur depopups dans la barre de status
true
securitycspenable Activer la Content Security Pol-icy (politique de seacutecuriteacute descontenus) qui permet de deacute-tecter et de limiter lrsquoimpact decertains types drsquoattaques
true
full-screen-apienabled Activer lrsquoAPI permettant drsquoaf-ficher du contenu en plein eacutecranpour les modules compleacutemen-taires
false
notificationfeatureenabled Permettre les notifications sur lebureau
false
27 La fonctionnaliteacute de navigation seacutecuriseacutee consiste agrave synchroniser une liste locale drsquoadresses de sites maveillants(depuis les serveurs de Google par deacutefaut depuis que Firefox utilise leur service) pour alerter lrsquoutilisateur srsquoil srsquoapprecircte agraveen visiter un Elle consiste eacutegalement agrave analyser le contenu des pages pour repeacuterer drsquoeacuteventuelles tentatives drsquohameccedilonnage
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 24 sur 40
Moteur de recherche par deacutefaut
La configuration drsquoun moteur de recherche personnaliseacute ne peut pas se faire simplement par fichierde configuration et neacutecessite le deacuteploiement drsquoun module de recherche (search engine plugin) LrsquoannexeIV illustre la teacuteleacute-deacuteploiement drsquoun module de recherche utilisant le moteur franccedilais httpswwwqwantcom 28
Nom de paramegravetre Description Exemplebrowsersearchdefaultenginename Moteur de recherche par deacutefaut Qwantcom
browsersearchdefaulturl URL du moteur de recherche pardeacutefaut
httpswwwqwantcomq=searchTerms
browsersearchlog Journalisation de lrsquoutilisation desservices de recherche agrave des fins dedeacuteboggage
false
browsersearchopenintab Ouvrir les reacutesultats de recherchedans un nouvel onglet
false
browsersearchorder1 Moteur de recherche agrave utiliser enprioriteacute 1
Qwantcom
browsersearchsuggestenabled activer les suggestions false
browsersearchupdate Recherche de mises agrave jour pour lesmodules de recherche
false
keywordenabled Permettre de faire une recherchedepuis la barre drsquoadresse
true
Page(s) drsquoaccueil
Nom de strateacutegie Description Valeur recommandeacuteestartuphomepage_override_url Page drsquoaccueil apregraves une mise agrave jour de Firefox En fonction du choix de lrsquoentiteacutestartuphomepage_welcome_url Page drsquoaccueil au premier deacutemarrage En fonction du choix de lrsquoentiteacutebrowserstartuphomepage Page drsquoaccueil about blank pour une page vide
ou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
browserstartuppage Page drsquoaccueil 1 pour ouvrir la page drsquoac-cueil indiqueacutee par le paramegravetrebrowserstartuphomepage
browsersessionstoreresume_from_crash
Restauration de session apregraves crash false
browsersessionstoreenabled Activer le service de restauration de session false
browsernewtaburl Page ouverte par deacutefaut lors de la creacuteationdrsquoun nouvel onglet de navigation
about blank pour une page videou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
28 Ceci nrsquoest en aucun cas une recommandation ni une incitation agrave son utilisation mais un simple exemple
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 25 sur 40
Authentification HTTP
Nom de strateacutegie Description Valeur recommandeacuteenetworkauthforce-generic-ntlm Utiliser le module drsquoauthen-
tification NTLM de Firefoxplutocirct que celui fourni parles APIs du systegraveme
false
networkauthuse-sspi Utiliser SSPI plutocirct queGSSAPI pour lrsquoauthentifica-tion Kerberos
true sous Windows
networkntlmsend-lm-response Envoyer le LM Hash dans lareacuteponse NTLM
false
networkautomatic-ntlm-authallow-proxies
Authentification par NTLMautomatique avec lesserveurs proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networkautomatic-ntlm-authtrusted-uris
Liste des URIs autoriseacuteespour lrsquoauthentification parNTLM automatique
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationNTLM automatique
networkautomatic-ntlm-authallow-non-fqdn
Autoriser lrsquoauthentificationNTLM automatique avecdes sites sans FQDN
false agrave moins que la liste networkautomatic-ntlm-authtrusted-uris comporte des adressessans FQDN
networknegotiate-authallow-non-fqdn
Autoriser lrsquoauthentificationSPNEGO avec des sites sansFQDN
En fonction de lrsquoentiteacute
networknegotiate-authallow-proxies
Autoriser SPNEGO29si de-mandeacute par un serveur proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networknegotiate-authdelegation-uris
Liste des URIs autoriseacuteespour lesquels le navigateurpeut deacuteleacuteguer lrsquoautorisationde lrsquoutilisateur
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites auxquels elle souhaite permettre ladeacuteleacutegation SPNEGO
networknegotiate-authtrusted-uris Liste des URIs autoriseacuteespour engager une authentifi-cation SPNEGO
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationSPNEGO
networknegotiate-authgsslib Chemin vers une librairieGSSLIB speacutecifique
Mettre agrave vide
networknegotiate-authusing-native-gsslib
Utiliser la librairie GSSLIBnative du systegraveme
true
securitydefault_personal_cert Choix du certificat drsquoau-thentification client
Ask Every Time
29 SPNEGO est un standard qui permet de neacutegocier de lrsquoauthentification Kerberos NTLM ainsi que drsquoautresprotocoles supporteacutes pour le systegraveme SPNEGO est eacutegalement connu sous le nom du protocole drsquoauthentificationlaquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 26 sur 40
Serveur mandataire
Nom de paramegravetre Description Valeur recommandeacuteenetworkproxyautoconfig_url URL de configuration automatique du
proxyLaisser agrave vide
networkproxyftp Adresse du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyftp_port port du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp Adresse du proxy proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp_port port du proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyno_proxies_on Liste drsquoexceptions agrave lrsquoutilisation du serveurproxy
A minima localhost 127001 etdavantage en fonction de lrsquoentiteacute etdu peacuterimegravetre drsquoutilisation du naviga-teur
networkproxyshare_proxy_settings
Utiliser le mecircme proxy pour tous les pro-tocoles
false
networkproxysocks Adresse du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_port port du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_remote_dns
Reacutealiser les requecirctes DNS via le proxysocks
false
networkproxysocks_version Version du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl Adresse du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl_port port du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxytype Type drsquoutilisation du proxy 1 pour utiliser les valeurs in-diqueacutees par les paramegravetres ci-dessus(networkproxy)
networkhttpproxyversion version de proxy 11 par deacutefaut et en fonction duserveur proxy de lrsquoentiteacute
networkhttpproxypipelining Activer le pipelining30par proxy false pour des raisons de compat-ibiliteacute Lrsquoentiteacute peut choisir de lrsquoac-tiver si le pipelining est supporteacute parson serveur proxy drsquoentreprise
signonautologinproxy Saisie automatique du mot de passe deproxy
false
30 Le pipelining permet de faire plusieurs requecirctes HTTP simultaneacutement plutocirct que de les faire seacutequentiellement enattendant les reacuteponses de chacune drsquoentre elles Pour plus drsquoinformations httpwww-archivemozillaorgprojectsnetlibhttppipelining-faqhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 27 sur 40
Peacuterimegravetre de navigation
Nom de paramegravetre Description Valeur recommandeacuteenetworkprotocol-handlerexpose-all
Deacutetermine si le navigateur essayedrsquoouvrir les liens cliqueacutes dans lenavigateur en prioriteacute avant delaisser le systegraveme srsquoen charger en casdrsquoeacutechec (si le protocole du lien enquestion nrsquoest pas supporteacute par lenavigateur)
true
networkprotocol-handlerwarn-external-default
Avertir lrsquoutilisateur avant decharger un gestionnaire deprotocole tiers
true
networkprotocol-handlerexternal-default
Action pour lrsquoouverture drsquoun pro-tocole non pris en charge par lenavigateur
false de maniegravere agrave ne pas essayerde charger des protocoles non pris encharge nativement par le navigateur Lrsquoen-titeacute renseignera eacuteventuellement des ges-tionnaires de protocoles tiers pour desprotocoles qursquoelle souhaite explicitementpermettre tels que NNTP Mailto etc Pour illustrer par lrsquoexemple avecMailto le paramegravetre networkprotocol-handlerexternalmailto aurait pour valeurtrue et le paramegravetre networkprotocol-handlerappmailto avec pour valeur lechemin drsquoun exeacutecutable comme MozillaThunderbird ou Microsoft Outlook
networkprotocol-handlerexternalfile
Gestionnaire de protocole filesous Firefox
false
networkprotocol-handlerexternalftp
Gestionnaire de protocole ftpsous Firefox
false
geckohandlerServiceallowRegisterFromDifferentHost
Autoriser les sites Web agrave installerdes gestionnaires de protocoles oude contenus utilisable pour deshocirctes tiers
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 28 sur 40
Administration systegraveme maintenance et options diverses
Parameacutetrage des mises agrave jour
Nom de paramegravetre Description Valeur recommandeacuteeappupdateenabled Activation de la mise agrave jour automatique true
appupdateauto Teacuteleacutechargement et installationautomatiques (neacutecessite que le paramegravetreappupdateenabled ait pour valeurtrue)
true
appupdatecertcheckAttributes Veacuterifie les attributs du certificat du serveurde mise agrave jour
false
appupdatecertrequireBuiltIn Requiert lrsquointeacutegration des certificats duserveur de mise agrave jour et de toutes lesredirections intermeacutediaires
false
appupdatechannel Canal de mise agrave jour esr pour la version ESR de FirefoxappupdatedownloadbackgroundInterval
Temps de pause (en secondes) entrechaque teacuteleacutechargement en arriegravere plandrsquoun morceau de 300 Kb de mise agrave jour
Au choix de lrsquoentiteacute
appupdateidletime Temps de pause (en secondes) entre chaqueteacuteleacutechargement agrave la demande de lrsquoutilisa-teur) drsquoun morceau de 300 Kb de mise agravejour
60
appupdateinterval Intervalle de temps entre chaque veacuterifica-tion de disponibiliteacute de nouvelles mises agravejour
43200
appupdatemode Deacutetermine quelles mises agrave jour sontteacuteleacutechargeacutees en arriegravere plan
0 pour teacuteleacutecharger toutes les mises agravejour sans intervention de lrsquoutilisateur
appupdateserviceenabled Active le service de mise agrave jour de Firefox true
appupdateshowInstalledUI Deacutetermine si apregraves installation de mise agravejour une boicircte de dialogue informe lrsquoutil-isateur qursquoune mise agrave jour a eacuteteacute installeacutee
Au choix de lrsquoentiteacute
appupdatesilent Active le mode de mise agrave jour silencieux true pour une mise agrave jour silencieuseen arriegravere plan
appupdateurl URL de reacutecupeacuteration des mises agrave jour deFirefox
En fonction de la strateacutegie de mise agravejour de lrsquoentiteacute Pour une mise agrave jourdepuis les serveurs de Mozilla httpsaus3mozillaorgupdate3PRODUCTVERSIONBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONupdatexml sinon lrsquoURLdu serveur de mise agrave jour internede lrsquoentiteacute (qursquoil faudra eacutegalementrenseigner dans le paramegravetreappupdateurloverride)
appupdateurloverride URL de reacutecupeacuteration des mises agrave jour deFirefox
Paramegravetre agrave renseigner uniquementdans le cas ou la mise agrave jour deFirefox se fait depuis lrsquoURL drsquounserveur de mise agrave jour interne delrsquoentiteacute (agrave renseigner en plus duparamegravetre appupdateurl)
appupdateurldetails URL de consultation des informations rel-atives aux mises agrave jour disponibles
Laisser la valeur par deacutefautrhttpswwwmozillaorgLOCALEfirefoxnotes
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 29 sur 40
Configuration du cache
Nom de paramegravetre Description Valeur recommandeacuteebrowsercachecheck_doc_frequency Quand veacuterifier la mise agrave jour drsquoune page en
cache disque3 (veacuterifier quand la page estpeacuterimeacutee)
browsercachecompression_level Niveau de compression du cache disque Au choix de lrsquoentiteacute de 0(pas de compression) agrave 9(haut taux de compressionavec forte sollicitation du pro-cesseur)
browsercachediskcapacity Espace disque alloueacute au cache disque enKb
Au choix de lrsquoentiteacute
browsercachediskenable Utiliser le cache disque true
browsercachediskmax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache disque
Au choix de lrsquoentiteacute
browsercachedisksmart_sizeenabled Allocation intelligente de lrsquoespace disquealloueacute au cache en fonction de lrsquoespacedisponible
Au choix de lrsquoentiteacute
browsercachedisk_cache_ssl Mettre en cache disque les pages visiteacuteesen HTTPS
False de maniegravere agrave ne pasmettre en cache le contenuSSL
browsercachememoryenable Utiliser le cache meacutemoire true
browsercachememorymax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache meacutemoire
Au choix de lrsquoentiteacute
browsercachememory_limit Meacutemoire maximum utiliseacutee pour le cachemeacutemoire en Kb
Au choix de lrsquoentiteacute
browsercacheofflinecapacity Espace disque alloueacute au cache des applica-tions Web
Au choix de lrsquoentiteacute
browsercacheofflineenable Utiliser le cache des applications Web per-mettant une utilisation hors ligne
Au choix de lrsquoentiteacute
browsercacheuse_new_backend Utilisation du nouveau systegraveme de cache 0 (ne pas utiliser pour desquestions de stabiliteacute)
networkhttpuse-cache Utiliser le cache des documents HTTP true
mediacache_size Taille du cache pour les fichiers multimedia Au choix de lrsquoentiteacute par deacute-faut 512000
domstoragedefault_quota Quota de stockage cocircteacute client pour lespages Web
5120 taille par deacutefaut
domstorageenabled Active le stockage cocircteacute client pour les pagesWeb
true agrave deacutefaut de vulneacuterabil-iteacutes connues pour cette fonc-tionnaliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 30 sur 40
Deacutesactiver les options de deacuteveloppement (sauf pour les populations de deacuteveloppeurs)
Nom de paramegravetre Description Valeur recommandeacuteedevtoolsappmanagerenabled Activation des outils de deacuteveloppement module appmanager false
devtoolsdebuggerenabled Activation des outils de deacuteveloppement module deacutebogueur false
devtoolserrorconsoleenabled Activation des outils de deacuteveloppement module consoledrsquoerreurs
false
devtoolsfontinspectorenabled Activation des outils de deacuteveloppement module inspecteurde polices
false
devtoolsinspectorenabled Activation des outils de deacuteveloppement module inspecteur false
devtoolsnetmonitorenabled Activation des outils de deacuteveloppement module reacuteseau false
devtoolsprofilerenabled Activation des outils de deacuteveloppement module profileur false
devtoolsshadereditorenabled Activation des outils de deacuteveloppement module vue adaptive false
devtoolsstyleeditorenabled Activation des outils de deacuteveloppement module editeur destyles
false
devtoolstiltenabled Activation des outils de deacuteveloppement module tilt false
devtoolstoolbarenabled Activation des outils de deacuteveloppement module barre dedeacuteveloppement
false
Configurations diverses
Nom de paramegravetre Description Valeur recommandeacuteenetworkseerenable-hover-on-ssl Activer seer sur SSL false
networkseerenabled Activer seer false
networkhttppipelining Activer le pipelining pour le surfHTTP11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttppipeliningssl Activer le pipelining pour le surfHTTPS11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttpspdyenabled Activer SPDY31 false
networkhttpspdyenabledv2 Activer SPDY v2 false
networkhttpspdyenabledv3 Activer SPDY v3 false
networkhttpspdyenabledv3-1 Activer SPDY v31 false
browsershellcheckDefaultBrowser Veacuterifier si Firefox est configureacutecomme navigateur par deacutefaut
false dans le cadre de double naviga-teurs
browserdownloadmanagerscanWhenDone
Scan antivirus drsquoun fichier lorsqueson teacuteleacutechargement est termineacute
true
browserdownloaduseDownloadDir Utiliser le reacutepertoire de teacuteleacutecharge-ment par deacutefaut
false pour que lrsquoutilisateur indique agravequel emplacement il souhaite teacuteleacutechargerle fichier
browserfullscreenautohide Cacher la barre drsquooutils et drsquoongletsen mode plein eacutecran
false
31 SPDY est un protocole reacuteseau expeacuterimental de Google visant agrave augmenter les capaciteacutes du protocole HTTP pourreacuteduire le temps de chargement des pages Web en classant les objets par ordre de prioriteacute et en multiplexant les transfertspour ne neacutecessiter qursquoune seule connexion Ce protocole est vulneacuterable aux attaques CRIME (Compression Ratio Info-leakMade Easy) lorsqursquoil est utiliseacute avec HTTPS (ce qui est geacuteneacuteralement le cas)
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 31 sur 40
Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP
Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory
Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation
La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32
Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers
Fichiers de configuration
La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte
ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet
ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes
Fichier local-settingsjs
pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)
Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 32 sur 40
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
Filtrage de contenu
Actions autoriseacutees aux les scripts
Nom de paramegravetre Description Valeur recommandeacuteedomallow_scripts_to_close_windows Autoriser les scripts agrave fermer
une fenecirctrefalse
domdisable_image_src_set Interdire la modification desimages sources par script
false
domdisable_window_flip Interdire le changement defenecirctre active par script
true
domdisable_window_move_resize Deacutetermine si les fenecirctrespeuvent ecirctre bougeacutees or red-imensionneacutees par script
false
domdisable_window_open_featureclose Interdire la creacuteation defenecirctre sans bouton defermeture
true pour eacuteviter les popups in-vasifs
domdisable_window_open_featurelocation Interdire la creacuteation defenecirctre sans barre drsquoadresse
true pour que lrsquoutilisateur puissetoujours veacuterifier ecirctre agrave lrsquoadressepreacutevue
domdisable_window_open_featurestatus Interdire la creacuteation defenecirctre sans barre de status
true pour que lrsquoutilisateur puissese rendre contre plus facilementdes tentatives de spoofing
domdisable_window_open_featuretitlebar Interdire la creacuteation defenecirctre sans barre de titre
true pour que lrsquoutilisateur puissebien voir qursquoil srsquoagit drsquoun popupFirefox
domdisable_window_open_featuretoolbar Interdire la creacuteation defenecirctre sans barre drsquooutils
false
domeventclipboardeventsenabled Permettre agrave un script desaisir les eacuteveacutenements dupresse papier
false
domeventcontextmenuenabled Permettre agrave un script desaisir les eacuteveacutenements drsquoac-cegraves au menu contextuel (clicdroit)
false
dominter-app-communication-apienabled Activer la communicationpar API entre applications
false
domipcpluginsenabled Activation du plugin con-tainer
true pour exeacutecuter les pluginsdans le plugin-container
domipcpluginsjavaenabled Exeacutecuter Java au sein duplugin-container
false pour eacuteviter des problegravemesde stabiliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 23 sur 40
Nom de strateacutegie Description Valeur recommandeacuteebrowsersafebrowsingenabled Utiliser la navigation seacutecuriseacutee
(protection contre le phishing etles logiciels malveillants)27
true
javascriptenabled Activation de Javascript true
securityxpconnectpluginunrestricted Autoriser le scripting de pluginspar des scripts qui ne sont pasde confiance
false agrave moins drsquoune incompatibiliteacute avecdes plugins etou pages Web neacutecessaires agravelrsquoentiteacute
securitymixed_contentblock_active_content
Bloquer le contenu mixte actif true
securitymixed_contentblock_display_content
Bloquer le contenu mixte passif false
securityfileuristrict_origin_policy
Politique drsquoorigine stricte pourles URi de type fichiers
true sauf pour les populations dedeacuteveloppeurs qursquoun tel paramegravetre pourraitbloquer pour le deacuteveloppement en local
networkcookiecookieBehavior Politique de gestion des cookies 1 pour nrsquoautoriser que les cookies duserveur drsquoorigine et bloquer les cookiestiers
networkcookielifetimePolicy Politique drsquoexpiration des cook-ies
2 pour conserver les cookies pendant toutela dureacutee de la session seulement
networkcookiethirdpartysessionOnly Restreindre les cookies tiers agrave ladureacutee de la session seulement
true
networkjaropen-unsafe-types Nrsquoouvrir que les jar servis avecun content-type adeacutequat
false
privacypopupspolicy Politique de popups 1 pour activer les popups ou 2 pour lesrejeter mais cela rendrait la navigationdifficile voire impossible sur une quantiteacutede sites Internet non neacutegligeable
privacypopupsshowBrowserMessage Afficher un message lorsqursquounpopup a eacuteteacute bloqueacute
true
browserpopupsshowPopupBlocker Afficher lrsquoicocircne du bloqueur depopups dans la barre de status
true
securitycspenable Activer la Content Security Pol-icy (politique de seacutecuriteacute descontenus) qui permet de deacute-tecter et de limiter lrsquoimpact decertains types drsquoattaques
true
full-screen-apienabled Activer lrsquoAPI permettant drsquoaf-ficher du contenu en plein eacutecranpour les modules compleacutemen-taires
false
notificationfeatureenabled Permettre les notifications sur lebureau
false
27 La fonctionnaliteacute de navigation seacutecuriseacutee consiste agrave synchroniser une liste locale drsquoadresses de sites maveillants(depuis les serveurs de Google par deacutefaut depuis que Firefox utilise leur service) pour alerter lrsquoutilisateur srsquoil srsquoapprecircte agraveen visiter un Elle consiste eacutegalement agrave analyser le contenu des pages pour repeacuterer drsquoeacuteventuelles tentatives drsquohameccedilonnage
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 24 sur 40
Moteur de recherche par deacutefaut
La configuration drsquoun moteur de recherche personnaliseacute ne peut pas se faire simplement par fichierde configuration et neacutecessite le deacuteploiement drsquoun module de recherche (search engine plugin) LrsquoannexeIV illustre la teacuteleacute-deacuteploiement drsquoun module de recherche utilisant le moteur franccedilais httpswwwqwantcom 28
Nom de paramegravetre Description Exemplebrowsersearchdefaultenginename Moteur de recherche par deacutefaut Qwantcom
browsersearchdefaulturl URL du moteur de recherche pardeacutefaut
httpswwwqwantcomq=searchTerms
browsersearchlog Journalisation de lrsquoutilisation desservices de recherche agrave des fins dedeacuteboggage
false
browsersearchopenintab Ouvrir les reacutesultats de recherchedans un nouvel onglet
false
browsersearchorder1 Moteur de recherche agrave utiliser enprioriteacute 1
Qwantcom
browsersearchsuggestenabled activer les suggestions false
browsersearchupdate Recherche de mises agrave jour pour lesmodules de recherche
false
keywordenabled Permettre de faire une recherchedepuis la barre drsquoadresse
true
Page(s) drsquoaccueil
Nom de strateacutegie Description Valeur recommandeacuteestartuphomepage_override_url Page drsquoaccueil apregraves une mise agrave jour de Firefox En fonction du choix de lrsquoentiteacutestartuphomepage_welcome_url Page drsquoaccueil au premier deacutemarrage En fonction du choix de lrsquoentiteacutebrowserstartuphomepage Page drsquoaccueil about blank pour une page vide
ou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
browserstartuppage Page drsquoaccueil 1 pour ouvrir la page drsquoac-cueil indiqueacutee par le paramegravetrebrowserstartuphomepage
browsersessionstoreresume_from_crash
Restauration de session apregraves crash false
browsersessionstoreenabled Activer le service de restauration de session false
browsernewtaburl Page ouverte par deacutefaut lors de la creacuteationdrsquoun nouvel onglet de navigation
about blank pour une page videou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
28 Ceci nrsquoest en aucun cas une recommandation ni une incitation agrave son utilisation mais un simple exemple
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 25 sur 40
Authentification HTTP
Nom de strateacutegie Description Valeur recommandeacuteenetworkauthforce-generic-ntlm Utiliser le module drsquoauthen-
tification NTLM de Firefoxplutocirct que celui fourni parles APIs du systegraveme
false
networkauthuse-sspi Utiliser SSPI plutocirct queGSSAPI pour lrsquoauthentifica-tion Kerberos
true sous Windows
networkntlmsend-lm-response Envoyer le LM Hash dans lareacuteponse NTLM
false
networkautomatic-ntlm-authallow-proxies
Authentification par NTLMautomatique avec lesserveurs proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networkautomatic-ntlm-authtrusted-uris
Liste des URIs autoriseacuteespour lrsquoauthentification parNTLM automatique
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationNTLM automatique
networkautomatic-ntlm-authallow-non-fqdn
Autoriser lrsquoauthentificationNTLM automatique avecdes sites sans FQDN
false agrave moins que la liste networkautomatic-ntlm-authtrusted-uris comporte des adressessans FQDN
networknegotiate-authallow-non-fqdn
Autoriser lrsquoauthentificationSPNEGO avec des sites sansFQDN
En fonction de lrsquoentiteacute
networknegotiate-authallow-proxies
Autoriser SPNEGO29si de-mandeacute par un serveur proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networknegotiate-authdelegation-uris
Liste des URIs autoriseacuteespour lesquels le navigateurpeut deacuteleacuteguer lrsquoautorisationde lrsquoutilisateur
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites auxquels elle souhaite permettre ladeacuteleacutegation SPNEGO
networknegotiate-authtrusted-uris Liste des URIs autoriseacuteespour engager une authentifi-cation SPNEGO
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationSPNEGO
networknegotiate-authgsslib Chemin vers une librairieGSSLIB speacutecifique
Mettre agrave vide
networknegotiate-authusing-native-gsslib
Utiliser la librairie GSSLIBnative du systegraveme
true
securitydefault_personal_cert Choix du certificat drsquoau-thentification client
Ask Every Time
29 SPNEGO est un standard qui permet de neacutegocier de lrsquoauthentification Kerberos NTLM ainsi que drsquoautresprotocoles supporteacutes pour le systegraveme SPNEGO est eacutegalement connu sous le nom du protocole drsquoauthentificationlaquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 26 sur 40
Serveur mandataire
Nom de paramegravetre Description Valeur recommandeacuteenetworkproxyautoconfig_url URL de configuration automatique du
proxyLaisser agrave vide
networkproxyftp Adresse du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyftp_port port du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp Adresse du proxy proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp_port port du proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyno_proxies_on Liste drsquoexceptions agrave lrsquoutilisation du serveurproxy
A minima localhost 127001 etdavantage en fonction de lrsquoentiteacute etdu peacuterimegravetre drsquoutilisation du naviga-teur
networkproxyshare_proxy_settings
Utiliser le mecircme proxy pour tous les pro-tocoles
false
networkproxysocks Adresse du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_port port du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_remote_dns
Reacutealiser les requecirctes DNS via le proxysocks
false
networkproxysocks_version Version du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl Adresse du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl_port port du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxytype Type drsquoutilisation du proxy 1 pour utiliser les valeurs in-diqueacutees par les paramegravetres ci-dessus(networkproxy)
networkhttpproxyversion version de proxy 11 par deacutefaut et en fonction duserveur proxy de lrsquoentiteacute
networkhttpproxypipelining Activer le pipelining30par proxy false pour des raisons de compat-ibiliteacute Lrsquoentiteacute peut choisir de lrsquoac-tiver si le pipelining est supporteacute parson serveur proxy drsquoentreprise
signonautologinproxy Saisie automatique du mot de passe deproxy
false
30 Le pipelining permet de faire plusieurs requecirctes HTTP simultaneacutement plutocirct que de les faire seacutequentiellement enattendant les reacuteponses de chacune drsquoentre elles Pour plus drsquoinformations httpwww-archivemozillaorgprojectsnetlibhttppipelining-faqhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 27 sur 40
Peacuterimegravetre de navigation
Nom de paramegravetre Description Valeur recommandeacuteenetworkprotocol-handlerexpose-all
Deacutetermine si le navigateur essayedrsquoouvrir les liens cliqueacutes dans lenavigateur en prioriteacute avant delaisser le systegraveme srsquoen charger en casdrsquoeacutechec (si le protocole du lien enquestion nrsquoest pas supporteacute par lenavigateur)
true
networkprotocol-handlerwarn-external-default
Avertir lrsquoutilisateur avant decharger un gestionnaire deprotocole tiers
true
networkprotocol-handlerexternal-default
Action pour lrsquoouverture drsquoun pro-tocole non pris en charge par lenavigateur
false de maniegravere agrave ne pas essayerde charger des protocoles non pris encharge nativement par le navigateur Lrsquoen-titeacute renseignera eacuteventuellement des ges-tionnaires de protocoles tiers pour desprotocoles qursquoelle souhaite explicitementpermettre tels que NNTP Mailto etc Pour illustrer par lrsquoexemple avecMailto le paramegravetre networkprotocol-handlerexternalmailto aurait pour valeurtrue et le paramegravetre networkprotocol-handlerappmailto avec pour valeur lechemin drsquoun exeacutecutable comme MozillaThunderbird ou Microsoft Outlook
networkprotocol-handlerexternalfile
Gestionnaire de protocole filesous Firefox
false
networkprotocol-handlerexternalftp
Gestionnaire de protocole ftpsous Firefox
false
geckohandlerServiceallowRegisterFromDifferentHost
Autoriser les sites Web agrave installerdes gestionnaires de protocoles oude contenus utilisable pour deshocirctes tiers
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 28 sur 40
Administration systegraveme maintenance et options diverses
Parameacutetrage des mises agrave jour
Nom de paramegravetre Description Valeur recommandeacuteeappupdateenabled Activation de la mise agrave jour automatique true
appupdateauto Teacuteleacutechargement et installationautomatiques (neacutecessite que le paramegravetreappupdateenabled ait pour valeurtrue)
true
appupdatecertcheckAttributes Veacuterifie les attributs du certificat du serveurde mise agrave jour
false
appupdatecertrequireBuiltIn Requiert lrsquointeacutegration des certificats duserveur de mise agrave jour et de toutes lesredirections intermeacutediaires
false
appupdatechannel Canal de mise agrave jour esr pour la version ESR de FirefoxappupdatedownloadbackgroundInterval
Temps de pause (en secondes) entrechaque teacuteleacutechargement en arriegravere plandrsquoun morceau de 300 Kb de mise agrave jour
Au choix de lrsquoentiteacute
appupdateidletime Temps de pause (en secondes) entre chaqueteacuteleacutechargement agrave la demande de lrsquoutilisa-teur) drsquoun morceau de 300 Kb de mise agravejour
60
appupdateinterval Intervalle de temps entre chaque veacuterifica-tion de disponibiliteacute de nouvelles mises agravejour
43200
appupdatemode Deacutetermine quelles mises agrave jour sontteacuteleacutechargeacutees en arriegravere plan
0 pour teacuteleacutecharger toutes les mises agravejour sans intervention de lrsquoutilisateur
appupdateserviceenabled Active le service de mise agrave jour de Firefox true
appupdateshowInstalledUI Deacutetermine si apregraves installation de mise agravejour une boicircte de dialogue informe lrsquoutil-isateur qursquoune mise agrave jour a eacuteteacute installeacutee
Au choix de lrsquoentiteacute
appupdatesilent Active le mode de mise agrave jour silencieux true pour une mise agrave jour silencieuseen arriegravere plan
appupdateurl URL de reacutecupeacuteration des mises agrave jour deFirefox
En fonction de la strateacutegie de mise agravejour de lrsquoentiteacute Pour une mise agrave jourdepuis les serveurs de Mozilla httpsaus3mozillaorgupdate3PRODUCTVERSIONBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONupdatexml sinon lrsquoURLdu serveur de mise agrave jour internede lrsquoentiteacute (qursquoil faudra eacutegalementrenseigner dans le paramegravetreappupdateurloverride)
appupdateurloverride URL de reacutecupeacuteration des mises agrave jour deFirefox
Paramegravetre agrave renseigner uniquementdans le cas ou la mise agrave jour deFirefox se fait depuis lrsquoURL drsquounserveur de mise agrave jour interne delrsquoentiteacute (agrave renseigner en plus duparamegravetre appupdateurl)
appupdateurldetails URL de consultation des informations rel-atives aux mises agrave jour disponibles
Laisser la valeur par deacutefautrhttpswwwmozillaorgLOCALEfirefoxnotes
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 29 sur 40
Configuration du cache
Nom de paramegravetre Description Valeur recommandeacuteebrowsercachecheck_doc_frequency Quand veacuterifier la mise agrave jour drsquoune page en
cache disque3 (veacuterifier quand la page estpeacuterimeacutee)
browsercachecompression_level Niveau de compression du cache disque Au choix de lrsquoentiteacute de 0(pas de compression) agrave 9(haut taux de compressionavec forte sollicitation du pro-cesseur)
browsercachediskcapacity Espace disque alloueacute au cache disque enKb
Au choix de lrsquoentiteacute
browsercachediskenable Utiliser le cache disque true
browsercachediskmax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache disque
Au choix de lrsquoentiteacute
browsercachedisksmart_sizeenabled Allocation intelligente de lrsquoespace disquealloueacute au cache en fonction de lrsquoespacedisponible
Au choix de lrsquoentiteacute
browsercachedisk_cache_ssl Mettre en cache disque les pages visiteacuteesen HTTPS
False de maniegravere agrave ne pasmettre en cache le contenuSSL
browsercachememoryenable Utiliser le cache meacutemoire true
browsercachememorymax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache meacutemoire
Au choix de lrsquoentiteacute
browsercachememory_limit Meacutemoire maximum utiliseacutee pour le cachemeacutemoire en Kb
Au choix de lrsquoentiteacute
browsercacheofflinecapacity Espace disque alloueacute au cache des applica-tions Web
Au choix de lrsquoentiteacute
browsercacheofflineenable Utiliser le cache des applications Web per-mettant une utilisation hors ligne
Au choix de lrsquoentiteacute
browsercacheuse_new_backend Utilisation du nouveau systegraveme de cache 0 (ne pas utiliser pour desquestions de stabiliteacute)
networkhttpuse-cache Utiliser le cache des documents HTTP true
mediacache_size Taille du cache pour les fichiers multimedia Au choix de lrsquoentiteacute par deacute-faut 512000
domstoragedefault_quota Quota de stockage cocircteacute client pour lespages Web
5120 taille par deacutefaut
domstorageenabled Active le stockage cocircteacute client pour les pagesWeb
true agrave deacutefaut de vulneacuterabil-iteacutes connues pour cette fonc-tionnaliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 30 sur 40
Deacutesactiver les options de deacuteveloppement (sauf pour les populations de deacuteveloppeurs)
Nom de paramegravetre Description Valeur recommandeacuteedevtoolsappmanagerenabled Activation des outils de deacuteveloppement module appmanager false
devtoolsdebuggerenabled Activation des outils de deacuteveloppement module deacutebogueur false
devtoolserrorconsoleenabled Activation des outils de deacuteveloppement module consoledrsquoerreurs
false
devtoolsfontinspectorenabled Activation des outils de deacuteveloppement module inspecteurde polices
false
devtoolsinspectorenabled Activation des outils de deacuteveloppement module inspecteur false
devtoolsnetmonitorenabled Activation des outils de deacuteveloppement module reacuteseau false
devtoolsprofilerenabled Activation des outils de deacuteveloppement module profileur false
devtoolsshadereditorenabled Activation des outils de deacuteveloppement module vue adaptive false
devtoolsstyleeditorenabled Activation des outils de deacuteveloppement module editeur destyles
false
devtoolstiltenabled Activation des outils de deacuteveloppement module tilt false
devtoolstoolbarenabled Activation des outils de deacuteveloppement module barre dedeacuteveloppement
false
Configurations diverses
Nom de paramegravetre Description Valeur recommandeacuteenetworkseerenable-hover-on-ssl Activer seer sur SSL false
networkseerenabled Activer seer false
networkhttppipelining Activer le pipelining pour le surfHTTP11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttppipeliningssl Activer le pipelining pour le surfHTTPS11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttpspdyenabled Activer SPDY31 false
networkhttpspdyenabledv2 Activer SPDY v2 false
networkhttpspdyenabledv3 Activer SPDY v3 false
networkhttpspdyenabledv3-1 Activer SPDY v31 false
browsershellcheckDefaultBrowser Veacuterifier si Firefox est configureacutecomme navigateur par deacutefaut
false dans le cadre de double naviga-teurs
browserdownloadmanagerscanWhenDone
Scan antivirus drsquoun fichier lorsqueson teacuteleacutechargement est termineacute
true
browserdownloaduseDownloadDir Utiliser le reacutepertoire de teacuteleacutecharge-ment par deacutefaut
false pour que lrsquoutilisateur indique agravequel emplacement il souhaite teacuteleacutechargerle fichier
browserfullscreenautohide Cacher la barre drsquooutils et drsquoongletsen mode plein eacutecran
false
31 SPDY est un protocole reacuteseau expeacuterimental de Google visant agrave augmenter les capaciteacutes du protocole HTTP pourreacuteduire le temps de chargement des pages Web en classant les objets par ordre de prioriteacute et en multiplexant les transfertspour ne neacutecessiter qursquoune seule connexion Ce protocole est vulneacuterable aux attaques CRIME (Compression Ratio Info-leakMade Easy) lorsqursquoil est utiliseacute avec HTTPS (ce qui est geacuteneacuteralement le cas)
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 31 sur 40
Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP
Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory
Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation
La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32
Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers
Fichiers de configuration
La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte
ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet
ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes
Fichier local-settingsjs
pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)
Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 32 sur 40
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
Nom de strateacutegie Description Valeur recommandeacuteebrowsersafebrowsingenabled Utiliser la navigation seacutecuriseacutee
(protection contre le phishing etles logiciels malveillants)27
true
javascriptenabled Activation de Javascript true
securityxpconnectpluginunrestricted Autoriser le scripting de pluginspar des scripts qui ne sont pasde confiance
false agrave moins drsquoune incompatibiliteacute avecdes plugins etou pages Web neacutecessaires agravelrsquoentiteacute
securitymixed_contentblock_active_content
Bloquer le contenu mixte actif true
securitymixed_contentblock_display_content
Bloquer le contenu mixte passif false
securityfileuristrict_origin_policy
Politique drsquoorigine stricte pourles URi de type fichiers
true sauf pour les populations dedeacuteveloppeurs qursquoun tel paramegravetre pourraitbloquer pour le deacuteveloppement en local
networkcookiecookieBehavior Politique de gestion des cookies 1 pour nrsquoautoriser que les cookies duserveur drsquoorigine et bloquer les cookiestiers
networkcookielifetimePolicy Politique drsquoexpiration des cook-ies
2 pour conserver les cookies pendant toutela dureacutee de la session seulement
networkcookiethirdpartysessionOnly Restreindre les cookies tiers agrave ladureacutee de la session seulement
true
networkjaropen-unsafe-types Nrsquoouvrir que les jar servis avecun content-type adeacutequat
false
privacypopupspolicy Politique de popups 1 pour activer les popups ou 2 pour lesrejeter mais cela rendrait la navigationdifficile voire impossible sur une quantiteacutede sites Internet non neacutegligeable
privacypopupsshowBrowserMessage Afficher un message lorsqursquounpopup a eacuteteacute bloqueacute
true
browserpopupsshowPopupBlocker Afficher lrsquoicocircne du bloqueur depopups dans la barre de status
true
securitycspenable Activer la Content Security Pol-icy (politique de seacutecuriteacute descontenus) qui permet de deacute-tecter et de limiter lrsquoimpact decertains types drsquoattaques
true
full-screen-apienabled Activer lrsquoAPI permettant drsquoaf-ficher du contenu en plein eacutecranpour les modules compleacutemen-taires
false
notificationfeatureenabled Permettre les notifications sur lebureau
false
27 La fonctionnaliteacute de navigation seacutecuriseacutee consiste agrave synchroniser une liste locale drsquoadresses de sites maveillants(depuis les serveurs de Google par deacutefaut depuis que Firefox utilise leur service) pour alerter lrsquoutilisateur srsquoil srsquoapprecircte agraveen visiter un Elle consiste eacutegalement agrave analyser le contenu des pages pour repeacuterer drsquoeacuteventuelles tentatives drsquohameccedilonnage
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 24 sur 40
Moteur de recherche par deacutefaut
La configuration drsquoun moteur de recherche personnaliseacute ne peut pas se faire simplement par fichierde configuration et neacutecessite le deacuteploiement drsquoun module de recherche (search engine plugin) LrsquoannexeIV illustre la teacuteleacute-deacuteploiement drsquoun module de recherche utilisant le moteur franccedilais httpswwwqwantcom 28
Nom de paramegravetre Description Exemplebrowsersearchdefaultenginename Moteur de recherche par deacutefaut Qwantcom
browsersearchdefaulturl URL du moteur de recherche pardeacutefaut
httpswwwqwantcomq=searchTerms
browsersearchlog Journalisation de lrsquoutilisation desservices de recherche agrave des fins dedeacuteboggage
false
browsersearchopenintab Ouvrir les reacutesultats de recherchedans un nouvel onglet
false
browsersearchorder1 Moteur de recherche agrave utiliser enprioriteacute 1
Qwantcom
browsersearchsuggestenabled activer les suggestions false
browsersearchupdate Recherche de mises agrave jour pour lesmodules de recherche
false
keywordenabled Permettre de faire une recherchedepuis la barre drsquoadresse
true
Page(s) drsquoaccueil
Nom de strateacutegie Description Valeur recommandeacuteestartuphomepage_override_url Page drsquoaccueil apregraves une mise agrave jour de Firefox En fonction du choix de lrsquoentiteacutestartuphomepage_welcome_url Page drsquoaccueil au premier deacutemarrage En fonction du choix de lrsquoentiteacutebrowserstartuphomepage Page drsquoaccueil about blank pour une page vide
ou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
browserstartuppage Page drsquoaccueil 1 pour ouvrir la page drsquoac-cueil indiqueacutee par le paramegravetrebrowserstartuphomepage
browsersessionstoreresume_from_crash
Restauration de session apregraves crash false
browsersessionstoreenabled Activer le service de restauration de session false
browsernewtaburl Page ouverte par deacutefaut lors de la creacuteationdrsquoun nouvel onglet de navigation
about blank pour une page videou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
28 Ceci nrsquoest en aucun cas une recommandation ni une incitation agrave son utilisation mais un simple exemple
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 25 sur 40
Authentification HTTP
Nom de strateacutegie Description Valeur recommandeacuteenetworkauthforce-generic-ntlm Utiliser le module drsquoauthen-
tification NTLM de Firefoxplutocirct que celui fourni parles APIs du systegraveme
false
networkauthuse-sspi Utiliser SSPI plutocirct queGSSAPI pour lrsquoauthentifica-tion Kerberos
true sous Windows
networkntlmsend-lm-response Envoyer le LM Hash dans lareacuteponse NTLM
false
networkautomatic-ntlm-authallow-proxies
Authentification par NTLMautomatique avec lesserveurs proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networkautomatic-ntlm-authtrusted-uris
Liste des URIs autoriseacuteespour lrsquoauthentification parNTLM automatique
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationNTLM automatique
networkautomatic-ntlm-authallow-non-fqdn
Autoriser lrsquoauthentificationNTLM automatique avecdes sites sans FQDN
false agrave moins que la liste networkautomatic-ntlm-authtrusted-uris comporte des adressessans FQDN
networknegotiate-authallow-non-fqdn
Autoriser lrsquoauthentificationSPNEGO avec des sites sansFQDN
En fonction de lrsquoentiteacute
networknegotiate-authallow-proxies
Autoriser SPNEGO29si de-mandeacute par un serveur proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networknegotiate-authdelegation-uris
Liste des URIs autoriseacuteespour lesquels le navigateurpeut deacuteleacuteguer lrsquoautorisationde lrsquoutilisateur
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites auxquels elle souhaite permettre ladeacuteleacutegation SPNEGO
networknegotiate-authtrusted-uris Liste des URIs autoriseacuteespour engager une authentifi-cation SPNEGO
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationSPNEGO
networknegotiate-authgsslib Chemin vers une librairieGSSLIB speacutecifique
Mettre agrave vide
networknegotiate-authusing-native-gsslib
Utiliser la librairie GSSLIBnative du systegraveme
true
securitydefault_personal_cert Choix du certificat drsquoau-thentification client
Ask Every Time
29 SPNEGO est un standard qui permet de neacutegocier de lrsquoauthentification Kerberos NTLM ainsi que drsquoautresprotocoles supporteacutes pour le systegraveme SPNEGO est eacutegalement connu sous le nom du protocole drsquoauthentificationlaquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 26 sur 40
Serveur mandataire
Nom de paramegravetre Description Valeur recommandeacuteenetworkproxyautoconfig_url URL de configuration automatique du
proxyLaisser agrave vide
networkproxyftp Adresse du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyftp_port port du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp Adresse du proxy proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp_port port du proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyno_proxies_on Liste drsquoexceptions agrave lrsquoutilisation du serveurproxy
A minima localhost 127001 etdavantage en fonction de lrsquoentiteacute etdu peacuterimegravetre drsquoutilisation du naviga-teur
networkproxyshare_proxy_settings
Utiliser le mecircme proxy pour tous les pro-tocoles
false
networkproxysocks Adresse du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_port port du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_remote_dns
Reacutealiser les requecirctes DNS via le proxysocks
false
networkproxysocks_version Version du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl Adresse du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl_port port du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxytype Type drsquoutilisation du proxy 1 pour utiliser les valeurs in-diqueacutees par les paramegravetres ci-dessus(networkproxy)
networkhttpproxyversion version de proxy 11 par deacutefaut et en fonction duserveur proxy de lrsquoentiteacute
networkhttpproxypipelining Activer le pipelining30par proxy false pour des raisons de compat-ibiliteacute Lrsquoentiteacute peut choisir de lrsquoac-tiver si le pipelining est supporteacute parson serveur proxy drsquoentreprise
signonautologinproxy Saisie automatique du mot de passe deproxy
false
30 Le pipelining permet de faire plusieurs requecirctes HTTP simultaneacutement plutocirct que de les faire seacutequentiellement enattendant les reacuteponses de chacune drsquoentre elles Pour plus drsquoinformations httpwww-archivemozillaorgprojectsnetlibhttppipelining-faqhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 27 sur 40
Peacuterimegravetre de navigation
Nom de paramegravetre Description Valeur recommandeacuteenetworkprotocol-handlerexpose-all
Deacutetermine si le navigateur essayedrsquoouvrir les liens cliqueacutes dans lenavigateur en prioriteacute avant delaisser le systegraveme srsquoen charger en casdrsquoeacutechec (si le protocole du lien enquestion nrsquoest pas supporteacute par lenavigateur)
true
networkprotocol-handlerwarn-external-default
Avertir lrsquoutilisateur avant decharger un gestionnaire deprotocole tiers
true
networkprotocol-handlerexternal-default
Action pour lrsquoouverture drsquoun pro-tocole non pris en charge par lenavigateur
false de maniegravere agrave ne pas essayerde charger des protocoles non pris encharge nativement par le navigateur Lrsquoen-titeacute renseignera eacuteventuellement des ges-tionnaires de protocoles tiers pour desprotocoles qursquoelle souhaite explicitementpermettre tels que NNTP Mailto etc Pour illustrer par lrsquoexemple avecMailto le paramegravetre networkprotocol-handlerexternalmailto aurait pour valeurtrue et le paramegravetre networkprotocol-handlerappmailto avec pour valeur lechemin drsquoun exeacutecutable comme MozillaThunderbird ou Microsoft Outlook
networkprotocol-handlerexternalfile
Gestionnaire de protocole filesous Firefox
false
networkprotocol-handlerexternalftp
Gestionnaire de protocole ftpsous Firefox
false
geckohandlerServiceallowRegisterFromDifferentHost
Autoriser les sites Web agrave installerdes gestionnaires de protocoles oude contenus utilisable pour deshocirctes tiers
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 28 sur 40
Administration systegraveme maintenance et options diverses
Parameacutetrage des mises agrave jour
Nom de paramegravetre Description Valeur recommandeacuteeappupdateenabled Activation de la mise agrave jour automatique true
appupdateauto Teacuteleacutechargement et installationautomatiques (neacutecessite que le paramegravetreappupdateenabled ait pour valeurtrue)
true
appupdatecertcheckAttributes Veacuterifie les attributs du certificat du serveurde mise agrave jour
false
appupdatecertrequireBuiltIn Requiert lrsquointeacutegration des certificats duserveur de mise agrave jour et de toutes lesredirections intermeacutediaires
false
appupdatechannel Canal de mise agrave jour esr pour la version ESR de FirefoxappupdatedownloadbackgroundInterval
Temps de pause (en secondes) entrechaque teacuteleacutechargement en arriegravere plandrsquoun morceau de 300 Kb de mise agrave jour
Au choix de lrsquoentiteacute
appupdateidletime Temps de pause (en secondes) entre chaqueteacuteleacutechargement agrave la demande de lrsquoutilisa-teur) drsquoun morceau de 300 Kb de mise agravejour
60
appupdateinterval Intervalle de temps entre chaque veacuterifica-tion de disponibiliteacute de nouvelles mises agravejour
43200
appupdatemode Deacutetermine quelles mises agrave jour sontteacuteleacutechargeacutees en arriegravere plan
0 pour teacuteleacutecharger toutes les mises agravejour sans intervention de lrsquoutilisateur
appupdateserviceenabled Active le service de mise agrave jour de Firefox true
appupdateshowInstalledUI Deacutetermine si apregraves installation de mise agravejour une boicircte de dialogue informe lrsquoutil-isateur qursquoune mise agrave jour a eacuteteacute installeacutee
Au choix de lrsquoentiteacute
appupdatesilent Active le mode de mise agrave jour silencieux true pour une mise agrave jour silencieuseen arriegravere plan
appupdateurl URL de reacutecupeacuteration des mises agrave jour deFirefox
En fonction de la strateacutegie de mise agravejour de lrsquoentiteacute Pour une mise agrave jourdepuis les serveurs de Mozilla httpsaus3mozillaorgupdate3PRODUCTVERSIONBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONupdatexml sinon lrsquoURLdu serveur de mise agrave jour internede lrsquoentiteacute (qursquoil faudra eacutegalementrenseigner dans le paramegravetreappupdateurloverride)
appupdateurloverride URL de reacutecupeacuteration des mises agrave jour deFirefox
Paramegravetre agrave renseigner uniquementdans le cas ou la mise agrave jour deFirefox se fait depuis lrsquoURL drsquounserveur de mise agrave jour interne delrsquoentiteacute (agrave renseigner en plus duparamegravetre appupdateurl)
appupdateurldetails URL de consultation des informations rel-atives aux mises agrave jour disponibles
Laisser la valeur par deacutefautrhttpswwwmozillaorgLOCALEfirefoxnotes
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 29 sur 40
Configuration du cache
Nom de paramegravetre Description Valeur recommandeacuteebrowsercachecheck_doc_frequency Quand veacuterifier la mise agrave jour drsquoune page en
cache disque3 (veacuterifier quand la page estpeacuterimeacutee)
browsercachecompression_level Niveau de compression du cache disque Au choix de lrsquoentiteacute de 0(pas de compression) agrave 9(haut taux de compressionavec forte sollicitation du pro-cesseur)
browsercachediskcapacity Espace disque alloueacute au cache disque enKb
Au choix de lrsquoentiteacute
browsercachediskenable Utiliser le cache disque true
browsercachediskmax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache disque
Au choix de lrsquoentiteacute
browsercachedisksmart_sizeenabled Allocation intelligente de lrsquoespace disquealloueacute au cache en fonction de lrsquoespacedisponible
Au choix de lrsquoentiteacute
browsercachedisk_cache_ssl Mettre en cache disque les pages visiteacuteesen HTTPS
False de maniegravere agrave ne pasmettre en cache le contenuSSL
browsercachememoryenable Utiliser le cache meacutemoire true
browsercachememorymax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache meacutemoire
Au choix de lrsquoentiteacute
browsercachememory_limit Meacutemoire maximum utiliseacutee pour le cachemeacutemoire en Kb
Au choix de lrsquoentiteacute
browsercacheofflinecapacity Espace disque alloueacute au cache des applica-tions Web
Au choix de lrsquoentiteacute
browsercacheofflineenable Utiliser le cache des applications Web per-mettant une utilisation hors ligne
Au choix de lrsquoentiteacute
browsercacheuse_new_backend Utilisation du nouveau systegraveme de cache 0 (ne pas utiliser pour desquestions de stabiliteacute)
networkhttpuse-cache Utiliser le cache des documents HTTP true
mediacache_size Taille du cache pour les fichiers multimedia Au choix de lrsquoentiteacute par deacute-faut 512000
domstoragedefault_quota Quota de stockage cocircteacute client pour lespages Web
5120 taille par deacutefaut
domstorageenabled Active le stockage cocircteacute client pour les pagesWeb
true agrave deacutefaut de vulneacuterabil-iteacutes connues pour cette fonc-tionnaliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 30 sur 40
Deacutesactiver les options de deacuteveloppement (sauf pour les populations de deacuteveloppeurs)
Nom de paramegravetre Description Valeur recommandeacuteedevtoolsappmanagerenabled Activation des outils de deacuteveloppement module appmanager false
devtoolsdebuggerenabled Activation des outils de deacuteveloppement module deacutebogueur false
devtoolserrorconsoleenabled Activation des outils de deacuteveloppement module consoledrsquoerreurs
false
devtoolsfontinspectorenabled Activation des outils de deacuteveloppement module inspecteurde polices
false
devtoolsinspectorenabled Activation des outils de deacuteveloppement module inspecteur false
devtoolsnetmonitorenabled Activation des outils de deacuteveloppement module reacuteseau false
devtoolsprofilerenabled Activation des outils de deacuteveloppement module profileur false
devtoolsshadereditorenabled Activation des outils de deacuteveloppement module vue adaptive false
devtoolsstyleeditorenabled Activation des outils de deacuteveloppement module editeur destyles
false
devtoolstiltenabled Activation des outils de deacuteveloppement module tilt false
devtoolstoolbarenabled Activation des outils de deacuteveloppement module barre dedeacuteveloppement
false
Configurations diverses
Nom de paramegravetre Description Valeur recommandeacuteenetworkseerenable-hover-on-ssl Activer seer sur SSL false
networkseerenabled Activer seer false
networkhttppipelining Activer le pipelining pour le surfHTTP11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttppipeliningssl Activer le pipelining pour le surfHTTPS11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttpspdyenabled Activer SPDY31 false
networkhttpspdyenabledv2 Activer SPDY v2 false
networkhttpspdyenabledv3 Activer SPDY v3 false
networkhttpspdyenabledv3-1 Activer SPDY v31 false
browsershellcheckDefaultBrowser Veacuterifier si Firefox est configureacutecomme navigateur par deacutefaut
false dans le cadre de double naviga-teurs
browserdownloadmanagerscanWhenDone
Scan antivirus drsquoun fichier lorsqueson teacuteleacutechargement est termineacute
true
browserdownloaduseDownloadDir Utiliser le reacutepertoire de teacuteleacutecharge-ment par deacutefaut
false pour que lrsquoutilisateur indique agravequel emplacement il souhaite teacuteleacutechargerle fichier
browserfullscreenautohide Cacher la barre drsquooutils et drsquoongletsen mode plein eacutecran
false
31 SPDY est un protocole reacuteseau expeacuterimental de Google visant agrave augmenter les capaciteacutes du protocole HTTP pourreacuteduire le temps de chargement des pages Web en classant les objets par ordre de prioriteacute et en multiplexant les transfertspour ne neacutecessiter qursquoune seule connexion Ce protocole est vulneacuterable aux attaques CRIME (Compression Ratio Info-leakMade Easy) lorsqursquoil est utiliseacute avec HTTPS (ce qui est geacuteneacuteralement le cas)
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 31 sur 40
Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP
Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory
Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation
La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32
Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers
Fichiers de configuration
La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte
ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet
ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes
Fichier local-settingsjs
pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)
Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 32 sur 40
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
Moteur de recherche par deacutefaut
La configuration drsquoun moteur de recherche personnaliseacute ne peut pas se faire simplement par fichierde configuration et neacutecessite le deacuteploiement drsquoun module de recherche (search engine plugin) LrsquoannexeIV illustre la teacuteleacute-deacuteploiement drsquoun module de recherche utilisant le moteur franccedilais httpswwwqwantcom 28
Nom de paramegravetre Description Exemplebrowsersearchdefaultenginename Moteur de recherche par deacutefaut Qwantcom
browsersearchdefaulturl URL du moteur de recherche pardeacutefaut
httpswwwqwantcomq=searchTerms
browsersearchlog Journalisation de lrsquoutilisation desservices de recherche agrave des fins dedeacuteboggage
false
browsersearchopenintab Ouvrir les reacutesultats de recherchedans un nouvel onglet
false
browsersearchorder1 Moteur de recherche agrave utiliser enprioriteacute 1
Qwantcom
browsersearchsuggestenabled activer les suggestions false
browsersearchupdate Recherche de mises agrave jour pour lesmodules de recherche
false
keywordenabled Permettre de faire une recherchedepuis la barre drsquoadresse
true
Page(s) drsquoaccueil
Nom de strateacutegie Description Valeur recommandeacuteestartuphomepage_override_url Page drsquoaccueil apregraves une mise agrave jour de Firefox En fonction du choix de lrsquoentiteacutestartuphomepage_welcome_url Page drsquoaccueil au premier deacutemarrage En fonction du choix de lrsquoentiteacutebrowserstartuphomepage Page drsquoaccueil about blank pour une page vide
ou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
browserstartuppage Page drsquoaccueil 1 pour ouvrir la page drsquoac-cueil indiqueacutee par le paramegravetrebrowserstartuphomepage
browsersessionstoreresume_from_crash
Restauration de session apregraves crash false
browsersessionstoreenabled Activer le service de restauration de session false
browsernewtaburl Page ouverte par deacutefaut lors de la creacuteationdrsquoun nouvel onglet de navigation
about blank pour une page videou lrsquoadresse drsquoun site Web ouintranet selon le choix de lrsquoentiteacute
28 Ceci nrsquoest en aucun cas une recommandation ni une incitation agrave son utilisation mais un simple exemple
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 25 sur 40
Authentification HTTP
Nom de strateacutegie Description Valeur recommandeacuteenetworkauthforce-generic-ntlm Utiliser le module drsquoauthen-
tification NTLM de Firefoxplutocirct que celui fourni parles APIs du systegraveme
false
networkauthuse-sspi Utiliser SSPI plutocirct queGSSAPI pour lrsquoauthentifica-tion Kerberos
true sous Windows
networkntlmsend-lm-response Envoyer le LM Hash dans lareacuteponse NTLM
false
networkautomatic-ntlm-authallow-proxies
Authentification par NTLMautomatique avec lesserveurs proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networkautomatic-ntlm-authtrusted-uris
Liste des URIs autoriseacuteespour lrsquoauthentification parNTLM automatique
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationNTLM automatique
networkautomatic-ntlm-authallow-non-fqdn
Autoriser lrsquoauthentificationNTLM automatique avecdes sites sans FQDN
false agrave moins que la liste networkautomatic-ntlm-authtrusted-uris comporte des adressessans FQDN
networknegotiate-authallow-non-fqdn
Autoriser lrsquoauthentificationSPNEGO avec des sites sansFQDN
En fonction de lrsquoentiteacute
networknegotiate-authallow-proxies
Autoriser SPNEGO29si de-mandeacute par un serveur proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networknegotiate-authdelegation-uris
Liste des URIs autoriseacuteespour lesquels le navigateurpeut deacuteleacuteguer lrsquoautorisationde lrsquoutilisateur
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites auxquels elle souhaite permettre ladeacuteleacutegation SPNEGO
networknegotiate-authtrusted-uris Liste des URIs autoriseacuteespour engager une authentifi-cation SPNEGO
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationSPNEGO
networknegotiate-authgsslib Chemin vers une librairieGSSLIB speacutecifique
Mettre agrave vide
networknegotiate-authusing-native-gsslib
Utiliser la librairie GSSLIBnative du systegraveme
true
securitydefault_personal_cert Choix du certificat drsquoau-thentification client
Ask Every Time
29 SPNEGO est un standard qui permet de neacutegocier de lrsquoauthentification Kerberos NTLM ainsi que drsquoautresprotocoles supporteacutes pour le systegraveme SPNEGO est eacutegalement connu sous le nom du protocole drsquoauthentificationlaquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 26 sur 40
Serveur mandataire
Nom de paramegravetre Description Valeur recommandeacuteenetworkproxyautoconfig_url URL de configuration automatique du
proxyLaisser agrave vide
networkproxyftp Adresse du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyftp_port port du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp Adresse du proxy proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp_port port du proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyno_proxies_on Liste drsquoexceptions agrave lrsquoutilisation du serveurproxy
A minima localhost 127001 etdavantage en fonction de lrsquoentiteacute etdu peacuterimegravetre drsquoutilisation du naviga-teur
networkproxyshare_proxy_settings
Utiliser le mecircme proxy pour tous les pro-tocoles
false
networkproxysocks Adresse du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_port port du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_remote_dns
Reacutealiser les requecirctes DNS via le proxysocks
false
networkproxysocks_version Version du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl Adresse du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl_port port du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxytype Type drsquoutilisation du proxy 1 pour utiliser les valeurs in-diqueacutees par les paramegravetres ci-dessus(networkproxy)
networkhttpproxyversion version de proxy 11 par deacutefaut et en fonction duserveur proxy de lrsquoentiteacute
networkhttpproxypipelining Activer le pipelining30par proxy false pour des raisons de compat-ibiliteacute Lrsquoentiteacute peut choisir de lrsquoac-tiver si le pipelining est supporteacute parson serveur proxy drsquoentreprise
signonautologinproxy Saisie automatique du mot de passe deproxy
false
30 Le pipelining permet de faire plusieurs requecirctes HTTP simultaneacutement plutocirct que de les faire seacutequentiellement enattendant les reacuteponses de chacune drsquoentre elles Pour plus drsquoinformations httpwww-archivemozillaorgprojectsnetlibhttppipelining-faqhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 27 sur 40
Peacuterimegravetre de navigation
Nom de paramegravetre Description Valeur recommandeacuteenetworkprotocol-handlerexpose-all
Deacutetermine si le navigateur essayedrsquoouvrir les liens cliqueacutes dans lenavigateur en prioriteacute avant delaisser le systegraveme srsquoen charger en casdrsquoeacutechec (si le protocole du lien enquestion nrsquoest pas supporteacute par lenavigateur)
true
networkprotocol-handlerwarn-external-default
Avertir lrsquoutilisateur avant decharger un gestionnaire deprotocole tiers
true
networkprotocol-handlerexternal-default
Action pour lrsquoouverture drsquoun pro-tocole non pris en charge par lenavigateur
false de maniegravere agrave ne pas essayerde charger des protocoles non pris encharge nativement par le navigateur Lrsquoen-titeacute renseignera eacuteventuellement des ges-tionnaires de protocoles tiers pour desprotocoles qursquoelle souhaite explicitementpermettre tels que NNTP Mailto etc Pour illustrer par lrsquoexemple avecMailto le paramegravetre networkprotocol-handlerexternalmailto aurait pour valeurtrue et le paramegravetre networkprotocol-handlerappmailto avec pour valeur lechemin drsquoun exeacutecutable comme MozillaThunderbird ou Microsoft Outlook
networkprotocol-handlerexternalfile
Gestionnaire de protocole filesous Firefox
false
networkprotocol-handlerexternalftp
Gestionnaire de protocole ftpsous Firefox
false
geckohandlerServiceallowRegisterFromDifferentHost
Autoriser les sites Web agrave installerdes gestionnaires de protocoles oude contenus utilisable pour deshocirctes tiers
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 28 sur 40
Administration systegraveme maintenance et options diverses
Parameacutetrage des mises agrave jour
Nom de paramegravetre Description Valeur recommandeacuteeappupdateenabled Activation de la mise agrave jour automatique true
appupdateauto Teacuteleacutechargement et installationautomatiques (neacutecessite que le paramegravetreappupdateenabled ait pour valeurtrue)
true
appupdatecertcheckAttributes Veacuterifie les attributs du certificat du serveurde mise agrave jour
false
appupdatecertrequireBuiltIn Requiert lrsquointeacutegration des certificats duserveur de mise agrave jour et de toutes lesredirections intermeacutediaires
false
appupdatechannel Canal de mise agrave jour esr pour la version ESR de FirefoxappupdatedownloadbackgroundInterval
Temps de pause (en secondes) entrechaque teacuteleacutechargement en arriegravere plandrsquoun morceau de 300 Kb de mise agrave jour
Au choix de lrsquoentiteacute
appupdateidletime Temps de pause (en secondes) entre chaqueteacuteleacutechargement agrave la demande de lrsquoutilisa-teur) drsquoun morceau de 300 Kb de mise agravejour
60
appupdateinterval Intervalle de temps entre chaque veacuterifica-tion de disponibiliteacute de nouvelles mises agravejour
43200
appupdatemode Deacutetermine quelles mises agrave jour sontteacuteleacutechargeacutees en arriegravere plan
0 pour teacuteleacutecharger toutes les mises agravejour sans intervention de lrsquoutilisateur
appupdateserviceenabled Active le service de mise agrave jour de Firefox true
appupdateshowInstalledUI Deacutetermine si apregraves installation de mise agravejour une boicircte de dialogue informe lrsquoutil-isateur qursquoune mise agrave jour a eacuteteacute installeacutee
Au choix de lrsquoentiteacute
appupdatesilent Active le mode de mise agrave jour silencieux true pour une mise agrave jour silencieuseen arriegravere plan
appupdateurl URL de reacutecupeacuteration des mises agrave jour deFirefox
En fonction de la strateacutegie de mise agravejour de lrsquoentiteacute Pour une mise agrave jourdepuis les serveurs de Mozilla httpsaus3mozillaorgupdate3PRODUCTVERSIONBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONupdatexml sinon lrsquoURLdu serveur de mise agrave jour internede lrsquoentiteacute (qursquoil faudra eacutegalementrenseigner dans le paramegravetreappupdateurloverride)
appupdateurloverride URL de reacutecupeacuteration des mises agrave jour deFirefox
Paramegravetre agrave renseigner uniquementdans le cas ou la mise agrave jour deFirefox se fait depuis lrsquoURL drsquounserveur de mise agrave jour interne delrsquoentiteacute (agrave renseigner en plus duparamegravetre appupdateurl)
appupdateurldetails URL de consultation des informations rel-atives aux mises agrave jour disponibles
Laisser la valeur par deacutefautrhttpswwwmozillaorgLOCALEfirefoxnotes
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 29 sur 40
Configuration du cache
Nom de paramegravetre Description Valeur recommandeacuteebrowsercachecheck_doc_frequency Quand veacuterifier la mise agrave jour drsquoune page en
cache disque3 (veacuterifier quand la page estpeacuterimeacutee)
browsercachecompression_level Niveau de compression du cache disque Au choix de lrsquoentiteacute de 0(pas de compression) agrave 9(haut taux de compressionavec forte sollicitation du pro-cesseur)
browsercachediskcapacity Espace disque alloueacute au cache disque enKb
Au choix de lrsquoentiteacute
browsercachediskenable Utiliser le cache disque true
browsercachediskmax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache disque
Au choix de lrsquoentiteacute
browsercachedisksmart_sizeenabled Allocation intelligente de lrsquoespace disquealloueacute au cache en fonction de lrsquoespacedisponible
Au choix de lrsquoentiteacute
browsercachedisk_cache_ssl Mettre en cache disque les pages visiteacuteesen HTTPS
False de maniegravere agrave ne pasmettre en cache le contenuSSL
browsercachememoryenable Utiliser le cache meacutemoire true
browsercachememorymax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache meacutemoire
Au choix de lrsquoentiteacute
browsercachememory_limit Meacutemoire maximum utiliseacutee pour le cachemeacutemoire en Kb
Au choix de lrsquoentiteacute
browsercacheofflinecapacity Espace disque alloueacute au cache des applica-tions Web
Au choix de lrsquoentiteacute
browsercacheofflineenable Utiliser le cache des applications Web per-mettant une utilisation hors ligne
Au choix de lrsquoentiteacute
browsercacheuse_new_backend Utilisation du nouveau systegraveme de cache 0 (ne pas utiliser pour desquestions de stabiliteacute)
networkhttpuse-cache Utiliser le cache des documents HTTP true
mediacache_size Taille du cache pour les fichiers multimedia Au choix de lrsquoentiteacute par deacute-faut 512000
domstoragedefault_quota Quota de stockage cocircteacute client pour lespages Web
5120 taille par deacutefaut
domstorageenabled Active le stockage cocircteacute client pour les pagesWeb
true agrave deacutefaut de vulneacuterabil-iteacutes connues pour cette fonc-tionnaliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 30 sur 40
Deacutesactiver les options de deacuteveloppement (sauf pour les populations de deacuteveloppeurs)
Nom de paramegravetre Description Valeur recommandeacuteedevtoolsappmanagerenabled Activation des outils de deacuteveloppement module appmanager false
devtoolsdebuggerenabled Activation des outils de deacuteveloppement module deacutebogueur false
devtoolserrorconsoleenabled Activation des outils de deacuteveloppement module consoledrsquoerreurs
false
devtoolsfontinspectorenabled Activation des outils de deacuteveloppement module inspecteurde polices
false
devtoolsinspectorenabled Activation des outils de deacuteveloppement module inspecteur false
devtoolsnetmonitorenabled Activation des outils de deacuteveloppement module reacuteseau false
devtoolsprofilerenabled Activation des outils de deacuteveloppement module profileur false
devtoolsshadereditorenabled Activation des outils de deacuteveloppement module vue adaptive false
devtoolsstyleeditorenabled Activation des outils de deacuteveloppement module editeur destyles
false
devtoolstiltenabled Activation des outils de deacuteveloppement module tilt false
devtoolstoolbarenabled Activation des outils de deacuteveloppement module barre dedeacuteveloppement
false
Configurations diverses
Nom de paramegravetre Description Valeur recommandeacuteenetworkseerenable-hover-on-ssl Activer seer sur SSL false
networkseerenabled Activer seer false
networkhttppipelining Activer le pipelining pour le surfHTTP11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttppipeliningssl Activer le pipelining pour le surfHTTPS11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttpspdyenabled Activer SPDY31 false
networkhttpspdyenabledv2 Activer SPDY v2 false
networkhttpspdyenabledv3 Activer SPDY v3 false
networkhttpspdyenabledv3-1 Activer SPDY v31 false
browsershellcheckDefaultBrowser Veacuterifier si Firefox est configureacutecomme navigateur par deacutefaut
false dans le cadre de double naviga-teurs
browserdownloadmanagerscanWhenDone
Scan antivirus drsquoun fichier lorsqueson teacuteleacutechargement est termineacute
true
browserdownloaduseDownloadDir Utiliser le reacutepertoire de teacuteleacutecharge-ment par deacutefaut
false pour que lrsquoutilisateur indique agravequel emplacement il souhaite teacuteleacutechargerle fichier
browserfullscreenautohide Cacher la barre drsquooutils et drsquoongletsen mode plein eacutecran
false
31 SPDY est un protocole reacuteseau expeacuterimental de Google visant agrave augmenter les capaciteacutes du protocole HTTP pourreacuteduire le temps de chargement des pages Web en classant les objets par ordre de prioriteacute et en multiplexant les transfertspour ne neacutecessiter qursquoune seule connexion Ce protocole est vulneacuterable aux attaques CRIME (Compression Ratio Info-leakMade Easy) lorsqursquoil est utiliseacute avec HTTPS (ce qui est geacuteneacuteralement le cas)
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 31 sur 40
Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP
Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory
Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation
La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32
Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers
Fichiers de configuration
La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte
ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet
ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes
Fichier local-settingsjs
pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)
Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 32 sur 40
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
Authentification HTTP
Nom de strateacutegie Description Valeur recommandeacuteenetworkauthforce-generic-ntlm Utiliser le module drsquoauthen-
tification NTLM de Firefoxplutocirct que celui fourni parles APIs du systegraveme
false
networkauthuse-sspi Utiliser SSPI plutocirct queGSSAPI pour lrsquoauthentifica-tion Kerberos
true sous Windows
networkntlmsend-lm-response Envoyer le LM Hash dans lareacuteponse NTLM
false
networkautomatic-ntlm-authallow-proxies
Authentification par NTLMautomatique avec lesserveurs proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networkautomatic-ntlm-authtrusted-uris
Liste des URIs autoriseacuteespour lrsquoauthentification parNTLM automatique
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationNTLM automatique
networkautomatic-ntlm-authallow-non-fqdn
Autoriser lrsquoauthentificationNTLM automatique avecdes sites sans FQDN
false agrave moins que la liste networkautomatic-ntlm-authtrusted-uris comporte des adressessans FQDN
networknegotiate-authallow-non-fqdn
Autoriser lrsquoauthentificationSPNEGO avec des sites sansFQDN
En fonction de lrsquoentiteacute
networknegotiate-authallow-proxies
Autoriser SPNEGO29si de-mandeacute par un serveur proxy
Au choix de lrsquoentiteacute en fonction du systegravemedrsquoauthentification utiliseacute par le serveur proxydrsquoentreprise
networknegotiate-authdelegation-uris
Liste des URIs autoriseacuteespour lesquels le navigateurpeut deacuteleacuteguer lrsquoautorisationde lrsquoutilisateur
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites auxquels elle souhaite permettre ladeacuteleacutegation SPNEGO
networknegotiate-authtrusted-uris Liste des URIs autoriseacuteespour engager une authentifi-cation SPNEGO
Liste de valeurs seacutepareacutees par des virgules (ex-emple monsitefr httpsmonsitefrLrsquoentiteacute y fera figurer les adresses de tousles sites ayant recours agrave une authentificationSPNEGO
networknegotiate-authgsslib Chemin vers une librairieGSSLIB speacutecifique
Mettre agrave vide
networknegotiate-authusing-native-gsslib
Utiliser la librairie GSSLIBnative du systegraveme
true
securitydefault_personal_cert Choix du certificat drsquoau-thentification client
Ask Every Time
29 SPNEGO est un standard qui permet de neacutegocier de lrsquoauthentification Kerberos NTLM ainsi que drsquoautresprotocoles supporteacutes pour le systegraveme SPNEGO est eacutegalement connu sous le nom du protocole drsquoauthentificationlaquo negociate raquo Pour plus drsquoinformations httpsdevelopermozillaorgen-USdocsIntegrated_Authentication
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 26 sur 40
Serveur mandataire
Nom de paramegravetre Description Valeur recommandeacuteenetworkproxyautoconfig_url URL de configuration automatique du
proxyLaisser agrave vide
networkproxyftp Adresse du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyftp_port port du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp Adresse du proxy proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp_port port du proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyno_proxies_on Liste drsquoexceptions agrave lrsquoutilisation du serveurproxy
A minima localhost 127001 etdavantage en fonction de lrsquoentiteacute etdu peacuterimegravetre drsquoutilisation du naviga-teur
networkproxyshare_proxy_settings
Utiliser le mecircme proxy pour tous les pro-tocoles
false
networkproxysocks Adresse du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_port port du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_remote_dns
Reacutealiser les requecirctes DNS via le proxysocks
false
networkproxysocks_version Version du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl Adresse du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl_port port du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxytype Type drsquoutilisation du proxy 1 pour utiliser les valeurs in-diqueacutees par les paramegravetres ci-dessus(networkproxy)
networkhttpproxyversion version de proxy 11 par deacutefaut et en fonction duserveur proxy de lrsquoentiteacute
networkhttpproxypipelining Activer le pipelining30par proxy false pour des raisons de compat-ibiliteacute Lrsquoentiteacute peut choisir de lrsquoac-tiver si le pipelining est supporteacute parson serveur proxy drsquoentreprise
signonautologinproxy Saisie automatique du mot de passe deproxy
false
30 Le pipelining permet de faire plusieurs requecirctes HTTP simultaneacutement plutocirct que de les faire seacutequentiellement enattendant les reacuteponses de chacune drsquoentre elles Pour plus drsquoinformations httpwww-archivemozillaorgprojectsnetlibhttppipelining-faqhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 27 sur 40
Peacuterimegravetre de navigation
Nom de paramegravetre Description Valeur recommandeacuteenetworkprotocol-handlerexpose-all
Deacutetermine si le navigateur essayedrsquoouvrir les liens cliqueacutes dans lenavigateur en prioriteacute avant delaisser le systegraveme srsquoen charger en casdrsquoeacutechec (si le protocole du lien enquestion nrsquoest pas supporteacute par lenavigateur)
true
networkprotocol-handlerwarn-external-default
Avertir lrsquoutilisateur avant decharger un gestionnaire deprotocole tiers
true
networkprotocol-handlerexternal-default
Action pour lrsquoouverture drsquoun pro-tocole non pris en charge par lenavigateur
false de maniegravere agrave ne pas essayerde charger des protocoles non pris encharge nativement par le navigateur Lrsquoen-titeacute renseignera eacuteventuellement des ges-tionnaires de protocoles tiers pour desprotocoles qursquoelle souhaite explicitementpermettre tels que NNTP Mailto etc Pour illustrer par lrsquoexemple avecMailto le paramegravetre networkprotocol-handlerexternalmailto aurait pour valeurtrue et le paramegravetre networkprotocol-handlerappmailto avec pour valeur lechemin drsquoun exeacutecutable comme MozillaThunderbird ou Microsoft Outlook
networkprotocol-handlerexternalfile
Gestionnaire de protocole filesous Firefox
false
networkprotocol-handlerexternalftp
Gestionnaire de protocole ftpsous Firefox
false
geckohandlerServiceallowRegisterFromDifferentHost
Autoriser les sites Web agrave installerdes gestionnaires de protocoles oude contenus utilisable pour deshocirctes tiers
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 28 sur 40
Administration systegraveme maintenance et options diverses
Parameacutetrage des mises agrave jour
Nom de paramegravetre Description Valeur recommandeacuteeappupdateenabled Activation de la mise agrave jour automatique true
appupdateauto Teacuteleacutechargement et installationautomatiques (neacutecessite que le paramegravetreappupdateenabled ait pour valeurtrue)
true
appupdatecertcheckAttributes Veacuterifie les attributs du certificat du serveurde mise agrave jour
false
appupdatecertrequireBuiltIn Requiert lrsquointeacutegration des certificats duserveur de mise agrave jour et de toutes lesredirections intermeacutediaires
false
appupdatechannel Canal de mise agrave jour esr pour la version ESR de FirefoxappupdatedownloadbackgroundInterval
Temps de pause (en secondes) entrechaque teacuteleacutechargement en arriegravere plandrsquoun morceau de 300 Kb de mise agrave jour
Au choix de lrsquoentiteacute
appupdateidletime Temps de pause (en secondes) entre chaqueteacuteleacutechargement agrave la demande de lrsquoutilisa-teur) drsquoun morceau de 300 Kb de mise agravejour
60
appupdateinterval Intervalle de temps entre chaque veacuterifica-tion de disponibiliteacute de nouvelles mises agravejour
43200
appupdatemode Deacutetermine quelles mises agrave jour sontteacuteleacutechargeacutees en arriegravere plan
0 pour teacuteleacutecharger toutes les mises agravejour sans intervention de lrsquoutilisateur
appupdateserviceenabled Active le service de mise agrave jour de Firefox true
appupdateshowInstalledUI Deacutetermine si apregraves installation de mise agravejour une boicircte de dialogue informe lrsquoutil-isateur qursquoune mise agrave jour a eacuteteacute installeacutee
Au choix de lrsquoentiteacute
appupdatesilent Active le mode de mise agrave jour silencieux true pour une mise agrave jour silencieuseen arriegravere plan
appupdateurl URL de reacutecupeacuteration des mises agrave jour deFirefox
En fonction de la strateacutegie de mise agravejour de lrsquoentiteacute Pour une mise agrave jourdepuis les serveurs de Mozilla httpsaus3mozillaorgupdate3PRODUCTVERSIONBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONupdatexml sinon lrsquoURLdu serveur de mise agrave jour internede lrsquoentiteacute (qursquoil faudra eacutegalementrenseigner dans le paramegravetreappupdateurloverride)
appupdateurloverride URL de reacutecupeacuteration des mises agrave jour deFirefox
Paramegravetre agrave renseigner uniquementdans le cas ou la mise agrave jour deFirefox se fait depuis lrsquoURL drsquounserveur de mise agrave jour interne delrsquoentiteacute (agrave renseigner en plus duparamegravetre appupdateurl)
appupdateurldetails URL de consultation des informations rel-atives aux mises agrave jour disponibles
Laisser la valeur par deacutefautrhttpswwwmozillaorgLOCALEfirefoxnotes
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 29 sur 40
Configuration du cache
Nom de paramegravetre Description Valeur recommandeacuteebrowsercachecheck_doc_frequency Quand veacuterifier la mise agrave jour drsquoune page en
cache disque3 (veacuterifier quand la page estpeacuterimeacutee)
browsercachecompression_level Niveau de compression du cache disque Au choix de lrsquoentiteacute de 0(pas de compression) agrave 9(haut taux de compressionavec forte sollicitation du pro-cesseur)
browsercachediskcapacity Espace disque alloueacute au cache disque enKb
Au choix de lrsquoentiteacute
browsercachediskenable Utiliser le cache disque true
browsercachediskmax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache disque
Au choix de lrsquoentiteacute
browsercachedisksmart_sizeenabled Allocation intelligente de lrsquoespace disquealloueacute au cache en fonction de lrsquoespacedisponible
Au choix de lrsquoentiteacute
browsercachedisk_cache_ssl Mettre en cache disque les pages visiteacuteesen HTTPS
False de maniegravere agrave ne pasmettre en cache le contenuSSL
browsercachememoryenable Utiliser le cache meacutemoire true
browsercachememorymax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache meacutemoire
Au choix de lrsquoentiteacute
browsercachememory_limit Meacutemoire maximum utiliseacutee pour le cachemeacutemoire en Kb
Au choix de lrsquoentiteacute
browsercacheofflinecapacity Espace disque alloueacute au cache des applica-tions Web
Au choix de lrsquoentiteacute
browsercacheofflineenable Utiliser le cache des applications Web per-mettant une utilisation hors ligne
Au choix de lrsquoentiteacute
browsercacheuse_new_backend Utilisation du nouveau systegraveme de cache 0 (ne pas utiliser pour desquestions de stabiliteacute)
networkhttpuse-cache Utiliser le cache des documents HTTP true
mediacache_size Taille du cache pour les fichiers multimedia Au choix de lrsquoentiteacute par deacute-faut 512000
domstoragedefault_quota Quota de stockage cocircteacute client pour lespages Web
5120 taille par deacutefaut
domstorageenabled Active le stockage cocircteacute client pour les pagesWeb
true agrave deacutefaut de vulneacuterabil-iteacutes connues pour cette fonc-tionnaliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 30 sur 40
Deacutesactiver les options de deacuteveloppement (sauf pour les populations de deacuteveloppeurs)
Nom de paramegravetre Description Valeur recommandeacuteedevtoolsappmanagerenabled Activation des outils de deacuteveloppement module appmanager false
devtoolsdebuggerenabled Activation des outils de deacuteveloppement module deacutebogueur false
devtoolserrorconsoleenabled Activation des outils de deacuteveloppement module consoledrsquoerreurs
false
devtoolsfontinspectorenabled Activation des outils de deacuteveloppement module inspecteurde polices
false
devtoolsinspectorenabled Activation des outils de deacuteveloppement module inspecteur false
devtoolsnetmonitorenabled Activation des outils de deacuteveloppement module reacuteseau false
devtoolsprofilerenabled Activation des outils de deacuteveloppement module profileur false
devtoolsshadereditorenabled Activation des outils de deacuteveloppement module vue adaptive false
devtoolsstyleeditorenabled Activation des outils de deacuteveloppement module editeur destyles
false
devtoolstiltenabled Activation des outils de deacuteveloppement module tilt false
devtoolstoolbarenabled Activation des outils de deacuteveloppement module barre dedeacuteveloppement
false
Configurations diverses
Nom de paramegravetre Description Valeur recommandeacuteenetworkseerenable-hover-on-ssl Activer seer sur SSL false
networkseerenabled Activer seer false
networkhttppipelining Activer le pipelining pour le surfHTTP11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttppipeliningssl Activer le pipelining pour le surfHTTPS11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttpspdyenabled Activer SPDY31 false
networkhttpspdyenabledv2 Activer SPDY v2 false
networkhttpspdyenabledv3 Activer SPDY v3 false
networkhttpspdyenabledv3-1 Activer SPDY v31 false
browsershellcheckDefaultBrowser Veacuterifier si Firefox est configureacutecomme navigateur par deacutefaut
false dans le cadre de double naviga-teurs
browserdownloadmanagerscanWhenDone
Scan antivirus drsquoun fichier lorsqueson teacuteleacutechargement est termineacute
true
browserdownloaduseDownloadDir Utiliser le reacutepertoire de teacuteleacutecharge-ment par deacutefaut
false pour que lrsquoutilisateur indique agravequel emplacement il souhaite teacuteleacutechargerle fichier
browserfullscreenautohide Cacher la barre drsquooutils et drsquoongletsen mode plein eacutecran
false
31 SPDY est un protocole reacuteseau expeacuterimental de Google visant agrave augmenter les capaciteacutes du protocole HTTP pourreacuteduire le temps de chargement des pages Web en classant les objets par ordre de prioriteacute et en multiplexant les transfertspour ne neacutecessiter qursquoune seule connexion Ce protocole est vulneacuterable aux attaques CRIME (Compression Ratio Info-leakMade Easy) lorsqursquoil est utiliseacute avec HTTPS (ce qui est geacuteneacuteralement le cas)
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 31 sur 40
Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP
Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory
Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation
La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32
Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers
Fichiers de configuration
La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte
ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet
ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes
Fichier local-settingsjs
pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)
Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 32 sur 40
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
Serveur mandataire
Nom de paramegravetre Description Valeur recommandeacuteenetworkproxyautoconfig_url URL de configuration automatique du
proxyLaisser agrave vide
networkproxyftp Adresse du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyftp_port port du proxy FTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp Adresse du proxy proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyhttp_port port du proxy HTTP Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyno_proxies_on Liste drsquoexceptions agrave lrsquoutilisation du serveurproxy
A minima localhost 127001 etdavantage en fonction de lrsquoentiteacute etdu peacuterimegravetre drsquoutilisation du naviga-teur
networkproxyshare_proxy_settings
Utiliser le mecircme proxy pour tous les pro-tocoles
false
networkproxysocks Adresse du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_port port du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxysocks_remote_dns
Reacutealiser les requecirctes DNS via le proxysocks
false
networkproxysocks_version Version du proxy socks Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl Adresse du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxyssl_port port du proxy HTTPS Agrave renseigner selon la configurationde lrsquoentiteacute et si un tel proxy est utiliseacute
networkproxytype Type drsquoutilisation du proxy 1 pour utiliser les valeurs in-diqueacutees par les paramegravetres ci-dessus(networkproxy)
networkhttpproxyversion version de proxy 11 par deacutefaut et en fonction duserveur proxy de lrsquoentiteacute
networkhttpproxypipelining Activer le pipelining30par proxy false pour des raisons de compat-ibiliteacute Lrsquoentiteacute peut choisir de lrsquoac-tiver si le pipelining est supporteacute parson serveur proxy drsquoentreprise
signonautologinproxy Saisie automatique du mot de passe deproxy
false
30 Le pipelining permet de faire plusieurs requecirctes HTTP simultaneacutement plutocirct que de les faire seacutequentiellement enattendant les reacuteponses de chacune drsquoentre elles Pour plus drsquoinformations httpwww-archivemozillaorgprojectsnetlibhttppipelining-faqhtml
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 27 sur 40
Peacuterimegravetre de navigation
Nom de paramegravetre Description Valeur recommandeacuteenetworkprotocol-handlerexpose-all
Deacutetermine si le navigateur essayedrsquoouvrir les liens cliqueacutes dans lenavigateur en prioriteacute avant delaisser le systegraveme srsquoen charger en casdrsquoeacutechec (si le protocole du lien enquestion nrsquoest pas supporteacute par lenavigateur)
true
networkprotocol-handlerwarn-external-default
Avertir lrsquoutilisateur avant decharger un gestionnaire deprotocole tiers
true
networkprotocol-handlerexternal-default
Action pour lrsquoouverture drsquoun pro-tocole non pris en charge par lenavigateur
false de maniegravere agrave ne pas essayerde charger des protocoles non pris encharge nativement par le navigateur Lrsquoen-titeacute renseignera eacuteventuellement des ges-tionnaires de protocoles tiers pour desprotocoles qursquoelle souhaite explicitementpermettre tels que NNTP Mailto etc Pour illustrer par lrsquoexemple avecMailto le paramegravetre networkprotocol-handlerexternalmailto aurait pour valeurtrue et le paramegravetre networkprotocol-handlerappmailto avec pour valeur lechemin drsquoun exeacutecutable comme MozillaThunderbird ou Microsoft Outlook
networkprotocol-handlerexternalfile
Gestionnaire de protocole filesous Firefox
false
networkprotocol-handlerexternalftp
Gestionnaire de protocole ftpsous Firefox
false
geckohandlerServiceallowRegisterFromDifferentHost
Autoriser les sites Web agrave installerdes gestionnaires de protocoles oude contenus utilisable pour deshocirctes tiers
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 28 sur 40
Administration systegraveme maintenance et options diverses
Parameacutetrage des mises agrave jour
Nom de paramegravetre Description Valeur recommandeacuteeappupdateenabled Activation de la mise agrave jour automatique true
appupdateauto Teacuteleacutechargement et installationautomatiques (neacutecessite que le paramegravetreappupdateenabled ait pour valeurtrue)
true
appupdatecertcheckAttributes Veacuterifie les attributs du certificat du serveurde mise agrave jour
false
appupdatecertrequireBuiltIn Requiert lrsquointeacutegration des certificats duserveur de mise agrave jour et de toutes lesredirections intermeacutediaires
false
appupdatechannel Canal de mise agrave jour esr pour la version ESR de FirefoxappupdatedownloadbackgroundInterval
Temps de pause (en secondes) entrechaque teacuteleacutechargement en arriegravere plandrsquoun morceau de 300 Kb de mise agrave jour
Au choix de lrsquoentiteacute
appupdateidletime Temps de pause (en secondes) entre chaqueteacuteleacutechargement agrave la demande de lrsquoutilisa-teur) drsquoun morceau de 300 Kb de mise agravejour
60
appupdateinterval Intervalle de temps entre chaque veacuterifica-tion de disponibiliteacute de nouvelles mises agravejour
43200
appupdatemode Deacutetermine quelles mises agrave jour sontteacuteleacutechargeacutees en arriegravere plan
0 pour teacuteleacutecharger toutes les mises agravejour sans intervention de lrsquoutilisateur
appupdateserviceenabled Active le service de mise agrave jour de Firefox true
appupdateshowInstalledUI Deacutetermine si apregraves installation de mise agravejour une boicircte de dialogue informe lrsquoutil-isateur qursquoune mise agrave jour a eacuteteacute installeacutee
Au choix de lrsquoentiteacute
appupdatesilent Active le mode de mise agrave jour silencieux true pour une mise agrave jour silencieuseen arriegravere plan
appupdateurl URL de reacutecupeacuteration des mises agrave jour deFirefox
En fonction de la strateacutegie de mise agravejour de lrsquoentiteacute Pour une mise agrave jourdepuis les serveurs de Mozilla httpsaus3mozillaorgupdate3PRODUCTVERSIONBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONupdatexml sinon lrsquoURLdu serveur de mise agrave jour internede lrsquoentiteacute (qursquoil faudra eacutegalementrenseigner dans le paramegravetreappupdateurloverride)
appupdateurloverride URL de reacutecupeacuteration des mises agrave jour deFirefox
Paramegravetre agrave renseigner uniquementdans le cas ou la mise agrave jour deFirefox se fait depuis lrsquoURL drsquounserveur de mise agrave jour interne delrsquoentiteacute (agrave renseigner en plus duparamegravetre appupdateurl)
appupdateurldetails URL de consultation des informations rel-atives aux mises agrave jour disponibles
Laisser la valeur par deacutefautrhttpswwwmozillaorgLOCALEfirefoxnotes
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 29 sur 40
Configuration du cache
Nom de paramegravetre Description Valeur recommandeacuteebrowsercachecheck_doc_frequency Quand veacuterifier la mise agrave jour drsquoune page en
cache disque3 (veacuterifier quand la page estpeacuterimeacutee)
browsercachecompression_level Niveau de compression du cache disque Au choix de lrsquoentiteacute de 0(pas de compression) agrave 9(haut taux de compressionavec forte sollicitation du pro-cesseur)
browsercachediskcapacity Espace disque alloueacute au cache disque enKb
Au choix de lrsquoentiteacute
browsercachediskenable Utiliser le cache disque true
browsercachediskmax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache disque
Au choix de lrsquoentiteacute
browsercachedisksmart_sizeenabled Allocation intelligente de lrsquoespace disquealloueacute au cache en fonction de lrsquoespacedisponible
Au choix de lrsquoentiteacute
browsercachedisk_cache_ssl Mettre en cache disque les pages visiteacuteesen HTTPS
False de maniegravere agrave ne pasmettre en cache le contenuSSL
browsercachememoryenable Utiliser le cache meacutemoire true
browsercachememorymax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache meacutemoire
Au choix de lrsquoentiteacute
browsercachememory_limit Meacutemoire maximum utiliseacutee pour le cachemeacutemoire en Kb
Au choix de lrsquoentiteacute
browsercacheofflinecapacity Espace disque alloueacute au cache des applica-tions Web
Au choix de lrsquoentiteacute
browsercacheofflineenable Utiliser le cache des applications Web per-mettant une utilisation hors ligne
Au choix de lrsquoentiteacute
browsercacheuse_new_backend Utilisation du nouveau systegraveme de cache 0 (ne pas utiliser pour desquestions de stabiliteacute)
networkhttpuse-cache Utiliser le cache des documents HTTP true
mediacache_size Taille du cache pour les fichiers multimedia Au choix de lrsquoentiteacute par deacute-faut 512000
domstoragedefault_quota Quota de stockage cocircteacute client pour lespages Web
5120 taille par deacutefaut
domstorageenabled Active le stockage cocircteacute client pour les pagesWeb
true agrave deacutefaut de vulneacuterabil-iteacutes connues pour cette fonc-tionnaliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 30 sur 40
Deacutesactiver les options de deacuteveloppement (sauf pour les populations de deacuteveloppeurs)
Nom de paramegravetre Description Valeur recommandeacuteedevtoolsappmanagerenabled Activation des outils de deacuteveloppement module appmanager false
devtoolsdebuggerenabled Activation des outils de deacuteveloppement module deacutebogueur false
devtoolserrorconsoleenabled Activation des outils de deacuteveloppement module consoledrsquoerreurs
false
devtoolsfontinspectorenabled Activation des outils de deacuteveloppement module inspecteurde polices
false
devtoolsinspectorenabled Activation des outils de deacuteveloppement module inspecteur false
devtoolsnetmonitorenabled Activation des outils de deacuteveloppement module reacuteseau false
devtoolsprofilerenabled Activation des outils de deacuteveloppement module profileur false
devtoolsshadereditorenabled Activation des outils de deacuteveloppement module vue adaptive false
devtoolsstyleeditorenabled Activation des outils de deacuteveloppement module editeur destyles
false
devtoolstiltenabled Activation des outils de deacuteveloppement module tilt false
devtoolstoolbarenabled Activation des outils de deacuteveloppement module barre dedeacuteveloppement
false
Configurations diverses
Nom de paramegravetre Description Valeur recommandeacuteenetworkseerenable-hover-on-ssl Activer seer sur SSL false
networkseerenabled Activer seer false
networkhttppipelining Activer le pipelining pour le surfHTTP11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttppipeliningssl Activer le pipelining pour le surfHTTPS11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttpspdyenabled Activer SPDY31 false
networkhttpspdyenabledv2 Activer SPDY v2 false
networkhttpspdyenabledv3 Activer SPDY v3 false
networkhttpspdyenabledv3-1 Activer SPDY v31 false
browsershellcheckDefaultBrowser Veacuterifier si Firefox est configureacutecomme navigateur par deacutefaut
false dans le cadre de double naviga-teurs
browserdownloadmanagerscanWhenDone
Scan antivirus drsquoun fichier lorsqueson teacuteleacutechargement est termineacute
true
browserdownloaduseDownloadDir Utiliser le reacutepertoire de teacuteleacutecharge-ment par deacutefaut
false pour que lrsquoutilisateur indique agravequel emplacement il souhaite teacuteleacutechargerle fichier
browserfullscreenautohide Cacher la barre drsquooutils et drsquoongletsen mode plein eacutecran
false
31 SPDY est un protocole reacuteseau expeacuterimental de Google visant agrave augmenter les capaciteacutes du protocole HTTP pourreacuteduire le temps de chargement des pages Web en classant les objets par ordre de prioriteacute et en multiplexant les transfertspour ne neacutecessiter qursquoune seule connexion Ce protocole est vulneacuterable aux attaques CRIME (Compression Ratio Info-leakMade Easy) lorsqursquoil est utiliseacute avec HTTPS (ce qui est geacuteneacuteralement le cas)
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 31 sur 40
Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP
Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory
Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation
La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32
Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers
Fichiers de configuration
La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte
ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet
ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes
Fichier local-settingsjs
pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)
Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 32 sur 40
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
Peacuterimegravetre de navigation
Nom de paramegravetre Description Valeur recommandeacuteenetworkprotocol-handlerexpose-all
Deacutetermine si le navigateur essayedrsquoouvrir les liens cliqueacutes dans lenavigateur en prioriteacute avant delaisser le systegraveme srsquoen charger en casdrsquoeacutechec (si le protocole du lien enquestion nrsquoest pas supporteacute par lenavigateur)
true
networkprotocol-handlerwarn-external-default
Avertir lrsquoutilisateur avant decharger un gestionnaire deprotocole tiers
true
networkprotocol-handlerexternal-default
Action pour lrsquoouverture drsquoun pro-tocole non pris en charge par lenavigateur
false de maniegravere agrave ne pas essayerde charger des protocoles non pris encharge nativement par le navigateur Lrsquoen-titeacute renseignera eacuteventuellement des ges-tionnaires de protocoles tiers pour desprotocoles qursquoelle souhaite explicitementpermettre tels que NNTP Mailto etc Pour illustrer par lrsquoexemple avecMailto le paramegravetre networkprotocol-handlerexternalmailto aurait pour valeurtrue et le paramegravetre networkprotocol-handlerappmailto avec pour valeur lechemin drsquoun exeacutecutable comme MozillaThunderbird ou Microsoft Outlook
networkprotocol-handlerexternalfile
Gestionnaire de protocole filesous Firefox
false
networkprotocol-handlerexternalftp
Gestionnaire de protocole ftpsous Firefox
false
geckohandlerServiceallowRegisterFromDifferentHost
Autoriser les sites Web agrave installerdes gestionnaires de protocoles oude contenus utilisable pour deshocirctes tiers
false
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 28 sur 40
Administration systegraveme maintenance et options diverses
Parameacutetrage des mises agrave jour
Nom de paramegravetre Description Valeur recommandeacuteeappupdateenabled Activation de la mise agrave jour automatique true
appupdateauto Teacuteleacutechargement et installationautomatiques (neacutecessite que le paramegravetreappupdateenabled ait pour valeurtrue)
true
appupdatecertcheckAttributes Veacuterifie les attributs du certificat du serveurde mise agrave jour
false
appupdatecertrequireBuiltIn Requiert lrsquointeacutegration des certificats duserveur de mise agrave jour et de toutes lesredirections intermeacutediaires
false
appupdatechannel Canal de mise agrave jour esr pour la version ESR de FirefoxappupdatedownloadbackgroundInterval
Temps de pause (en secondes) entrechaque teacuteleacutechargement en arriegravere plandrsquoun morceau de 300 Kb de mise agrave jour
Au choix de lrsquoentiteacute
appupdateidletime Temps de pause (en secondes) entre chaqueteacuteleacutechargement agrave la demande de lrsquoutilisa-teur) drsquoun morceau de 300 Kb de mise agravejour
60
appupdateinterval Intervalle de temps entre chaque veacuterifica-tion de disponibiliteacute de nouvelles mises agravejour
43200
appupdatemode Deacutetermine quelles mises agrave jour sontteacuteleacutechargeacutees en arriegravere plan
0 pour teacuteleacutecharger toutes les mises agravejour sans intervention de lrsquoutilisateur
appupdateserviceenabled Active le service de mise agrave jour de Firefox true
appupdateshowInstalledUI Deacutetermine si apregraves installation de mise agravejour une boicircte de dialogue informe lrsquoutil-isateur qursquoune mise agrave jour a eacuteteacute installeacutee
Au choix de lrsquoentiteacute
appupdatesilent Active le mode de mise agrave jour silencieux true pour une mise agrave jour silencieuseen arriegravere plan
appupdateurl URL de reacutecupeacuteration des mises agrave jour deFirefox
En fonction de la strateacutegie de mise agravejour de lrsquoentiteacute Pour une mise agrave jourdepuis les serveurs de Mozilla httpsaus3mozillaorgupdate3PRODUCTVERSIONBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONupdatexml sinon lrsquoURLdu serveur de mise agrave jour internede lrsquoentiteacute (qursquoil faudra eacutegalementrenseigner dans le paramegravetreappupdateurloverride)
appupdateurloverride URL de reacutecupeacuteration des mises agrave jour deFirefox
Paramegravetre agrave renseigner uniquementdans le cas ou la mise agrave jour deFirefox se fait depuis lrsquoURL drsquounserveur de mise agrave jour interne delrsquoentiteacute (agrave renseigner en plus duparamegravetre appupdateurl)
appupdateurldetails URL de consultation des informations rel-atives aux mises agrave jour disponibles
Laisser la valeur par deacutefautrhttpswwwmozillaorgLOCALEfirefoxnotes
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 29 sur 40
Configuration du cache
Nom de paramegravetre Description Valeur recommandeacuteebrowsercachecheck_doc_frequency Quand veacuterifier la mise agrave jour drsquoune page en
cache disque3 (veacuterifier quand la page estpeacuterimeacutee)
browsercachecompression_level Niveau de compression du cache disque Au choix de lrsquoentiteacute de 0(pas de compression) agrave 9(haut taux de compressionavec forte sollicitation du pro-cesseur)
browsercachediskcapacity Espace disque alloueacute au cache disque enKb
Au choix de lrsquoentiteacute
browsercachediskenable Utiliser le cache disque true
browsercachediskmax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache disque
Au choix de lrsquoentiteacute
browsercachedisksmart_sizeenabled Allocation intelligente de lrsquoespace disquealloueacute au cache en fonction de lrsquoespacedisponible
Au choix de lrsquoentiteacute
browsercachedisk_cache_ssl Mettre en cache disque les pages visiteacuteesen HTTPS
False de maniegravere agrave ne pasmettre en cache le contenuSSL
browsercachememoryenable Utiliser le cache meacutemoire true
browsercachememorymax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache meacutemoire
Au choix de lrsquoentiteacute
browsercachememory_limit Meacutemoire maximum utiliseacutee pour le cachemeacutemoire en Kb
Au choix de lrsquoentiteacute
browsercacheofflinecapacity Espace disque alloueacute au cache des applica-tions Web
Au choix de lrsquoentiteacute
browsercacheofflineenable Utiliser le cache des applications Web per-mettant une utilisation hors ligne
Au choix de lrsquoentiteacute
browsercacheuse_new_backend Utilisation du nouveau systegraveme de cache 0 (ne pas utiliser pour desquestions de stabiliteacute)
networkhttpuse-cache Utiliser le cache des documents HTTP true
mediacache_size Taille du cache pour les fichiers multimedia Au choix de lrsquoentiteacute par deacute-faut 512000
domstoragedefault_quota Quota de stockage cocircteacute client pour lespages Web
5120 taille par deacutefaut
domstorageenabled Active le stockage cocircteacute client pour les pagesWeb
true agrave deacutefaut de vulneacuterabil-iteacutes connues pour cette fonc-tionnaliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 30 sur 40
Deacutesactiver les options de deacuteveloppement (sauf pour les populations de deacuteveloppeurs)
Nom de paramegravetre Description Valeur recommandeacuteedevtoolsappmanagerenabled Activation des outils de deacuteveloppement module appmanager false
devtoolsdebuggerenabled Activation des outils de deacuteveloppement module deacutebogueur false
devtoolserrorconsoleenabled Activation des outils de deacuteveloppement module consoledrsquoerreurs
false
devtoolsfontinspectorenabled Activation des outils de deacuteveloppement module inspecteurde polices
false
devtoolsinspectorenabled Activation des outils de deacuteveloppement module inspecteur false
devtoolsnetmonitorenabled Activation des outils de deacuteveloppement module reacuteseau false
devtoolsprofilerenabled Activation des outils de deacuteveloppement module profileur false
devtoolsshadereditorenabled Activation des outils de deacuteveloppement module vue adaptive false
devtoolsstyleeditorenabled Activation des outils de deacuteveloppement module editeur destyles
false
devtoolstiltenabled Activation des outils de deacuteveloppement module tilt false
devtoolstoolbarenabled Activation des outils de deacuteveloppement module barre dedeacuteveloppement
false
Configurations diverses
Nom de paramegravetre Description Valeur recommandeacuteenetworkseerenable-hover-on-ssl Activer seer sur SSL false
networkseerenabled Activer seer false
networkhttppipelining Activer le pipelining pour le surfHTTP11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttppipeliningssl Activer le pipelining pour le surfHTTPS11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttpspdyenabled Activer SPDY31 false
networkhttpspdyenabledv2 Activer SPDY v2 false
networkhttpspdyenabledv3 Activer SPDY v3 false
networkhttpspdyenabledv3-1 Activer SPDY v31 false
browsershellcheckDefaultBrowser Veacuterifier si Firefox est configureacutecomme navigateur par deacutefaut
false dans le cadre de double naviga-teurs
browserdownloadmanagerscanWhenDone
Scan antivirus drsquoun fichier lorsqueson teacuteleacutechargement est termineacute
true
browserdownloaduseDownloadDir Utiliser le reacutepertoire de teacuteleacutecharge-ment par deacutefaut
false pour que lrsquoutilisateur indique agravequel emplacement il souhaite teacuteleacutechargerle fichier
browserfullscreenautohide Cacher la barre drsquooutils et drsquoongletsen mode plein eacutecran
false
31 SPDY est un protocole reacuteseau expeacuterimental de Google visant agrave augmenter les capaciteacutes du protocole HTTP pourreacuteduire le temps de chargement des pages Web en classant les objets par ordre de prioriteacute et en multiplexant les transfertspour ne neacutecessiter qursquoune seule connexion Ce protocole est vulneacuterable aux attaques CRIME (Compression Ratio Info-leakMade Easy) lorsqursquoil est utiliseacute avec HTTPS (ce qui est geacuteneacuteralement le cas)
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 31 sur 40
Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP
Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory
Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation
La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32
Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers
Fichiers de configuration
La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte
ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet
ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes
Fichier local-settingsjs
pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)
Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 32 sur 40
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
Administration systegraveme maintenance et options diverses
Parameacutetrage des mises agrave jour
Nom de paramegravetre Description Valeur recommandeacuteeappupdateenabled Activation de la mise agrave jour automatique true
appupdateauto Teacuteleacutechargement et installationautomatiques (neacutecessite que le paramegravetreappupdateenabled ait pour valeurtrue)
true
appupdatecertcheckAttributes Veacuterifie les attributs du certificat du serveurde mise agrave jour
false
appupdatecertrequireBuiltIn Requiert lrsquointeacutegration des certificats duserveur de mise agrave jour et de toutes lesredirections intermeacutediaires
false
appupdatechannel Canal de mise agrave jour esr pour la version ESR de FirefoxappupdatedownloadbackgroundInterval
Temps de pause (en secondes) entrechaque teacuteleacutechargement en arriegravere plandrsquoun morceau de 300 Kb de mise agrave jour
Au choix de lrsquoentiteacute
appupdateidletime Temps de pause (en secondes) entre chaqueteacuteleacutechargement agrave la demande de lrsquoutilisa-teur) drsquoun morceau de 300 Kb de mise agravejour
60
appupdateinterval Intervalle de temps entre chaque veacuterifica-tion de disponibiliteacute de nouvelles mises agravejour
43200
appupdatemode Deacutetermine quelles mises agrave jour sontteacuteleacutechargeacutees en arriegravere plan
0 pour teacuteleacutecharger toutes les mises agravejour sans intervention de lrsquoutilisateur
appupdateserviceenabled Active le service de mise agrave jour de Firefox true
appupdateshowInstalledUI Deacutetermine si apregraves installation de mise agravejour une boicircte de dialogue informe lrsquoutil-isateur qursquoune mise agrave jour a eacuteteacute installeacutee
Au choix de lrsquoentiteacute
appupdatesilent Active le mode de mise agrave jour silencieux true pour une mise agrave jour silencieuseen arriegravere plan
appupdateurl URL de reacutecupeacuteration des mises agrave jour deFirefox
En fonction de la strateacutegie de mise agravejour de lrsquoentiteacute Pour une mise agrave jourdepuis les serveurs de Mozilla httpsaus3mozillaorgupdate3PRODUCTVERSIONBUILD_IDBUILD_TARGETLOCALECHANNELOS_VERSIONDISTRIBUTIONDISTRIBUTION_VERSIONupdatexml sinon lrsquoURLdu serveur de mise agrave jour internede lrsquoentiteacute (qursquoil faudra eacutegalementrenseigner dans le paramegravetreappupdateurloverride)
appupdateurloverride URL de reacutecupeacuteration des mises agrave jour deFirefox
Paramegravetre agrave renseigner uniquementdans le cas ou la mise agrave jour deFirefox se fait depuis lrsquoURL drsquounserveur de mise agrave jour interne delrsquoentiteacute (agrave renseigner en plus duparamegravetre appupdateurl)
appupdateurldetails URL de consultation des informations rel-atives aux mises agrave jour disponibles
Laisser la valeur par deacutefautrhttpswwwmozillaorgLOCALEfirefoxnotes
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 29 sur 40
Configuration du cache
Nom de paramegravetre Description Valeur recommandeacuteebrowsercachecheck_doc_frequency Quand veacuterifier la mise agrave jour drsquoune page en
cache disque3 (veacuterifier quand la page estpeacuterimeacutee)
browsercachecompression_level Niveau de compression du cache disque Au choix de lrsquoentiteacute de 0(pas de compression) agrave 9(haut taux de compressionavec forte sollicitation du pro-cesseur)
browsercachediskcapacity Espace disque alloueacute au cache disque enKb
Au choix de lrsquoentiteacute
browsercachediskenable Utiliser le cache disque true
browsercachediskmax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache disque
Au choix de lrsquoentiteacute
browsercachedisksmart_sizeenabled Allocation intelligente de lrsquoespace disquealloueacute au cache en fonction de lrsquoespacedisponible
Au choix de lrsquoentiteacute
browsercachedisk_cache_ssl Mettre en cache disque les pages visiteacuteesen HTTPS
False de maniegravere agrave ne pasmettre en cache le contenuSSL
browsercachememoryenable Utiliser le cache meacutemoire true
browsercachememorymax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache meacutemoire
Au choix de lrsquoentiteacute
browsercachememory_limit Meacutemoire maximum utiliseacutee pour le cachemeacutemoire en Kb
Au choix de lrsquoentiteacute
browsercacheofflinecapacity Espace disque alloueacute au cache des applica-tions Web
Au choix de lrsquoentiteacute
browsercacheofflineenable Utiliser le cache des applications Web per-mettant une utilisation hors ligne
Au choix de lrsquoentiteacute
browsercacheuse_new_backend Utilisation du nouveau systegraveme de cache 0 (ne pas utiliser pour desquestions de stabiliteacute)
networkhttpuse-cache Utiliser le cache des documents HTTP true
mediacache_size Taille du cache pour les fichiers multimedia Au choix de lrsquoentiteacute par deacute-faut 512000
domstoragedefault_quota Quota de stockage cocircteacute client pour lespages Web
5120 taille par deacutefaut
domstorageenabled Active le stockage cocircteacute client pour les pagesWeb
true agrave deacutefaut de vulneacuterabil-iteacutes connues pour cette fonc-tionnaliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 30 sur 40
Deacutesactiver les options de deacuteveloppement (sauf pour les populations de deacuteveloppeurs)
Nom de paramegravetre Description Valeur recommandeacuteedevtoolsappmanagerenabled Activation des outils de deacuteveloppement module appmanager false
devtoolsdebuggerenabled Activation des outils de deacuteveloppement module deacutebogueur false
devtoolserrorconsoleenabled Activation des outils de deacuteveloppement module consoledrsquoerreurs
false
devtoolsfontinspectorenabled Activation des outils de deacuteveloppement module inspecteurde polices
false
devtoolsinspectorenabled Activation des outils de deacuteveloppement module inspecteur false
devtoolsnetmonitorenabled Activation des outils de deacuteveloppement module reacuteseau false
devtoolsprofilerenabled Activation des outils de deacuteveloppement module profileur false
devtoolsshadereditorenabled Activation des outils de deacuteveloppement module vue adaptive false
devtoolsstyleeditorenabled Activation des outils de deacuteveloppement module editeur destyles
false
devtoolstiltenabled Activation des outils de deacuteveloppement module tilt false
devtoolstoolbarenabled Activation des outils de deacuteveloppement module barre dedeacuteveloppement
false
Configurations diverses
Nom de paramegravetre Description Valeur recommandeacuteenetworkseerenable-hover-on-ssl Activer seer sur SSL false
networkseerenabled Activer seer false
networkhttppipelining Activer le pipelining pour le surfHTTP11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttppipeliningssl Activer le pipelining pour le surfHTTPS11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttpspdyenabled Activer SPDY31 false
networkhttpspdyenabledv2 Activer SPDY v2 false
networkhttpspdyenabledv3 Activer SPDY v3 false
networkhttpspdyenabledv3-1 Activer SPDY v31 false
browsershellcheckDefaultBrowser Veacuterifier si Firefox est configureacutecomme navigateur par deacutefaut
false dans le cadre de double naviga-teurs
browserdownloadmanagerscanWhenDone
Scan antivirus drsquoun fichier lorsqueson teacuteleacutechargement est termineacute
true
browserdownloaduseDownloadDir Utiliser le reacutepertoire de teacuteleacutecharge-ment par deacutefaut
false pour que lrsquoutilisateur indique agravequel emplacement il souhaite teacuteleacutechargerle fichier
browserfullscreenautohide Cacher la barre drsquooutils et drsquoongletsen mode plein eacutecran
false
31 SPDY est un protocole reacuteseau expeacuterimental de Google visant agrave augmenter les capaciteacutes du protocole HTTP pourreacuteduire le temps de chargement des pages Web en classant les objets par ordre de prioriteacute et en multiplexant les transfertspour ne neacutecessiter qursquoune seule connexion Ce protocole est vulneacuterable aux attaques CRIME (Compression Ratio Info-leakMade Easy) lorsqursquoil est utiliseacute avec HTTPS (ce qui est geacuteneacuteralement le cas)
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 31 sur 40
Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP
Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory
Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation
La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32
Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers
Fichiers de configuration
La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte
ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet
ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes
Fichier local-settingsjs
pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)
Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 32 sur 40
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
Configuration du cache
Nom de paramegravetre Description Valeur recommandeacuteebrowsercachecheck_doc_frequency Quand veacuterifier la mise agrave jour drsquoune page en
cache disque3 (veacuterifier quand la page estpeacuterimeacutee)
browsercachecompression_level Niveau de compression du cache disque Au choix de lrsquoentiteacute de 0(pas de compression) agrave 9(haut taux de compressionavec forte sollicitation du pro-cesseur)
browsercachediskcapacity Espace disque alloueacute au cache disque enKb
Au choix de lrsquoentiteacute
browsercachediskenable Utiliser le cache disque true
browsercachediskmax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache disque
Au choix de lrsquoentiteacute
browsercachedisksmart_sizeenabled Allocation intelligente de lrsquoespace disquealloueacute au cache en fonction de lrsquoespacedisponible
Au choix de lrsquoentiteacute
browsercachedisk_cache_ssl Mettre en cache disque les pages visiteacuteesen HTTPS
False de maniegravere agrave ne pasmettre en cache le contenuSSL
browsercachememoryenable Utiliser le cache meacutemoire true
browsercachememorymax_entry_size Taille maximum (en Kb) drsquoune entreacutee encache meacutemoire
Au choix de lrsquoentiteacute
browsercachememory_limit Meacutemoire maximum utiliseacutee pour le cachemeacutemoire en Kb
Au choix de lrsquoentiteacute
browsercacheofflinecapacity Espace disque alloueacute au cache des applica-tions Web
Au choix de lrsquoentiteacute
browsercacheofflineenable Utiliser le cache des applications Web per-mettant une utilisation hors ligne
Au choix de lrsquoentiteacute
browsercacheuse_new_backend Utilisation du nouveau systegraveme de cache 0 (ne pas utiliser pour desquestions de stabiliteacute)
networkhttpuse-cache Utiliser le cache des documents HTTP true
mediacache_size Taille du cache pour les fichiers multimedia Au choix de lrsquoentiteacute par deacute-faut 512000
domstoragedefault_quota Quota de stockage cocircteacute client pour lespages Web
5120 taille par deacutefaut
domstorageenabled Active le stockage cocircteacute client pour les pagesWeb
true agrave deacutefaut de vulneacuterabil-iteacutes connues pour cette fonc-tionnaliteacute
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 30 sur 40
Deacutesactiver les options de deacuteveloppement (sauf pour les populations de deacuteveloppeurs)
Nom de paramegravetre Description Valeur recommandeacuteedevtoolsappmanagerenabled Activation des outils de deacuteveloppement module appmanager false
devtoolsdebuggerenabled Activation des outils de deacuteveloppement module deacutebogueur false
devtoolserrorconsoleenabled Activation des outils de deacuteveloppement module consoledrsquoerreurs
false
devtoolsfontinspectorenabled Activation des outils de deacuteveloppement module inspecteurde polices
false
devtoolsinspectorenabled Activation des outils de deacuteveloppement module inspecteur false
devtoolsnetmonitorenabled Activation des outils de deacuteveloppement module reacuteseau false
devtoolsprofilerenabled Activation des outils de deacuteveloppement module profileur false
devtoolsshadereditorenabled Activation des outils de deacuteveloppement module vue adaptive false
devtoolsstyleeditorenabled Activation des outils de deacuteveloppement module editeur destyles
false
devtoolstiltenabled Activation des outils de deacuteveloppement module tilt false
devtoolstoolbarenabled Activation des outils de deacuteveloppement module barre dedeacuteveloppement
false
Configurations diverses
Nom de paramegravetre Description Valeur recommandeacuteenetworkseerenable-hover-on-ssl Activer seer sur SSL false
networkseerenabled Activer seer false
networkhttppipelining Activer le pipelining pour le surfHTTP11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttppipeliningssl Activer le pipelining pour le surfHTTPS11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttpspdyenabled Activer SPDY31 false
networkhttpspdyenabledv2 Activer SPDY v2 false
networkhttpspdyenabledv3 Activer SPDY v3 false
networkhttpspdyenabledv3-1 Activer SPDY v31 false
browsershellcheckDefaultBrowser Veacuterifier si Firefox est configureacutecomme navigateur par deacutefaut
false dans le cadre de double naviga-teurs
browserdownloadmanagerscanWhenDone
Scan antivirus drsquoun fichier lorsqueson teacuteleacutechargement est termineacute
true
browserdownloaduseDownloadDir Utiliser le reacutepertoire de teacuteleacutecharge-ment par deacutefaut
false pour que lrsquoutilisateur indique agravequel emplacement il souhaite teacuteleacutechargerle fichier
browserfullscreenautohide Cacher la barre drsquooutils et drsquoongletsen mode plein eacutecran
false
31 SPDY est un protocole reacuteseau expeacuterimental de Google visant agrave augmenter les capaciteacutes du protocole HTTP pourreacuteduire le temps de chargement des pages Web en classant les objets par ordre de prioriteacute et en multiplexant les transfertspour ne neacutecessiter qursquoune seule connexion Ce protocole est vulneacuterable aux attaques CRIME (Compression Ratio Info-leakMade Easy) lorsqursquoil est utiliseacute avec HTTPS (ce qui est geacuteneacuteralement le cas)
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 31 sur 40
Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP
Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory
Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation
La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32
Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers
Fichiers de configuration
La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte
ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet
ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes
Fichier local-settingsjs
pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)
Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 32 sur 40
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
Deacutesactiver les options de deacuteveloppement (sauf pour les populations de deacuteveloppeurs)
Nom de paramegravetre Description Valeur recommandeacuteedevtoolsappmanagerenabled Activation des outils de deacuteveloppement module appmanager false
devtoolsdebuggerenabled Activation des outils de deacuteveloppement module deacutebogueur false
devtoolserrorconsoleenabled Activation des outils de deacuteveloppement module consoledrsquoerreurs
false
devtoolsfontinspectorenabled Activation des outils de deacuteveloppement module inspecteurde polices
false
devtoolsinspectorenabled Activation des outils de deacuteveloppement module inspecteur false
devtoolsnetmonitorenabled Activation des outils de deacuteveloppement module reacuteseau false
devtoolsprofilerenabled Activation des outils de deacuteveloppement module profileur false
devtoolsshadereditorenabled Activation des outils de deacuteveloppement module vue adaptive false
devtoolsstyleeditorenabled Activation des outils de deacuteveloppement module editeur destyles
false
devtoolstiltenabled Activation des outils de deacuteveloppement module tilt false
devtoolstoolbarenabled Activation des outils de deacuteveloppement module barre dedeacuteveloppement
false
Configurations diverses
Nom de paramegravetre Description Valeur recommandeacuteenetworkseerenable-hover-on-ssl Activer seer sur SSL false
networkseerenabled Activer seer false
networkhttppipelining Activer le pipelining pour le surfHTTP11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttppipeliningssl Activer le pipelining pour le surfHTTPS11
false pour des raisons de compatibiliteacuteavec les serveurs Web Le pipelining peuteacuteventuellement ecirctre utiliseacute pour un na-vigateur deacutedieacute agrave lrsquointranet si lrsquoentiteacute saitlrsquoensemble de ses serveurs compatibles
networkhttpspdyenabled Activer SPDY31 false
networkhttpspdyenabledv2 Activer SPDY v2 false
networkhttpspdyenabledv3 Activer SPDY v3 false
networkhttpspdyenabledv3-1 Activer SPDY v31 false
browsershellcheckDefaultBrowser Veacuterifier si Firefox est configureacutecomme navigateur par deacutefaut
false dans le cadre de double naviga-teurs
browserdownloadmanagerscanWhenDone
Scan antivirus drsquoun fichier lorsqueson teacuteleacutechargement est termineacute
true
browserdownloaduseDownloadDir Utiliser le reacutepertoire de teacuteleacutecharge-ment par deacutefaut
false pour que lrsquoutilisateur indique agravequel emplacement il souhaite teacuteleacutechargerle fichier
browserfullscreenautohide Cacher la barre drsquooutils et drsquoongletsen mode plein eacutecran
false
31 SPDY est un protocole reacuteseau expeacuterimental de Google visant agrave augmenter les capaciteacutes du protocole HTTP pourreacuteduire le temps de chargement des pages Web en classant les objets par ordre de prioriteacute et en multiplexant les transfertspour ne neacutecessiter qursquoune seule connexion Ce protocole est vulneacuterable aux attaques CRIME (Compression Ratio Info-leakMade Easy) lorsqursquoil est utiliseacute avec HTTPS (ce qui est geacuteneacuteralement le cas)
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 31 sur 40
Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP
Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory
Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation
La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32
Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers
Fichiers de configuration
La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte
ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet
ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes
Fichier local-settingsjs
pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)
Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 32 sur 40
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
Annexe II Deacuteploiement et configuration centraliseacutee dans undomaine Active Directory par GPP
Cette annexe preacutesente de maniegravere syntheacutetique une meacutethode de configuration centraliseacutee reposantsur Active Directory
Teacuteleacutechargement de lrsquoexeacutecutable drsquoinstallation
La derniegravere version de Firefox est disponible sur le site Web de Mozilla 32
Le teacuteleacutechargement nrsquoest proposeacute qursquoau format exeacutecutable Son deacuteploiement sera effectueacute selon lesmeacutethodes utiliseacutees par chaque entiteacute Pour un deacuteploiement par GPO au format MSI un repaquettagede lrsquoexeacutecutable est neacutecessaire mais cela neacutecessite lrsquousage drsquooutils tiers
Fichiers de configuration
La meacutethode de configuration centraliseacutee et verrouilleacutee de Firefox preacutesenteacutee dans cette annexeconsiste en la creacuteation drsquoun minimum de deux fichiers texte
ndash un fichier local-settingsjs agrave deacuteposer dans le sous dossier defaultspref du reacutepertoiredrsquoinstallation de Firefox Ce fichier par convention se contente de reacutefeacuterencer un deuxiegraveme fichierde configuration plus complet
ndash un fichier mozillacfg (ou quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) agrave deacuteposer directe-ment dans le reacutepertoire drsquoinstallation de Firefox et qui contient lrsquoensemble des paramegravetres deconfiguration souhaiteacutes
Fichier local-settingsjs
pref(generalconfig_obscure_value 0) fichier de configuration sans encodagepref(generalconfigfilenamemozillacfg)
Fichier mozillacfg qui contient tous les paramegravetres de configuration souhaiteacutes
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
32 Version ESR httpswwwmozillaorgen-USfirefoxorganizationsall Version standard httpswwwmozillaorgen-USfirefoxnew
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 32 sur 40
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
Il est preacuteciseacute que pour davantage de flexibiliteacute il est eacutegalement possible de centraliser ce dernierfichier de configuration sur un espace partageacute 33 comme un site Web interne Dans ce cas le fichiermozillacfg devient un simple chargeur drsquoURL vers un troisiegraveme fichier de configuration
Configuration de Firefox - Chargeur URLtry Options de configuration de proxylockPref(autoadminglobal_config_url http intranetlocalconfigcfg)lockPref(autoadminappend_emailaddrfalse) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationlocal e)
Le fichier configcfg (ou un quelconque autre nom agrave la discreacutetion de lrsquoentiteacute) preacuteceacutedemmentreacutefeacuterenceacute et deacuteposeacute agrave lrsquoURL indiqueacutee devient alors le fichier contenant tous les paramegravetres de configu-ration souhaiteacutes Ce fichier est chargeacute agrave chaque lancement de Firefox
Configuration de Firefoxtry Options de configuration de proxylockPref(networkproxyhttp1921680100)lockPref(networkproxyhttp_port 3128)lockPref(networkproxyssl1921680100)lockPref(networkproxyssl_port 3128) Autres options de configuration catch(e) displayError(Erreurdanslefichierdeconfigurationdistant e)
En suivant cette meacutethode la configuration Firefox sera commune agrave tous les comptes utilisateursdrsquoun poste de travail ougrave la configuration est teacuteleacute-deacuteployeacutee
Teacuteleacute-deacuteploiement des fichiers de configuration par GPPGPO
Les fichiers de configuration requis sur les postes (mozillacfg et local-settingsjs dans lrsquoex-emple donneacute preacuteceacutedemment) peuvent ecirctre deacuteployeacutes simplement par GPP (Group Policy Preferences)Eacutetant donneacute que Firefox nrsquoest pas installeacute dans un dossier identique sur les systegravemes 32 et 64 bitsil est donc neacutecessaire de reacutealiser le deacuteploiement de maniegravere distincte en fonction du type de systegravemedrsquoexploitation
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits il est possible drsquoutiliser la fonc-tionnaliteacute de filtre WMI des strateacutegies de groupes (dans lrsquoespace de noms rootCIMV2 avec la re-quecircte laquo Select from Win32_Processor where AddressWidth = rsquo64rsquo raquo) Pour appliquer une GPOaux seuls postes utilisateurs 32 bits la requecircte devient laquo Select from Win32_Processor whereAddressWidth = rsquo32rsquo raquo) Ce filtre WMI permet alors drsquoappliquer chacune des deux GPP de deacute-ploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement
33 Lrsquoentiteacute veillera agrave la seacutecuriteacute drsquoaccegraves de cet espace pour eacuteviter que le fichier de configuration puisse ecirctre modifieacute parun utilisateur non privileacutegieacute Elle eacutetudiera eacutegalement la compatibiliteacute avec ses postes nomades Lorsque lrsquoespace partageacuteest temporairement indisponible le lancement de Firefox est retardeacute drsquoenviron trois secondes mais la configurationobtenue au dernier chargement reacuteussi reste appliqueacutee
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 33 sur 40
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
Au niveau de la console de gestion des strateacutegies de groupe du domaine ces deux GPO auront lesparamegravetres suivants
Figure 3 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 64 bits
Figure 4 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 64 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 34 sur 40
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
Figure 5 ndash GPO de deacuteploiement du fichier local-settingsjs sur les systegravemes 32 bits
Figure 6 ndash GPO de deacuteploiement du fichier mozillacfg sur les systegravemes 32 bits
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 35 sur 40
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
Annexe III Deacuteploiement et maicirctrise des magasins de certificats desprofils utilisateurs Firefox
Tout drsquoabord il est preacuteciseacute qursquoun eacutecrasement du fichier cert8db drsquoun profil Firefox a pour reacutesultatde supprimer les certificats utilisateurs qursquoil contient (il ne restera alors plus que les cleacutes priveacutees associeacuteesagrave ces derniers dans le fichier key3db) La complexiteacute de deacuteploiement et de maicirctrise des magasins decertificats des profils utilisateurs varie donc en fonction du contexte drsquoutilisation du navigateur
Il agrave noter eacutegalement que les certificats drsquoautoriteacutes racines de confiance preacute-inteacutegreacutes agrave Firefox sontpreacutesents en dur dans lrsquoexeacutecutable Firefox et non pas dans les magasins de certificats cert8db Il nrsquoestdonc pas possible de les supprimer agrave moins de recompiler Firefox agrave partir des sources 34 (ces certificatssont renseigneacutes dans le fichier certdatatxt agrave lrsquoemplacement securitynsslibckfwbuiltins delrsquoarborescence des sources)
Sceacutenario 1 les utilisateurs de Firefox nrsquoajoutent pas de certificats utilisateurs agraveleur magasin de certificats Firefox
Dans ce cas une solution simple consiste agrave copier reacuteguliegraverement un fichier cert8db de reacutefeacuterencedans les profils Firefox des utilisateurs Comme le nom des sous dossiers de profils Firefox ne peuvent pasecirctre deacutetermineacutes agrave lrsquoavance il nrsquoest pas possible de copier ce fichier par GPP (Group Policy Preferences)Par contre cela peut ecirctre fait simplement par GPO via un script drsquoouverture de session Le scriptPowerShell suivant illustre une maniegravere de proceacuteder
Reacute p e r t o i r e contenant l e f i c h i e r agrave cop i e r$sFFCertLocation = rsquo chemin ver s l e r eacute p e r t o i r e l o c a l ou l e partage r eacute seau contenant c e r t 8 db rsquo
F i ch i e r c e r t 8 db agrave cop i e r$sFFCertDB = $sFFCertLocation c e r t 8 db
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Copie et remplacement du f i c h i e r dans l e s p r o f i l s F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
CopyminusItem minusPath $sFFCertDB minusDest inat i on $ oP r o f i l e FullName minusForce
Le fichier de reacutefeacuterence agrave deacuteployer peut ecirctre reacutecupeacutereacute sur un profil Firefox existant dont le magasinde certificats agrave eacuteteacute configureacute ou bien encore creacuteeacute en utilisant lrsquooutil de gestion de magasins certificatsde Mozilla certutilexe 35
34 Les sources de Firefox sont disponibles sur le site de Mozilla agrave lrsquoadresse httpsdevelopermozillaorgfrdocsTeacuteleacutechargement_du_code_source_de_Mozilla35 Voici un article expliquant lrsquoutilisation de certutilexe sur le site de Mozilla httpsdevelopermozillaorg
en-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil Lrsquooutil compileacute nrsquoest plus proposeacute au teacuteleacutechargementpar Mozilla mais les sources sont disponibles agrave lrsquoadresse httpsftpmozillaorgpubmozillaorgsecuritynssreleases et un article de Mozilla explique la proceacutedure de compilation agrave suivre httpsdevelopermozillaorgen-USdocsMozillaDeveloper_guideBuild_InstructionsWindows_Prerequisites
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 36 sur 40
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
Sceacutenario 2 les utilisateurs de Firefox sont susceptibles drsquoajouter des certificatsutilisateurs agrave leur magasin de certificats Firefox
Dans ce cas le fichier cert8db ne doit pas ecirctre eacutecraseacute Les magasins de certificats devront alorsecirctre mis agrave jour par lignes de commandes en utilisant lrsquooutil de Mozilla certutilexe La premiegravere eacutetapeconsiste agrave deacuteployer lrsquooutil certutilexe et ses deacutependances sur les postes utilisateurs Cela peut ecirctrereacutealiseacute par GPP avec la meacutethode illustreacutee en annexe II Le dossier de destination est sans importanceet au choix de lrsquoentiteacute Les fichiers agrave copier sont
ndash certutilexe ndash libnspr4dll ndash libplc4dll ndash libplds4dll ndash nss3dll ndash nssutil3dll ndash msvcr100dll ndash smime3dll
Par la suite diffeacuterents scripts drsquoouverture de session permettraient de maicirctriser les magasins decertificats des profils utilisateurs Firefox Voici quelques exemples de scripts PowerShell Ces scriptssont des illustrations permettant au lecteur de mieux appreacutehender la probleacutematique de maicirctrise desmagasins de certificats Firefox Ils neacutecessitent une adaptation agrave lrsquoenvironnement de lrsquoentiteacute avant touttest et passage en production
Script permettant de supprimer tous les certificats ajouteacutes aux magasins de certificats des profilsutilisateurs Firefox tout en y preacuteservant les certificats utilisateurs
Scr i p t de suppre s s i on des c e r t i f i c a t s a jout eacute s aux magasins des p r o f i l e s F i re fox agrave l rsquo except ion des c e r t i f i c a t s u t i l i s a t e u r s Attent ion Ce s c r i p t e s t s e n s i b l e au format de s o r t i e de l rsquo o u t i l c e r t u t i l exe S rsquo i l vena i t agrave changer ce s c r i p t s e r a i t agrave r eacute adapter I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
SetminusStrictMode minusVers ion 2 0
Reacute p e r t o i r e de c e r t u t i l agrave changer par c e l u i de l rsquo e n t i t eacute$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s | WhereminusObject $_ At t r ibut e s minusband [
System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f ox f o r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$sPathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s$sCertut i lOutput = amp$sPathToCertut i l minusL minusd $sPathToDB$aLines = $sCertut i lOutput minusSp l i t rsquo [ r n ] rsquo
Att r ibut s des c e r t i f i c a t s agrave ne pas supprimer (u u u pour l e s c e r t i f i c a t s u t i l i s a t e u r s )$sAttributesToKeep = ( rsquou u u rsquo )
f o r each ( $sLine in $aLines ) $ sAt t r i bu t e s = rsquo rsquo$sNickName = rsquo rsquo
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 37 sur 40
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
Supres s ion des l i g n e s v ide s et de l rsquo enminust ecirc te$sLine = $sLine Trim ( )i f ( [ s t r i n g ] IsNullOrEmpty ( $sLine ) minusOr
( $sLine minusmatch rsquo^s lowast Ce r t i f i c a t e Nickname s+Trust Att r ibute s s lowast$ rsquo ) minusOr( $sLine minusmatch rsquo^s lowastSSL SMIMEJARXPI s lowast$ rsquo ) ) cont inue
Reacutecupeacute ra t i on des a t t r i b u t s en f i n de l i g n ef o r ( $ i = $sLine Length minus 1 $ i minusge 0 $iminusminus)
i f ( $sLine [ $ i ] ToString ( ) minusmatch rsquo^s$ rsquo ) break
$ sAt t r i bu t e s = $sLine [ $ i ] + $sAt t r i bu t e s
Reacutecupeacute ra t i on du nom conv i v i a li f ( $ i minusgt 0)
$sNickName = $sLine Subst r ing (0 $ i ) Trim ( )i f ( $ sAt t r i bu t e s minusnotconta ins $sAttributesToKeep )
amp $sPathToCertut i l minusD minusn $sNickName minusd $sPathToDBi f ( $ )
WriteminusOutput Le c e r t i f i c a t $sNickNamen rsquo apaseacute t eacute supprim eacute
Script permettant drsquoajouter 36 des certificats serveurs ou drsquoautoriteacutes de certification racines deconfiance de lrsquoentiteacute
Scr i p t d rsquo a jout de c e r t i f i c a t s dans l e s magasins de c e r t i f i c a t s des p r o f i l s F i r e f ox Attent ion I l e s t p r imord ia l de t e s t e r ce s c r i p t dans l rsquo environnement de l rsquo e n t i t eacute avant son ex eacute cut ion en product ion sur l e s pos t e s de t r a v a i l
L i s t e de c e r t i f i c a t s agrave importer Chemin complet de c e r t u t i l ex ( agrave changer par c e l u i de l rsquo e n t i t eacute )$sPathToCertut i l = rsquoE PROJETS F i r e f ox NSSminus3142NSSminus3142 c e r t u t i l exe rsquo
C e r t i f i c a t s agrave importer sous forme de t r i p l e t s ( chemin du cer nom conv iv i a l a t t r i b u t s )$aCerts = (
Autor i t eacute s de c e r t i f i c a t i o n( rsquoE PROJETS F i r e f ox CACertsMONAC ce r rsquo rsquoMONACrsquo rsquo c c c rsquo )
C e r t i f i c a t s s e r v eu r s( rsquoE PROJETS F i r e f ox SSLSrvCerts MONSERVER ce r rsquo rsquoMONSERVERrsquo rsquoP rsquo ))
Chemin complet ve r s l e s p r o f i l s F i r e f ox$ sFFPro f i l e s = $env APPDATA + rsquo Moz i l l a F i r e f ox P r o f i l e s rsquo$ lFFPro f i l e s = GetminusChildItem minusPath $sFFPro f i l e s |WhereminusObject $_ At t r ibut e s minusband [ System IO F i l eA t t r i bu t e s ] D i r ec to ry
Pour chaque p r o f i l F i r e f oxfo r each ( $ oP r o f i l e in $ lFFPro f i l e s )
$PathToDB = $oP r o f i l e FullName
Exeacute cut ion de c e r t u t i l pour importer l e s c e r t i f i c a t sf o r each ( $aCert in $aCerts )
36 Lrsquoajout de certificats neacutecessite le positionnement drsquoattributs de confiance pour chacun des 3 peacuterimegravetres (SSLTLSSMIME JARXPI) La liste des attributs possibles est consultable agrave lrsquoadresse httpsdevelopermozillaorgen-USdocsMozillaProjectsNSStoolsNSS_Tools_certutil
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 38 sur 40
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
amp$sPathToCertut i l minusA minusn $aCert [ 1 ] minust $aCert [ 2 ] minus i $aCert [ 0 ] minusd $PathToDB
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 39 sur 40
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
Annexe IV Teacuteleacute-deacuteploiement par GPO drsquoun module de recherchepersonnaliseacute
Un module de recherche consiste en un fichier XML stockeacute dans le sous dossier searchpluginsdrsquoun profil Firefox (pour un utilisateur) ou bien du reacutepertoire drsquoinstallation de Firefox (pour tous lesutilisateurs de la machine) Lrsquoobtention de nouveaux modules de recherche peut se faire simplementagrave lrsquoadresse httpsaddonsmozillaorgfrfirefoxsearchatype=4 chaque moteur ajouteacute severra alors stockeacute dans le profil Firefox sous la forme drsquoun fichier XML preacute-configureacute Un administrateurqui souhaite teacuteleacute-deacuteployer un module de recherche personnaliseacute (moteur de recherche en intranet parexemple) pourra alors aiseacutement adapter un de ces fichiers XML agrave ses besoins
Pour lrsquoajout du moteur de recherche laquo moteurintranetcom raquo le contenu du fichier XML serait lesuivant
ltSearchPlugin xmlns=http www moz i l l a org 2006 browser search xmlns os=http a9 comminusspec opensearch 1 1 gtltos ShortNamegtmoteur i n t r an e t f r ltos ShortNamegtltos Descr ipt iongtmoteur de recherche in t rane t ltos Descr ipt iongtltos InputEncodinggtUTFminus8ltos InputEncodinggtltos Image width=16 he ight=16gtdata imagepng base64 image au format png en
base64ltos ImagegtltSearchFormgthttps moteur i n t r an e t f r ltSearchFormgtltos Url type= app l i c a t i o n xminussugg e s t i on s+j son method=GETtemplate=http moteur i n t r an e t f r sugges t gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos Urlgtltos Url type= text html method=GET template= https moteur i n t r an e t f r gtltos Param name=q value= searchTermsgtltos Param name= c l i e n t value= f i r e f o x gt
ltos UrlgtltSearchPlugingt
Dans ce fichier il convient de remplacer les termes laquo image au format png en base64 raquo par uneimage au format PNG drsquoune taille de 1616 pixels et encodeacutee en base64
Pour deacuteployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins dureacutepertoire drsquoinstallation de Firefox il est possible drsquoutiliser les GPP (Group Policy Preferences) avecla meacutethode illustreacutee en annexe II
No DAT-NT-20ANSSISDENP du 4 feacutevrier 2015 Page 40 sur 40
- Preacuteambule
- Enjeux de seacutecuriteacute dun navigateur Web
- Firefox versus Firefox ESR
- Maicirctrise du navigateur
-
- Choix des plugins
- Choix des extensions
-
- SSLTLS et certificats
- Gestionnaire de mots de passe
- Confidentialiteacute
- Moteur de recherche par deacutefaut
- Filtrage de contenu
- Page(s) daccueil
- Serveur mandataire
- Authentification HTTP
- Peacuterimegravetre de navigation
- Administration systegraveme et maintenance
-
- Teacuteleacute-deacuteploiement initial
- Gestion des mises agrave jour
-
- Strateacutegie de double navigateur
- Annexe I Strateacutegies de seacutecurisation de Firefox
- Annexe II Deacuteploiement et configuration centraliseacutee dans un domaine Active Directory par GPP
- Annexe III Deacuteploiement et maicirctrise des magasins de certificats des profils utilisateurs Firefox
- Annexe IV Teacuteleacute-deacuteploiement dun module de recherche personnaliseacute par GPO
-
top related