Vous êtes sur la page 1sur 41

DAT-NT-20/ANSSI/SDE

PREMIER MINISTRE

Secrtariat gnral
de la dfense
et de la scurit nationale

Paris, le 15 janvier 2015

Agence nationale de la scurit


des systmes dinformation

Nombre de pages du document


(y compris cette page) : 41

No DAT-NT-20/ANSSI/SDE/NP

Note technique
Recommandations pour le dploiement scuris du
navigateur Mozilla Firefox sous Windows

Public vis:
Dveloppeur
Administrateur
RSSI
DSI
Utilisateur

X
X
X
X

Informations

Avertissement
Ce document rdig par lANSSI prsente les Recommandations pour le dploiement
scuris du navigateur Mozilla Firefox sous Windows . Il est tlchargeable sur le site
www.ssi.gouv.fr. Il constitue une production originale de lANSSI. Il est ce titre plac sous le
rgime de la Licence ouverte publie par la mission Etalab (www.etalab.gouv.fr). Il est
par consquent diffusable sans restriction.
Ces recommandations sont livres en ltat et adaptes aux menaces au jour de leur
publication. Au regard de la diversit des systmes dinformation, lANSSI ne peut garantir que
ces informations puissent tre reprises sans adaptation sur les systmes dinformation cibles.
Dans tous les cas, la pertinence de limplmentation des lments proposs par lANSSI doit
tre soumise, au pralable, la validation de ladministrateur du systme et/ou des personnes
en charge de la scurit des systmes dinformation.

Personnes ayant contribu la rdaction de ce document:


Contributeurs

Rdig par

Approuv par

Date

BSS, SIS, LRP

BSS

SDE

15 janvier 2015

volutions du document :
Version

Date

Nature des modifications

1.0

15 janvier 2015

Version initiale.

Pour toute remarque:


Contact

Adresse

@ml

Tlphone

Bureau Communication
de lANSSI

51 bd de La
Tour-Maubourg
75700 Paris Cedex
07 SP

communication@ssi.gouv.fr

01 71 75 84 04

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 1 sur 40

Table des matires


1

Prambule

Enjeux de scurit dun navigateur Web

Firefox versus Firefox ESR

Matrise du navigateur

4.1
4.2

4.3
4.4
5

Choix des plugins . . . . . . . . . . . . . . . . .


Choix des extensions . . . . . . . . . . . . . . .
4.2.1 SSL/TLS et certificats . . . . . . . . . .
4.2.2 Gestionnaire de mots de passe . . . . . .
4.2.3 Confidentialit . . . . . . . . . . . . . .
4.2.4 Moteur de recherche par dfaut . . . . .
4.2.5 Filtrage de contenu . . . . . . . . . . . .
4.2.6 Page(s) daccueil . . . . . . . . . . . . .
4.2.7 Serveur mandataire . . . . . . . . . . . .
4.2.8 Authentification HTTP . . . . . . . . .
4.2.9 Primtre de navigation . . . . . . . . .
4.2.10 Administration systme et maintenance
Tl-dploiement initial . . . . . . . . . . . . .
Gestion des mises jour . . . . . . . . . . . . .

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

Stratgie de double navigateur

5
5
6
7
8
9
9
9
10
10
10
11
11
11
12

Annexe I : Stratgies de scurisation de Firefox

16

Annexe II : Dploiement et configuration centralise dans un domaine Active Directory par GPP

32

Annexe III : Dploiement et matrise des magasins de certificats des profils utilisateurs Firefox

36

Annexe IV : Tl-dploiement dun module de recherche personnalis par GPO

40

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 2 sur 40

1 Prambule
Firefox est le navigateur web en sources ouvertes dit par la fondation Mozilla et dont la premire
version stable date de 2004. Rapidement devenu lun des navigateurs les plus utiliss par les internautes 1 , il est aujourdhui soutenu par une importante communaut de dveloppeurs du monde libre.
Firefox dispose dun mcanisme de mise jour automatique et peut tre configur de manire
centralise. Il se prte bien une utilisation professionnelle. De par son haut degr de paramtrage et
son code en sources ouvertes, il peut galement sadapter des environnements au sein desquels les
contraintes techniques sont importantes.
Cette note technique vise sensibiliser le lecteur aux enjeux de scurit dun navigateur Web et
doit le guider dans la mise en uvre dune stratgie de scurisation spcifique Firefox dans le cadre
dune configuration centralise et scurise en environnement Active Directory.

2 Enjeux de scurit dun navigateur Web


Comme tout composant logiciel utilis pour accder Internet, les navigateurs sont une cible
privilgie des attaquants du fait des vulnrabilits quils prsentent et de leur utilisation rgulire sur
Internet. Viennent galement sajouter les vulnrabilits propres aux diffrents modules complmentaires intgrs aux navigateurs et dont les processus de mise jour sont gnralement indpendants de
ceux du navigateur.
Latteinte en intgrit dun poste de travail par le biais de son navigateur Web est intressante du
point de vue dun attaquant tant donn quelle lui permet le plus souvent de contourner les mesures
de scurit lies larchitecture rseau et aux diffrentes passerelles de filtrage. Lattaque russie dun
poste utilisateur suffit gnralement ltablissement dun canal de contrle distant qui permettra par
la suite de rebondir au sein du systme dinformation pour atteindre les biens essentiels de lentit. La
navigation Web est donc logiquement devenue un des principaux vecteurs dattaque utiliss et, plus
largement, un problme pour la scurit des systmes dinformation.
Du point de vue de la scurit, Firefox ptit de labsence de mcanisme de bac sable (sandbox 2 )
et darchitecture multi-processus, une vulnrabilit peut alors avoir un impact important. Comme tous
les navigateurs, il fait rgulirement lobjet de vulnrabilits critiques 3 .

3 Firefox versus Firefox ESR


Mozilla publie une version ESR (Extended Support Release) 4 de Firefox. Chaque version de Firefox
ESR est maintenue pendant environ 1 an et na pour seules mises jour que les correctifs de scurit.
Cette version de Firefox est destine aux entits qui ncessitent un support tendu pour un dploiement
en masse, vitant ainsi davoir grer des volutions frquentes du navigateur.

1. Sources : www.atinternet.com et www.w3schools.com.


2. Environnement dexcution contrl et restreint.
3. Les multiples avis de scurit et bulletins dactualit relatifs aux principaux navigateurs peuvent tre consults sur
le site du CERT-FR (www.cert.ssi.gouv.fr).
4. Pour plus dinformations : http://mozilla.org/en-US/firefox/organizations/.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 3 sur 40

Le tableau comparatif suivant prsente les avantages et inconvnients de chaque version :


Version

Avantages

Inconvnients

Version
standard

Le navigateur volue rgulirement et


les utilisateurs disposent ainsi rapidement
des nouvelles fonctionnalits qui font leur
apparition.

Les quipes informatiques doivent


rgulirement dployer les nouvelles
versions de Firefox pour le maintenir en
conditions de scurit. Ces dploiements
engendrent une charge de travail non
ngligeable puisquil est ncessaire
de vrifier la compatibilit avec les
applications Web internes, complter la
configuration centralise vis--vis des
nouvelles fonctionnalits, etc.

Les quipes informatiques nont pas se


soucier des volutions fonctionnelles du
navigateur. Une fois la dernire version
majeure de Firefox ESR dploye, elles se
contentent de son maintien en conditions
de scurit en dployant les correctifs de
scurit publis par Mozilla. Les cycles
de vie des versions de Firefox ESR tant
denviron un an, les correctifs de scurit
sont publis pendant toute cette dure de
vie.

ESR ne dispose pas des nouvelles


fonctionnalits qui apparaissent dans les
versions successives de Firefox standard,
le navigateur peut alors paratre pauvre
en fonctionnalits du point de vue des
utilisateurs.

Version
ESR

Au sein dun systme dinformation administr de manire centralise, il est donc plutt conseill
de dployer la version ESR de Firefox. La prsente note technique sappuie sur le dploiement et la
configuration de Firefox ESR dans sa version 31.

4 Matrise du navigateur
Les principaux enjeux dun dploiement de navigateur au sein dun systme dinformation sont sa
scurit et sa matrise. Pour cela, il est ncessaire de pouvoir contrler sa configuration de manire
centralise, tout en procdant des dploiements et des mises jour (automatiques ou non) selon la
politique de mise jour de lentit et sans intervention de lutilisateur.
Firefox ne prend pas nativement en charge la configuration par stratgies de groupes (GPO) en
environnement Active Directory. Il est pour cela ncessaire de recourir des extensions tierces. Il est
en revanche possible de paramtrer le navigateur laide de fichiers de configuration dployer sur
les postes des utilisateurs. Cette mthode prsente lintrt dtre utilisable simplement, dans nombreux contextes, et aussi bien sous Linux que Windows sans distinction. Ces fichiers de configuration
permettent galement dimposer des paramtres verrouills et non modifiables par les utilisateurs.
R1

Avant tout dploiement de Firefox au sein dun systme dinformation, il est primordial de
dfinir prcisment une stratgie de paramtrage qui garantira lutilisation du navigateur
dans une configuration durcie et verrouille.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 4 sur 40

Il est important de commencer par clarifier les termes utiliss par Mozilla et ce quils dsignent. Le
terme de module (Add-on) ou de module complmentaire inclut :
les plugins ou greffons, qui sont des composants compils ;
les extensions (qui sont des composants en langage interprt comme XUL ou JavaScript) ;
les thmes (qui ne font lobjet daucune recommandation de scurit) ;
les modules de moteur de recherche.
Les recommandations de paramtrage figurant dans ce document sont donnes titre indicatif
dans loptique dune configuration durcie. Elles doivent donc tre modules selon les besoins propres
chaque entit et bien entendu selon le primtre dutilisation du navigateur (Internet, Intranet, etc.).
Leur application ne doit pas se faire sans validation pralable.
Lannexe I de ce document prcise les paramtres de configuration permettant dappliquer toutes
les recommandations de configuration de Firefox indiques dans ce document. En environnement
professionnel, il est par ailleurs conseill de dployer une telle configuration par GPP de manire
centralise comme expliqu en annexe II.

4.1 Choix des plugins


Les plugins Firefox ne peuvent tre dvelopps qu partir de linterface de programmation NPAPI
(Netscape Plugin Application Programming Interface). Cette architecture, qui date de Netscape, nest
pas scurise et excute les plugins avec le niveau de privilge de lutilisateur. Bien quil soit possible
dexcuter certains plugins dans un processus spar (le plugin-container ), cette sparation ne protge
que le processus du navigateur dun ventuel arrt brusque de fonctionnement dun plugin. Une
vulnrabilit affectant un plugin permet en revanche de compromettre la session ou le systme. Le
plugin Flash Player fait toutefois exception en intgrant un mcanisme de bac sable qui lui est propre
( Mode Protg de Flash Player pour Firefox 5 ). Le processus Flash Player excut dans le plugincontainer ne sert alors qu instancier des processus enfants auxquels sappliquent des restrictions de
scurit plus importantes. Le plugin Flash continue toutefois de faire lobjet de vulnrabilits critiques 6 .
R2

Tout plugin ajout Firefox fait courir un risque de scurit supplmentaire, il est alors
important de les limiter au strict ncessaire.

Note : Le risque induit par lutilisation du plugin Flash Player peut tre tolr ds lors que la lecture
des contenus Flash constitue un besoin incontournable. Complt par la visionneuse PDF intgre
Firefox (crite en JavaScript), la prise en charge de ces deux types de contenus devrait suffire pour la
plupart des usages.
Lajout, la mise jour, et la suppression de plugins pour Firefox de manire centralise peut se
faire simplement par base de registre 7 et par GPP (Group Policy Preferences).

4.2 Choix des extensions


Le mcanisme dextension rend possible lcriture de programmes (extensions) en langage interprt
(XUL ou JavaScript entre autres) permettant lajout de fonctionnalits ou la personnalisation du
navigateur. Contrairement aux plugins qui sont des programmes compils, les extensions sexcutent
dans le processus du navigateur et sans systme de permission permettant de restreindre les liberts
5. http://blogs.adobe.com/security/2012/06/inside-flash-player-protected-mode-for-firefox.html.
6. Les multiples avis de scurit peuvent tre consults sur le site du CERT-FR (www.cert.ssi.gouv.fr).
7. Un article de Mozilla explique lajout, la mise jour, et la suppression dextensions et de plugins pour Firefox par
base de registre : https://developer.mozilla.org/en-US/docs/Adding_Extensions_using_the_Windows_Registry.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 5 sur 40

qui leur sont accordes. Il convient donc dtre particulirement vigilant tant donn les risques de
scurit non ngligeables quelles introduisent.
Ainsi, une extension malveillante pourrait accder des informations sensibles concernant la navigation de lutilisateur puis les envoyer un serveur illgitime sur Internet. Une extension peut galement
introduire de nouveaux comportements indsirables suite une mise jour. Rien ne laisse prsager
quune extension aujourdhui non malveillante ne le sera pas demain.
En parallle, de nombreuses extensions prsentent des vulnrabilits qui peuvent tre exploites
(par le contenu des pages visites ou encore, par courriels spcifiquement forgs et consults par
webmail). Ces extensions vulnrables peuvent galement servir exploiter, par rebond, les vulnrabilits
dventuels plugins activs et ainsi obtenir un accs complet au systme.
R3

Ne dployer que des extensions de confiance et ncessaires aux besoins mtiers.

Note : Dans le cas dextensions dveloppes en interne, il convient de prter une attention particulire
la scurit de leur code 8 .
Lajout, la mise jour et la suppression dextensions pour Firefox de manire centralise peut se
faire simplement dans la base de registre et par GPP (Group Policy Preferences).
4.2.1 SSL/TLS et certificats
Firefox a comme particularit dutiliser ses propres bibliothques de gestion des changes scuriss
client/serveur dveloppes par la fondation Mozilla (bibliothques NSS, Network Security Services), ce
qui lui permet de disposer par exemple de son propre magasin de certificats et de sa propre liste de
CRL (listes de rvocations de certificats). Il est ainsi possible dappliquer des restrictions spcifiques
au navigateur sur certains certificats sans que cela ne sapplique au systme dexploitation dans son
ensemble, ce qui le diffrencie dautres navigateurs. Il est galement possible de restreindre simplement
les versions de protocoles SSL/TLS ainsi que les suites cryptographiques utilises. Cette indpendance
vis--vis du mcanisme fourni par le systme dexploitation lui confre une plus grande portabilit et
une souplesse dans sa configuration SSL/TLS mais se traduit en contrepartie par une dmarche de
scurisation plus complexe.
R4

Dsactiver lutilisation de SSL et nautoriser que les protocoles TLS v1.1 et suprieures
(la v1.0 tant vulnrable). Pour aller plus loin, il est galement possible de restreindre
les suites cryptographiques utilisables en dsactivant celles reposant sur des algorithmes
obsoltes comme RC4.

Note : Pour plus dinformations, le lecteur est invit se rfrer la section correspondante de
lannexe I ainsi quaux publications de lANSSI 9 . Par ailleurs, les suites nutilisant pas de mcanismes
de PFS (Perfect Forward Secrecy) devraient idalement tre dsactives elles aussi mais des difficults
de navigation seraient prvoir sur Internet du fait de l incompatibilit avec de nombreux serveurs
Web.

8. Larticle Security best practices in extensions expose certains fondamentaux respecter pour le dveloppement
dextension scurises : https://developer.mozilla.org/en-US/Add-ons/Security_best_practices_in_extensions.
9. La note Recommandations de scurit concernant lanalyse des flux HTTPS est disponible ladresse :
https://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/recommandations-et-guides/authentification-et-mecanismes-cryptographiques/
recommandations-de-securite-concernant-l-analyse-des-flux-https.html.

Larticle SSL/TLS : tat des lieux et recommandations est disponible ladresse :


https://www.ssi.gouv.fr/fr/anssi/publications/publications-scientifiques/articles-de-conferences/ssl-tls-etat-des-lieux-et-recommandations.html.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 6 sur 40

Chaque utilisateur dun poste de travail dispose de son propre profil Firefox. Les informations de
scurit relatives aux certificats sont stockes, pour chaque profil firefox, dans 3 fichiers :
cert8.db (objets accessibles publiquement : certificats, CRLs, enregistrements S/MIME) ;
key3.db (cls prives, mots de passe) ;
secmod.db (informations de configuration des modules de scurit).
Laccs aux fichiers key3.db et cert8.db non chiffrs dun profil Firefox permet la rcupration
et la rutilisation des certificats utilisateurs quils contiennent. Tout compte disposant de droits administrateurs sur un ordinateur a la possibilit de rcuprer lensemble des fichiers key3.db et cert8.db
qui y sont stocks (voire tout utilisateur non privilgi dans le cas dun systme de fichiers FAT32). La
confidentialit des donnes utilisateurs nest donc pas assure ds lors que ces fichiers ne sont pas chiffrs.
La dfinition dun mot de passe principal dclenche le chiffrement du fichier key3.db par algorithme
3DES-CBC avec une cl drive de ce mot de passe. La scurit apporte par une telle mesure reste
modre, des outils performants permettent de rapidement retrouver ce mot de passe matre par force
brute. Le stockage du profil Firefox dans un conteneur chiffr par une solution qualifie par lANSSI
peut tre, dans certains cas, la solution privilgier.
R5

Ds lors que des certificats utilisateurs sont stocks dans les magasins de certificats de
Firefox, il est recommand dassurer la scurit de leurs conteneurs de cls prives (fichiers
key3.db) par chiffrement.

Tout utilisateur de Firefox peut aussi ajouter des certificats serveurs et des autorits de confiance
dans son propre magasin de certificats. Selon le contexte dutilisation du navigateur, il peut donc
tre important de mettre en uvre des mesures techniques permettant de matriser les magasins de
certificats des profils Firefox et de sassurer de leur conformit vis vis de la stratgie de lentit.
R6

Matriser les magasins de certificats des profils Firefox et notamment les autorits de
certification racines de confiance et les certificats serveurs qui y sont configurs.

Note : lapplication de cette recommandation est simple ds lors que les utilisateurs ne stockent pas
de certificats utilisateurs dans leurs magasins de certificats Firefox, mais cela devient plus compliqu
dans le cas contraire. La problmatique est aborde plus en dtail en annexe III.
Il noter galement que, depuis sa version 24, Firefox se dtourne de lusage classique des CRLs
en ligne au profit dune liste de rvocations mise jour rgulirement pour consultation locale. Les
bibliothques NSS supportent toujours la gestion des CRLs classiques (modifiables par loutil crlutil
et non plus par interface graphique) mais il est prvu quelles ne soient plus utilises dans un avenir
proche. Les autorits de certification sont dailleurs invites envoyer leurs certificats rvoqus Mozilla
pour tre intgrs la liste de rvocation maintenue par Mozilla 10 .
4.2.2 Gestionnaire de mots de passe
Le gestionnaire de mots de passe de Firefox permet de mmoriser les mots de passe saisis dans
les formulaires Web. Tout comme pour les magasins de certificats, lutilisation dun mot de passe
principal 11 permet de chiffrer les mots de passe stocks par un algorithme 3DES-CBC avec une cl
drive du mot de passe principal. La scurit apporte par une telle mesure reste modre, des outils
performants permettent de rapidement retrouver ce mot de passe matre par force brute. Lutilisation
10. Le Wiki de Mozilla dtaille la problmatique de rvocation de certificats au sein de Firefox : https://wiki.
mozilla.org/CA:ImprovingRevocation.
11. https://support.mozilla.org/fr/kb/utiliser-mot-passe-principal-proteger-identifiants.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 7 sur 40

dun gestionnaire de mots de passe alternatif scuris est donc conseill.


R7

Il est conseill de dsactiver le gestionnaire de mots de passe pour imposer la saisie


systmatique de ces derniers. Lapplication dun tel durcissement est lgitime sur un rseau
amen traiter des donnes sensibles ou confidentielles, mais peut toutefois tre difficile
imposer aux utilisateurs sur des rseaux moins sensibles. Sa dsactivation pourrait alors
saccompagner du dploiement dun gestionnaire de mots de passe alternatif et scuris 12 .

4.2.3 Confidentialit
Le lecteur est invit prendre connaissance de la dclaration de confidentialit de Firefox 13 .
Selon les fonctionnalits actives, diverses informations sont susceptibles dtre envoyes Mozilla. La
plupart sont en rapport avec :
les informations lies aux modules complmentaires installs et le blocage automatique des
modules en liste noire ;
les rapports de plantage ;
le service de mise jour automatique ;
le service de protection contre les sites malveillants ;
le service de synchronisation Firefox Sync.
Il est donc important de dsactiver certaines de ces fonctionnalits pour limiter les donnes envoyes
Mozilla.
R8

Dsactiver les divers rapports disponibles de plantage, de performance, etc.

R9

Dsactiver le service de synchronisation Firefox Sync.

R10

La fonctionnalit de blocage des sites contrefaits envoie des fournisseurs tiers de Mozilla
les adresses Web des sites visits pour vrifier quils ne soient pas connus comme tant
malveillants et en bloquer laccs si ncessaire. Bien quil soit conseill de laisser ce filtre
activ pour des raisons de scurit, une entit pourra juger suffisamment confidentielles les
adresses des pages Web visites pour quune dsactivation de ce mcanisme simpose.

La navigation prive ainsi que la protection contre le pistage (Do Not Track ) sont des fonctionnalits intressantes du point de vue du respect de la vie prive lors de la navigation sur Internet et
qui pourraient tre dsactives pour de la navigation en Intranet. La stratgie de configuration des
paramtres de confidentialit dpendra donc du primtre dutilisation du navigateur. Ds lors que le
navigateur Firefox dispose dune connectivit Internet, les recommandations suivantes sappliquent :
R11

Activer les fonctionnalits de protection de la confidentialit (anti pistage, navigation


prive, suppression des donnes prives, etc.) lorsque le navigateur nest pas ddi une
navigation Intranet.

Note : Le nouveau standard de protection contre le-pistage (Do Not Track ) nest quune sollicitation du
12. KeePass est un exemple de solution disposant dun certificat de scurit de premier niveau (CSPN) dlivr par
lANSSI qui peut tre utilise avec Firefox.
13. Dclaration disponible en anglais ladresse :
http://www.mozilla.org/en-US/legal/privacy/firefox.html.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 8 sur 40

client. Sa prise en compte par les serveurs Web ne dpend donc que de leurs pratiques de confidentialit
respectives et napporte aucune garantie au client.
R12

Interdire les fonctions de golocalisation.

R13

Ds lors que la confidentialit des recherches est juge primordiale, il conviendra dimposer
un moteur de recherche de confiance et de dsactiver les fonctionnalits de recherche
instantane ou de suggestion de recherche.

4.2.4 Moteur de recherche par dfaut


Imposer un moteur de recherche et certains paramtres de recherche peut avoir un sens dans certains
contextes. Cest le cas principalement lorsque le navigateur se trouve ddi lIntranet. Lentit pourra
alors imposer et configurer le moteur de recherche de lIntranet. Ces rgles de configuration peuvent
galement avoir une utilit pour la recherche sur Internet si, par exemple, lentit veut imposer un
moteur de recherche franais qui sappuie sur une connexion chiffre. En parallle, lentit peut alors
bloquer laccs aux adresses des moteurs de recherche quelle souhaite interdire.
R14

Pour des questions de respect de la vie prive, il est conseill dimposer un moteur de
recherche sappuyant sur une connexion chiffre (HTTPS).

Note : Cela nempche pas linterception des donnes par le moteur de recherche, ce dernier tant dans
tous les cas destinataire des donnes de recherche en clair.
4.2.5 Filtrage de contenu
Le filtrage du contenu participe renforcer la scurit de la navigation en bloquant les contenus
potentiellement malveillants. Certains mcanismes de filtrage peuvent toutefois avoir une incidence sur
la facult des utilisateurs naviguer sur certains sites.
R15

Activer les fonctionnalits de filtrage de contenu telles que la navigation scurise


(protection contre le hameonnage et les logiciels malveillants) ou la Content Security
Policy 14 .

R16

Interdire ou, a minima, restreindre les scripts, les contenus mixtes actifs 15 , les cookies tiers,
etc.

La section correspondante de lannexe I liste en dtail le paramtrage recommand pour ces types de
contenus.
4.2.6 Page(s) daccueil
Si le navigateur est configur pour restaurer la session prcdente, les donnes ainsi que les cookies
de session seront sauvegards puis restaurs au prochain dmarrage du navigateur (sauf en mode de
14. Cette couche de scurit, qui permet de se prmunir contre certains types dattaques, est dtaille dans un article du
Mozilla Developer Network : https://developer.mozilla.org/en-US/docs/Web/Security/CSP/Introducing_Content_
Security_Policy.
15. https://developer.mozilla.org/en-US/docs/Security/MixedContent.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 9 sur 40

navigation prive). Il est alors possible de rcuprer ces cookies sauvegards pour sauthentifier la
place de lutilisateur sans mot de passe, voire de rcuprer une session HTTPS pralablement initie.
R17

Il est prfrable que le navigateur nenregistre pas les sessions de navigation. Lors du
dmarrage du navigateur (aprs un arrt normal ou brusque), il est en effet conseill
de ne pas restaurer la session prcdente de lutilisateur mais dafficher une(des) page(s)
connue(s) et de confiance.

4.2.7 Serveur mandataire


Il est primordial de contrler les flux non seulement en entre mais galement en sortie. Lorsquun
individu malveillant atteint en intgrit un poste de travail, il peut ensuite procder ltablissement
dun canal de contrle depuis le poste de travail vers un serveur situ sur Internet. Lutilisation de
serveurs mandataires avec authentification peut donc bloquer des connexions sortantes malveillantes.
Il savre alors judicieux dimposer lutilisation du serveur mandataire (proxy) par configuration centralise sur les postes utilisateurs.
R18

Privilgier lutilisation de serveurs mandataires avec authentification.

Note : Cette recommandation peut tre renforce par des rgles de filtrage de pare-feu.
4.2.8 Authentification HTTP
Il est possible de durcir la scurit des authentifications utilisant NTLM 16 ou SPNEGO 17 sur
Firefox ds lors que lune dentre elles est utilise par lentit qui le dploie. Il est par exemple
recommand de spcifier la liste des serveurs autoriss engager une authentification SPNEGO ou
une authentification NTLM automatique.
R19

Spcifier la liste des serveurs autoriss engager une authentification SPNEGO ou une
authentification NTLM automatique.

Note : Lutilisation de NTLM nest pas conseille, Kerberos tant le protocole dauthentification
privilgier.
4.2.9 Primtre de navigation
Il est recommand de restreindre le primtre de navigation en interdisant certains schmas dadresses
avec les protocol-handlers.
R20

Interdire a minima le schma dadresses file:// pour un navigateur ddi la navigation


sur Internet de manire viter des accs arbitraires au systme de fichiers. Le schma
ftp:// pourrait galement tre interdit au profit de lutilisation dun client FTP tiers.

Note : Lutilisation du navigateur Firefox ne sera alors plus possible pour afficher des pages html
directement depuis un systme de fichiers (CD-ROM, disque local ou distant via un partage rseau,
etc.).
Ces listes prsentent galement un intrt particulier dans le cadre dune stratgie de double
navigateur. Ce sujet est dtaill en section Stratgie de double navigateur .
16. NTLM (NT Lan Manager ) est une suite de protocoles dauthentification de Microsoft qui ne supporte pas les
mthodes cryptographiques rcentes comme AES ou SHA-256.
17. SPNEGO (Simple and Protected GSSAPI Negociation Mechanism) est un standard qui permet de ngocier de
lauthentification Kerberos, NTLM, ainsi que dautres protocoles supports pour le systme. SPNEGO est galement
connu sous le nom du protocole dauthentification negociate . Pour plus dinformations : https://developer.mozilla.
org/en-US/docs/Integrated_Authentication.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 10 sur 40

4.2.10 Administration systme et maintenance


Divers paramtres de Firefox relvent de sa maintenance et certaines prcautions doivent tre
prises pour viter des problmes de compatibilit, de confidentialit des donnes utilisateurs voire de
disponibilit des postes de travail. La liste complte de ces paramtres figure en annexe I.

4.3 Tl-dploiement initial


Firefox, au mme titre que les autres logiciels, devrait idalement tre install sur les postes de
travail par tl-dploiement. Une telle mthode de dploiement est un des fondamentaux dun systme
dinformation contrl et matris. En effet, il permet de matriser les installations, dhomogniser les
versions et configurations mais aussi, de procder aux mises jour de manire ractive et efficace.
Le tl-dploiement de logiciel peut se faire de plusieurs manires :
au format MSI par GPO (stratgies de groupe pour la gestion centralise) dans un domaine
Microsoft Active Directory. Attention toutefois, puisque Mozilla ne fournit Firefox quau format
excutable, il sera donc ncessaire de construire un package Firefox au format MSI. Des diteurs
tiers proposent de tels paquets mais ces diteurs noffrent pas de garantie forte de lintgrit des
logiciels quils fournissent. Il est par consquent prfrable que lorganisation utilisatrice gnre
ses propres fichiers MSI ;
au format excutable laide dun outil de gestion de parc ou de tout autre produit tiers prvu
cet effet.

4.4 Gestion des mises jour


La mise jour ractive du navigateur est primordiale pour se prmunir des vulnrabilits rgulirement dtectes et corriges. Lutilisation dun navigateur prsentant des vulnrabilits connues par des
personnes malveillantes expose le poste de travail une attaque. Deux stratgies diffrentes de mise
jour de Firefox peuvent alors tre envisages :
la premire consiste simplement laisser la configuration par dfaut, le navigateur va alors
automatiquement tlcharger les mises jour auprs des serveurs de Mozilla. Il convient dans ce
cas de sassurer que les postes de travail sont en mesure daccder aux serveurs de mise jour de
Mozilla sur Internet, idalement au travers du proxy dentreprise qui pourra notamment mettre
en cache les binaires.
la configuration alternative consiste remplacer lURL de mise jour ( laide du paramtre de
configuration app.update.url.override) 18 par une URL locale qui mettra les mises jour
disposition des postes de travail.

18. Pour plus dinformations sur la mise en uvre dun serveur de mises jour local : https://developer.mozilla.
org/en-US/docs/Mozilla/Setting_an_update_server.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 11 sur 40

Le tableau suivant synthtise les avantages et inconvnients des deux mthodes :


Mthode

Avantages

Inconvnients

classique : par dfaut,


les navigateurs se mettent
jour automatiquement
auprs des serveurs de
Mozilla par Internet.

- mise en uvre aise par les services


informatiques ;
- haut taux de disponibilit des
serveurs de mise jour de Mozilla.

- ne permet pas aux services informatiques de tester


et valider les mises jour
avant leur dploiement, notamment lors de lutilisation
dapplications Web mtier peu
rpandues ;
- peu adapt pour un navigateur ddi lIntranet.

contrle : la mise jour


automatique de Firefox est
dsactive et les services
informatiques mettent les
mises jour disposition
des postes de travail depuis
un serveur local.

- permet de tester et valider les mises


jour avant dploiement ;
- permet dadapter les configurations centralises du navigateur
pour tenir compte des ventuelles
nouvelles fonctionnalits avant dploiement ;
- permet de bloquer tout le trafic
destination des serveurs de Mozilla.

- freine la ractivit des mises


jour ;
- ncessite des moyens humains importants.

Il sera nettement moins risqu (du point de la compatibilit) de retenir le mode classique (automatique) pour les versions ESR de Firefox tant donn que les mises jour concernent des correctifs de
scurit haut risque et napportent aucune nouvelle fonctionnalit. En revanche, les versions standards
de Firefox peuvent recevoir des mises jour fonctionnelles importantes quil serait plus pertinent de
contrler pralablement.
La problmatique des mises jour concerne galement les extensions. Bien quil soit recommand
de les interdire dans le cadre dune configuration durcie, une entit peut vouloir en dployer certaines
pour de bonnes raisons. La mise jour des extensions est indpendante du mcanisme de mise
jour du navigateur. Elles peuvent tre mises jour automatiquement (comportement par dfaut) ou
manuellement quelle que soit la stratgie de mise jour choisie pour le navigateur.
Le maintien en conditions de scurit des plugins devra par ailleurs tre gr indpendamment du
navigateur, chaque plugin ayant ses spcificits quant aux mcanismes de mise jour utiliss.
Concernant le service Mozilla Maintenance Service (service charg des mises jour de Firefox), ce
dernier sexcute avec les droits qui lui sont propres pour la mise jour du navigateur et ce, quels que
soient les droits de lutilisateur.

5 Stratgie de double navigateur


La scurit des systmes dinformation impose souvent un navigateur qui doit tre durci pour
laccs Internet mais plus permissif pour laccs aux applications internes. Lorsque certains serveurs
Web internes utilisent des appliquettes Java par exemple, ncessitant le dploiement de modules
complmentaires Java, le navigateur finit par avoir une surface dattaque trs importante et expose
ainsi lentit un des vecteurs dattaque les plus critiques et massivement exploits 19 .
19. Voir les recommandations de scurit publies par lANSSI relatives aux environnements dexcution Java sur les postes de travail Microsoft Windows ladresse http://www.ssi.gouv.fr/fr/

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 12 sur 40

Pour traiter cette problmatique, lorsquelles disposent des ressources ncessaires, en particulier
pour en assurer le maintien en conditions de scurit, de plus en plus dentits sorientent vers lusage
de deux navigateurs diffrents. Il devient alors possible :
den ddier un la navigation sur Internet. De par sa configuration durcie, sa surface dattaque
est rduite au maximum. Il est maintenu en conditions de scurit avec la plus grande attention.
Les quipes de veille scrutent la moindre vulnrabilit dont le navigateur Internet fait lobjet.
Les quipements de filtrage et danalyse du trafic sont utiliss pour reprer tout comportement
suspect de navigation sur Internet ;
den ddier un deuxime laccs aux serveurs internes, ncessitant par exemple un module complmentaire qui peut faire lobjet de vulnrabilits frquentes ou qui ncessite une configuration
plus permissive. Il est alors possible de le configurer pour permettre uniquement laccs et lusage
de lensemble des sites et applications lgres de lIntranet.
Une telle stratgie de double navigateur doit ncessairement saccompagner de mesures de scurit
techniques permettant de garantir le primtre dutilisation de chaque navigateur par des paramtres
de configuration verrouills. Le tableau suivant en donne quelques exemples :
Composant

Action

Valeur

Serveur mandataire

Autoriser

User-Agent du navigateur Internet (ou plus strictement de


la dernire version de ce dernier)
Tout autre User-Agent non autoris

Bloquer
Pare-feu locaux
postes de travail

des

Autoriser

Bloquer
Pare-feu de passerelle
Internet

Autoriser

Bloquer
Applocker (ou SRP) sur
les postes de travail

TCP en sortie vers le serveur mandataire depuis :


- le processus du navigateur Internet (chemin complet de
lexcutable) ;
- les autres processus ventuels autoriss accder
Internet via le serveur mandataire.
TCP en sortie vers le serveur mandataire depuis tout autre
processus
TCP en sortie vers les ports 443 et 80 depuis :
- lIP source du serveur mandataire ;
- les autres IP sources ventuelles autorises sortir en
direct sur Internet sans passer par le serveur mandataire.
TCP en sortie vers ports 443 et 80 depuis toute autre IP
source

Autoriser lexcution

Chemin complet de lexcutable des navigateurs autoriss

Bloquer lexcution

Tout autre excutable de navigateur interdit

Les rgles de configuration dcrites en annexe I, section Primtre de navigation , permettent


alors de mettre en uvre une partie de ces mesures de scurit et de restreindre le primtre de
navigation possible de chacun des navigateurs.

guides-et-bonnes-pratiques/recommandations-et-guides/securite-du-poste-de-travail-et-des-serveurs/
recommandations-de-securite-relatives-aux-environnements-d-execution-java-sur.html

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 13 sur 40

Les figures suivantes illustrent de manire synthtique les mesures de scurit appliques une
stratgie de double navigateur :

Figure 1 Illustration dune stratgie de double navigateur, cas o Firefox est utilis comme
navigateur Internet.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 14 sur 40

Figure 2 Illustration dune stratgie de double navigateur, cas o Firefox est utilis comme
navigateur Intranet.
Ces figures illustrent deux cas distincts. Le navigateur Firefox y est reprsent mais la stratgie
serait quivalente avec dautres navigateurs.
Les rgles de configuration recommandes en annexe I se prtent un contexte o le navigateur est
ddi la navigation sur Internet.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 15 sur 40

Annexe I : Stratgies de scurisation de Firefox


Cette annexe liste, sous forme de tableaux, les valeurs recommandes permettant de mettre en uvre
les recommandations formules dans cette note technique. La liste des paramtres de configuration
disponibles est sujette des volutions frquentes et certains sont peu, voire pas documents. Les
recommandations et leurs indications de mise en uvre figurant dans ce document sont bases sur les
paramtres de configuration de Firefox dans sa version ESR 31. Ces derniers pourront tre adapts
selon la version du navigateur dploye la date de lecture du document.
Depuis un navigateur Firefox, il est possible dafficher et de modifier les paramtres de configuration
appliqus en tapant about:config dans la barre dadresse. Les paramtres verrouills sont affichs en
italique. La page about:support affiche, quant elle, un rcapitulatif des informations systmes et
de version ainsi que les modifications importantes apportes la configuration par dfaut du navigateur.
En environnement professionnel, il est conseill de dployer une configuration de manire centralise
comme expliqu en annexe II. Pour un usage personnel de Firefox, il est galement possible de sinspirer
de tout ou partie des paramtres indiqus dans ce document partir de la page about:config.

Scurit des modules complmentaires :


Les rgles de configuration prfixes par le terme extensions ne sappliquent pas toujours
uniquement aux extensions comme elles pourraient le laisser entendre mais parfois, plus largement
aux plugins voire aux modules complmentaires dans leur ensemble. Il convient donc dtre vigilant
quant au primtre rel dapplication des rgles de configuration dont les noms pourraient prter
confusion.

Nom de stratgie

Description

Valeur recommande

extensions.autoDisableScopes Les extensions peuvent


tre
dsactives
automatiquement
en
fonction de leur localisation.

3 (les extensions dposes dans le profil Firefox de


lutilisateur ou dans le profil utilisateur Windows
seront automatiquement dsactives20 )

extensions.enabledScopes

12 (seules les extensions rfrences par une entre en


base de registres22 ou dposes dans le sous-dossier
dextensions lemplacement de lexcutable FireFox
seront actives. Attention, ce paramtre a priorit sur
extensions.autoDisableScopes

Les extensions peuvent tre


actives automatiquement
en
fonction
de
leur
localisation21 .

20. Contrairement ce quindique la MozillaZine Knownledge Base, le paramtre extensions.autoDisableScopes ne


permet pas de dsactiver un plugin, pour ce faire il convient dutiliser les paramtres plugin.state.x.
21. Pour plus dinformations sur le paramtre extensions.enabledScopes : https://developer.mozilla.org/en-US/
Add-ons/Installing_extensions.
22. Article de Mozilla expliquant lajout, la mise jour, et la suppression dextensions ou de plugins pour Firefox par
base de registre : https://developer.mozilla.org/en-US/docs/Adding_Extensions_using_the_Windows_Registry.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 16 sur 40

Nom de paramtre

Description

Valeur recommande

extensions.blocklist.enabled

Tlchargement rgulier dune


liste noire de modules rfrencs
comme tant malveillants

false si seuls les modules tl-dploys par les


quipes informatique sont installs, ou true si
lutilisateur est en mesure dinstaller des modules
lui-mme

extensions.blocklist.
detailsURL

URL de la page quun utilisateur peut visiter pour en savoir


plus sur la liste noire de modules

Celle par dfaut (https://www.mozilla.org/


%LOCALE%/blocklist/)

extensions.blocklist.itemURL URL de la page quun utilisateur peut visiter pour en savoir


plus sur la liste noire de modules
(variante)

Celle par dfaut (https://addons.mozilla.org/


%LOCALE%/%APP%/blocked/%blockID%)

extensions.blocklist.interval

Intervalle de tlchargement de
la liste noire de modules, en
secondes

86400 (soit 1 fois par jour)

extensions.blocklist.level

Niveau de blocage

2 (pour bloquer les extensions de la liste)

extensions.blocklist.url

Adresse de tlchargement de la
liste noire de modules

Celle par dfaut (https://addons.mozilla.


org/blocklist/3/%APP_ID%/%APP_VERSION%/%
PRODUCT%/%BUILD_ID%/%BUILD_TARGET%/%LOCALE%
/%CHANNEL%/%OS_VERSION%/%DISTRIBUTION%/%
DISTRIBUTION_VERSION%/%PING_COUNT%/%TOTAL_
PING_COUNT%/%DAYS_SINCE_LAST_PING%/)

extensions.enabledAddons

Modules activs au dmarrage


de Firefox

Mettre vide

pdfjs.disabled

Dsactiver la visionneuse PDF


intgre Firefox (pdf.js)

true pour que lutilisateur tlcharge les PDF et


les visionne via un lecteur PDF tiers maintenu en
conditions de scurit par lentit et ne faisant pas
lobjet de vulnrabilits frquentes, ou false pour
autoriser lusage du lecteur de PDF intgr.

plugin.state.flash

Configuration dactivation du
plugin Flash

1 (demander lautorisation lutilisateur avant


chaque excution du plugin Flash) ou 2 (toujours
activer) au choix de lentit et en fonction des
utilisateurs et des contraintes de scurit

plugin.state.java

Configuration dactivation du
plugin Java

0 pour ne jamais activer le plugin Java ( moins


que lentit souhaite utiliser ce plugin malgr les
risques de scurit encourus, auquel cas la valeur
donner serait 1 pour demander lautorisation
lutilisateur chaque excution du plugin Java)

plugin.state.x

Configuration dactivation du
plugin x, o x est remplacer
par le nom court du plugin
dsactiver (exemple : npctrl
pour Microsoft Silverlight. Les
noms courts des plugins sont
indiqus en affichant leurs informations dtailles depuis linterface graphique)

0 pour ne jamais activer le plugin, ou 1 pour


demander lautorisation lutilisateur avant chaque
excution du plugin

plugin.default.state

Configuration dactivation des


autres plugins

0 pour ne jamais activer un plugin non explicitement autoris par les rgles prcdentes

plugin.defaultXpi.state

Configuration dactivation des


autres plugins au format XPI

0 pour ne jamais activer un plugin au format XPI


non explicitement autoris par les rgles prcdentes

plugins.click_to_play

Cliquer pour lire le contenu ncessitant un plugin

true pour activer le mode Cliquer pour lire

plugins.load_appdir_plugins Chargement automatique des


plugins depuis des emplacements utiliss avant Firefox 21

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

false

Page 17 sur 40

tant donn que seuls les modules complmentaires tl-dploys par les quipes informatiques
sont autoriss, il est recommand de bloquer toute possibilit dajout de modules complmentaires par
lutilisateur.
Nom de stratgie

Description

Valeur recommande

extensions.getAddons.
getWithPerformance.url

URL de rcupration dun module complmentaire

Mettre vide

extensions.getAddons.maxResults

Nombre de rsultats maximum

extensions.getAddons.get.url

URL de consultation dun module complmentaire

Mettre vide

extensions.getAddons.
recommended.browseURL

URL de consultation des modules complmentaires


recommands

Mettre vide

extensions.getAddons.
recommended.url

URL de consultation des modules complmentaires


recommands, par API

Mettre vide

extensions.getAddons.
search.browseURL

URL de recherche de modules complmentaires

Mettre vide

extensions.getAddons.search.url

URL de recherche de modules complmentaires, par


API

Mettre vide

extensions.getAddons.showPane

Afficher le panneau dajout de modules complmentaires

false

extensions.hideInstallButton

Cacher le bouton dinstallation manuelle dextensions

true

extensions.webservice.discoverURL URL du catalogue dextensions

Mettre vide

xpinstall.enabled

Autoriser linstallation manuelle de modules au format


XPI

false

xpinstall.whitelist.required

Obligation pour une archive XPI dtre en liste blanche


pour tre installe manuellement

true

xpinstall.whitelist.add
xpinstall.whitelist.add.*

Liste blanche darchives XPI pouvant tre installes


manuellement

Mettre vide

Pour finir, lentit devra choisir sa stratgie de mise jour des extensions tl-dployes. Lentit
qui voudra tl-dployer elle-mme les versions jour des modules complmentaires aprs une phase de
validation optera pour le paramtrage donn ci-dessous, la responsabilit du maintien en conditions de
scurit sera alors dporte sur les services informatiques en charge du dploiement de ces mises jour.
Dans le cas contraire, les valeurs par dfaut permettent une mise jour automatique des extensions
par Internet.
Nom de stratgie

Description

Valeur recommande

extensions.hotfix.cert.
checkAttributes

Vrifie les attributs du certificat de signature des


correctifs tlchargs

true

extensions.hotfix.certs.1.
sha1Fingerprint

Empreintes attendues du certificat de signature des


correctifs tlchargs

Laisser la valeur par dfaut


(91:53:98:0C:C1:86:DF:47
:8F:35:22:9E:11:C9:A7:31
:04:49:A1:AA en date de
rdaction de ce document).

extensions.update.
autoUpdateDefault

Tlcharger et installer automatiquement les mises


jour dextensions

false

extensions.update.background. URL de tlchargement des mises jour dextensions


URL
en arrire plan

Mettre vide

extensions.update.enabled

Activer la mise jour des extensions

false

extensions.update.interval

Intervalle de tlchargement des mises jour des


extensions

86400 (soit 1 fois par jour)

plugins.update.notifyUser

Notifier lutilisateur de la prsence dune mise jour


pour ses modules complmentaires

false

plugins.update.url

URL de mise jour des modules complmentaires

Mettre vide

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 18 sur 40

SSL/TLS et certificats :
Le paramtrage des suites cryptographiques autorises peut engendrer des problmes de compatibilit selon le contexte. Il est donc lgitime de prfrer ne pas modifier la configuration par dfaut.
Dans un soucis de durcissement, les recommandations suivantes pourraient toutefois tre appliques :
Nom de paramtre

Description

Valeur recommande

security.ssl3.dhe_dss_aes_128_sha

Autoriser ssl3.dhe_dss_aes_128_sha

false

security.ssl3.dhe_dss_aes_256_sha

Autoriser ssl3.dhe_dss_aes_256_sha

false

security.ssl3.dhe_dss_camellia_128_sha

Autoriser ssl3.dhe_dss_camellia_128_sha

false

security.ssl3.dhe_dss_camellia_256_sha

Autoriser ssl3.dhe_dss_camellia_256_sha

false

security.ssl3.dhe_rsa_aes_128_sha

Autoriser ssl3.dhe_rsa_aes_128_sha

true

security.ssl3.dhe_rsa_aes_256_sha

Autoriser ssl3.dhe_rsa_aes_256_sha

true

security.ssl3.dhe_rsa_camellia_128_sha

Autoriser ssl3.dhe_rsa_camellia_128_sha

false

security.ssl3.dhe_rsa_camellia_256_sha

Autoriser ssl3.dhe_rsa_camellia_256_sha

false

security.ssl3.dhe_rsa_des_ede3_sha

Autoriser ssl3.dhe_rsa_des_ede3_sha

false

security.ssl3.ecdhe_ecdsa_aes_128_gcm
_sha256

Autoriser ssl3.ecdhe_ecdsa_aes_128_gcm
_sha256

true

security.ssl3.ecdhe_ecdsa_aes_128_sha

Autoriser ssl3.ecdhe_ecdsa_aes_128_sha

true

security.ssl3.ecdhe_ecdsa_aes_256_sha

Autoriser ssl3.ecdhe_ecdsa_aes_256_sha

true

security.ssl3.ecdhe_ecdsa_rc4_128_sha

Autoriser ssl3.ecdhe_ecdsa_rc4_128_sha

false

security.ssl3.ecdhe_rsa_aes_128_gcm
_sha256

Autoriser ssl3.ecdhe_rsa_aes_128_gcm
_sha256

true

security.ssl3.ecdhe_rsa_aes_128_sha

Autoriser ssl3.ecdhe_rsa_aes_128_sha

true

security.ssl3.ecdhe_rsa_aes_256_sha

Autoriser ssl3.ecdhe_rsa_aes_256_sha

true

security.ssl3.ecdhe_rsa_des_ede3_sha

Autoriser ssl3.ecdhe_rsa_des_ede3_sha

false

security.ssl3.ecdhe_rsa_rc4_128_sha

Autoriser ssl3.ecdhe_rsa_rc4_128_sha

false

security.ssl3.rsa_aes_128_sha

Autoriser ssl3.rsa_aes_128_sha

true

security.ssl3.rsa_aes_256_sha

Autoriser ssl3.rsa_aes_256_sha

true

security.ssl3.rsa_camellia_128_sha

Autoriser ssl3.rsa_camellia_128_sha

false

security.ssl3.rsa_camellia_256_sha

Autoriser ssl3.rsa_camellia_256_sha

false

security.ssl3.rsa_des_ede3_sha

Autoriser ssl3.rsa_des_ede3_sha

false

security.ssl3.rsa_fips_des_ede3_sha

Autoriser ssl3.rsa_fips_des_ede3_sha

false

security.ssl3.rsa_rc4_128_md5

Autoriser ssl3.rsa_rc4_128_md5

false

security.ssl3.rsa_rc4_128_sha

Autoriser ssl3.rsa_rc4_128_sha

false

security.ssl3.rsa_seed_sha

Autoriser ssl3.rsa_seed_sha

false

Autres paramtres :
Nom de paramtre

Description

Valeur recommande

security.tls.version.max

Version
SSL/TLS

de

3 (ce qui correspond TLS 1.2)

security.tls.version.min

Version minimum de SSL/TLS

2 (ce qui correspond TLS 1.1)

maximum

security.ssl.allow_unrestricted_renego_
Activer la rengociation SSL
everywhere__temporarily_available_pref

false pour remdier une attaque par


le milieu connue

security.ssl.enable_false_start

Activer SSL False Start

false car non standardis et amenant


de potentielles vulnrabilits

security.ssl.enable_ocsp_stapling

Activer lOCSP stapling23

true

23. https://blog.mozilla.org/security/2013/07/29/ocsp-stapling-in-firefox/

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 19 sur 40

Nom de paramtre

Description

Valeur recommande

security.ssl.require_safe_
negotiation

Ncessite une ngociation SSL qui nutilise


pas une ancienne version SSL/TLS vulnrable des attaques par le milieu

true

security.ssl.treat_unsafe_
negotiation_as_broken

Informer lutilisateur (cadenas cass rouge


dans la barre de status) lorsque les ngociations SSL/TLS sont non scurises

true

network.stricttransportsecurity. Charger la liste de sites dclars comme


preloadlist
utilisant HSTS (HTTP Strict Transport
Security 24 )

true

network.websocket.
allowInsecureFromHTTPS

Autoriser les WebSockets non scurise


pour un site consult en HTTPS

false

security.OCSP.enabled

Activer OCSP

2 pour vrifier le certificat partir de


lURL de service OCSP et de lautorit
de certification ayant sign le certificat. Notons que cette fonctionnalit
est critique pour des questions de
latence des rpondeurs OCSP (de lordre de 300ms pour les plus rapides
plus dune seconde pour les plus lents).
OCSP tend donc tre remplac par
des listes locales de certificats rvoqus dans dautres navigateurs, mais
Firefox ne dispose pas encore dune
telle liste. Une entit ayant des contraintes particulires quant la latence induite par OSCP pourrait opter
pour une dsactivation dOCSP avec
la valeur 0

security.OCSP.require

Ncessite la validation du certificat par


OCSP avant de continuer la navigation sur
le site

true si security.OCSP.enabled a t
configur true, ou false dans le cas
contraire.

security.cert_pinning.
enforcement_level

Niveau de certificate pinning (pinglage de


certificats)25 ( partir de Firefox 32)

2 pour utiliser lpinglage strict.

Gestionnaire de mots de passe :


Nom de paramtre

Description

Valeur recommande

privacy.clearOnShutdown.passwords

Effacer les mots de passe enregistrs la


fermeture du navigateur

true

signon.rememberSignons

Active le gestionnaire de mots de passe

false

signon.autofillForms

Remplissage automatique des formulaires


de login

false

24. https://developper.mozilla.org/fr/docs/Scurit/HTTP_Strict_Transport_Security.
25. Lpinglage de certificats permet davoir une base locale de certificats connus et attendus pour certains sites Web
consults en HTTPS. Ainsi, si le certificat prsent par le serveur est valide en tous points de vue mais nest pas le
certificat attendu, la connexion sera coupe. Ce mcanisme permet dviter une attaque par le milieu prsentant un faux
certificat issu dune autorit de certification de confiance.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 20 sur 40

Confidentialit :
Il nexiste pas, en date de rdaction de cette note, de rgle globale pour la dsactivation de Firefox
Sync. Sa dsactivation se fait par consquent travers plusieurs rgles de configuration.
Nom de paramtre

Description

Valeur recommande

services.sync.engine.addons

Synchronisation des modules complmentaires

false

services.sync.engine.bookmarks

Synchronisation des marque-pages

false

services.sync.engine.history

Synchronisation de lhistorique de navigation

false

services.sync.engine.passwords

Synchronisation des mots de passe stocks

false

services.sync.engine.prefs

Synchronisation des prfrences

false

services.sync.engine.tabs

Synchronisation des onglets ouverts

false

services.sync.registerEngines

Moteurs de synchronisation enregistrs

Mettre vide

services.sync.jpake.serverURL

URL du serveur synchronisation jpake

Mettre vide

services.sync.serverURL

URL du serveur de synchronisation

Mettre vide

services.sync.serverURL

URL du serveur de synchronisation

Mettre vide

services.sync.tokenServerURI

URI du serveur de jetons

Mettre vide

services.sync.nextSync

Planification de la prochaine synchronisation

Il convient galement de dsactiver les diffrents rapports Mozilla :


Nom de paramtre

Description

Valeur recommande

datareporting.healthreport.about.reportUrl

URL de rapport de sant

Mettre vide

datareporting.healthreport.
logging.consoleEnabled

Activer la journalisation (console) du service de rapports de sant

false

datareporting.healthreport.
logging.dumpEnabled

Activer la journalisation (dumps) du service de rapports de sant

false

datareporting.healthreport.
nextDataSubmissionTime

Date de prochaine soumission de rapport


de sant

Mettre vide

datareporting.healthreport.service.enabled

Activer le service de rapport de sant

false

datareporting.healthreport.uploadEnabled

Autoriser lenvoi de donnes au serveur de


rapports de sant

false

datareporting.policy.dataSubmissionEnabled

Activer lenvoi de donnes Mozilla des


fins damlioration

false

datareporting.policy.
dataSubmissionPolicyAccepted

Accepter les conditions denvoi de donnes


Mozilla des fins damlioration

false

datareporting.policy.
dataSubmissionPolicyBypassAcceptance

Contourner lacceptation des conditions


denvoi de donnes Mozilla des fins
damlioration

false

datareporting.policy.
dataSubmissionPolicyResponseType

Rponse aux conditions denvoi de donnes


Mozilla des fins damlioration

accepted-info
-bar-dismissed

dom.ipc.plugins.reportCrashURL

Intgrer lURL au rapport de crash de


plugins

false

dom.ipc.plugins.flash.subprocess.
crashreporter.enabled

Activer le rapport de crash du sousprocessus flash

false

toolkit.telemetry.enabled

Activer la fonctionnalit de tlmtrie

false

toolkit.telemetry.server

Adresse du serveur de tlmtrie

Mettre vide

breakpad.reportURL

URL du rapport de crash

Mettre vide

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 21 sur 40

Il peut galement tre utile de configurer loption de suppression des donnes prives (Clear Private
Data) en slectionnant les lments qui seront supprims. Lentit pourra par exemple permettre aux
utilisateurs de supprimer leurs donnes prives dans le cadre dune navigation sur internet ou bien, de
linterdire sil sagit dun navigateur ddi lintranet. Une entit pourrait galement vouloir toujours
garder les historiques et le cache des fins dinvestigation (cela nempchera toutefois pas lutilisateur
de les supprimer directement au niveau du systme de fichiers dans son profil utilisateur).

Nom de paramtre

Description

Valeur recommande

privacy.cpd.cache

Supprimer le cache lors dune suppression des donnes


prives

Au choix de lentit

privacy.cpd.cookies

Supprimer les cookies lors dune suppression des donnes


prives

Au choix de lentit

privacy.cpd.downloads

Supprimer lhistorique des tlchargements lors dune


suppression des donnes prives

Au choix de lentit

privacy.cpd.formdata

Supprimer lhistorique de remplissage automatique des


formulaire lors dune suppression des donnes prives

Au choix de lentit

privacy.cpd.history

Supprimer lhistorique lors dune suppression des donnes


prives

Au choix de lentit

privacy.cpd.offlineApps

Supprimer les applications disponibles hors connexion


lors dune suppression des donnes prives

Au choix de lentit

privacy.cpd.passwords

Supprimer les mots de passe enregistrs lors dune suppression des donnes prives

Au choix de lentit

privacy.cpd.sessions

Supprimer les sessions en cours enregistres lors dune


suppression des donnes prives

Au choix de lentit

privacy.cpd.siteSettings

Supprimer les paramtres par site lors dune suppression


des donnes prives

Au choix de lentit

privacy.sanitize.
sanitizeOnShutdown

Supprimer les donnes prives la fermeture du navigateur

En cas de besoin spcifique de lentit

Viennent pour finir divers autres paramtres lis la confidentialit :


Nom de paramtre

Description

Valeur recommande

privacy.clearOnShutdown.sessions

effacer les sessions de navigation en cours lors


de la fermeture du navigateur

true

privacy.clearOnShutdown.cookies

effacer les cookies de navigation lors de la


fermeture du navigateur

true

privacy.donottrackheader.enabled

Activer Do-Not-Track

true

geo.enabled

activer la golocalisation

false

geo.wifi.uri

URI du service de golocalisation utiliser

Mettre vide

network.prefetch-next

Tlchargement prdictif anticip des documents lis la page Web visits (link prefetching)26

false pour viter ltablissement de connexions et le


tlchargement de contenu
non sollicits

media.navigator.permission.disabled Contourne la permission daccder la webcam

false

network.http.sendRefererHeader

Activer lenvoi de lentte referer

0 pour plus danonymat, ou 2


pour ne pas empcher le fonctionnement de certains sites

browser.send_pings

Activer lenvoi de requte POST lors du clic


sur un lien (fonctionnalit souvent utilise
pour tracer les clics)

false

26. Le link prefetching permet dacclrer le surf en anticipant le chargement des documents lis la page visits.
Limplmentation de ce mcanisme dans Firefox ne transmet aucune information Mozilla. Pour plus dinformations :
https://developer.mozilla.org/en-US/docs/Web/HTTP/Link_prefethcing_FAQ.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 22 sur 40

Filtrage de contenu :
Actions autorises aux les scripts :
Nom de paramtre

Description

Valeur recommande

dom.allow_scripts_to_close_windows

Autoriser les scripts fermer


une fentre

false

dom.disable_image_src_set

Interdire la modification des


images sources par script

true

dom.disable_window_flip

Interdire le changement de
fentre active par script

true

dom.disable_window_move_resize

Dtermine si les fentres


peuvent tre bouges or redimensionnes par script

false

dom.disable_window_open_feature.close

Interdire la cration
fentre sans bouton
fermeture

de
de

true pour viter les popups invasifs

dom.disable_window_open_feature.location

Interdire la cration de
fentre sans barre dadresse

true pour que lutilisateur puisse


toujours vrifier tre ladresse
prvue

dom.disable_window_open_feature.status

Interdire la cration de
fentre sans barre de status

true pour que lutilisateur puisse


se rendre contre plus facilement
des tentatives de spoofing

dom.disable_window_open_feature.titlebar

Interdire la cration de
fentre sans barre de titre

true pour que lutilisateur puisse


bien voir quil sagit dun popup
Firefox

dom.disable_window_open_feature.toolbar

Interdire la cration de
fentre sans barre doutils

false

dom.event.clipboardevents.enabled

Permettre un script de
saisir les vnements du
presse papier

false

dom.event.contextmenu.enabled

Permettre un script de
saisir les vnements daccs au menu contextuel (clic
droit)

false

dom.inter-app-communication-api.enabled

Activer la communication
par API entre applications

false

dom.ipc.plugins.enabled

Activation du plugin container

true pour excuter les plugins


dans le plugin-container

dom.ipc.plugins.java.enabled

Excuter Java au sein du


plugin-container

false pour viter des problmes


de stabilit

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 23 sur 40

Nom de stratgie

Description

Valeur recommande

browser.safebrowsing.enabled

Utiliser la navigation scurise


(protection contre le phishing et
les logiciels malveillants)27

true

javascript.enabled

Activation de Javascript

true

security.xpconnect.plugin.unrestricted Autoriser le scripting de plugins


par des scripts qui ne sont pas
de confiance

false moins dune incompatibilit avec


des plugins et/ou pages Web ncessaires
lentit

security.mixed_content.
block_active_content

Bloquer le contenu mixte actif

true

security.mixed_content.
block_display_content

Bloquer le contenu mixte passif

false

security.fileuri.
strict_origin_policy

Politique dorigine stricte pour


les URi de type fichiers

true sauf pour les populations de


dveloppeurs quun tel paramtre pourrait
bloquer pour le dveloppement en local

network.cookie.cookieBehavior

Politique de gestion des cookies

1 pour nautoriser que les cookies du


serveur dorigine, et bloquer les cookies
tiers

network.cookie.lifetimePolicy

Politique dexpiration des cookies

2 pour conserver les cookies pendant toute


la dure de la session seulement

network.cookie.thirdparty.sessionOnly Restreindre les cookies tiers la


dure de la session seulement

true

network.jar.open-unsafe-types

Nouvrir que les .jar servis avec


un content-type adquat

false

privacy.popups.policy

Politique de popups

1 pour activer les popups, ou 2 pour les


rejeter mais cela rendrait la navigation
difficile voire impossible sur une quantit
de sites Internet non ngligeable

privacy.popups.showBrowserMessage

Afficher un message lorsquun


popup a t bloqu

true

browser.popups.showPopupBlocker

Afficher licne du bloqueur de


popups dans la barre de status

true

security.csp.enable

Activer la Content Security Policy (politique de scurit des


contenus) qui permet de dtecter et de limiter limpact de
certains types dattaques

true

full-screen-api.enabled

Activer lAPI permettant dafficher du contenu en plein cran


pour les modules complmentaires

false

notification.feature.enabled

Permettre les notifications sur le


bureau

false

27. La fonctionnalit de navigation scurise consiste synchroniser une liste locale dadresses de sites maveillants
(depuis les serveurs de Google par dfaut, depuis que Firefox utilise leur service) pour alerter lutilisateur sil sapprte
en visiter un. Elle consiste galement analyser le contenu des pages pour reprer dventuelles tentatives dhameonnage.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 24 sur 40

Moteur de recherche par dfaut :


La configuration dun moteur de recherche personnalis ne peut pas se faire simplement par fichier
de configuration et ncessite le dploiement dun module de recherche (search engine plugin). Lannexe
IV illustre la tl-dploiement dun module de recherche utilisant le moteur franais https://www.
qwant.com 28 .
Nom de paramtre

Description

Exemple

browser.search.defaultenginename

Moteur de recherche par dfaut

Qwant.com

browser.search.defaulturl

URL du moteur de recherche par


dfaut

https://www.qwant.com/?q=searchTerms

browser.search.log

Journalisation de lutilisation des


services de recherche des fins de
dboggage

false

browser.search.openintab

Ouvrir les rsultats de recherche


dans un nouvel onglet

false

browser.search.order.1

Moteur de recherche utiliser en


priorit 1

Qwant.com

browser.search.suggest.enabled

activer les suggestions

false

browser.search.update

Recherche de mises jour pour les


modules de recherche

false

keyword.enabled

Permettre de faire une recherche


depuis la barre dadresse

true

Page(s) daccueil
Nom de stratgie

Description

Valeur recommande

startup.homepage_override_url

Page daccueil aprs une mise jour de Firefox

En fonction du choix de lentit

startup.homepage_welcome_url

Page daccueil au premier dmarrage

En fonction du choix de lentit

browser.startup.homepage

Page daccueil

about :blank pour une page vide,


ou ladresse dun site Web ou
intranet selon le choix de lentit

browser.startup.page

Page daccueil

1 pour ouvrir la page daccueil indique par le paramtre


browser.startup.homepage

browser.sessionstore.
resume_from_crash

Restauration de session aprs crash

false

browser.sessionstore.enabled

Activer le service de restauration de session

false

browser.newtab.url

Page ouverte par dfaut lors de la cration


dun nouvel onglet de navigation

about :blank pour une page vide,


ou ladresse dun site Web ou
intranet selon le choix de lentit

28. Ceci nest en aucun cas une recommandation ni une incitation son utilisation mais un simple exemple.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 25 sur 40

Authentification HTTP :
Nom de stratgie

Description

Valeur recommande

network.auth.force-generic-ntlm

Utiliser le module dauthentification NTLM de Firefox


plutt que celui fourni par
les APIs du systme

false

network.auth.use-sspi

Utiliser SSPI plutt que


GSSAPI pour lauthentification Kerberos

true sous Windows

network.ntlm.send-lm-response

Envoyer le LM Hash dans la


rponse NTLM

false

network.automatic-ntlmauth.allow-proxies

Authentification par NTLM


automatique
avec
les
serveurs proxy

Au choix de lentit en fonction du systme


dauthentification utilis par le serveur proxy
dentreprise

network.automatic-ntlmauth.trusted-uris

Liste des URIs autorises


pour lauthentification par
NTLM automatique

Liste de valeurs spares par des virgules (exemple : monsite.fr, https://monsite.fr.


Lentit y fera figurer les adresses de tous
les sites ayant recours une authentification
NTLM automatique

network.automatic-ntlmauth.allow-non-fqdn

Autoriser lauthentification
NTLM automatique avec
des sites sans FQDN

false moins que la liste network.automaticntlm-auth.trusted-uris comporte des adresses


sans FQDN

network.negotiate-auth.allow-nonfqdn

Autoriser lauthentification
SPNEGO avec des sites sans
FQDN

En fonction de lentit

network.negotiate-auth.allowproxies

Autoriser SPNEGO29 si demand par un serveur proxy

Au choix de lentit en fonction du systme


dauthentification utilis par le serveur proxy
dentreprise

network.negotiate-auth.delegationuris

Liste des URIs autorises


pour lesquels le navigateur
peut dlguer lautorisation
de lutilisateur

Liste de valeurs spares par des virgules (exemple : monsite.fr, https://monsite.fr.


Lentit y fera figurer les adresses de tous
les sites auxquels elle souhaite permettre la
dlgation SPNEGO

network.negotiate-auth.trusted-uris

Liste des URIs autorises


pour engager une authentification SPNEGO

Liste de valeurs spares par des virgules (exemple : monsite.fr, https://monsite.fr.


Lentit y fera figurer les adresses de tous
les sites ayant recours une authentification
SPNEGO

network.negotiate-auth.gsslib

Chemin vers une librairie


GSSLIB spcifique

Mettre vide

network.negotiate-auth.usingnative-gsslib

Utiliser la librairie GSSLIB


native du systme

true

security.default_personal_cert

Choix du certificat dauthentification client

Ask Every Time

29. SPNEGO est un standard qui permet de ngocier de lauthentification Kerberos, NTLM, ainsi que dautres
protocoles supports pour le systme. SPNEGO est galement connu sous le nom du protocole dauthentification
negociate . Pour plus dinformations : https://developer.mozilla.org/en-US/docs/Integrated_Authentication.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 26 sur 40

Serveur mandataire :
Nom de paramtre

Description

Valeur recommande

network.proxy.autoconfig_url

URL de configuration automatique du


proxy

Laisser vide

network.proxy.ftp

Adresse du proxy FTP

renseigner selon la configuration


de lentit et si un tel proxy est utilis

network.proxy.ftp_port

port du proxy FTP

renseigner selon la configuration


de lentit et si un tel proxy est utilis

network.proxy.http

Adresse du proxy proxy HTTP

renseigner selon la configuration


de lentit et si un tel proxy est utilis

network.proxy.http_port

port du proxy HTTP

renseigner selon la configuration


de lentit et si un tel proxy est utilis

network.proxy.no_proxies_on

Liste dexceptions lutilisation du serveur


proxy

A minima localhost, 127.0.0.1 et


davantage en fonction de lentit et
du primtre dutilisation du navigateur

network.proxy.share_
proxy_settings

Utiliser le mme proxy pour tous les protocoles

false

network.proxy.socks

Adresse du proxy socks

renseigner selon la configuration


de lentit et si un tel proxy est utilis

network.proxy.socks_port

port du proxy socks

renseigner selon la configuration


de lentit et si un tel proxy est utilis

network.proxy.socks_
remote_dns

Raliser les requtes DNS via le proxy


socks

false

network.proxy.socks_version

Version du proxy socks

renseigner selon la configuration


de lentit et si un tel proxy est utilis

network.proxy.ssl

Adresse du proxy HTTPS

renseigner selon la configuration


de lentit et si un tel proxy est utilis

network.proxy.ssl_port

port du proxy HTTPS

renseigner selon la configuration


de lentit et si un tel proxy est utilis

network.proxy.type

Type dutilisation du proxy

1 pour utiliser les valeurs indiques par les paramtres ci-dessus


(network.proxy.*)

network.http.proxy.version

version de proxy

1.1 par dfaut et en fonction du


serveur proxy de lentit

network.http.proxy.pipelining

Activer le pipelining30 par proxy

false pour des raisons de compatibilit. Lentit peut choisir de lactiver si le pipelining est support par
son serveur proxy dentreprise

signon.autologin.proxy

Saisie automatique du mot de passe de


proxy

false

30. Le pipelining permet de faire plusieurs requtes HTTP simultanment plutt que de les faire squentiellement en
attendant les rponses de chacune dentre elles. Pour plus dinformations : http://www-archive.mozilla.org/projects/
netlib/http/pipelining-faq.html.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 27 sur 40

Primtre de navigation :
Nom de paramtre

Description

Valeur recommande

network.protocolhandler.expose-all

Dtermine si le navigateur essaye


douvrir les liens cliqus dans le
navigateur en priorit avant de
laisser le systme sen charger en cas
dchec (si le protocole du lien en
question nest pas support par le
navigateur)

true

network.protocol-handler.warnexternal-default

Avertir lutilisateur avant


charger
un
gestionnaire
protocole tiers

true

network.protocolhandler.external-default

Action pour louverture dun protocole non pris en charge par le


navigateur

false de manire ne pas essayer


de charger des protocoles non pris en
charge nativement par le navigateur. Lentit renseignera ventuellement des gestionnaires de protocoles tiers pour des
protocoles quelle souhaite explicitement
permettre, tels que NNTP :, Mailto :,
etc. Pour illustrer par lexemple avec
Mailto :, le paramtre network.protocolhandler.external.mailto aurait pour valeur
true et le paramtre network.protocolhandler.app.mailto avec pour valeur le
chemin dun excutable comme Mozilla
Thunderbird ou Microsoft Outlook

network.protocolhandler.external.file

Gestionnaire de protocole file://


sous Firefox

false

network.protocolhandler.external.ftp

Gestionnaire de protocole ftp://


sous Firefox

false

gecko.handlerService.
allowRegisterFromDifferentHost

Autoriser les sites Web installer


des gestionnaires de protocoles ou
de contenus utilisable pour des
htes tiers

false

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

de
de

Page 28 sur 40

Administration systme, maintenance, et options diverses :


Paramtrage des mises jour :
Nom de paramtre

Description

Valeur recommande

app.update.enabled

Activation de la mise jour automatique

true

app.update.auto

Tlchargement
et
installation
automatiques (ncessite que le paramtre
app.update.enabled ait pour valeur
true)

true

app.update.cert.checkAttributes

Vrifie les attributs du certificat du serveur


de mise jour

false

app.update.cert.requireBuiltIn

Requiert lintgration des certificats du


serveur de mise jour et de toutes les
redirections intermdiaires

false

app.update.channel

Canal de mise jour

esr pour la version ESR de Firefox

app.update.download
.backgroundInterval

Temps de pause (en secondes) entre


chaque tlchargement, en arrire plan,
dun morceau de 300 Kb de mise jour

Au choix de lentit

app.update.idletime

Temps de pause (en secondes) entre chaque


tlchargement, la demande de lutilisateur) dun morceau de 300 Kb de mise
jour

60

app.update.interval

Intervalle de temps entre chaque vrification de disponibilit de nouvelles mises


jour

43200

app.update.mode

Dtermine quelles mises jour sont


tlcharges en arrire plan

0 pour tlcharger toutes les mises


jour sans intervention de lutilisateur

app.update.service.enabled

Active le service de mise jour de Firefox

true

app.update.showInstalledUI

Dtermine si, aprs installation de mise


jour, une bote de dialogue informe lutilisateur quune mise jour a t installe

Au choix de lentit

app.update.silent

Active le mode de mise jour silencieux

true pour une mise jour silencieuse


en arrire plan

app.update.url

URL de rcupration des mises jour de


Firefox

En fonction de la stratgie de mise


jour de lentit. Pour une mise jour
depuis les serveurs de Mozilla :
https://aus3.mozilla.org/
update/3/%PRODUCT%/%VERSION%
/%BUILD_ID%/%BUILD_TARGET%/%
LOCALE%/%CHANNEL%/%OS_VERSION%
/%DISTRIBUTION%/%DISTRIBUTION_
VERSION%/update.xml, sinon lURL
du serveur de mise jour interne
de lentit (quil faudra galement
renseigner dans le paramtre
app.update.url.override)

app.update.url.override

URL de rcupration des mises jour de


Firefox

Paramtre renseigner uniquement


dans le cas ou la mise jour de
Firefox se fait depuis lURL dun
serveur de mise jour interne de
lentit ( renseigner en plus du
paramtre app.update.url)

app.update.url.details

URL de consultation des informations relatives aux mises jour disponibles

Laisser la valeur par dfautr


https://www.mozilla.org/
%LOCALE%/firefox/notes

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 29 sur 40

Configuration du cache :
Nom de paramtre

Description

Valeur recommande

browser.cache.check_doc_frequency

Quand vrifier la mise jour dune page en


cache disque

3 (vrifier quand la page est


prime)

browser.cache.compression_level

Niveau de compression du cache disque

Au choix de lentit, de 0
(pas de compression) 9
(haut taux de compression
avec forte sollicitation du processeur)

browser.cache.disk.capacity

Espace disque allou au cache disque, en


Kb

Au choix de lentit

browser.cache.disk.enable

Utiliser le cache disque

true

browser.cache.disk.max_entry_size

Taille maximum (en Kb) dune entre en


cache disque

Au choix de lentit

browser.cache.disk.smart_size.enabled

Allocation intelligente de lespace disque


allou au cache en fonction de lespace
disponible

Au choix de lentit

browser.cache.disk_cache_ssl

Mettre en cache disque les pages visites


en HTTPS

False de manire ne pas


mettre en cache le contenu
SSL

browser.cache.memory.enable

Utiliser le cache mmoire

true

browser.cache.memory.max_entry_size

Taille maximum (en Kb) dune entre en


cache mmoire

Au choix de lentit

browser.cache.memory_limit

Mmoire maximum utilise pour le cache


mmoire, en Kb

Au choix de lentit

browser.cache.offline.capacity

Espace disque allou au cache des applications Web

Au choix de lentit

browser.cache.offline.enable

Utiliser le cache des applications Web permettant une utilisation hors ligne

Au choix de lentit

browser.cache.use_new_backend

Utilisation du nouveau systme de cache

0 (ne pas utiliser pour des


questions de stabilit)

network.http.use-cache

Utiliser le cache des documents HTTP

true

media.cache_size

Taille du cache pour les fichiers multimedia

Au choix de lentit, par dfaut 512000

dom.storage.default_quota

Quota de stockage ct client pour les


pages Web

5120, taille par dfaut

dom.storage.enabled

Active le stockage ct client pour les pages


Web

true dfaut de vulnrabilits connues pour cette fonctionnalit

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 30 sur 40

Dsactiver les options de dveloppement (sauf pour les populations de dveloppeurs) :


Nom de paramtre

Description

Valeur recommande

devtools.appmanager.enabled

Activation des outils de dveloppement, module appmanager

false

devtools.debugger.enabled

Activation des outils de dveloppement, module dbogueur

false

devtools.errorconsole.enabled

Activation des outils de dveloppement, module console


derreurs

false

devtools.fontinspector.enabled

Activation des outils de dveloppement, module inspecteur


de polices

false

devtools.inspector.enabled

Activation des outils de dveloppement, module inspecteur

false

devtools.netmonitor.enabled

Activation des outils de dveloppement, module rseau

false

devtools.profiler.enabled

Activation des outils de dveloppement, module profileur

false

devtools.shadereditor.enabled

Activation des outils de dveloppement, module vue adaptive

false

devtools.styleeditor.enabled

Activation des outils de dveloppement, module editeur de


styles

false

devtools.tilt.enabled

Activation des outils de dveloppement, module tilt

false

devtools.toolbar.enabled

Activation des outils de dveloppement, module barre de


dveloppement

false

Configurations diverses :
Nom de paramtre

Description

Valeur recommande

network.seer.enable-hover-on-ssl

Activer seer sur SSL

false

network.seer.enabled

Activer seer

false

network.http.pipelining

Activer le pipelining pour le surf


HTTP/1.1

false pour des raisons de compatibilit


avec les serveurs Web. Le pipelining peut
ventuellement tre utilis pour un navigateur ddi lintranet si lentit sait
lensemble de ses serveurs compatibles

network.http.pipelining.ssl

Activer le pipelining pour le surf


HTTPS/1.1

false pour des raisons de compatibilit


avec les serveurs Web. Le pipelining peut
ventuellement tre utilis pour un navigateur ddi lintranet si lentit sait
lensemble de ses serveurs compatibles

network.http.spdy.enabled

Activer SPDY31

false

network.http.spdy.enabled.v2

Activer SPDY v2

false

network.http.spdy.enabled.v3

Activer SPDY v3

false

network.http.spdy.enabled.v3-1

Activer SPDY v3.1

false

browser.shell.checkDefaultBrowser

Vrifier si Firefox est configur


comme navigateur par dfaut

false dans le cadre de double navigateurs.

browser.download.manager.
scanWhenDone

Scan antivirus dun fichier lorsque


son tlchargement est termin

true

browser.download.useDownloadDir

Utiliser le rpertoire de tlchargement par dfaut

false pour que lutilisateur indique


quel emplacement il souhaite tlcharger
le fichier

browser.fullscreen.autohide

Cacher la barre doutils et donglets


en mode plein cran

false

31. SPDY est un protocole rseau exprimental de Google visant augmenter les capacits du protocole HTTP pour
rduire le temps de chargement des pages Web en classant les objets par ordre de priorit et en multiplexant les transferts
pour ne ncessiter quune seule connexion. Ce protocole est vulnrable aux attaques CRIME (Compression Ratio Info-leak
Made Easy) lorsquil est utilis avec HTTPS (ce qui est gnralement le cas).

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 31 sur 40

Annexe II : Dploiement et configuration centralise dans un


domaine Active Directory par GPP
Cette annexe prsente de manire synthtique une mthode de configuration centralise reposant
sur Active Directory.

Tlchargement de lexcutable dinstallation


La dernire version de Firefox est disponible sur le site Web de Mozilla 32 .
Le tlchargement nest propos quau format excutable. Son dploiement sera effectu selon les
mthodes utilises par chaque entit. Pour un dploiement par GPO au format MSI, un repaquettage
de lexcutable est ncessaire mais cela ncessite lusage doutils tiers.

Fichiers de configuration
La mthode de configuration centralise et verrouille de Firefox prsente dans cette annexe
consiste en la cration dun minimum de deux fichiers texte :
un fichier local-settings.js dposer dans le sous dossier defaults\pref\ du rpertoire
dinstallation de Firefox. Ce fichier, par convention, se contente de rfrencer un deuxime fichier
de configuration plus complet ;
un fichier mozilla.cfg (ou quelconque autre nom la discrtion de lentit) dposer directement dans le rpertoire dinstallation de Firefox et qui contient lensemble des paramtres de
configuration souhaits.
Fichier local-settings.js :
pref ( " general . c o n f i g _ o b s c u r e _ v a l u e " , 0) ; // fichier de configuration sans encodage
pref ( " general . config . filename " ," mozilla . cfg " ) ;

Fichier mozilla.cfg qui contient tous les paramtres de configuration souhaits :


// Configuration de Firefox
try {
// Options de configuration de proxy
lockPref ( " network . proxy . http " ," 192.168.0.100 " ) ;
lockPref ( " network . proxy . http_port " ,3128) ;
lockPref ( " network . proxy . ssl " ," 192.168.0.100 " ) ;
lockPref ( " network . proxy . ssl_port " ,3128) ;
// Autres options de configuration ...
// ...
} catch ( e ) {
displayError ( " Erreur dans le fichier de configuration local : " , e ) ;
}

32. Version ESR : https://www.mozilla.org/en-US/firefox/organizations/all. Version standard : https://www.


mozilla.org/en-US/firefox/new/.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 32 sur 40

Il est prcis que pour davantage de flexibilit, il est galement possible de centraliser ce dernier
fichier de configuration sur un espace partag 33 comme un site Web interne. Dans ce cas, le fichier
mozilla.cfg devient un simple chargeur dURL vers un troisime fichier de configuration :
// Configuration de Firefox - Chargeur URL
try {
// Options de configuration de proxy
lockPref ( " autoadmin . g l o b a l _ c o n f i g _ u r l " , " http :// intranet . local / config . cfg " ) ;
lockPref ( " autoadmin . a p p e n d _ e m a i l a d d r " , false ) ;
// Autres options de configuration ...
// ...
} catch ( e ) {
displayError ( " Erreur dans le fichier de configuration local : " , e ) ;
}

Le fichier config.cfg (ou un quelconque autre nom la discrtion de lentit) prcdemment


rfrenc et dpos lURL indique devient alors le fichier contenant tous les paramtres de configuration souhaits. Ce fichier est charg chaque lancement de Firefox :
// Configuration de Firefox
try {
// Options de configuration de proxy
lockPref ( " network . proxy . http " ," 192.168.0.100 " ) ;
lockPref ( " network . proxy . http_port " ,3128) ;
lockPref ( " network . proxy . ssl " ," 192.168.0.100 " ) ;
lockPref ( " network . proxy . ssl_port " ,3128) ;
// Autres options de configuration ...
// ...
} catch ( e ) {
displayError ( " Erreur dans le fichier de configuration distant : " , e ) ;
}

En suivant cette mthode, la configuration Firefox sera commune tous les comptes utilisateurs
dun poste de travail o la configuration est tl-dploye.

Tl-dploiement des fichiers de configuration par GPP/GPO


Les fichiers de configuration requis sur les postes (mozilla.cfg et local-settings.js dans lexemple donn prcdemment) peuvent tre dploys simplement par GPP (Group Policy Preferences).
tant donn que Firefox nest pas install dans un dossier identique sur les systmes 32 et 64 bits,
il est donc ncessaire de raliser le dploiement de manire distincte en fonction du type de systme
dexploitation.
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits, il est possible dutiliser la fonctionnalit de filtre WMI des stratgies de groupes (dans lespace de noms "root\CIMV2" avec la requte Select * from Win32_Processor where AddressWidth = 64 ). Pour appliquer une GPO
aux seuls postes utilisateurs 32 bits, la requte devient Select * from Win32_Processor where
AddressWidth = 32 ). Ce filtre WMI permet alors dappliquer chacune des deux GPP de dploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement.

33. Lentit veillera la scurit daccs de cet espace, pour viter que le fichier de configuration puisse tre modifi par
un utilisateur non privilgi. Elle tudiera galement la compatibilit avec ses postes nomades. Lorsque lespace partag
est temporairement indisponible, le lancement de Firefox est retard denviron trois secondes, mais la configuration
obtenue au dernier chargement russi reste applique.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 33 sur 40

Au niveau de la console de gestion des stratgies de groupe du domaine, ces deux GPO auront les
paramtres suivants :

Figure 3 GPO de dploiement du fichier local-settings.js sur les systmes 64 bits.

Figure 4 GPO de dploiement du fichier mozilla.cfg sur les systmes 64 bits.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 34 sur 40

Figure 5 GPO de dploiement du fichier local-settings.js sur les systmes 32 bits.

Figure 6 GPO de dploiement du fichier mozilla.cfg sur les systmes 32 bits.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 35 sur 40

Annexe III : Dploiement et matrise des magasins de certificats des


profils utilisateurs Firefox
Tout dabord, il est prcis quun crasement du fichier cert8.db dun profil Firefox a pour rsultat
de supprimer les certificats utilisateurs quil contient (il ne restera alors plus que les cls prives associes
ces derniers dans le fichier key3.db). La complexit de dploiement et de matrise des magasins de
certificats des profils utilisateurs varie donc en fonction du contexte dutilisation du navigateur.
Il noter galement que les certificats dautorits racines de confiance pr-intgrs Firefox sont
prsents en dur dans lexcutable Firefox et non pas dans les magasins de certificats cert8.db. Il nest
donc pas possible de les supprimer moins de recompiler Firefox partir des sources 34 (ces certificats
sont renseigns dans le fichier certdata.txt lemplacement security/nss/lib/ckfw/builtins/ de
larborescence des sources).

Scnario 1 : les utilisateurs de Firefox najoutent pas de certificats utilisateurs


leur magasin de certificats Firefox
Dans ce cas, une solution simple consiste copier rgulirement un fichier cert8.db de rfrence
dans les profils Firefox des utilisateurs. Comme le nom des sous dossiers de profils Firefox ne peuvent pas
tre dtermins lavance, il nest pas possible de copier ce fichier par GPP (Group Policy Preferences).
Par contre, cela peut tre fait simplement par GPO via un script douverture de session. Le script
PowerShell suivant illustre une manire de procder :
# R p e r t o i r e c o n t e n a n t l e f i c h i e r c o p i e r
$ s F F C e r t L o c a t i o n = chemin v e r s l e r p e r t o i r e l o c a l ou l e p a r t a g e r s e a u c o n t e n a n t c e r t 8 . db
# F i c h i e r c e r t 8 . db c o p i e r
$sFFCertDB = " $ s F F C e r t L o c a t i o n \ c e r t 8 . db"
# Chemin c o m p l e t v e r s l e s p r o f i l s F i r e f o x
$ s F F P r o f i l e s = $env :APPDATA + \ M o z i l l a \ F i r e f o x \ P r o f i l e s
$ l F F P r o f i l e s = GetC h i l d I t e m Path $ s F F P r o f i l e s |
WhereO b j e c t { $_ . A t t r i b u t e s band [ System . IO . F i l e A t t r i b u t e s ] : : D i r e c t o r y }
# Copie e t remplacement du f i c h i e r dans l e s p r o f i l s F i r e f o x
foreach ( $oProfile in $lFFProfiles ) {
CopyItem Path $sFFCertDB D e s t i n a t i o n $ o P r o f i l e . FullName F o r c e
}

Le fichier de rfrence dployer peut tre rcupr sur un profil Firefox existant dont le magasin
de certificats t configur, ou bien encore cr en utilisant loutil de gestion de magasins certificats
de Mozilla certutil.exe 35 .
34. Les sources de Firefox sont disponibles sur le site de Mozilla ladresse https://developer.mozilla.org/fr/
docs/Tlchargement_du_code_source_de_Mozilla.
35. Voici un article expliquant lutilisation de certutil.exe sur le site de Mozilla : https://developer.mozilla.org/
en-US/docs/Mozilla/Projects/NSS/tools/NSS_Tools_certutil. Loutil compil nest plus propos au tlchargement
par Mozilla, mais les sources sont disponibles ladresse https://ftp.mozilla.org/pub/mozilla.org/security/nss/
releases/ et un article de Mozilla explique la procdure de compilation suivre : https://developer.mozilla.org/
en-US/docs/Mozilla/Developer_guide/Build_Instructions/Windows_Prerequisites.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 36 sur 40

Scnario 2 : les utilisateurs de Firefox sont susceptibles dajouter des certificats


utilisateurs leur magasin de certificats Firefox
Dans ce cas, le fichier cert8.db ne doit pas tre cras. Les magasins de certificats devront alors
tre mis jour par lignes de commandes en utilisant loutil de Mozilla certutil.exe. La premire tape
consiste dployer loutil certutil.exe et ses dpendances sur les postes utilisateurs. Cela peut tre
ralis par GPP avec la mthode illustre en annexe II. Le dossier de destination est sans importance
et au choix de lentit. Les fichiers copier sont :
certutil.exe ;
libnspr4.dll ;
libplc4.dll ;
libplds4.dll ;
nss3.dll ;
nssutil3.dll ;
msvcr100.dll ;
smime3.dll.
Par la suite, diffrents scripts douverture de session permettraient de matriser les magasins de
certificats des profils utilisateurs Firefox. Voici quelques exemples de scripts PowerShell. Ces scripts
sont des illustrations permettant au lecteur de mieux apprhender la problmatique de matrise des
magasins de certificats Firefox. Ils ncessitent une adaptation lenvironnement de lentit avant tout
test et passage en production.
Script permettant de supprimer tous les certificats ajouts aux magasins de certificats des profils
utilisateurs Firefox, tout en y prservant les certificats utilisateurs :
#
#
#
#
#
#
#
#

S c r i p t de s u p p r e s s i o n d e s c e r t i f i c a t s a j o u t s aux ma g as i ns d e s
p r o f i l e s Firefox , l exception des c e r t i f i c a t s u t i l i s a t e u r s .
Attention :
Ce s c r i p t e s t s e n s i b l e au f o r m a t de s o r t i e de l o u t i l c e r t u t i l . e x e
S i l v e n a i t changer , c e s c r i p t s e r a i t r a d a p t e r .
I l e s t p r i m o r d i a l de t e s t e r c e s c r i p t dans l e n v i r o n n e m e n t
de l e n t i t avant son ex c u t i o n en p r o d u c t i o n s u r l e s p o s t e s de t r a v a i l

SetS t r i c t M o d e V e r s i o n 2 . 0
# R p e r t o i r e de c e r t u t i l c h a n g e r par c e l u i de l e n t i t
$ s P a t h T o C e r t u t i l = E : \PROJETS\ F i r e f o x \NSS 3 . 1 4 . 2 \ NSS 3 . 1 4 . 2 \ c e r t u t i l . e x e
# Chemin c o m p l e t v e r s l e s p r o f i l s F i r e f o x
$ s F F P r o f i l e s = $env :APPDATA + \ M o z i l l a \ F i r e f o x \ P r o f i l e s
$ l F F P r o f i l e s = GetC h i l d I t e m Path $ s F F P r o f i l e s | WhereO b j e c t { $_ . A t t r i b u t e s band [
System . IO . F i l e A t t r i b u t e s ] : : D i r e c t o r y }
# Pour chaque p r o f i l F i r e f o x :
foreach ( $oProfile in $lFFProfiles ) {
$sPathToDB = $ o P r o f i l e . FullName
# Ex c u t i o n de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s
$ s C e r t u t i l O u t p u t = &" $ s P a t h T o C e r t u t i l " L d "$sPathToDB"
$ a L i n e s = $ s C e r t u t i l O u t p u t S p l i t [ \ r \n ]
# A t t r i b u t s d e s c e r t i f i c a t s ne pas s u p p r i m e r
# ( " u , u , u" pour l e s c e r t i f i c a t s u t i l i s a t e u r s )
$ s A t t r i b u t e s T o K e e p = @( u , u , u )
foreach ( $sLine in $aLines ) {
$sAttributes =
$sNickName =

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 37 sur 40

# S u p r e s s i o n d e s l i g n e s v i d e s e t de l ent t e
$ s L i n e = $ s L i n e . Trim ( )
i f ( [ s t r i n g ] : : IsNullOrEmpty ( $ s L i n e ) Or
( $ s L i n e match ^\ s C e r t i f i c a t e Nickname \ s+Trust A t t r i b u t e s \ s $ ) Or
( $ s L i n e match ^\ s SSL , S/MIME, JAR/XPI\ s $ ) ) {
continue
}
# R cup r a t i o n d e s a t t r i b u t s en f i n de l i g n e
f o r ( $ i = $ s L i n e . Length 1 ; $ i ge 0 ; $ i ) {
i f ( $ s L i n e [ $ i ] . T o S t r i n g ( ) match ^\ s $ ) {
break
}
$sAttributes = $sLine [ $i ] + $sAttributes
}

# R cup r a t i o n du nom c o n v i v i a l
i f ( $ i g t 0 ) {
$sNickName = $ s L i n e . S u b s t r i n g ( 0 , $ i ) . Trim ( )
}
i f ( $ s A t t r i b u t e s n o t c o n t a i n s $ s A t t r i b u t e s T o K e e p ) {
&" $ s P a t h T o C e r t u t i l " D n " $sNickName " d "$sPathToDB"
i f ( ! $ ?) {
WriteOutput "Le c e r t i f i c a t $sNickName n a pas t supprim . "
}
}

Script permettant dajouter 36 des certificats serveurs ou dautorits de certification racines de


confiance de lentit :
#
#
#
#
#
#

S c r i p t d a j o u t de c e r t i f i c a t s dans l e s m ag a si n s de c e r t i f i c a t s d e s
p r o f i l s Firefox
Attention :
I l e s t p r i m o r d i a l de t e s t e r c e s c r i p t dans l e n v i r o n n e m e n t
de l e n t i t avant son ex c u t i o n en p r o d u c t i o n s u r l e s p o s t e s de t r a v a i l

# L i s t e de c e r t i f i c a t s i m p o r t e r
# Chemin c o m p l e t de c e r t u t i l . ex ( c h a n g e r par c e l u i de l e n t i t )
$ s P a t h T o C e r t u t i l = E : \PROJETS\ F i r e f o x \NSS 3 . 1 4 . 2 \ NSS 3 . 1 4 . 2 \ c e r t u t i l . e x e
# C e r t i f i c a t s i m p o r t e r , s o u s forme de t r i p l e t s ( chemin du . c e r , nom c o n v i v i a l , a t t r i b u t s )
$ a C e r t s = @(
# A u t o r i t s de c e r t i f i c a t i o n
( E : \PROJETS\ F i r e f o x \ CACerts \MONAC. c e r , MONAC , c , c , c ) ,
# Certificats serveurs
( E : \PROJETS\ F i r e f o x \ SSLSrvCerts \MONSERVER. c e r , MONSERVER , P , , )
)
# Chemin c o m p l e t v e r s l e s p r o f i l s F i r e f o x
$ s F F P r o f i l e s = $env :APPDATA + \ M o z i l l a \ F i r e f o x \ P r o f i l e s
$ l F F P r o f i l e s = GetC h i l d I t e m Path $ s F F P r o f i l e s |
WhereO b j e c t { $_ . A t t r i b u t e s band [ System . IO . F i l e A t t r i b u t e s ] : : D i r e c t o r y }
# Pour chaque p r o f i l F i r e f o x
foreach ( $oProfile in $lFFProfiles ) {
$PathToDB = $ o P r o f i l e . FullName
# Ex c u t i o n de c e r t u t i l pour i m p o r t e r l e s
f o r e a c h ( $aC ert i n $ a C e r t s ) {

certificats

36. Lajout de certificats ncessite le positionnement dattributs de confiance pour chacun des 3 primtres (SSL/TLS,
S/MIME, JAR/XPI). La liste des attributs possibles est consultable ladresse https://developer.mozilla.org/en-US/
docs/Mozilla/Projects/NSS/tools/NSS_Tools_certutil.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 38 sur 40

&" $ s P a t h T o C e r t u t i l " A n $ aCe rt [ 1 ] t $a Cer t [ 2 ] i $a Cer t [ 0 ] d "$PathToDB"

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 39 sur 40

Annexe IV : Tl-dploiement par GPO dun module de recherche


personnalis
Un module de recherche consiste en un fichier XML stock dans le sous dossier searchplugins
dun profil Firefox (pour un utilisateur) ou bien du rpertoire dinstallation de Firefox (pour tous les
utilisateurs de la machine). Lobtention de nouveaux modules de recherche peut se faire simplement
ladresse https://addons.mozilla.org/fr/firefox/search/?atype=4, chaque moteur ajout se
verra alors stock dans le profil Firefox sous la forme dun fichier XML pr-configur. Un administrateur
qui souhaite tl-dployer un module de recherche personnalis (moteur de recherche en intranet par
exemple) pourra alors aisment adapter un de ces fichiers XML ses besoins.
Pour lajout du moteur de recherche moteur.intranet.com , le contenu du fichier XML serait le
suivant :
<S e a r c h P l u g i n xmlns=" h t t p : / /www. m o z i l l a . o r g /2006/ b r o w s e r / s e a r c h / "
xmlns : o s=" h t t p : / / a9 . com// s p e c / o p e n s e a r c h / 1 . 1 / ">
<o s : ShortName>moteur . i n t r a n e t . f r </o s : ShortName>
<o s : D e s c r i p t i o n >moteur de r e c h e r c h e i n t r a n e t </o s : D e s c r i p t i o n >
<o s : InputEncoding>UTF8</o s : InputEncoding>
<o s : Image width=" 16 " h e i g h t=" 16 ">data : image / png ; base64 , image au f o r m a t png en
base64 </o s : Image>
<SearchForm>h t t p s : / / moteur . i n t r a n e t . f r /</SearchForm>
<o s : U r l t y p e=" a p p l i c a t i o n /xs u g g e s t i o n s+j s o n " method="GET"
t e m p l a t e=" h t t p : / / moteur . i n t r a n e t . f r / s u g g e s t ">
<o s : Param name="q" v a l u e=" { searchTerms } "/>
<o s : Param name=" c l i e n t " v a l u e=" f i r e f o x "/>
</o s : Url><o s : U r l t y p e=" t e x t / html " method="GET" t e m p l a t e=" h t t p s : / / moteur . i n t r a n e t . f r / ">
<o s : Param name="q" v a l u e=" { searchTerms } "/>
<o s : Param name=" c l i e n t " v a l u e=" f i r e f o x "/>
</o s : Url>
</S e a r c h P l u g i n >

Dans ce fichier, il convient de remplacer les termes image au format png en base64 par une
image au format PNG dune taille de 16*16 pixels et encode en base64.
Pour dployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins du
rpertoire dinstallation de Firefox, il est possible dutiliser les GPP (Group Policy Preferences) avec
la mthode illustre en annexe II.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 40 sur 40

Vous aimerez peut-être aussi