0% ont trouvé ce document utile (0 vote)

375 vues41 pages

Sécurisation de Firefox sous Windows

Ce document présente des recommandations pour le déploiement sécurisé du navigateur Mozilla Firefox sous Windows. Il détaille les principaux enjeux de sécurité liés à l'utilisation d'un navigateur web et explique comment configurer Firefox de manière centralisée et sécurisée via des fichiers de configuration dans un environnement Active Directory.

Transféré par

makhno3105

Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.

Formats disponibles

Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

0% ont trouvé ce document utile (0 vote)

375 vues41 pages

Sécurisation de Firefox sous Windows

Transféré par

makhno3105

Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.

Formats disponibles

Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

DAT-NT-20/ANSSI/SDE

PREMIER MINISTRE

Secrtariat gnral
de la dfense
et de la scurit nationale

Paris, le 15 janvier 2015

Agence nationale de la scurit

des systmes dinformation

Nombre de pages du document

(y compris cette page) : 41

No DAT-NT-20/ANSSI/SDE/NP

Note technique
Recommandations pour le dploiement scuris du
navigateur Mozilla Firefox sous Windows

Public vis:
Dveloppeur
Administrateur
RSSI
DSI
Utilisateur

X
X
X
X

Informations

Avertissement
Ce document rdig par lANSSI prsente les Recommandations pour le dploiement
scuris du navigateur Mozilla Firefox sous Windows . Il est tlchargeable sur le site
[Link]. Il constitue une production originale de lANSSI. Il est ce titre plac sous le
rgime de la Licence ouverte publie par la mission Etalab ([Link]). Il est
par consquent diffusable sans restriction.
Ces recommandations sont livres en ltat et adaptes aux menaces au jour de leur
publication. Au regard de la diversit des systmes dinformation, lANSSI ne peut garantir que
ces informations puissent tre reprises sans adaptation sur les systmes dinformation cibles.
Dans tous les cas, la pertinence de limplmentation des lments proposs par lANSSI doit
tre soumise, au pralable, la validation de ladministrateur du systme et/ou des personnes
en charge de la scurit des systmes dinformation.

Personnes ayant contribu la rdaction de ce document:

Contributeurs

Rdig par

Approuv par

Date

BSS, SIS, LRP

BSS

SDE

15 janvier 2015

volutions du document :
Version

Date

Nature des modifications

1.0

15 janvier 2015

Version initiale.

Pour toute remarque:

Contact

Adresse

@ml

Tlphone

Bureau Communication
de lANSSI

51 bd de La
Tour-Maubourg
75700 Paris Cedex
07 SP

communication@[Link]

01 71 75 84 04

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 1 sur 40

Table des matires

Prambule

Enjeux de scurit dun navigateur Web

Firefox versus Firefox ESR

Matrise du navigateur

4.1
4.2

4.3
4.4
5

Choix des plugins . . . . . . . . . . . . . . . . .

Choix des extensions . . . . . . . . . . . . . . .
4.2.1 SSL/TLS et certificats . . . . . . . . . .
4.2.2 Gestionnaire de mots de passe . . . . . .
4.2.3 Confidentialit . . . . . . . . . . . . . .
4.2.4 Moteur de recherche par dfaut . . . . .
4.2.5 Filtrage de contenu . . . . . . . . . . . .
4.2.6 Page(s) daccueil . . . . . . . . . . . . .
4.2.7 Serveur mandataire . . . . . . . . . . . .
4.2.8 Authentification HTTP . . . . . . . . .
4.2.9 Primtre de navigation . . . . . . . . .
4.2.10 Administration systme et maintenance
Tl-dploiement initial . . . . . . . . . . . . .
Gestion des mises jour . . . . . . . . . . . . .

.
.
.
.
.
.
.
.
.
.
.
.
.
.

Stratgie de double navigateur

5
5
6
7
8
9
9
9
10
10
10
11
11
11
12

Annexe I : Stratgies de scurisation de Firefox

Annexe II : Dploiement et configuration centralise dans un domaine Active Directory par GPP

Annexe III : Dploiement et matrise des magasins de certificats des profils utilisateurs Firefox

Annexe IV : Tl-dploiement dun module de recherche personnalis par GPO

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 2 sur 40

1 Prambule
Firefox est le navigateur web en sources ouvertes dit par la fondation Mozilla et dont la premire
version stable date de 2004. Rapidement devenu lun des navigateurs les plus utiliss par les internautes 1 , il est aujourdhui soutenu par une importante communaut de dveloppeurs du monde libre.
Firefox dispose dun mcanisme de mise jour automatique et peut tre configur de manire
centralise. Il se prte bien une utilisation professionnelle. De par son haut degr de paramtrage et
son code en sources ouvertes, il peut galement sadapter des environnements au sein desquels les
contraintes techniques sont importantes.
Cette note technique vise sensibiliser le lecteur aux enjeux de scurit dun navigateur Web et
doit le guider dans la mise en uvre dune stratgie de scurisation spcifique Firefox dans le cadre
dune configuration centralise et scurise en environnement Active Directory.

2 Enjeux de scurit dun navigateur Web

Comme tout composant logiciel utilis pour accder Internet, les navigateurs sont une cible
privilgie des attaquants du fait des vulnrabilits quils prsentent et de leur utilisation rgulire sur
Internet. Viennent galement sajouter les vulnrabilits propres aux diffrents modules complmentaires intgrs aux navigateurs et dont les processus de mise jour sont gnralement indpendants de
ceux du navigateur.
Latteinte en intgrit dun poste de travail par le biais de son navigateur Web est intressante du
point de vue dun attaquant tant donn quelle lui permet le plus souvent de contourner les mesures
de scurit lies larchitecture rseau et aux diffrentes passerelles de filtrage. Lattaque russie dun
poste utilisateur suffit gnralement ltablissement dun canal de contrle distant qui permettra par
la suite de rebondir au sein du systme dinformation pour atteindre les biens essentiels de lentit. La
navigation Web est donc logiquement devenue un des principaux vecteurs dattaque utiliss et, plus
largement, un problme pour la scurit des systmes dinformation.
Du point de vue de la scurit, Firefox ptit de labsence de mcanisme de bac sable (sandbox 2 )
et darchitecture multi-processus, une vulnrabilit peut alors avoir un impact important. Comme tous
les navigateurs, il fait rgulirement lobjet de vulnrabilits critiques 3 .

3 Firefox versus Firefox ESR

Mozilla publie une version ESR (Extended Support Release) 4 de Firefox. Chaque version de Firefox
ESR est maintenue pendant environ 1 an et na pour seules mises jour que les correctifs de scurit.
Cette version de Firefox est destine aux entits qui ncessitent un support tendu pour un dploiement
en masse, vitant ainsi davoir grer des volutions frquentes du navigateur.

1. Sources : [Link] et [Link].

2. Environnement dexcution contrl et restreint.
3. Les multiples avis de scurit et bulletins dactualit relatifs aux principaux navigateurs peuvent tre consults sur
le site du CERT-FR ([Link]).
4. Pour plus dinformations : [Link]

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 3 sur 40

Le tableau comparatif suivant prsente les avantages et inconvnients de chaque version :

Version

Avantages

Inconvnients

Version
standard

Le navigateur volue rgulirement et

les utilisateurs disposent ainsi rapidement
des nouvelles fonctionnalits qui font leur
apparition.

Les quipes informatiques doivent

rgulirement dployer les nouvelles
versions de Firefox pour le maintenir en
conditions de scurit. Ces dploiements
engendrent une charge de travail non
ngligeable puisquil est ncessaire
de vrifier la compatibilit avec les
applications Web internes, complter la
configuration centralise vis--vis des
nouvelles fonctionnalits, etc.

Les quipes informatiques nont pas se

soucier des volutions fonctionnelles du
navigateur. Une fois la dernire version
majeure de Firefox ESR dploye, elles se
contentent de son maintien en conditions
de scurit en dployant les correctifs de
scurit publis par Mozilla. Les cycles
de vie des versions de Firefox ESR tant
denviron un an, les correctifs de scurit
sont publis pendant toute cette dure de
vie.

ESR ne dispose pas des nouvelles

fonctionnalits qui apparaissent dans les
versions successives de Firefox standard,
le navigateur peut alors paratre pauvre
en fonctionnalits du point de vue des
utilisateurs.

Version
ESR

Au sein dun systme dinformation administr de manire centralise, il est donc plutt conseill
de dployer la version ESR de Firefox. La prsente note technique sappuie sur le dploiement et la
configuration de Firefox ESR dans sa version 31.

4 Matrise du navigateur
Les principaux enjeux dun dploiement de navigateur au sein dun systme dinformation sont sa
scurit et sa matrise. Pour cela, il est ncessaire de pouvoir contrler sa configuration de manire
centralise, tout en procdant des dploiements et des mises jour (automatiques ou non) selon la
politique de mise jour de lentit et sans intervention de lutilisateur.
Firefox ne prend pas nativement en charge la configuration par stratgies de groupes (GPO) en
environnement Active Directory. Il est pour cela ncessaire de recourir des extensions tierces. Il est
en revanche possible de paramtrer le navigateur laide de fichiers de configuration dployer sur
les postes des utilisateurs. Cette mthode prsente lintrt dtre utilisable simplement, dans nombreux contextes, et aussi bien sous Linux que Windows sans distinction. Ces fichiers de configuration
permettent galement dimposer des paramtres verrouills et non modifiables par les utilisateurs.
R1

Avant tout dploiement de Firefox au sein dun systme dinformation, il est primordial de
dfinir prcisment une stratgie de paramtrage qui garantira lutilisation du navigateur
dans une configuration durcie et verrouille.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 4 sur 40

Il est important de commencer par clarifier les termes utiliss par Mozilla et ce quils dsignent. Le
terme de module (Add-on) ou de module complmentaire inclut :
les plugins ou greffons, qui sont des composants compils ;
les extensions (qui sont des composants en langage interprt comme XUL ou JavaScript) ;
les thmes (qui ne font lobjet daucune recommandation de scurit) ;
les modules de moteur de recherche.
Les recommandations de paramtrage figurant dans ce document sont donnes titre indicatif
dans loptique dune configuration durcie. Elles doivent donc tre modules selon les besoins propres
chaque entit et bien entendu selon le primtre dutilisation du navigateur (Internet, Intranet, etc.).
Leur application ne doit pas se faire sans validation pralable.
Lannexe I de ce document prcise les paramtres de configuration permettant dappliquer toutes
les recommandations de configuration de Firefox indiques dans ce document. En environnement
professionnel, il est par ailleurs conseill de dployer une telle configuration par GPP de manire
centralise comme expliqu en annexe II.

4.1 Choix des plugins

Les plugins Firefox ne peuvent tre dvelopps qu partir de linterface de programmation NPAPI
(Netscape Plugin Application Programming Interface). Cette architecture, qui date de Netscape, nest
pas scurise et excute les plugins avec le niveau de privilge de lutilisateur. Bien quil soit possible
dexcuter certains plugins dans un processus spar (le plugin-container ), cette sparation ne protge
que le processus du navigateur dun ventuel arrt brusque de fonctionnement dun plugin. Une
vulnrabilit affectant un plugin permet en revanche de compromettre la session ou le systme. Le
plugin Flash Player fait toutefois exception en intgrant un mcanisme de bac sable qui lui est propre
( Mode Protg de Flash Player pour Firefox 5 ). Le processus Flash Player excut dans le plugincontainer ne sert alors qu instancier des processus enfants auxquels sappliquent des restrictions de
scurit plus importantes. Le plugin Flash continue toutefois de faire lobjet de vulnrabilits critiques 6 .
R2

Tout plugin ajout Firefox fait courir un risque de scurit supplmentaire, il est alors
important de les limiter au strict ncessaire.

Note : Le risque induit par lutilisation du plugin Flash Player peut tre tolr ds lors que la lecture
des contenus Flash constitue un besoin incontournable. Complt par la visionneuse PDF intgre
Firefox (crite en JavaScript), la prise en charge de ces deux types de contenus devrait suffire pour la
plupart des usages.
Lajout, la mise jour, et la suppression de plugins pour Firefox de manire centralise peut se
faire simplement par base de registre 7 et par GPP (Group Policy Preferences).

4.2 Choix des extensions

Le mcanisme dextension rend possible lcriture de programmes (extensions) en langage interprt
(XUL ou JavaScript entre autres) permettant lajout de fonctionnalits ou la personnalisation du
navigateur. Contrairement aux plugins qui sont des programmes compils, les extensions sexcutent
dans le processus du navigateur et sans systme de permission permettant de restreindre les liberts
5. [Link]
6. Les multiples avis de scurit peuvent tre consults sur le site du CERT-FR ([Link]).
7. Un article de Mozilla explique lajout, la mise jour, et la suppression dextensions et de plugins pour Firefox par
base de registre : [Link]

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 5 sur 40

qui leur sont accordes. Il convient donc dtre particulirement vigilant tant donn les risques de
scurit non ngligeables quelles introduisent.
Ainsi, une extension malveillante pourrait accder des informations sensibles concernant la navigation de lutilisateur puis les envoyer un serveur illgitime sur Internet. Une extension peut galement
introduire de nouveaux comportements indsirables suite une mise jour. Rien ne laisse prsager
quune extension aujourdhui non malveillante ne le sera pas demain.
En parallle, de nombreuses extensions prsentent des vulnrabilits qui peuvent tre exploites
(par le contenu des pages visites ou encore, par courriels spcifiquement forgs et consults par
webmail). Ces extensions vulnrables peuvent galement servir exploiter, par rebond, les vulnrabilits
dventuels plugins activs et ainsi obtenir un accs complet au systme.
R3

Ne dployer que des extensions de confiance et ncessaires aux besoins mtiers.

Note : Dans le cas dextensions dveloppes en interne, il convient de prter une attention particulire
la scurit de leur code 8 .
Lajout, la mise jour et la suppression dextensions pour Firefox de manire centralise peut se
faire simplement dans la base de registre et par GPP (Group Policy Preferences).
4.2.1 SSL/TLS et certificats
Firefox a comme particularit dutiliser ses propres bibliothques de gestion des changes scuriss
client/serveur dveloppes par la fondation Mozilla (bibliothques NSS, Network Security Services), ce
qui lui permet de disposer par exemple de son propre magasin de certificats et de sa propre liste de
CRL (listes de rvocations de certificats). Il est ainsi possible dappliquer des restrictions spcifiques
au navigateur sur certains certificats sans que cela ne sapplique au systme dexploitation dans son
ensemble, ce qui le diffrencie dautres navigateurs. Il est galement possible de restreindre simplement
les versions de protocoles SSL/TLS ainsi que les suites cryptographiques utilises. Cette indpendance
vis--vis du mcanisme fourni par le systme dexploitation lui confre une plus grande portabilit et
une souplesse dans sa configuration SSL/TLS mais se traduit en contrepartie par une dmarche de
scurisation plus complexe.
R4

Dsactiver lutilisation de SSL et nautoriser que les protocoles TLS v1.1 et suprieures
(la v1.0 tant vulnrable). Pour aller plus loin, il est galement possible de restreindre
les suites cryptographiques utilisables en dsactivant celles reposant sur des algorithmes
obsoltes comme RC4.

Note : Pour plus dinformations, le lecteur est invit se rfrer la section correspondante de
lannexe I ainsi quaux publications de lANSSI 9 . Par ailleurs, les suites nutilisant pas de mcanismes
de PFS (Perfect Forward Secrecy) devraient idalement tre dsactives elles aussi mais des difficults
de navigation seraient prvoir sur Internet du fait de l incompatibilit avec de nombreux serveurs
Web.

8. Larticle Security best practices in extensions expose certains fondamentaux respecter pour le dveloppement
dextension scurises : [Link]
9. La note Recommandations de scurit concernant lanalyse des flux HTTPS est disponible ladresse :
[Link]
[Link].

Larticle SSL/TLS : tat des lieux et recommandations est disponible ladresse :

[Link]

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 6 sur 40

Chaque utilisateur dun poste de travail dispose de son propre profil Firefox. Les informations de
scurit relatives aux certificats sont stockes, pour chaque profil firefox, dans 3 fichiers :
[Link] (objets accessibles publiquement : certificats, CRLs, enregistrements S/MIME) ;
[Link] (cls prives, mots de passe) ;
[Link] (informations de configuration des modules de scurit).
Laccs aux fichiers [Link] et [Link] non chiffrs dun profil Firefox permet la rcupration
et la rutilisation des certificats utilisateurs quils contiennent. Tout compte disposant de droits administrateurs sur un ordinateur a la possibilit de rcuprer lensemble des fichiers [Link] et [Link]
qui y sont stocks (voire tout utilisateur non privilgi dans le cas dun systme de fichiers FAT32). La
confidentialit des donnes utilisateurs nest donc pas assure ds lors que ces fichiers ne sont pas chiffrs.
La dfinition dun mot de passe principal dclenche le chiffrement du fichier [Link] par algorithme
3DES-CBC avec une cl drive de ce mot de passe. La scurit apporte par une telle mesure reste
modre, des outils performants permettent de rapidement retrouver ce mot de passe matre par force
brute. Le stockage du profil Firefox dans un conteneur chiffr par une solution qualifie par lANSSI
peut tre, dans certains cas, la solution privilgier.
R5

Ds lors que des certificats utilisateurs sont stocks dans les magasins de certificats de
Firefox, il est recommand dassurer la scurit de leurs conteneurs de cls prives (fichiers
[Link]) par chiffrement.

Tout utilisateur de Firefox peut aussi ajouter des certificats serveurs et des autorits de confiance
dans son propre magasin de certificats. Selon le contexte dutilisation du navigateur, il peut donc
tre important de mettre en uvre des mesures techniques permettant de matriser les magasins de
certificats des profils Firefox et de sassurer de leur conformit vis vis de la stratgie de lentit.
R6

Matriser les magasins de certificats des profils Firefox et notamment les autorits de
certification racines de confiance et les certificats serveurs qui y sont configurs.

Note : lapplication de cette recommandation est simple ds lors que les utilisateurs ne stockent pas
de certificats utilisateurs dans leurs magasins de certificats Firefox, mais cela devient plus compliqu
dans le cas contraire. La problmatique est aborde plus en dtail en annexe III.
Il noter galement que, depuis sa version 24, Firefox se dtourne de lusage classique des CRLs
en ligne au profit dune liste de rvocations mise jour rgulirement pour consultation locale. Les
bibliothques NSS supportent toujours la gestion des CRLs classiques (modifiables par loutil crlutil
et non plus par interface graphique) mais il est prvu quelles ne soient plus utilises dans un avenir
proche. Les autorits de certification sont dailleurs invites envoyer leurs certificats rvoqus Mozilla
pour tre intgrs la liste de rvocation maintenue par Mozilla 10 .
4.2.2 Gestionnaire de mots de passe
Le gestionnaire de mots de passe de Firefox permet de mmoriser les mots de passe saisis dans
les formulaires Web. Tout comme pour les magasins de certificats, lutilisation dun mot de passe
principal 11 permet de chiffrer les mots de passe stocks par un algorithme 3DES-CBC avec une cl
drive du mot de passe principal. La scurit apporte par une telle mesure reste modre, des outils
performants permettent de rapidement retrouver ce mot de passe matre par force brute. Lutilisation
10. Le Wiki de Mozilla dtaille la problmatique de rvocation de certificats au sein de Firefox : [Link]
[Link]/CA:ImprovingRevocation.
11. [Link]

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 7 sur 40

dun gestionnaire de mots de passe alternatif scuris est donc conseill.

Il est conseill de dsactiver le gestionnaire de mots de passe pour imposer la saisie

systmatique de ces derniers. Lapplication dun tel durcissement est lgitime sur un rseau
amen traiter des donnes sensibles ou confidentielles, mais peut toutefois tre difficile
imposer aux utilisateurs sur des rseaux moins sensibles. Sa dsactivation pourrait alors
saccompagner du dploiement dun gestionnaire de mots de passe alternatif et scuris 12 .

4.2.3 Confidentialit
Le lecteur est invit prendre connaissance de la dclaration de confidentialit de Firefox 13 .
Selon les fonctionnalits actives, diverses informations sont susceptibles dtre envoyes Mozilla. La
plupart sont en rapport avec :
les informations lies aux modules complmentaires installs et le blocage automatique des
modules en liste noire ;
les rapports de plantage ;
le service de mise jour automatique ;
le service de protection contre les sites malveillants ;
le service de synchronisation Firefox Sync.
Il est donc important de dsactiver certaines de ces fonctionnalits pour limiter les donnes envoyes
Mozilla.
R8

Dsactiver les divers rapports disponibles de plantage, de performance, etc.

Dsactiver le service de synchronisation Firefox Sync.

R10

La fonctionnalit de blocage des sites contrefaits envoie des fournisseurs tiers de Mozilla
les adresses Web des sites visits pour vrifier quils ne soient pas connus comme tant
malveillants et en bloquer laccs si ncessaire. Bien quil soit conseill de laisser ce filtre
activ pour des raisons de scurit, une entit pourra juger suffisamment confidentielles les
adresses des pages Web visites pour quune dsactivation de ce mcanisme simpose.

La navigation prive ainsi que la protection contre le pistage (Do Not Track ) sont des fonctionnalits intressantes du point de vue du respect de la vie prive lors de la navigation sur Internet et
qui pourraient tre dsactives pour de la navigation en Intranet. La stratgie de configuration des
paramtres de confidentialit dpendra donc du primtre dutilisation du navigateur. Ds lors que le
navigateur Firefox dispose dune connectivit Internet, les recommandations suivantes sappliquent :
R11

Activer les fonctionnalits de protection de la confidentialit (anti pistage, navigation

prive, suppression des donnes prives, etc.) lorsque le navigateur nest pas ddi une
navigation Intranet.

Note : Le nouveau standard de protection contre le-pistage (Do Not Track ) nest quune sollicitation du
12. KeePass est un exemple de solution disposant dun certificat de scurit de premier niveau (CSPN) dlivr par
lANSSI qui peut tre utilise avec Firefox.
13. Dclaration disponible en anglais ladresse :
[Link]

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 8 sur 40

client. Sa prise en compte par les serveurs Web ne dpend donc que de leurs pratiques de confidentialit
respectives et napporte aucune garantie au client.
R12

Interdire les fonctions de golocalisation.

R13

Ds lors que la confidentialit des recherches est juge primordiale, il conviendra dimposer
un moteur de recherche de confiance et de dsactiver les fonctionnalits de recherche
instantane ou de suggestion de recherche.

4.2.4 Moteur de recherche par dfaut

Imposer un moteur de recherche et certains paramtres de recherche peut avoir un sens dans certains
contextes. Cest le cas principalement lorsque le navigateur se trouve ddi lIntranet. Lentit pourra
alors imposer et configurer le moteur de recherche de lIntranet. Ces rgles de configuration peuvent
galement avoir une utilit pour la recherche sur Internet si, par exemple, lentit veut imposer un
moteur de recherche franais qui sappuie sur une connexion chiffre. En parallle, lentit peut alors
bloquer laccs aux adresses des moteurs de recherche quelle souhaite interdire.
R14

Pour des questions de respect de la vie prive, il est conseill dimposer un moteur de
recherche sappuyant sur une connexion chiffre (HTTPS).

Note : Cela nempche pas linterception des donnes par le moteur de recherche, ce dernier tant dans
tous les cas destinataire des donnes de recherche en clair.
4.2.5 Filtrage de contenu
Le filtrage du contenu participe renforcer la scurit de la navigation en bloquant les contenus
potentiellement malveillants. Certains mcanismes de filtrage peuvent toutefois avoir une incidence sur
la facult des utilisateurs naviguer sur certains sites.
R15

Activer les fonctionnalits de filtrage de contenu telles que la navigation scurise

(protection contre le hameonnage et les logiciels malveillants) ou la Content Security
Policy 14 .

R16

Interdire ou, a minima, restreindre les scripts, les contenus mixtes actifs 15 , les cookies tiers,
etc.

La section correspondante de lannexe I liste en dtail le paramtrage recommand pour ces types de
contenus.
4.2.6 Page(s) daccueil
Si le navigateur est configur pour restaurer la session prcdente, les donnes ainsi que les cookies
de session seront sauvegards puis restaurs au prochain dmarrage du navigateur (sauf en mode de
14. Cette couche de scurit, qui permet de se prmunir contre certains types dattaques, est dtaille dans un article du
Mozilla Developer Network : [Link]
Security_Policy.
15. [Link]

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 9 sur 40

navigation prive). Il est alors possible de rcuprer ces cookies sauvegards pour sauthentifier la
place de lutilisateur sans mot de passe, voire de rcuprer une session HTTPS pralablement initie.
R17

Il est prfrable que le navigateur nenregistre pas les sessions de navigation. Lors du
dmarrage du navigateur (aprs un arrt normal ou brusque), il est en effet conseill
de ne pas restaurer la session prcdente de lutilisateur mais dafficher une(des) page(s)
connue(s) et de confiance.

4.2.7 Serveur mandataire

Il est primordial de contrler les flux non seulement en entre mais galement en sortie. Lorsquun
individu malveillant atteint en intgrit un poste de travail, il peut ensuite procder ltablissement
dun canal de contrle depuis le poste de travail vers un serveur situ sur Internet. Lutilisation de
serveurs mandataires avec authentification peut donc bloquer des connexions sortantes malveillantes.
Il savre alors judicieux dimposer lutilisation du serveur mandataire (proxy) par configuration centralise sur les postes utilisateurs.
R18

Privilgier lutilisation de serveurs mandataires avec authentification.

Note : Cette recommandation peut tre renforce par des rgles de filtrage de pare-feu.
4.2.8 Authentification HTTP
Il est possible de durcir la scurit des authentifications utilisant NTLM 16 ou SPNEGO 17 sur
Firefox ds lors que lune dentre elles est utilise par lentit qui le dploie. Il est par exemple
recommand de spcifier la liste des serveurs autoriss engager une authentification SPNEGO ou
une authentification NTLM automatique.
R19

Spcifier la liste des serveurs autoriss engager une authentification SPNEGO ou une
authentification NTLM automatique.

Note : Lutilisation de NTLM nest pas conseille, Kerberos tant le protocole dauthentification
privilgier.
4.2.9 Primtre de navigation
Il est recommand de restreindre le primtre de navigation en interdisant certains schmas dadresses
avec les protocol-handlers.
R20

Interdire a minima le schma dadresses file:// pour un navigateur ddi la navigation

sur Internet de manire viter des accs arbitraires au systme de fichiers. Le schma
ftp:// pourrait galement tre interdit au profit de lutilisation dun client FTP tiers.

Note : Lutilisation du navigateur Firefox ne sera alors plus possible pour afficher des pages html
directement depuis un systme de fichiers (CD-ROM, disque local ou distant via un partage rseau,
etc.).
Ces listes prsentent galement un intrt particulier dans le cadre dune stratgie de double
navigateur. Ce sujet est dtaill en section Stratgie de double navigateur .
16. NTLM (NT Lan Manager ) est une suite de protocoles dauthentification de Microsoft qui ne supporte pas les
mthodes cryptographiques rcentes comme AES ou SHA-256.
17. SPNEGO (Simple and Protected GSSAPI Negociation Mechanism) est un standard qui permet de ngocier de
lauthentification Kerberos, NTLM, ainsi que dautres protocoles supports pour le systme. SPNEGO est galement
connu sous le nom du protocole dauthentification negociate . Pour plus dinformations : [Link]
org/en-US/docs/Integrated_Authentication.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 10 sur 40

4.2.10 Administration systme et maintenance

Divers paramtres de Firefox relvent de sa maintenance et certaines prcautions doivent tre
prises pour viter des problmes de compatibilit, de confidentialit des donnes utilisateurs voire de
disponibilit des postes de travail. La liste complte de ces paramtres figure en annexe I.

4.3 Tl-dploiement initial

Firefox, au mme titre que les autres logiciels, devrait idalement tre install sur les postes de
travail par tl-dploiement. Une telle mthode de dploiement est un des fondamentaux dun systme
dinformation contrl et matris. En effet, il permet de matriser les installations, dhomogniser les
versions et configurations mais aussi, de procder aux mises jour de manire ractive et efficace.
Le tl-dploiement de logiciel peut se faire de plusieurs manires :
au format MSI par GPO (stratgies de groupe pour la gestion centralise) dans un domaine
Microsoft Active Directory. Attention toutefois, puisque Mozilla ne fournit Firefox quau format
excutable, il sera donc ncessaire de construire un package Firefox au format MSI. Des diteurs
tiers proposent de tels paquets mais ces diteurs noffrent pas de garantie forte de lintgrit des
logiciels quils fournissent. Il est par consquent prfrable que lorganisation utilisatrice gnre
ses propres fichiers MSI ;
au format excutable laide dun outil de gestion de parc ou de tout autre produit tiers prvu
cet effet.

4.4 Gestion des mises jour

La mise jour ractive du navigateur est primordiale pour se prmunir des vulnrabilits rgulirement dtectes et corriges. Lutilisation dun navigateur prsentant des vulnrabilits connues par des
personnes malveillantes expose le poste de travail une attaque. Deux stratgies diffrentes de mise
jour de Firefox peuvent alors tre envisages :
la premire consiste simplement laisser la configuration par dfaut, le navigateur va alors
automatiquement tlcharger les mises jour auprs des serveurs de Mozilla. Il convient dans ce
cas de sassurer que les postes de travail sont en mesure daccder aux serveurs de mise jour de
Mozilla sur Internet, idalement au travers du proxy dentreprise qui pourra notamment mettre
en cache les binaires.
la configuration alternative consiste remplacer lURL de mise jour ( laide du paramtre de
configuration [Link]) 18 par une URL locale qui mettra les mises jour
disposition des postes de travail.

18. Pour plus dinformations sur la mise en uvre dun serveur de mises jour local : [Link]
org/en-US/docs/Mozilla/Setting_an_update_server.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 11 sur 40

Le tableau suivant synthtise les avantages et inconvnients des deux mthodes :

Mthode

Avantages

Inconvnients

classique : par dfaut,

les navigateurs se mettent
jour automatiquement
auprs des serveurs de
Mozilla par Internet.

- mise en uvre aise par les services

informatiques ;
- haut taux de disponibilit des
serveurs de mise jour de Mozilla.

- ne permet pas aux services informatiques de tester

et valider les mises jour
avant leur dploiement, notamment lors de lutilisation
dapplications Web mtier peu
rpandues ;
- peu adapt pour un navigateur ddi lIntranet.

contrle : la mise jour

automatique de Firefox est
dsactive et les services
informatiques mettent les
mises jour disposition
des postes de travail depuis
un serveur local.

- permet de tester et valider les mises

jour avant dploiement ;
- permet dadapter les configurations centralises du navigateur
pour tenir compte des ventuelles
nouvelles fonctionnalits avant dploiement ;
- permet de bloquer tout le trafic
destination des serveurs de Mozilla.

- freine la ractivit des mises

jour ;
- ncessite des moyens humains importants.

Il sera nettement moins risqu (du point de la compatibilit) de retenir le mode classique (automatique) pour les versions ESR de Firefox tant donn que les mises jour concernent des correctifs de
scurit haut risque et napportent aucune nouvelle fonctionnalit. En revanche, les versions standards
de Firefox peuvent recevoir des mises jour fonctionnelles importantes quil serait plus pertinent de
contrler pralablement.
La problmatique des mises jour concerne galement les extensions. Bien quil soit recommand
de les interdire dans le cadre dune configuration durcie, une entit peut vouloir en dployer certaines
pour de bonnes raisons. La mise jour des extensions est indpendante du mcanisme de mise
jour du navigateur. Elles peuvent tre mises jour automatiquement (comportement par dfaut) ou
manuellement quelle que soit la stratgie de mise jour choisie pour le navigateur.
Le maintien en conditions de scurit des plugins devra par ailleurs tre gr indpendamment du
navigateur, chaque plugin ayant ses spcificits quant aux mcanismes de mise jour utiliss.
Concernant le service Mozilla Maintenance Service (service charg des mises jour de Firefox), ce
dernier sexcute avec les droits qui lui sont propres pour la mise jour du navigateur et ce, quels que
soient les droits de lutilisateur.

5 Stratgie de double navigateur

La scurit des systmes dinformation impose souvent un navigateur qui doit tre durci pour
laccs Internet mais plus permissif pour laccs aux applications internes. Lorsque certains serveurs
Web internes utilisent des appliquettes Java par exemple, ncessitant le dploiement de modules
complmentaires Java, le navigateur finit par avoir une surface dattaque trs importante et expose
ainsi lentit un des vecteurs dattaque les plus critiques et massivement exploits 19 .
19. Voir les recommandations de scurit publies par lANSSI relatives aux environnements dexcution Java sur les postes de travail Microsoft Windows ladresse [Link]

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 12 sur 40

Pour traiter cette problmatique, lorsquelles disposent des ressources ncessaires, en particulier
pour en assurer le maintien en conditions de scurit, de plus en plus dentits sorientent vers lusage
de deux navigateurs diffrents. Il devient alors possible :
den ddier un la navigation sur Internet. De par sa configuration durcie, sa surface dattaque
est rduite au maximum. Il est maintenu en conditions de scurit avec la plus grande attention.
Les quipes de veille scrutent la moindre vulnrabilit dont le navigateur Internet fait lobjet.
Les quipements de filtrage et danalyse du trafic sont utiliss pour reprer tout comportement
suspect de navigation sur Internet ;
den ddier un deuxime laccs aux serveurs internes, ncessitant par exemple un module complmentaire qui peut faire lobjet de vulnrabilits frquentes ou qui ncessite une configuration
plus permissive. Il est alors possible de le configurer pour permettre uniquement laccs et lusage
de lensemble des sites et applications lgres de lIntranet.
Une telle stratgie de double navigateur doit ncessairement saccompagner de mesures de scurit
techniques permettant de garantir le primtre dutilisation de chaque navigateur par des paramtres
de configuration verrouills. Le tableau suivant en donne quelques exemples :
Composant

Action

Valeur

Serveur mandataire

Autoriser

User-Agent du navigateur Internet (ou plus strictement de

la dernire version de ce dernier)
Tout autre User-Agent non autoris

Bloquer
Pare-feu locaux
postes de travail

des

Autoriser

Bloquer
Pare-feu de passerelle
Internet

Autoriser

Bloquer
Applocker (ou SRP) sur
les postes de travail

TCP en sortie vers le serveur mandataire depuis :

- le processus du navigateur Internet (chemin complet de
lexcutable) ;
- les autres processus ventuels autoriss accder
Internet via le serveur mandataire.
TCP en sortie vers le serveur mandataire depuis tout autre
processus
TCP en sortie vers les ports 443 et 80 depuis :
- lIP source du serveur mandataire ;
- les autres IP sources ventuelles autorises sortir en
direct sur Internet sans passer par le serveur mandataire.
TCP en sortie vers ports 443 et 80 depuis toute autre IP
source

Autoriser lexcution

Chemin complet de lexcutable des navigateurs autoriss

Bloquer lexcution

Tout autre excutable de navigateur interdit

Les rgles de configuration dcrites en annexe I, section Primtre de navigation , permettent

alors de mettre en uvre une partie de ces mesures de scurit et de restreindre le primtre de
navigation possible de chacun des navigateurs.

guides-et-bonnes-pratiques/recommandations-et-guides/securite-du-poste-de-travail-et-des-serveurs/
[Link]

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 13 sur 40

Les figures suivantes illustrent de manire synthtique les mesures de scurit appliques une
stratgie de double navigateur :

Figure 1 Illustration dune stratgie de double navigateur, cas o Firefox est utilis comme
navigateur Internet.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 14 sur 40

Figure 2 Illustration dune stratgie de double navigateur, cas o Firefox est utilis comme
navigateur Intranet.
Ces figures illustrent deux cas distincts. Le navigateur Firefox y est reprsent mais la stratgie
serait quivalente avec dautres navigateurs.
Les rgles de configuration recommandes en annexe I se prtent un contexte o le navigateur est
ddi la navigation sur Internet.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 15 sur 40

Annexe I : Stratgies de scurisation de Firefox

Cette annexe liste, sous forme de tableaux, les valeurs recommandes permettant de mettre en uvre
les recommandations formules dans cette note technique. La liste des paramtres de configuration
disponibles est sujette des volutions frquentes et certains sont peu, voire pas documents. Les
recommandations et leurs indications de mise en uvre figurant dans ce document sont bases sur les
paramtres de configuration de Firefox dans sa version ESR 31. Ces derniers pourront tre adapts
selon la version du navigateur dploye la date de lecture du document.
Depuis un navigateur Firefox, il est possible dafficher et de modifier les paramtres de configuration
appliqus en tapant about:config dans la barre dadresse. Les paramtres verrouills sont affichs en
italique. La page about:support affiche, quant elle, un rcapitulatif des informations systmes et
de version ainsi que les modifications importantes apportes la configuration par dfaut du navigateur.
En environnement professionnel, il est conseill de dployer une configuration de manire centralise
comme expliqu en annexe II. Pour un usage personnel de Firefox, il est galement possible de sinspirer
de tout ou partie des paramtres indiqus dans ce document partir de la page about:config.

Scurit des modules complmentaires :

Les rgles de configuration prfixes par le terme extensions ne sappliquent pas toujours
uniquement aux extensions comme elles pourraient le laisser entendre mais parfois, plus largement
aux plugins voire aux modules complmentaires dans leur ensemble. Il convient donc dtre vigilant
quant au primtre rel dapplication des rgles de configuration dont les noms pourraient prter
confusion.

Nom de stratgie

Description

Valeur recommande

[Link] Les extensions peuvent

tre
dsactives
automatiquement
en
fonction de leur localisation.

3 (les extensions dposes dans le profil Firefox de

lutilisateur ou dans le profil utilisateur Windows
seront automatiquement dsactives20 )

[Link]

12 (seules les extensions rfrences par une entre en

base de registres22 ou dposes dans le sous-dossier
dextensions lemplacement de lexcutable FireFox
seront actives. Attention, ce paramtre a priorit sur
[Link]

Les extensions peuvent tre

actives automatiquement
en
fonction
de
leur
localisation21 .

20. Contrairement ce quindique la MozillaZine Knownledge Base, le paramtre [Link] ne

permet pas de dsactiver un plugin, pour ce faire il convient dutiliser les paramtres [Link].x.
21. Pour plus dinformations sur le paramtre [Link] : [Link]
Add-ons/Installing_extensions.
22. Article de Mozilla expliquant lajout, la mise jour, et la suppression dextensions ou de plugins pour Firefox par
base de registre : [Link]

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 16 sur 40

Nom de paramtre

Description

Valeur recommande

[Link]

Tlchargement rgulier dune

liste noire de modules rfrencs
comme tant malveillants

false si seuls les modules tl-dploys par les

quipes informatique sont installs, ou true si
lutilisateur est en mesure dinstaller des modules
lui-mme

[Link].
detailsURL

URL de la page quun utilisateur peut visiter pour en savoir

plus sur la liste noire de modules

Celle par dfaut ([Link]

%LOCALE%/blocklist/)

[Link] URL de la page quun utilisateur peut visiter pour en savoir

plus sur la liste noire de modules
(variante)

Celle par dfaut ([Link]

%LOCALE%/%APP%/blocked/%blockID%)

[Link]

Intervalle de tlchargement de
la liste noire de modules, en
secondes

86400 (soit 1 fois par jour)

[Link]

Niveau de blocage

2 (pour bloquer les extensions de la liste)

[Link]

Adresse de tlchargement de la
liste noire de modules

Celle par dfaut ([Link]

org/blocklist/3/%APP_ID%/%APP_VERSION%/%
PRODUCT%/%BUILD_ID%/%BUILD_TARGET%/%LOCALE%
/%CHANNEL%/%OS_VERSION%/%DISTRIBUTION%/%
DISTRIBUTION_VERSION%/%PING_COUNT%/%TOTAL_
PING_COUNT%/%DAYS_SINCE_LAST_PING%/)

[Link]

Modules activs au dmarrage

de Firefox

Mettre vide

[Link]

Dsactiver la visionneuse PDF

intgre Firefox ([Link])

true pour que lutilisateur tlcharge les PDF et

les visionne via un lecteur PDF tiers maintenu en
conditions de scurit par lentit et ne faisant pas
lobjet de vulnrabilits frquentes, ou false pour
autoriser lusage du lecteur de PDF intgr.

[Link]

Configuration dactivation du
plugin Flash

1 (demander lautorisation lutilisateur avant

chaque excution du plugin Flash) ou 2 (toujours
activer) au choix de lentit et en fonction des
utilisateurs et des contraintes de scurit

[Link]

Configuration dactivation du
plugin Java

0 pour ne jamais activer le plugin Java ( moins

que lentit souhaite utiliser ce plugin malgr les
risques de scurit encourus, auquel cas la valeur
donner serait 1 pour demander lautorisation
lutilisateur chaque excution du plugin Java)

[Link].x

Configuration dactivation du
plugin x, o x est remplacer
par le nom court du plugin
dsactiver (exemple : npctrl
pour Microsoft Silverlight. Les
noms courts des plugins sont
indiqus en affichant leurs informations dtailles depuis linterface graphique)

0 pour ne jamais activer le plugin, ou 1 pour

demander lautorisation lutilisateur avant chaque
excution du plugin

[Link]

Configuration dactivation des

autres plugins

0 pour ne jamais activer un plugin non explicitement autoris par les rgles prcdentes

[Link]

Configuration dactivation des

autres plugins au format XPI

0 pour ne jamais activer un plugin au format XPI

non explicitement autoris par les rgles prcdentes

plugins.click_to_play

Cliquer pour lire le contenu ncessitant un plugin

true pour activer le mode Cliquer pour lire

plugins.load_appdir_plugins Chargement automatique des

plugins depuis des emplacements utiliss avant Firefox 21

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

false

Page 17 sur 40

tant donn que seuls les modules complmentaires tl-dploys par les quipes informatiques
sont autoriss, il est recommand de bloquer toute possibilit dajout de modules complmentaires par
lutilisateur.
Nom de stratgie

Description

Valeur recommande

[Link].
[Link]

URL de rcupration dun module complmentaire

Mettre vide

[Link]

Nombre de rsultats maximum

[Link]

Mettre vide

[Link]

URL de recherche de modules complmentaires, par

API

Mettre vide

[Link]

Afficher le panneau dajout de modules complmentaires

false

[Link]

Cacher le bouton dinstallation manuelle dextensions

true

[Link] URL du catalogue dextensions

Mettre vide

[Link]

Autoriser linstallation manuelle de modules au format

XPI

false

[Link]

Obligation pour une archive XPI dtre en liste blanche

pour tre installe manuellement

true

[Link]
[Link].*

Liste blanche darchives XPI pouvant tre installes

manuellement

Mettre vide

Pour finir, lentit devra choisir sa stratgie de mise jour des extensions tl-dployes. Lentit
qui voudra tl-dployer elle-mme les versions jour des modules complmentaires aprs une phase de
validation optera pour le paramtrage donn ci-dessous, la responsabilit du maintien en conditions de
scurit sera alors dporte sur les services informatiques en charge du dploiement de ces mises jour.
Dans le cas contraire, les valeurs par dfaut permettent une mise jour automatique des extensions
par Internet.
Nom de stratgie

Description

Valeur recommande

[Link].
checkAttributes

Vrifie les attributs du certificat de signature des

correctifs tlchargs

true

[Link].1.
sha1Fingerprint

Empreintes attendues du certificat de signature des

correctifs tlchargs

Laisser la valeur par dfaut

([Link]
:8F:35:22:9E:11:C9:A7:31
:04:49:A1:AA en date de
rdaction de ce document).

[Link].
autoUpdateDefault

Tlcharger et installer automatiquement les mises

jour dextensions

false

[Link]. URL de tlchargement des mises jour dextensions

URL
en arrire plan

Mettre vide

[Link]

Activer la mise jour des extensions

false

Page 18 sur 40

SSL/TLS et certificats :
Le paramtrage des suites cryptographiques autorises peut engendrer des problmes de compatibilit selon le contexte. Il est donc lgitime de prfrer ne pas modifier la configuration par dfaut.
Dans un soucis de durcissement, les recommandations suivantes pourraient toutefois tre appliques :
Nom de paramtre

Description

Valeur recommande

security.ssl3.dhe_dss_aes_128_sha

Autoriser ssl3.dhe_dss_aes_128_sha

false

security.ssl3.dhe_dss_aes_256_sha

Autoriser ssl3.dhe_dss_aes_256_sha

false

security.ssl3.dhe_dss_camellia_128_sha

Autoriser ssl3.dhe_dss_camellia_128_sha

false

security.ssl3.dhe_dss_camellia_256_sha

Autoriser ssl3.dhe_dss_camellia_256_sha

false

security.ssl3.dhe_rsa_aes_128_sha

Autoriser ssl3.dhe_rsa_aes_128_sha

true

security.ssl3.dhe_rsa_aes_256_sha

Autoriser ssl3.dhe_rsa_aes_256_sha

true

security.ssl3.dhe_rsa_camellia_128_sha

Autoriser ssl3.dhe_rsa_camellia_128_sha

false

security.ssl3.dhe_rsa_camellia_256_sha

Autoriser ssl3.dhe_rsa_camellia_256_sha

false

security.ssl3.dhe_rsa_des_ede3_sha

Autoriser ssl3.dhe_rsa_des_ede3_sha

false

security.ssl3.ecdhe_ecdsa_aes_128_gcm
_sha256

Autoriser ssl3.ecdhe_ecdsa_aes_128_gcm
_sha256

true

security.ssl3.ecdhe_ecdsa_aes_128_sha

Autoriser ssl3.ecdhe_ecdsa_aes_128_sha

true

security.ssl3.ecdhe_ecdsa_aes_256_sha

Autoriser ssl3.ecdhe_ecdsa_aes_256_sha

true

security.ssl3.ecdhe_ecdsa_rc4_128_sha

Autoriser ssl3.ecdhe_ecdsa_rc4_128_sha

false

security.ssl3.ecdhe_rsa_aes_128_gcm
_sha256

Autoriser ssl3.ecdhe_rsa_aes_128_gcm
_sha256

true

security.ssl3.ecdhe_rsa_aes_128_sha

Autoriser ssl3.ecdhe_rsa_aes_128_sha

true

security.ssl3.ecdhe_rsa_aes_256_sha

Autoriser ssl3.ecdhe_rsa_aes_256_sha

true

security.ssl3.ecdhe_rsa_des_ede3_sha

Autoriser ssl3.ecdhe_rsa_des_ede3_sha

false

security.ssl3.ecdhe_rsa_rc4_128_sha

Autoriser ssl3.ecdhe_rsa_rc4_128_sha

false

security.ssl3.rsa_aes_128_sha

Autoriser ssl3.rsa_aes_128_sha

true

security.ssl3.rsa_aes_256_sha

Autoriser ssl3.rsa_aes_256_sha

true

security.ssl3.rsa_camellia_128_sha

Autoriser ssl3.rsa_camellia_128_sha

false

security.ssl3.rsa_camellia_256_sha

Autoriser ssl3.rsa_camellia_256_sha

false

security.ssl3.rsa_des_ede3_sha

Autoriser ssl3.rsa_des_ede3_sha

false

security.ssl3.rsa_fips_des_ede3_sha

Autoriser ssl3.rsa_fips_des_ede3_sha

false

security.ssl3.rsa_rc4_128_md5

Autoriser ssl3.rsa_rc4_128_md5

false

security.ssl3.rsa_rc4_128_sha

Autoriser ssl3.rsa_rc4_128_sha

false

security.ssl3.rsa_seed_sha

Autoriser ssl3.rsa_seed_sha

false

Autres paramtres :
Nom de paramtre

Description

Valeur recommande

[Link]

Version
SSL/TLS

3 (ce qui correspond TLS 1.2)

[Link]

Version minimum de SSL/TLS

2 (ce qui correspond TLS 1.1)

maximum

[Link].allow_unrestricted_renego_
Activer la rengociation SSL
everywhere__temporarily_available_pref

false pour remdier une attaque par

le milieu connue

[Link].enable_false_start

Activer SSL False Start

false car non standardis et amenant

de potentielles vulnrabilits

[Link].enable_ocsp_stapling

Activer lOCSP stapling23

true

23. [Link]

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 19 sur 40

Nom de paramtre

Description

Valeur recommande

[Link].require_safe_
negotiation

Ncessite une ngociation SSL qui nutilise

pas une ancienne version SSL/TLS vulnrable des attaques par le milieu

true

[Link].treat_unsafe_
negotiation_as_broken

Informer lutilisateur (cadenas cass rouge

dans la barre de status) lorsque les ngociations SSL/TLS sont non scurises

true

[Link]. Charger la liste de sites dclars comme

preloadlist
utilisant HSTS (HTTP Strict Transport
Security 24 )

true

[Link].
allowInsecureFromHTTPS

Autoriser les WebSockets non scurise

pour un site consult en HTTPS

false

[Link]

Activer OCSP

2 pour vrifier le certificat partir de

lURL de service OCSP et de lautorit
de certification ayant sign le certificat. Notons que cette fonctionnalit
est critique pour des questions de
latence des rpondeurs OCSP (de lordre de 300ms pour les plus rapides
plus dune seconde pour les plus lents).
OCSP tend donc tre remplac par
des listes locales de certificats rvoqus dans dautres navigateurs, mais
Firefox ne dispose pas encore dune
telle liste. Une entit ayant des contraintes particulires quant la latence induite par OSCP pourrait opter
pour une dsactivation dOCSP avec
la valeur 0

[Link]

Ncessite la validation du certificat par

OCSP avant de continuer la navigation sur
le site

true si [Link] a t
configur true, ou false dans le cas
contraire.

security.cert_pinning.
enforcement_level

Niveau de certificate pinning (pinglage de

certificats)25 ( partir de Firefox 32)

2 pour utiliser lpinglage strict.

Gestionnaire de mots de passe :

Nom de paramtre

Description

Valeur recommande

[Link]

Effacer les mots de passe enregistrs la

fermeture du navigateur

true

[Link]

Active le gestionnaire de mots de passe

false

[Link]

Remplissage automatique des formulaires

de login

false

24. [Link]
25. Lpinglage de certificats permet davoir une base locale de certificats connus et attendus pour certains sites Web
consults en HTTPS. Ainsi, si le certificat prsent par le serveur est valide en tous points de vue mais nest pas le
certificat attendu, la connexion sera coupe. Ce mcanisme permet dviter une attaque par le milieu prsentant un faux
certificat issu dune autorit de certification de confiance.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 20 sur 40

Confidentialit :
Il nexiste pas, en date de rdaction de cette note, de rgle globale pour la dsactivation de Firefox
Sync. Sa dsactivation se fait par consquent travers plusieurs rgles de configuration.
Nom de paramtre

Description

[Link].
[Link]

Activer la journalisation (dumps) du service de rapports de sant

false

[Link].
nextDataSubmissionTime

Date de prochaine soumission de rapport

de sant

Mettre vide

[Link]

plugins

false

[Link].
[Link]

Activer le rapport de crash du sousprocessus flash

false

[Link]

Activer la fonctionnalit de tlmtrie

false

[Link]

Adresse du serveur de tlmtrie

Mettre vide

[Link]

URL du rapport de crash

Mettre vide

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 21 sur 40

Il peut galement tre utile de configurer loption de suppression des donnes prives (Clear Private
Data) en slectionnant les lments qui seront supprims. Lentit pourra par exemple permettre aux
utilisateurs de supprimer leurs donnes prives dans le cadre dune navigation sur internet ou bien, de
linterdire sil sagit dun navigateur ddi lintranet. Une entit pourrait galement vouloir toujours
garder les historiques et le cache des fins dinvestigation (cela nempchera toutefois pas lutilisateur
de les supprimer directement au niveau du systme de fichiers dans son profil utilisateur).

Nom de paramtre

lors dune suppression des donnes prives

Au choix de lentit

[Link]

Supprimer les mots de passe enregistrs lors dune suppression des donnes prives

Au choix de lentit

[Link]

Supprimer les sessions en cours enregistres lors dune

suppression des donnes prives

Au choix de lentit

[Link]

Supprimer les paramtres par site lors dune suppression

des donnes prives

Au choix de lentit

[Link].
sanitizeOnShutdown

Supprimer les donnes prives la fermeture du navigateur

true

[Link]

activer la golocalisation

false

[Link]

URI du service de golocalisation utiliser

Mettre vide

[Link]-next

Tlchargement prdictif anticip des documents lis la page Web visits (link prefetching)26

false pour viter ltablissement de connexions et le

tlchargement de contenu
non sollicits

[Link] Contourne la permission daccder la webcam

false

[Link]

Activer lenvoi de lentte referer

0 pour plus danonymat, ou 2

pour ne pas empcher le fonctionnement de certains sites

browser.send_pings

Activer lenvoi de requte POST lors du clic

sur un lien (fonctionnalit souvent utilise
pour tracer les clics)

false

26. Le link prefetching permet dacclrer le surf en anticipant le chargement des documents lis la page visits.
Limplmentation de ce mcanisme dans Firefox ne transmet aucune information Mozilla. Pour plus dinformations :
[Link]

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 22 sur 40

Filtrage de contenu :
Actions autorises aux les scripts :
Nom de paramtre

Description

Valeur recommande

dom.allow_scripts_to_close_windows

Autoriser les scripts fermer

une fentre

false

dom.disable_image_src_set

Interdire la modification des

images sources par script

true

dom.disable_window_flip

Interdire le changement de
fentre active par script

true

dom.disable_window_move_resize

Dtermine si les fentres

peuvent tre bouges or redimensionnes par script

false

dom.disable_window_open_feature.close

Interdire la cration
fentre sans bouton
fermeture

de
de

true pour viter les popups invasifs

dom.disable_window_open_feature.location

Interdire la cration de
fentre sans barre dadresse

true pour que lutilisateur puisse

toujours vrifier tre ladresse
prvue

dom.disable_window_open_feature.status

Interdire la cration de
fentre sans barre de status

true pour que lutilisateur puisse

se rendre contre plus facilement
des tentatives de spoofing

dom.disable_window_open_feature.titlebar

Interdire la cration de
fentre sans barre de titre

true pour que lutilisateur puisse

bien voir quil sagit dun popup
Firefox

dom.disable_window_open_feature.toolbar

Interdire la cration de
fentre sans barre doutils

false

[Link]

Permettre un script de
saisir les vnements du
presse papier

false

[Link]

Permettre un script de
saisir les vnements daccs au menu contextuel (clic
droit)

false

[Link]

Activer la communication
par API entre applications

false

[Link]

Activation du plugin container

true pour excuter les plugins

dans le plugin-container

[Link]

Excuter Java au sein du

plugin-container

false pour viter des problmes

de stabilit

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 23 sur 40

Nom de stratgie

Description

Valeur recommande

[Link]

Utiliser la navigation scurise

(protection contre le phishing et
les logiciels malveillants)27

true

[Link]

Activation de Javascript

true

[Link] Autoriser le scripting de plugins

par des scripts qui ne sont pas
de confiance

false moins dune incompatibilit avec

des plugins et/ou pages Web ncessaires
lentit

security.mixed_content.
block_active_content

Bloquer le contenu mixte actif

true

security.mixed_content.
block_display_content

Bloquer le contenu mixte passif

false

[Link].
strict_origin_policy

Politique dorigine stricte pour

les URi de type fichiers

true sauf pour les populations de

dveloppeurs quun tel paramtre pourrait
bloquer pour le dveloppement en local

[Link]

Politique de gestion des cookies

1 pour nautoriser que les cookies du

serveur dorigine, et bloquer les cookies
tiers

[Link]

Politique dexpiration des cookies

2 pour conserver les cookies pendant toute

la dure de la session seulement

[Link] Restreindre les cookies tiers la

dure de la session seulement

true

[Link]-unsafe-types

Nouvrir que les .jar servis avec

un content-type adquat

false

[Link]

Politique de popups

Moteur de recherche utiliser en

priorit 1

[Link]

activer les suggestions

false

[Link]

Recherche de mises jour pour les

modules de recherche

false

[Link]

Permettre de faire une recherche

depuis la barre dadresse

true

Page(s) daccueil
Nom de stratgie

Description

Valeur recommande

startup.homepage_override_url

Page daccueil aprs une mise jour de Firefox

En fonction du choix de lentit

Restauration de session aprs crash

false

[Link]

Activer le service de restauration de session

false

[Link]

Page ouverte par dfaut lors de la cration

dun nouvel onglet de navigation

about :blank pour une page vide,

ou ladresse dun site Web ou
intranet selon le choix de lentit

28. Ceci nest en aucun cas une recommandation ni une incitation son utilisation mais un simple exemple.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 25 sur 40

Authentification HTTP :
Nom de stratgie

Description

Valeur recommande

[Link]-generic-ntlm

Utiliser le module dauthentification NTLM de Firefox

plutt que celui fourni par
les APIs du systme

false

[Link]-sspi

Utiliser SSPI plutt que

GSSAPI pour lauthentification Kerberos

true sous Windows

[Link]-lm-response

Envoyer le LM Hash dans la

rponse NTLM

false

[Link]-proxies

Authentification par NTLM

automatique
avec
les
serveurs proxy

Au choix de lentit en fonction du systme

dauthentification utilis par le serveur proxy
dentreprise

[Link]-uris

Liste des URIs autorises

pour lauthentification par
NTLM automatique

Liste de valeurs spares par des virgules (exemple : [Link], [Link]

Lentit y fera figurer les adresses de tous
les sites ayant recours une authentification
NTLM automatique

[Link]-non-fqdn

Autoriser lauthentification
NTLM automatique avec
des sites sans FQDN

false moins que la liste [Link]-uris comporte des adresses

sans FQDN

[Link]-nonfqdn

Autoriser lauthentification
SPNEGO avec des sites sans
FQDN

En fonction de lentit

[Link]

Autoriser SPNEGO29 si demand par un serveur proxy

Au choix de lentit en fonction du systme

dauthentification utilis par le serveur proxy
dentreprise

[Link]

Liste des URIs autorises

pour lesquels le navigateur
peut dlguer lautorisation
de lutilisateur

Liste de valeurs spares par des virgules (exemple : [Link], [Link]

Lentit y fera figurer les adresses de tous
les sites auxquels elle souhaite permettre la
dlgation SPNEGO

[Link]-uris

Liste des URIs autorises

pour engager une authentification SPNEGO

Liste de valeurs spares par des virgules (exemple : [Link], [Link]

Lentit y fera figurer les adresses de tous
les sites ayant recours une authentification
SPNEGO

[Link]

Chemin vers une librairie

GSSLIB spcifique

Mettre vide

[Link]-gsslib

Utiliser la librairie GSSLIB

native du systme

true

security.default_personal_cert

Choix du certificat dauthentification client

Ask Every Time

29. SPNEGO est un standard qui permet de ngocier de lauthentification Kerberos, NTLM, ainsi que dautres
protocoles supports pour le systme. SPNEGO est galement connu sous le nom du protocole dauthentification
negociate . Pour plus dinformations : [Link]

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 26 sur 40

Serveur mandataire :
Nom de paramtre

Description

Valeur recommande

[Link].autoconfig_url

URL de configuration automatique du

proxy

Laisser vide

[Link]

Adresse du proxy FTP

renseigner selon la configuration

de lentit et si un tel proxy est utilis

[Link].ftp_port

port du proxy FTP

renseigner selon la configuration

de lentit et si un tel proxy est utilis

[Link]

Adresse du proxy proxy HTTP

renseigner selon la configuration

de lentit et si un tel proxy est utilis

[Link].http_port

port du proxy HTTP

renseigner selon la configuration

de lentit et si un tel proxy est utilis

[Link].no_proxies_on

Liste dexceptions lutilisation du serveur

proxy

A minima localhost, [Link] et

davantage en fonction de lentit et
du primtre dutilisation du navigateur

[Link].share_
proxy_settings

1.1 par dfaut et en fonction du

serveur proxy de lentit

[Link]

Activer le pipelining30 par proxy

false pour des raisons de compatibilit. Lentit peut choisir de lactiver si le pipelining est support par
son serveur proxy dentreprise

[Link]

Saisie automatique du mot de passe de

proxy

false

30. Le pipelining permet de faire plusieurs requtes HTTP simultanment plutt que de les faire squentiellement en
attendant les rponses de chacune dentre elles. Pour plus dinformations : [Link]
netlib/http/[Link].

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 27 sur 40

Primtre de navigation :
Nom de paramtre

Description

Valeur recommande

[Link]-all

Dtermine si le navigateur essaye

douvrir les liens cliqus dans le
navigateur en priorit avant de
laisser le systme sen charger en cas
dchec (si le protocole du lien en
question nest pas support par le
navigateur)

true

[Link]-default

Avertir lutilisateur avant

charger
un
gestionnaire
protocole tiers

true

[Link]-default

Action pour louverture dun protocole non pris en charge par le

navigateur

false de manire ne pas essayer

de charger des protocoles non pris en
charge nativement par le navigateur. Lentit renseignera ventuellement des gestionnaires de protocoles tiers pour des
protocoles quelle souhaite explicitement
permettre, tels que NNTP :, Mailto :,
etc. Pour illustrer par lexemple avec
Mailto :, le paramtre [Link] aurait pour valeur
true et le paramtre [Link] avec pour valeur le
chemin dun excutable comme Mozilla
Thunderbird ou Microsoft Outlook

[Link]

Gestionnaire de protocole file://

sous Firefox

false

[Link]

Gestionnaire de protocole ftp://

sous Firefox

false

[Link].
allowRegisterFromDifferentHost

Autoriser les sites Web installer

des gestionnaires de protocoles ou
de contenus utilisable pour des
htes tiers

false

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

de
de

Page 28 sur 40

Administration systme, maintenance, et options diverses :

Paramtrage des mises jour :
Nom de paramtre

Description

Valeur recommande

[Link]

Activation de la mise jour automatique

true

[Link]

Tlchargement
et
installation
automatiques (ncessite que le paramtre
[Link] ait pour valeur
true)

true

[Link]

Vrifie les attributs du certificat du serveur

de mise jour

tlcharges en arrire plan

0 pour tlcharger toutes les mises

jour sans intervention de lutilisateur

[Link]

Firefox

En fonction de la stratgie de mise

jour de lentit. Pour une mise jour
depuis les serveurs de Mozilla :
[Link]
update/3/%PRODUCT%/%VERSION%
/%BUILD_ID%/%BUILD_TARGET%/%
LOCALE%/%CHANNEL%/%OS_VERSION%
/%DISTRIBUTION%/%DISTRIBUTION_
VERSION%/[Link], sinon lURL
du serveur de mise jour interne
de lentit (quil faudra galement
renseigner dans le paramtre
[Link])

[Link]

URL de rcupration des mises jour de

Firefox

Paramtre renseigner uniquement

dans le cas ou la mise jour de
Firefox se fait depuis lURL dun
serveur de mise jour interne de
lentit ( renseigner en plus du
paramtre [Link])

[Link]

URL de consultation des informations relatives aux mises jour disponibles

Laisser la valeur par dfautr

[Link]
%LOCALE%/firefox/notes

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 29 sur 40

Configuration du cache :
Nom de paramtre

Description

Valeur recommande

[Link].check_doc_frequency

Quand vrifier la mise jour dune page en

cache disque

3 (vrifier quand la page est

prime)

[Link].compression_level

Niveau de compression du cache disque

Au choix de lentit, de 0
(pas de compression) 9
(haut taux de compression
avec forte sollicitation du processeur)

[Link]

Espace disque allou au cache disque, en

Au choix de lentit

[Link]

Utiliser le cache disque

true

[Link].max_entry_size

Taille maximum (en Kb) dune entre en

cache disque

Au choix de lentit

[Link].smart_size.enabled

Allocation intelligente de lespace disque

allou au cache en fonction de lespace
disponible

Au choix de lentit

[Link].disk_cache_ssl

Mettre en cache disque les pages visites

en HTTPS

False de manire ne pas

mettre en cache le contenu
SSL

[Link]

Utiliser le cache mmoire

true

[Link].max_entry_size

Taille maximum (en Kb) dune entre en

cache mmoire

Au choix de lentit

[Link].memory_limit

Mmoire maximum utilise pour le cache

mmoire, en Kb

Au choix de lentit

[Link]

Espace disque allou au cache des applications Web

Au choix de lentit

[Link]

Utiliser le cache des applications Web permettant une utilisation hors ligne

Au choix de lentit

[Link].use_new_backend

Utilisation du nouveau systme de cache

0 (ne pas utiliser pour des

questions de stabilit)

[Link]-cache

Utiliser le cache des documents HTTP

true

media.cache_size

Taille du cache pour les fichiers multimedia

Au choix de lentit, par dfaut 512000

[Link].default_quota

Quota de stockage ct client pour les

pages Web

5120, taille par dfaut

[Link]

Active le stockage ct client pour les pages

Web

true dfaut de vulnrabilits connues pour cette fonctionnalit

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 30 sur 40

Dsactiver les options de dveloppement (sauf pour les populations de dveloppeurs) :

Nom de paramtre

Description

Valeur recommande

[Link]

Activation des outils de dveloppement, module appmanager

false

[Link]

false

[Link]

Activation des outils de dveloppement, module rseau

false

[Link]

Activation des outils de dveloppement, module profileur

[Link]

Activer seer

false

[Link]

Activer le pipelining pour le surf

HTTP/1.1

false pour des raisons de compatibilit

avec les serveurs Web. Le pipelining peut
ventuellement tre utilis pour un navigateur ddi lintranet si lentit sait
lensemble de ses serveurs compatibles

[Link]

Activer le pipelining pour le surf

HTTPS/1.1

false pour des raisons de compatibilit

avec les serveurs Web. Le pipelining peut
ventuellement tre utilis pour un navigateur ddi lintranet si lentit sait
lensemble de ses serveurs compatibles

[Link]

Activer SPDY31

false

[Link].v2

Activer SPDY v2

false

[Link].v3

Activer SPDY v3

false

[Link].v3-1

Activer SPDY v3.1

false

[Link]

Vrifier si Firefox est configur

comme navigateur par dfaut

false dans le cadre de double navigateurs.

[Link].
scanWhenDone

Scan antivirus dun fichier lorsque

son tlchargement est termin

true

[Link]

Utiliser le rpertoire de tlchargement par dfaut

false pour que lutilisateur indique

quel emplacement il souhaite tlcharger
le fichier

[Link]

Cacher la barre doutils et donglets

en mode plein cran

false

31. SPDY est un protocole rseau exprimental de Google visant augmenter les capacits du protocole HTTP pour
rduire le temps de chargement des pages Web en classant les objets par ordre de priorit et en multiplexant les transferts
pour ne ncessiter quune seule connexion. Ce protocole est vulnrable aux attaques CRIME (Compression Ratio Info-leak
Made Easy) lorsquil est utilis avec HTTPS (ce qui est gnralement le cas).

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 31 sur 40

Annexe II : Dploiement et configuration centralise dans un

domaine Active Directory par GPP
Cette annexe prsente de manire synthtique une mthode de configuration centralise reposant
sur Active Directory.

Tlchargement de lexcutable dinstallation

La dernire version de Firefox est disponible sur le site Web de Mozilla 32 .
Le tlchargement nest propos quau format excutable. Son dploiement sera effectu selon les
mthodes utilises par chaque entit. Pour un dploiement par GPO au format MSI, un repaquettage
de lexcutable est ncessaire mais cela ncessite lusage doutils tiers.

Fichiers de configuration
La mthode de configuration centralise et verrouille de Firefox prsente dans cette annexe
consiste en la cration dun minimum de deux fichiers texte :
un fichier [Link] dposer dans le sous dossier defaults\pref\ du rpertoire
dinstallation de Firefox. Ce fichier, par convention, se contente de rfrencer un deuxime fichier
de configuration plus complet ;
un fichier [Link] (ou quelconque autre nom la discrtion de lentit) dposer directement dans le rpertoire dinstallation de Firefox et qui contient lensemble des paramtres de
configuration souhaits.
Fichier [Link] :
pref ( " general . c o n f i g _ o b s c u r e _ v a l u e " , 0) ; // fichier de configuration sans encodage
pref ( " general . config . filename " ," mozilla . cfg " ) ;

Fichier [Link] qui contient tous les paramtres de configuration souhaits :

// Configuration de Firefox
try {
// Options de configuration de proxy
lockPref ( " network . proxy . http " ," [Link] " ) ;
lockPref ( " network . proxy . http_port " ,3128) ;
lockPref ( " network . proxy . ssl " ," [Link] " ) ;
lockPref ( " network . proxy . ssl_port " ,3128) ;
// Autres options de configuration ...
// ...
} catch ( e ) {
displayError ( " Erreur dans le fichier de configuration local : " , e ) ;
}

32. Version ESR : [Link] Version standard : [Link]

[Link]/en-US/firefox/new/.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 32 sur 40

Il est prcis que pour davantage de flexibilit, il est galement possible de centraliser ce dernier
fichier de configuration sur un espace partag 33 comme un site Web interne. Dans ce cas, le fichier
[Link] devient un simple chargeur dURL vers un troisime fichier de configuration :
// Configuration de Firefox - Chargeur URL
try {
// Options de configuration de proxy
lockPref ( " autoadmin . g l o b a l _ c o n f i g _ u r l " , " http :// intranet . local / config . cfg " ) ;
lockPref ( " autoadmin . a p p e n d _ e m a i l a d d r " , false ) ;
// Autres options de configuration ...
// ...
} catch ( e ) {
displayError ( " Erreur dans le fichier de configuration local : " , e ) ;
}

Le fichier [Link] (ou un quelconque autre nom la discrtion de lentit) prcdemment

rfrenc et dpos lURL indique devient alors le fichier contenant tous les paramtres de configuration souhaits. Ce fichier est charg chaque lancement de Firefox :
// Configuration de Firefox
try {
// Options de configuration de proxy
lockPref ( " network . proxy . http " ," [Link] " ) ;
lockPref ( " network . proxy . http_port " ,3128) ;
lockPref ( " network . proxy . ssl " ," [Link] " ) ;
lockPref ( " network . proxy . ssl_port " ,3128) ;
// Autres options de configuration ...
// ...
} catch ( e ) {
displayError ( " Erreur dans le fichier de configuration distant : " , e ) ;
}

En suivant cette mthode, la configuration Firefox sera commune tous les comptes utilisateurs
dun poste de travail o la configuration est tl-dploye.

Tl-dploiement des fichiers de configuration par GPP/GPO

Les fichiers de configuration requis sur les postes ([Link] et [Link] dans lexemple donn prcdemment) peuvent tre dploys simplement par GPP (Group Policy Preferences).
tant donn que Firefox nest pas install dans un dossier identique sur les systmes 32 et 64 bits,
il est donc ncessaire de raliser le dploiement de manire distincte en fonction du type de systme
dexploitation.
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits, il est possible dutiliser la fonctionnalit de filtre WMI des stratgies de groupes (dans lespace de noms "root\CIMV2" avec la requte Select * from Win32_Processor where AddressWidth = 64 ). Pour appliquer une GPO
aux seuls postes utilisateurs 32 bits, la requte devient Select * from Win32_Processor where
AddressWidth = 32 ). Ce filtre WMI permet alors dappliquer chacune des deux GPP de dploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement.

33. Lentit veillera la scurit daccs de cet espace, pour viter que le fichier de configuration puisse tre modifi par
un utilisateur non privilgi. Elle tudiera galement la compatibilit avec ses postes nomades. Lorsque lespace partag
est temporairement indisponible, le lancement de Firefox est retard denviron trois secondes, mais la configuration
obtenue au dernier chargement russi reste applique.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 33 sur 40

Au niveau de la console de gestion des stratgies de groupe du domaine, ces deux GPO auront les
paramtres suivants :

Figure 3 GPO de dploiement du fichier [Link] sur les systmes 64 bits.

Figure 4 GPO de dploiement du fichier [Link] sur les systmes 64 bits.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 34 sur 40

Figure 5 GPO de dploiement du fichier [Link] sur les systmes 32 bits.

Figure 6 GPO de dploiement du fichier [Link] sur les systmes 32 bits.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 35 sur 40

Annexe III : Dploiement et matrise des magasins de certificats des

profils utilisateurs Firefox
Tout dabord, il est prcis quun crasement du fichier [Link] dun profil Firefox a pour rsultat
de supprimer les certificats utilisateurs quil contient (il ne restera alors plus que les cls prives associes
ces derniers dans le fichier [Link]). La complexit de dploiement et de matrise des magasins de
certificats des profils utilisateurs varie donc en fonction du contexte dutilisation du navigateur.
Il noter galement que les certificats dautorits racines de confiance pr-intgrs Firefox sont
prsents en dur dans lexcutable Firefox et non pas dans les magasins de certificats [Link]. Il nest
donc pas possible de les supprimer moins de recompiler Firefox partir des sources 34 (ces certificats
sont renseigns dans le fichier [Link] lemplacement security/nss/lib/ckfw/builtins/ de
larborescence des sources).

Scnario 1 : les utilisateurs de Firefox najoutent pas de certificats utilisateurs

leur magasin de certificats Firefox
Dans ce cas, une solution simple consiste copier rgulirement un fichier [Link] de rfrence
dans les profils Firefox des utilisateurs. Comme le nom des sous dossiers de profils Firefox ne peuvent pas
tre dtermins lavance, il nest pas possible de copier ce fichier par GPP (Group Policy Preferences).
Par contre, cela peut tre fait simplement par GPO via un script douverture de session. Le script
PowerShell suivant illustre une manire de procder :
# R p e r t o i r e c o n t e n a n t l e f i c h i e r c o p i e r
$ s F F C e r t L o c a t i o n = chemin v e r s l e r p e r t o i r e l o c a l ou l e p a r t a g e r s e a u c o n t e n a n t c e r t 8 . db
# F i c h i e r c e r t 8 . db c o p i e r
$sFFCertDB = " $ s F F C e r t L o c a t i o n \ c e r t 8 . db"
# Chemin c o m p l e t v e r s l e s p r o f i l s F i r e f o x
$ s F F P r o f i l e s = $env :APPDATA + \ M o z i l l a \ F i r e f o x \ P r o f i l e s
$ l F F P r o f i l e s = GetC h i l d I t e m Path $ s F F P r o f i l e s |
WhereO b j e c t { $_ . A t t r i b u t e s band [ System . IO . F i l e A t t r i b u t e s ] : : D i r e c t o r y }
# Copie e t remplacement du f i c h i e r dans l e s p r o f i l s F i r e f o x
foreach ( $oProfile in $lFFProfiles ) {
CopyItem Path $sFFCertDB D e s t i n a t i o n $ o P r o f i l e . FullName F o r c e
}

Le fichier de rfrence dployer peut tre rcupr sur un profil Firefox existant dont le magasin
de certificats t configur, ou bien encore cr en utilisant loutil de gestion de magasins certificats
de Mozilla [Link] 35 .
34. Les sources de Firefox sont disponibles sur le site de Mozilla ladresse [Link]
docs/Tlchargement_du_code_source_de_Mozilla.
35. Voici un article expliquant lutilisation de [Link] sur le site de Mozilla : [Link]
en-US/docs/Mozilla/Projects/NSS/tools/NSS_Tools_certutil. Loutil compil nest plus propos au tlchargement
par Mozilla, mais les sources sont disponibles ladresse [Link]
releases/ et un article de Mozilla explique la procdure de compilation suivre : [Link]
en-US/docs/Mozilla/Developer_guide/Build_Instructions/Windows_Prerequisites.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 36 sur 40

Scnario 2 : les utilisateurs de Firefox sont susceptibles dajouter des certificats

utilisateurs leur magasin de certificats Firefox
Dans ce cas, le fichier [Link] ne doit pas tre cras. Les magasins de certificats devront alors
tre mis jour par lignes de commandes en utilisant loutil de Mozilla [Link]. La premire tape
consiste dployer loutil [Link] et ses dpendances sur les postes utilisateurs. Cela peut tre
ralis par GPP avec la mthode illustre en annexe II. Le dossier de destination est sans importance
et au choix de lentit. Les fichiers copier sont :
[Link] ;
[Link] ;
[Link] ;
[Link] ;
[Link] ;
[Link] ;
[Link] ;
[Link].
Par la suite, diffrents scripts douverture de session permettraient de matriser les magasins de
certificats des profils utilisateurs Firefox. Voici quelques exemples de scripts PowerShell. Ces scripts
sont des illustrations permettant au lecteur de mieux apprhender la problmatique de matrise des
magasins de certificats Firefox. Ils ncessitent une adaptation lenvironnement de lentit avant tout
test et passage en production.
Script permettant de supprimer tous les certificats ajouts aux magasins de certificats des profils
utilisateurs Firefox, tout en y prservant les certificats utilisateurs :
#
#
#
#
#
#
#
#

S c r i p t de s u p p r e s s i o n d e s c e r t i f i c a t s a j o u t s aux ma g as i ns d e s
p r o f i l e s Firefox , l exception des c e r t i f i c a t s u t i l i s a t e u r s .
Attention :
Ce s c r i p t e s t s e n s i b l e au f o r m a t de s o r t i e de l o u t i l c e r t u t i l . e x e
S i l v e n a i t changer , c e s c r i p t s e r a i t r a d a p t e r .
I l e s t p r i m o r d i a l de t e s t e r c e s c r i p t dans l e n v i r o n n e m e n t
de l e n t i t avant son ex c u t i o n en p r o d u c t i o n s u r l e s p o s t e s de t r a v a i l

SetS t r i c t M o d e V e r s i o n 2 . 0
# R p e r t o i r e de c e r t u t i l c h a n g e r par c e l u i de l e n t i t
$ s P a t h T o C e r t u t i l = E : \PROJETS\ F i r e f o x \NSS 3 . 1 4 . 2 \ NSS 3 . 1 4 . 2 \ c e r t u t i l . e x e
# Chemin c o m p l e t v e r s l e s p r o f i l s F i r e f o x
$ s F F P r o f i l e s = $env :APPDATA + \ M o z i l l a \ F i r e f o x \ P r o f i l e s
$ l F F P r o f i l e s = GetC h i l d I t e m Path $ s F F P r o f i l e s | WhereO b j e c t { $_ . A t t r i b u t e s band [
System . IO . F i l e A t t r i b u t e s ] : : D i r e c t o r y }
# Pour chaque p r o f i l F i r e f o x :
foreach ( $oProfile in $lFFProfiles ) {
$sPathToDB = $ o P r o f i l e . FullName
# Ex c u t i o n de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s
$ s C e r t u t i l O u t p u t = &" $ s P a t h T o C e r t u t i l " L d "$sPathToDB"
$ a L i n e s = $ s C e r t u t i l O u t p u t S p l i t [ \ r \n ]
# A t t r i b u t s d e s c e r t i f i c a t s ne pas s u p p r i m e r
# ( " u , u , u" pour l e s c e r t i f i c a t s u t i l i s a t e u r s )
$ s A t t r i b u t e s T o K e e p = @( u , u , u )
foreach ( $sLine in $aLines ) {
$sAttributes =
$sNickName =

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 37 sur 40

# S u p r e s s i o n d e s l i g n e s v i d e s e t de l ent t e
$ s L i n e = $ s L i n e . Trim ( )
i f ( [ s t r i n g ] : : IsNullOrEmpty ( $ s L i n e ) Or
( $ s L i n e match ^\ s C e r t i f i c a t e Nickname \ s+Trust A t t r i b u t e s \ s $ ) Or
( $ s L i n e match ^\ s SSL , S/MIME, JAR/XPI\ s $ ) ) {
continue
}
# R cup r a t i o n d e s a t t r i b u t s en f i n de l i g n e
f o r ( $ i = $ s L i n e . Length 1 ; $ i ge 0 ; $ i ) {
i f ( $ s L i n e [ $ i ] . T o S t r i n g ( ) match ^\ s $ ) {
break
}
$sAttributes = $sLine [ $i ] + $sAttributes
}

# R cup r a t i o n du nom c o n v i v i a l
i f ( $ i g t 0 ) {
$sNickName = $ s L i n e . S u b s t r i n g ( 0 , $ i ) . Trim ( )
}
i f ( $ s A t t r i b u t e s n o t c o n t a i n s $ s A t t r i b u t e s T o K e e p ) {
&" $ s P a t h T o C e r t u t i l " D n " $sNickName " d "$sPathToDB"
i f ( ! $ ?) {
WriteOutput "Le c e r t i f i c a t $sNickName n a pas t supprim . "
}
}

Script permettant dajouter 36 des certificats serveurs ou dautorits de certification racines de

confiance de lentit :
#
#
#
#
#
#

S c r i p t d a j o u t de c e r t i f i c a t s dans l e s m ag a si n s de c e r t i f i c a t s d e s
p r o f i l s Firefox
Attention :
I l e s t p r i m o r d i a l de t e s t e r c e s c r i p t dans l e n v i r o n n e m e n t
de l e n t i t avant son ex c u t i o n en p r o d u c t i o n s u r l e s p o s t e s de t r a v a i l

# L i s t e de c e r t i f i c a t s i m p o r t e r
# Chemin c o m p l e t de c e r t u t i l . ex ( c h a n g e r par c e l u i de l e n t i t )
$ s P a t h T o C e r t u t i l = E : \PROJETS\ F i r e f o x \NSS 3 . 1 4 . 2 \ NSS 3 . 1 4 . 2 \ c e r t u t i l . e x e
# C e r t i f i c a t s i m p o r t e r , s o u s forme de t r i p l e t s ( chemin du . c e r , nom c o n v i v i a l , a t t r i b u t s )
$ a C e r t s = @(
# A u t o r i t s de c e r t i f i c a t i o n
( E : \PROJETS\ F i r e f o x \ CACerts \MONAC. c e r , MONAC , c , c , c ) ,
# Certificats serveurs
( E : \PROJETS\ F i r e f o x \ SSLSrvCerts \MONSERVER. c e r , MONSERVER , P , , )
)
# Chemin c o m p l e t v e r s l e s p r o f i l s F i r e f o x
$ s F F P r o f i l e s = $env :APPDATA + \ M o z i l l a \ F i r e f o x \ P r o f i l e s
$ l F F P r o f i l e s = GetC h i l d I t e m Path $ s F F P r o f i l e s |
WhereO b j e c t { $_ . A t t r i b u t e s band [ System . IO . F i l e A t t r i b u t e s ] : : D i r e c t o r y }
# Pour chaque p r o f i l F i r e f o x
foreach ( $oProfile in $lFFProfiles ) {
$PathToDB = $ o P r o f i l e . FullName
# Ex c u t i o n de c e r t u t i l pour i m p o r t e r l e s
f o r e a c h ( $aC ert i n $ a C e r t s ) {

certificats

36. Lajout de certificats ncessite le positionnement dattributs de confiance pour chacun des 3 primtres (SSL/TLS,
S/MIME, JAR/XPI). La liste des attributs possibles est consultable ladresse [Link]
docs/Mozilla/Projects/NSS/tools/NSS_Tools_certutil.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 38 sur 40

&" $ s P a t h T o C e r t u t i l " A n $ aCe rt [ 1 ] t $a Cer t [ 2 ] i $a Cer t [ 0 ] d "$PathToDB"

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 39 sur 40

Annexe IV : Tl-dploiement par GPO dun module de recherche

personnalis
Un module de recherche consiste en un fichier XML stock dans le sous dossier searchplugins
dun profil Firefox (pour un utilisateur) ou bien du rpertoire dinstallation de Firefox (pour tous les
utilisateurs de la machine). Lobtention de nouveaux modules de recherche peut se faire simplement
ladresse [Link] chaque moteur ajout se
verra alors stock dans le profil Firefox sous la forme dun fichier XML pr-configur. Un administrateur
qui souhaite tl-dployer un module de recherche personnalis (moteur de recherche en intranet par
exemple) pourra alors aisment adapter un de ces fichiers XML ses besoins.
Pour lajout du moteur de recherche [Link] , le contenu du fichier XML serait le
suivant :
<S e a r c h P l u g i n xmlns=" h t t p : / /www. m o z i l l a . o r g /2006/ b r o w s e r / s e a r c h / "
xmlns : o s=" h t t p : / / a9 . com// s p e c / o p e n s e a r c h / 1 . 1 / ">
<o s : ShortName>moteur . i n t r a n e t . f r </o s : ShortName>
<o s : D e s c r i p t i o n >moteur de r e c h e r c h e i n t r a n e t </o s : D e s c r i p t i o n >
<o s : InputEncoding>UTF8</o s : InputEncoding>
<o s : Image width=" 16 " h e i g h t=" 16 ">data : image / png ; base64 , image au f o r m a t png en
base64 </o s : Image>
<SearchForm>h t t p s : / / moteur . i n t r a n e t . f r /</SearchForm>
<o s : U r l t y p e=" a p p l i c a t i o n /xs u g g e s t i o n s+j s o n " method="GET"
t e m p l a t e=" h t t p : / / moteur . i n t r a n e t . f r / s u g g e s t ">
<o s : Param name="q" v a l u e=" { searchTerms } "/>
<o s : Param name=" c l i e n t " v a l u e=" f i r e f o x "/>
</o s : Url><o s : U r l t y p e=" t e x t / html " method="GET" t e m p l a t e=" h t t p s : / / moteur . i n t r a n e t . f r / ">
<o s : Param name="q" v a l u e=" { searchTerms } "/>
<o s : Param name=" c l i e n t " v a l u e=" f i r e f o x "/>
</o s : Url>
</S e a r c h P l u g i n >

Dans ce fichier, il convient de remplacer les termes image au format png en base64 par une
image au format PNG dune taille de 16*16 pixels et encode en base64.
Pour dployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins du
rpertoire dinstallation de Firefox, il est possible dutiliser les GPP (Group Policy Preferences) avec
la mthode illustre en annexe II.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Page 40 sur 40

Vous aimerez peut-être aussi

Sécurité Web : Recommandations ANSSI
Pas encore d'évaluation
Sécurité Web : Recommandations ANSSI
76 pages
Sécurité Informatique Sur Le Web
Pas encore d'évaluation
Sécurité Informatique Sur Le Web
17 pages
Bitdefender GravityZone EndpointSecurity UsersGuide FRFR
Pas encore d'évaluation
Bitdefender GravityZone EndpointSecurity UsersGuide FRFR
32 pages
Web Interface Administrators Guide
Pas encore d'évaluation
Web Interface Administrators Guide
200 pages
Firefox Guide Durcissement v1 20241118
Pas encore d'évaluation
Firefox Guide Durcissement v1 20241118
17 pages
GuideSecurite Organisations V1 1 WEB1
Pas encore d'évaluation
GuideSecurite Organisations V1 1 WEB1
112 pages
Filr1 User
Pas encore d'évaluation
Filr1 User
82 pages
Extensions pour navigateurs : Guide pratique
Pas encore d'évaluation
Extensions pour navigateurs : Guide pratique
113 pages
Sécurité d'Internet Explorer 7 expliquée
Pas encore d'évaluation
Sécurité d'Internet Explorer 7 expliquée
41 pages
Sécurisation Web: Cas Hackazon
Pas encore d'évaluation
Sécurisation Web: Cas Hackazon
44 pages
Internet Et Les Navigateurs
Pas encore d'évaluation
Internet Et Les Navigateurs
65 pages
PAN OS 6.1 Admin Guide French
Pas encore d'évaluation
PAN OS 6.1 Admin Guide French
726 pages
Rapport Technique iSEC-G6
Pas encore d'évaluation
Rapport Technique iSEC-G6
21 pages
Bitdefender GravityZone SecurityAnalystsGuide 7 FRFR
Pas encore d'évaluation
Bitdefender GravityZone SecurityAnalystsGuide 7 FRFR
92 pages
Guide Complet sur les Réseaux Informatiques
Pas encore d'évaluation
Guide Complet sur les Réseaux Informatiques
76 pages
Configurations sécurisées pour Chrome
Pas encore d'évaluation
Configurations sécurisées pour Chrome
23 pages
Microsoft Edge : Historique et Fonctionnalités
Pas encore d'évaluation
Microsoft Edge : Historique et Fonctionnalités
8 pages
Sécuriser la Navigation : HTTP vs HTTPS
Pas encore d'évaluation
Sécuriser la Navigation : HTTP vs HTTPS
3 pages
Services-RDS de Windows SERVER 2008 R2
100% (1)
Services-RDS de Windows SERVER 2008 R2
347 pages
Web Pocket 7
Pas encore d'évaluation
Web Pocket 7
100 pages
Guide de Sécurité des Serveurs Web
Pas encore d'évaluation
Guide de Sécurité des Serveurs Web
13 pages
Windows Server 2012 R2: Configuration Des Services Avancés
Pas encore d'évaluation
Windows Server 2012 R2: Configuration Des Services Avancés
19 pages
Serveur Web IIS
100% (1)
Serveur Web IIS
26 pages
TS PcVue Architecturesdeployment FR
Pas encore d'évaluation
TS PcVue Architecturesdeployment FR
53 pages
Rapport Esprit
Pas encore d'évaluation
Rapport Esprit
40 pages
Win 10 PT 2
Pas encore d'évaluation
Win 10 PT 2
14 pages
Types de Navigateurs Et Leurs Caractéristiques
Pas encore d'évaluation
Types de Navigateurs Et Leurs Caractéristiques
3 pages
Sécurité Web: Menaces et Solutions
Pas encore d'évaluation
Sécurité Web: Menaces et Solutions
65 pages
Configuration d'Active Directory 2008 R2
Pas encore d'évaluation
Configuration d'Active Directory 2008 R2
20 pages
Guide Administrateur BI 2017
Pas encore d'évaluation
Guide Administrateur BI 2017
1 140 pages
Sevsecops Dynamique Rapide Efficace Et Securise
Pas encore d'évaluation
Sevsecops Dynamique Rapide Efficace Et Securise
64 pages
Recommandations ANSSI pour sécuriser les sites web
Pas encore d'évaluation
Recommandations ANSSI pour sécuriser les sites web
24 pages
63-22.1 - Sécurité IT
Pas encore d'évaluation
63-22.1 - Sécurité IT
8 pages
TS PcVue Architecturesdeployment FR
Pas encore d'évaluation
TS PcVue Architecturesdeployment FR
59 pages
Sécurisation des Sites Web : Recommandations ANSSI
Pas encore d'évaluation
Sécurisation des Sites Web : Recommandations ANSSI
23 pages
EdgeSight Admin Guide
Pas encore d'évaluation
EdgeSight Admin Guide
130 pages
SAP BusinessObjects Business Intelligence Platform Version 4.3 SP1 - Administrator Guide
Pas encore d'évaluation
SAP BusinessObjects Business Intelligence Platform Version 4.3 SP1 - Administrator Guide
1 234 pages
Securite
Pas encore d'évaluation
Securite
186 pages
Cours Sécurité Web
100% (1)
Cours Sécurité Web
64 pages
FR - Security Center Administrator Guide 5.2
Pas encore d'évaluation
FR - Security Center Administrator Guide 5.2
958 pages
SSL Vs Ipsec
100% (2)
SSL Vs Ipsec
16 pages
Guides SSI pour RSSI et Développeurs
Pas encore d'évaluation
Guides SSI pour RSSI et Développeurs
1 page
Windows Server 2016 Roles Et Fonctionnalités Bis
Pas encore d'évaluation
Windows Server 2016 Roles Et Fonctionnalités Bis
8 pages
Sécurité des applications web et mobile
Pas encore d'évaluation
Sécurité des applications web et mobile
74 pages
Scanner de ports TCP avec Geekflare
100% (1)
Scanner de ports TCP avec Geekflare
50 pages
Réseau Debian GNU/Linux pour Formation
Pas encore d'évaluation
Réseau Debian GNU/Linux pour Formation
53 pages
Installation Serveur Web Apache PHP MySQL
100% (1)
Installation Serveur Web Apache PHP MySQL
57 pages
Devoir SIL IFRI MAster GL2 2020
Pas encore d'évaluation
Devoir SIL IFRI MAster GL2 2020
2 pages
Schéma Boîte à Fusibles VW CC 2008-2017
Pas encore d'évaluation
Schéma Boîte à Fusibles VW CC 2008-2017
26 pages
Mail Veeam
Pas encore d'évaluation
Mail Veeam
6 pages
Srs de Shopping en Ligne
Pas encore d'évaluation
Srs de Shopping en Ligne
10 pages
Tp5 Cookie Session Partie 1
Pas encore d'évaluation
Tp5 Cookie Session Partie 1
3 pages
CHOUGDALI CoursJEE
Pas encore d'évaluation
CHOUGDALI CoursJEE
187 pages
Stratégies de communication digitale PME
100% (1)
Stratégies de communication digitale PME
10 pages
Conditions Générales de Boursorama
Pas encore d'évaluation
Conditions Générales de Boursorama
128 pages
Sujets de Dissertation en Politique Publique Et Administration
Pas encore d'évaluation
Sujets de Dissertation en Politique Publique Et Administration
8 pages
QCM Site Web
Pas encore d'évaluation
QCM Site Web
16 pages
Suppression de cookies en PHP
Pas encore d'évaluation
Suppression de cookies en PHP
19 pages
Charte Confidentialite
Pas encore d'évaluation
Charte Confidentialite
4 pages
EXAMEN 22 Correction
Pas encore d'évaluation
EXAMEN 22 Correction
6 pages
C4 PureTech 110 CV Essence : Détails et Prix
Pas encore d'évaluation
C4 PureTech 110 CV Essence : Détails et Prix
5 pages
Coffret de 10 Extracteurs de Goujons Cassés Métal HSS, Diam.2.5 À 8 MM TIVOLY Leroy Merlin
Pas encore d'évaluation
Coffret de 10 Extracteurs de Goujons Cassés Métal HSS, Diam.2.5 À 8 MM TIVOLY Leroy Merlin
1 page
Comprendre le fonctionnement du Web
Pas encore d'évaluation
Comprendre le fonctionnement du Web
10 pages
OWASP: Sécurité des Applications Web
Pas encore d'évaluation
OWASP: Sécurité des Applications Web
25 pages
Formation Carding For Noobs
100% (2)
Formation Carding For Noobs
26 pages
Contract Fitness Park
Pas encore d'évaluation
Contract Fitness Park
8 pages
Prévenir l'accès non autorisé aux données
Pas encore d'évaluation
Prévenir l'accès non autorisé aux données
5 pages
Installation Et Configuration D'un Annuaire OpenLDAP Connect
Pas encore d'évaluation
Installation Et Configuration D'un Annuaire OpenLDAP Connect
29 pages
Guide du Développement Full Stack
Pas encore d'évaluation
Guide du Développement Full Stack
317 pages
Protection du Cyber Contractant
Pas encore d'évaluation
Protection du Cyber Contractant
38 pages
Filtrer Et Extraire Les Données Excel Selon Critères
Pas encore d'évaluation
Filtrer Et Extraire Les Données Excel Selon Critères
26 pages
Bts Sujet Et Corrigé Culture Economique Juridique
Pas encore d'évaluation
Bts Sujet Et Corrigé Culture Economique Juridique
1 page
Avis Négatifs sur Telenet sur Trustpilot
Pas encore d'évaluation
Avis Négatifs sur Telenet sur Trustpilot
5 pages
Lexique du Commerce Électronique
Pas encore d'évaluation
Lexique du Commerce Électronique
12 pages
SHEIN EZwear Robe À Bretelles Divisée Imprimée Intégrale Pour Les Vacances D'été Mode en Ligne SHEIN FRANCE
Pas encore d'évaluation
SHEIN EZwear Robe À Bretelles Divisée Imprimée Intégrale Pour Les Vacances D'été Mode en Ligne SHEIN FRANCE
1 page
Module 6 - Sécurité Des Communications Par E-Mailp - 250201 - 171702
Pas encore d'évaluation
Module 6 - Sécurité Des Communications Par E-Mailp - 250201 - 171702
13 pages
Le Javascript Resume
100% (3)
Le Javascript Resume
27 pages