NP NavigateurSecurise FireFox

DAT-NT-20/ANSSI/SDE
PREMIER MINISTRE
Secrtariat gnral
de la dfense
et de la scurit nationale
Paris, le 15 janvier 2015
Agence nationale de la scurit

des systmes dinformation
Nombre de pages du document

(y compris cette page) : 41
No DAT-NT-20/ANSSI/SDE/NP
Note technique
Recommandations pour le dploiement scuris du
navigateur Mozilla Firefox sous Windows
Public vis:
Dveloppeur
Administrateur
RSSI
DSI
Utilisateur
X
X
X
X
Informations
Avertissement
Ce document rdig par lANSSI prsente les Recommandations pour le dploiement
scuris du navigateur Mozilla Firefox sous Windows . Il est tlchargeable sur le site
www.ssi.gouv.fr. Il constitue une production originale de lANSSI. Il est ce titre plac sous le
rgime de la Licence ouverte publie par la mission Etalab (www.etalab.gouv.fr). Il est
par consquent diffusable sans restriction.
Ces recommandations sont livres en ltat et adaptes aux menaces au jour de leur
publication. Au regard de la diversit des systmes dinformation, lANSSI ne peut garantir que
ces informations puissent tre reprises sans adaptation sur les systmes dinformation cibles.
Dans tous les cas, la pertinence de limplmentation des lments proposs par lANSSI doit
tre soumise, au pralable, la validation de ladministrateur du systme et/ou des personnes
en charge de la scurit des systmes dinformation.
Personnes ayant contribu la rdaction de ce document:

Contributeurs
Rdig par
Approuv par
Date
BSS, SIS, LRP
BSS
SDE
15 janvier 2015
volutions du document :
Version
Date
Nature des modifications
1.0
15 janvier 2015
Version initiale.
Pour toute remarque:

Contact
Adresse
@ml
Tlphone
Bureau Communication
de lANSSI
51 bd de La
Tour-Maubourg
75700 Paris Cedex
07 SP
communication@ssi.gouv.fr
01 71 75 84 04
No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015
Page 1 sur 40
Table des matires

1
Prambule
Enjeux de scurit dun navigateur Web
Firefox versus Firefox ESR
Matrise du navigateur
4.1
4.2
4.3
4.4
5
Choix des plugins . . . . . . . . . . . . . . . . .

Choix des extensions . . . . . . . . . . . . . . .
4.2.1 SSL/TLS et certificats . . . . . . . . . .
4.2.2 Gestionnaire de mots de passe . . . . . .
4.2.3 Confidentialit . . . . . . . . . . . . . .
4.2.4 Moteur de recherche par dfaut . . . . .
4.2.5 Filtrage de contenu . . . . . . . . . . . .
4.2.6 Page(s) daccueil . . . . . . . . . . . . .
4.2.7 Serveur mandataire . . . . . . . . . . . .
4.2.8 Authentification HTTP . . . . . . . . .
4.2.9 Primtre de navigation . . . . . . . . .
4.2.10 Administration systme et maintenance
Tl-dploiement initial . . . . . . . . . . . . .
Gestion des mises jour . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Stratgie de double navigateur
5
5
6
7
8
9
9
9
10
10
10
11
11
11
12
Annexe I : Stratgies de scurisation de Firefox
16
Annexe II : Dploiement et configuration centralise dans un domaine Active Directory par GPP
32
Annexe III : Dploiement et matrise des magasins de certificats des profils utilisateurs Firefox
36
Annexe IV : Tl-dploiement dun module de recherche personnalis par GPO
40
Page 2 sur 40
1 Prambule
Firefox est le navigateur web en sources ouvertes dit par la fondation Mozilla et dont la premire
version stable date de 2004. Rapidement devenu lun des navigateurs les plus utiliss par les internautes 1 , il est aujourdhui soutenu par une importante communaut de dveloppeurs du monde libre.
Firefox dispose dun mcanisme de mise jour automatique et peut tre configur de manire
centralise. Il se prte bien une utilisation professionnelle. De par son haut degr de paramtrage et
son code en sources ouvertes, il peut galement sadapter des environnements au sein desquels les
contraintes techniques sont importantes.
Cette note technique vise sensibiliser le lecteur aux enjeux de scurit dun navigateur Web et
doit le guider dans la mise en uvre dune stratgie de scurisation spcifique Firefox dans le cadre
dune configuration centralise et scurise en environnement Active Directory.
2 Enjeux de scurit dun navigateur Web

Comme tout composant logiciel utilis pour accder Internet, les navigateurs sont une cible
privilgie des attaquants du fait des vulnrabilits quils prsentent et de leur utilisation rgulire sur
Internet. Viennent galement sajouter les vulnrabilits propres aux diffrents modules complmentaires intgrs aux navigateurs et dont les processus de mise jour sont gnralement indpendants de
ceux du navigateur.
Latteinte en intgrit dun poste de travail par le biais de son navigateur Web est intressante du
point de vue dun attaquant tant donn quelle lui permet le plus souvent de contourner les mesures
de scurit lies larchitecture rseau et aux diffrentes passerelles de filtrage. Lattaque russie dun
poste utilisateur suffit gnralement ltablissement dun canal de contrle distant qui permettra par
la suite de rebondir au sein du systme dinformation pour atteindre les biens essentiels de lentit. La
navigation Web est donc logiquement devenue un des principaux vecteurs dattaque utiliss et, plus
largement, un problme pour la scurit des systmes dinformation.
Du point de vue de la scurit, Firefox ptit de labsence de mcanisme de bac sable (sandbox 2 )
et darchitecture multi-processus, une vulnrabilit peut alors avoir un impact important. Comme tous
les navigateurs, il fait rgulirement lobjet de vulnrabilits critiques 3 .
3 Firefox versus Firefox ESR

Mozilla publie une version ESR (Extended Support Release) 4 de Firefox. Chaque version de Firefox
ESR est maintenue pendant environ 1 an et na pour seules mises jour que les correctifs de scurit.
Cette version de Firefox est destine aux entits qui ncessitent un support tendu pour un dploiement
en masse, vitant ainsi davoir grer des volutions frquentes du navigateur.
1. Sources : www.atinternet.com et www.w3schools.com.

2. Environnement dexcution contrl et restreint.
3. Les multiples avis de scurit et bulletins dactualit relatifs aux principaux navigateurs peuvent tre consults sur
le site du CERT-FR (www.cert.ssi.gouv.fr).
4. Pour plus dinformations : http://mozilla.org/en-US/firefox/organizations/.
Page 3 sur 40
Le tableau comparatif suivant prsente les avantages et inconvnients de chaque version :

Version
Avantages
Inconvnients
Version
standard
Le navigateur volue rgulirement et

les utilisateurs disposent ainsi rapidement
des nouvelles fonctionnalits qui font leur
apparition.
Les quipes informatiques doivent

rgulirement dployer les nouvelles
versions de Firefox pour le maintenir en
conditions de scurit. Ces dploiements
engendrent une charge de travail non
ngligeable puisquil est ncessaire
de vrifier la compatibilit avec les
applications Web internes, complter la
configuration centralise vis--vis des
nouvelles fonctionnalits, etc.
Les quipes informatiques nont pas se

soucier des volutions fonctionnelles du
navigateur. Une fois la dernire version
majeure de Firefox ESR dploye, elles se
contentent de son maintien en conditions
de scurit en dployant les correctifs de
scurit publis par Mozilla. Les cycles
de vie des versions de Firefox ESR tant
denviron un an, les correctifs de scurit
sont publis pendant toute cette dure de
vie.
ESR ne dispose pas des nouvelles

fonctionnalits qui apparaissent dans les
versions successives de Firefox standard,
le navigateur peut alors paratre pauvre
en fonctionnalits du point de vue des
utilisateurs.
Version
ESR
Au sein dun systme dinformation administr de manire centralise, il est donc plutt conseill
de dployer la version ESR de Firefox. La prsente note technique sappuie sur le dploiement et la
configuration de Firefox ESR dans sa version 31.
4 Matrise du navigateur
Les principaux enjeux dun dploiement de navigateur au sein dun systme dinformation sont sa
scurit et sa matrise. Pour cela, il est ncessaire de pouvoir contrler sa configuration de manire
centralise, tout en procdant des dploiements et des mises jour (automatiques ou non) selon la
politique de mise jour de lentit et sans intervention de lutilisateur.
Firefox ne prend pas nativement en charge la configuration par stratgies de groupes (GPO) en
environnement Active Directory. Il est pour cela ncessaire de recourir des extensions tierces. Il est
en revanche possible de paramtrer le navigateur laide de fichiers de configuration dployer sur
les postes des utilisateurs. Cette mthode prsente lintrt dtre utilisable simplement, dans nombreux contextes, et aussi bien sous Linux que Windows sans distinction. Ces fichiers de configuration
permettent galement dimposer des paramtres verrouills et non modifiables par les utilisateurs.
R1
Avant tout dploiement de Firefox au sein dun systme dinformation, il est primordial de
dfinir prcisment une stratgie de paramtrage qui garantira lutilisation du navigateur
dans une configuration durcie et verrouille.
Page 4 sur 40
Il est important de commencer par clarifier les termes utiliss par Mozilla et ce quils dsignent. Le
terme de module (Add-on) ou de module complmentaire inclut :
les plugins ou greffons, qui sont des composants compils ;
les extensions (qui sont des composants en langage interprt comme XUL ou JavaScript) ;
les thmes (qui ne font lobjet daucune recommandation de scurit) ;
les modules de moteur de recherche.
Les recommandations de paramtrage figurant dans ce document sont donnes titre indicatif
dans loptique dune configuration durcie. Elles doivent donc tre modules selon les besoins propres
chaque entit et bien entendu selon le primtre dutilisation du navigateur (Internet, Intranet, etc.).
Leur application ne doit pas se faire sans validation pralable.
Lannexe I de ce document prcise les paramtres de configuration permettant dappliquer toutes
les recommandations de configuration de Firefox indiques dans ce document. En environnement
professionnel, il est par ailleurs conseill de dployer une telle configuration par GPP de manire
centralise comme expliqu en annexe II.
4.1 Choix des plugins

Les plugins Firefox ne peuvent tre dvelopps qu partir de linterface de programmation NPAPI
(Netscape Plugin Application Programming Interface). Cette architecture, qui date de Netscape, nest
pas scurise et excute les plugins avec le niveau de privilge de lutilisateur. Bien quil soit possible
dexcuter certains plugins dans un processus spar (le plugin-container ), cette sparation ne protge
que le processus du navigateur dun ventuel arrt brusque de fonctionnement dun plugin. Une
vulnrabilit affectant un plugin permet en revanche de compromettre la session ou le systme. Le
plugin Flash Player fait toutefois exception en intgrant un mcanisme de bac sable qui lui est propre
( Mode Protg de Flash Player pour Firefox 5 ). Le processus Flash Player excut dans le plugincontainer ne sert alors qu instancier des processus enfants auxquels sappliquent des restrictions de
scurit plus importantes. Le plugin Flash continue toutefois de faire lobjet de vulnrabilits critiques 6 .
R2
Tout plugin ajout Firefox fait courir un risque de scurit supplmentaire, il est alors
important de les limiter au strict ncessaire.
Note : Le risque induit par lutilisation du plugin Flash Player peut tre tolr ds lors que la lecture
des contenus Flash constitue un besoin incontournable. Complt par la visionneuse PDF intgre
Firefox (crite en JavaScript), la prise en charge de ces deux types de contenus devrait suffire pour la
plupart des usages.
Lajout, la mise jour, et la suppression de plugins pour Firefox de manire centralise peut se
faire simplement par base de registre 7 et par GPP (Group Policy Preferences).
4.2 Choix des extensions

Le mcanisme dextension rend possible lcriture de programmes (extensions) en langage interprt
(XUL ou JavaScript entre autres) permettant lajout de fonctionnalits ou la personnalisation du
navigateur. Contrairement aux plugins qui sont des programmes compils, les extensions sexcutent
dans le processus du navigateur et sans systme de permission permettant de restreindre les liberts
5. http://blogs.adobe.com/security/2012/06/inside-flash-player-protected-mode-for-firefox.html.
6. Les multiples avis de scurit peuvent tre consults sur le site du CERT-FR (www.cert.ssi.gouv.fr).
7. Un article de Mozilla explique lajout, la mise jour, et la suppression dextensions et de plugins pour Firefox par
base de registre : https://developer.mozilla.org/en-US/docs/Adding_Extensions_using_the_Windows_Registry.
Page 5 sur 40
qui leur sont accordes. Il convient donc dtre particulirement vigilant tant donn les risques de
scurit non ngligeables quelles introduisent.
Ainsi, une extension malveillante pourrait accder des informations sensibles concernant la navigation de lutilisateur puis les envoyer un serveur illgitime sur Internet. Une extension peut galement
introduire de nouveaux comportements indsirables suite une mise jour. Rien ne laisse prsager
quune extension aujourdhui non malveillante ne le sera pas demain.
En parallle, de nombreuses extensions prsentent des vulnrabilits qui peuvent tre exploites
(par le contenu des pages visites ou encore, par courriels spcifiquement forgs et consults par
webmail). Ces extensions vulnrables peuvent galement servir exploiter, par rebond, les vulnrabilits
dventuels plugins activs et ainsi obtenir un accs complet au systme.
R3
Ne dployer que des extensions de confiance et ncessaires aux besoins mtiers.
Note : Dans le cas dextensions dveloppes en interne, il convient de prter une attention particulire
la scurit de leur code 8 .
Lajout, la mise jour et la suppression dextensions pour Firefox de manire centralise peut se
faire simplement dans la base de registre et par GPP (Group Policy Preferences).
4.2.1 SSL/TLS et certificats
Firefox a comme particularit dutiliser ses propres bibliothques de gestion des changes scuriss
client/serveur dveloppes par la fondation Mozilla (bibliothques NSS, Network Security Services), ce
qui lui permet de disposer par exemple de son propre magasin de certificats et de sa propre liste de
CRL (listes de rvocations de certificats). Il est ainsi possible dappliquer des restrictions spcifiques
au navigateur sur certains certificats sans que cela ne sapplique au systme dexploitation dans son
ensemble, ce qui le diffrencie dautres navigateurs. Il est galement possible de restreindre simplement
les versions de protocoles SSL/TLS ainsi que les suites cryptographiques utilises. Cette indpendance
vis--vis du mcanisme fourni par le systme dexploitation lui confre une plus grande portabilit et
une souplesse dans sa configuration SSL/TLS mais se traduit en contrepartie par une dmarche de
scurisation plus complexe.
R4
Dsactiver lutilisation de SSL et nautoriser que les protocoles TLS v1.1 et suprieures
(la v1.0 tant vulnrable). Pour aller plus loin, il est galement possible de restreindre
les suites cryptographiques utilisables en dsactivant celles reposant sur des algorithmes
obsoltes comme RC4.
Note : Pour plus dinformations, le lecteur est invit se rfrer la section correspondante de
lannexe I ainsi quaux publications de lANSSI 9 . Par ailleurs, les suites nutilisant pas de mcanismes
de PFS (Perfect Forward Secrecy) devraient idalement tre dsactives elles aussi mais des difficults
de navigation seraient prvoir sur Internet du fait de l incompatibilit avec de nombreux serveurs
Web.
8. Larticle Security best practices in extensions expose certains fondamentaux respecter pour le dveloppement
dextension scurises : https://developer.mozilla.org/en-US/Add-ons/Security_best_practices_in_extensions.
9. La note Recommandations de scurit concernant lanalyse des flux HTTPS est disponible ladresse :
https://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/recommandations-et-guides/authentification-et-mecanismes-cryptographiques/
recommandations-de-securite-concernant-l-analyse-des-flux-https.html.
Larticle SSL/TLS : tat des lieux et recommandations est disponible ladresse :

https://www.ssi.gouv.fr/fr/anssi/publications/publications-scientifiques/articles-de-conferences/ssl-tls-etat-des-lieux-et-recommandations.html.
Page 6 sur 40
Chaque utilisateur dun poste de travail dispose de son propre profil Firefox. Les informations de
scurit relatives aux certificats sont stockes, pour chaque profil firefox, dans 3 fichiers :
cert8.db (objets accessibles publiquement : certificats, CRLs, enregistrements S/MIME) ;
key3.db (cls prives, mots de passe) ;
secmod.db (informations de configuration des modules de scurit).
Laccs aux fichiers key3.db et cert8.db non chiffrs dun profil Firefox permet la rcupration
et la rutilisation des certificats utilisateurs quils contiennent. Tout compte disposant de droits administrateurs sur un ordinateur a la possibilit de rcuprer lensemble des fichiers key3.db et cert8.db
qui y sont stocks (voire tout utilisateur non privilgi dans le cas dun systme de fichiers FAT32). La
confidentialit des donnes utilisateurs nest donc pas assure ds lors que ces fichiers ne sont pas chiffrs.
La dfinition dun mot de passe principal dclenche le chiffrement du fichier key3.db par algorithme
3DES-CBC avec une cl drive de ce mot de passe. La scurit apporte par une telle mesure reste
modre, des outils performants permettent de rapidement retrouver ce mot de passe matre par force
brute. Le stockage du profil Firefox dans un conteneur chiffr par une solution qualifie par lANSSI
peut tre, dans certains cas, la solution privilgier.
R5
Ds lors que des certificats utilisateurs sont stocks dans les magasins de certificats de
Firefox, il est recommand dassurer la scurit de leurs conteneurs de cls prives (fichiers
key3.db) par chiffrement.
Tout utilisateur de Firefox peut aussi ajouter des certificats serveurs et des autorits de confiance
dans son propre magasin de certificats. Selon le contexte dutilisation du navigateur, il peut donc
tre important de mettre en uvre des mesures techniques permettant de matriser les magasins de
certificats des profils Firefox et de sassurer de leur conformit vis vis de la stratgie de lentit.
R6
Matriser les magasins de certificats des profils Firefox et notamment les autorits de
certification racines de confiance et les certificats serveurs qui y sont configurs.
Note : lapplication de cette recommandation est simple ds lors que les utilisateurs ne stockent pas
de certificats utilisateurs dans leurs magasins de certificats Firefox, mais cela devient plus compliqu
dans le cas contraire. La problmatique est aborde plus en dtail en annexe III.
Il noter galement que, depuis sa version 24, Firefox se dtourne de lusage classique des CRLs
en ligne au profit dune liste de rvocations mise jour rgulirement pour consultation locale. Les
bibliothques NSS supportent toujours la gestion des CRLs classiques (modifiables par loutil crlutil
et non plus par interface graphique) mais il est prvu quelles ne soient plus utilises dans un avenir
proche. Les autorits de certification sont dailleurs invites envoyer leurs certificats rvoqus Mozilla
pour tre intgrs la liste de rvocation maintenue par Mozilla 10 .
4.2.2 Gestionnaire de mots de passe
Le gestionnaire de mots de passe de Firefox permet de mmoriser les mots de passe saisis dans
les formulaires Web. Tout comme pour les magasins de certificats, lutilisation dun mot de passe
principal 11 permet de chiffrer les mots de passe stocks par un algorithme 3DES-CBC avec une cl
drive du mot de passe principal. La scurit apporte par une telle mesure reste modre, des outils
performants permettent de rapidement retrouver ce mot de passe matre par force brute. Lutilisation
10. Le Wiki de Mozilla dtaille la problmatique de rvocation de certificats au sein de Firefox : https://wiki.
mozilla.org/CA:ImprovingRevocation.
11. https://support.mozilla.org/fr/kb/utiliser-mot-passe-principal-proteger-identifiants.
Page 7 sur 40
dun gestionnaire de mots de passe alternatif scuris est donc conseill.

R7
Il est conseill de dsactiver le gestionnaire de mots de passe pour imposer la saisie

systmatique de ces derniers. Lapplication dun tel durcissement est lgitime sur un rseau
amen traiter des donnes sensibles ou confidentielles, mais peut toutefois tre difficile
imposer aux utilisateurs sur des rseaux moins sensibles. Sa dsactivation pourrait alors
saccompagner du dploiement dun gestionnaire de mots de passe alternatif et scuris 12 .
4.2.3 Confidentialit
Le lecteur est invit prendre connaissance de la dclaration de confidentialit de Firefox 13 .
Selon les fonctionnalits actives, diverses informations sont susceptibles dtre envoyes Mozilla. La
plupart sont en rapport avec :
les informations lies aux modules complmentaires installs et le blocage automatique des
modules en liste noire ;
les rapports de plantage ;
le service de mise jour automatique ;
le service de protection contre les sites malveillants ;
le service de synchronisation Firefox Sync.
Il est donc important de dsactiver certaines de ces fonctionnalits pour limiter les donnes envoyes
Mozilla.
R8
Dsactiver les divers rapports disponibles de plantage, de performance, etc.
R9
Dsactiver le service de synchronisation Firefox Sync.
R10
La fonctionnalit de blocage des sites contrefaits envoie des fournisseurs tiers de Mozilla
les adresses Web des sites visits pour vrifier quils ne soient pas connus comme tant
malveillants et en bloquer laccs si ncessaire. Bien quil soit conseill de laisser ce filtre
activ pour des raisons de scurit, une entit pourra juger suffisamment confidentielles les
adresses des pages Web visites pour quune dsactivation de ce mcanisme simpose.
La navigation prive ainsi que la protection contre le pistage (Do Not Track ) sont des fonctionnalits intressantes du point de vue du respect de la vie prive lors de la navigation sur Internet et
qui pourraient tre dsactives pour de la navigation en Intranet. La stratgie de configuration des
paramtres de confidentialit dpendra donc du primtre dutilisation du navigateur. Ds lors que le
navigateur Firefox dispose dune connectivit Internet, les recommandations suivantes sappliquent :
R11
Activer les fonctionnalits de protection de la confidentialit (anti pistage, navigation

prive, suppression des donnes prives, etc.) lorsque le navigateur nest pas ddi une
navigation Intranet.
Note : Le nouveau standard de protection contre le-pistage (Do Not Track ) nest quune sollicitation du
12. KeePass est un exemple de solution disposant dun certificat de scurit de premier niveau (CSPN) dlivr par
lANSSI qui peut tre utilise avec Firefox.
13. Dclaration disponible en anglais ladresse :
http://www.mozilla.org/en-US/legal/privacy/firefox.html.
Page 8 sur 40
client. Sa prise en compte par les serveurs Web ne dpend donc que de leurs pratiques de confidentialit
respectives et napporte aucune garantie au client.
R12
Interdire les fonctions de golocalisation.
R13
Ds lors que la confidentialit des recherches est juge primordiale, il conviendra dimposer
un moteur de recherche de confiance et de dsactiver les fonctionnalits de recherche
instantane ou de suggestion de recherche.
4.2.4 Moteur de recherche par dfaut

Imposer un moteur de recherche et certains paramtres de recherche peut avoir un sens dans certains
contextes. Cest le cas principalement lorsque le navigateur se trouve ddi lIntranet. Lentit pourra
alors imposer et configurer le moteur de recherche de lIntranet. Ces rgles de configuration peuvent
galement avoir une utilit pour la recherche sur Internet si, par exemple, lentit veut imposer un
moteur de recherche franais qui sappuie sur une connexion chiffre. En parallle, lentit peut alors
bloquer laccs aux adresses des moteurs de recherche quelle souhaite interdire.
R14
Pour des questions de respect de la vie prive, il est conseill dimposer un moteur de
recherche sappuyant sur une connexion chiffre (HTTPS).
Note : Cela nempche pas linterception des donnes par le moteur de recherche, ce dernier tant dans
tous les cas destinataire des donnes de recherche en clair.
4.2.5 Filtrage de contenu
Le filtrage du contenu participe renforcer la scurit de la navigation en bloquant les contenus
potentiellement malveillants. Certains mcanismes de filtrage peuvent toutefois avoir une incidence sur
la facult des utilisateurs naviguer sur certains sites.
R15
Activer les fonctionnalits de filtrage de contenu telles que la navigation scurise

(protection contre le hameonnage et les logiciels malveillants) ou la Content Security
Policy 14 .
R16
Interdire ou, a minima, restreindre les scripts, les contenus mixtes actifs 15 , les cookies tiers,
etc.
La section correspondante de lannexe I liste en dtail le paramtrage recommand pour ces types de
contenus.
4.2.6 Page(s) daccueil
Si le navigateur est configur pour restaurer la session prcdente, les donnes ainsi que les cookies
de session seront sauvegards puis restaurs au prochain dmarrage du navigateur (sauf en mode de
14. Cette couche de scurit, qui permet de se prmunir contre certains types dattaques, est dtaille dans un article du
Mozilla Developer Network : https://developer.mozilla.org/en-US/docs/Web/Security/CSP/Introducing_Content_
Security_Policy.
15. https://developer.mozilla.org/en-US/docs/Security/MixedContent.
Page 9 sur 40
navigation prive). Il est alors possible de rcuprer ces cookies sauvegards pour sauthentifier la
place de lutilisateur sans mot de passe, voire de rcuprer une session HTTPS pralablement initie.
R17
Il est prfrable que le navigateur nenregistre pas les sessions de navigation. Lors du
dmarrage du navigateur (aprs un arrt normal ou brusque), il est en effet conseill
de ne pas restaurer la session prcdente de lutilisateur mais dafficher une(des) page(s)
connue(s) et de confiance.
4.2.7 Serveur mandataire

Il est primordial de contrler les flux non seulement en entre mais galement en sortie. Lorsquun
individu malveillant atteint en intgrit un poste de travail, il peut ensuite procder ltablissement
dun canal de contrle depuis le poste de travail vers un serveur situ sur Internet. Lutilisation de
serveurs mandataires avec authentification peut donc bloquer des connexions sortantes malveillantes.
Il savre alors judicieux dimposer lutilisation du serveur mandataire (proxy) par configuration centralise sur les postes utilisateurs.
R18
Privilgier lutilisation de serveurs mandataires avec authentification.
Note : Cette recommandation peut tre renforce par des rgles de filtrage de pare-feu.
4.2.8 Authentification HTTP
Il est possible de durcir la scurit des authentifications utilisant NTLM 16 ou SPNEGO 17 sur
Firefox ds lors que lune dentre elles est utilise par lentit qui le dploie. Il est par exemple
recommand de spcifier la liste des serveurs autoriss engager une authentification SPNEGO ou
une authentification NTLM automatique.
R19
Spcifier la liste des serveurs autoriss engager une authentification SPNEGO ou une
authentification NTLM automatique.
Note : Lutilisation de NTLM nest pas conseille, Kerberos tant le protocole dauthentification
privilgier.
4.2.9 Primtre de navigation
Il est recommand de restreindre le primtre de navigation en interdisant certains schmas dadresses
avec les protocol-handlers.
R20
Interdire a minima le schma dadresses file:// pour un navigateur ddi la navigation

sur Internet de manire viter des accs arbitraires au systme de fichiers. Le schma
ftp:// pourrait galement tre interdit au profit de lutilisation dun client FTP tiers.
Note : Lutilisation du navigateur Firefox ne sera alors plus possible pour afficher des pages html
directement depuis un systme de fichiers (CD-ROM, disque local ou distant via un partage rseau,
etc.).
Ces listes prsentent galement un intrt particulier dans le cadre dune stratgie de double
navigateur. Ce sujet est dtaill en section Stratgie de double navigateur .
16. NTLM (NT Lan Manager ) est une suite de protocoles dauthentification de Microsoft qui ne supporte pas les
mthodes cryptographiques rcentes comme AES ou SHA-256.
17. SPNEGO (Simple and Protected GSSAPI Negociation Mechanism) est un standard qui permet de ngocier de
lauthentification Kerberos, NTLM, ainsi que dautres protocoles supports pour le systme. SPNEGO est galement
connu sous le nom du protocole dauthentification negociate . Pour plus dinformations : https://developer.mozilla.
org/en-US/docs/Integrated_Authentication.
Page 10 sur 40
4.2.10 Administration systme et maintenance

Divers paramtres de Firefox relvent de sa maintenance et certaines prcautions doivent tre
prises pour viter des problmes de compatibilit, de confidentialit des donnes utilisateurs voire de
disponibilit des postes de travail. La liste complte de ces paramtres figure en annexe I.
4.3 Tl-dploiement initial

Firefox, au mme titre que les autres logiciels, devrait idalement tre install sur les postes de
travail par tl-dploiement. Une telle mthode de dploiement est un des fondamentaux dun systme
dinformation contrl et matris. En effet, il permet de matriser les installations, dhomogniser les
versions et configurations mais aussi, de procder aux mises jour de manire ractive et efficace.
Le tl-dploiement de logiciel peut se faire de plusieurs manires :
au format MSI par GPO (stratgies de groupe pour la gestion centralise) dans un domaine
Microsoft Active Directory. Attention toutefois, puisque Mozilla ne fournit Firefox quau format
excutable, il sera donc ncessaire de construire un package Firefox au format MSI. Des diteurs
tiers proposent de tels paquets mais ces diteurs noffrent pas de garantie forte de lintgrit des
logiciels quils fournissent. Il est par consquent prfrable que lorganisation utilisatrice gnre
ses propres fichiers MSI ;
au format excutable laide dun outil de gestion de parc ou de tout autre produit tiers prvu
cet effet.
4.4 Gestion des mises jour

La mise jour ractive du navigateur est primordiale pour se prmunir des vulnrabilits rgulirement dtectes et corriges. Lutilisation dun navigateur prsentant des vulnrabilits connues par des
personnes malveillantes expose le poste de travail une attaque. Deux stratgies diffrentes de mise
jour de Firefox peuvent alors tre envisages :
la premire consiste simplement laisser la configuration par dfaut, le navigateur va alors
automatiquement tlcharger les mises jour auprs des serveurs de Mozilla. Il convient dans ce
cas de sassurer que les postes de travail sont en mesure daccder aux serveurs de mise jour de
Mozilla sur Internet, idalement au travers du proxy dentreprise qui pourra notamment mettre
en cache les binaires.
la configuration alternative consiste remplacer lURL de mise jour ( laide du paramtre de
configuration app.update.url.override) 18 par une URL locale qui mettra les mises jour
disposition des postes de travail.
18. Pour plus dinformations sur la mise en uvre dun serveur de mises jour local : https://developer.mozilla.
org/en-US/docs/Mozilla/Setting_an_update_server.
Page 11 sur 40
Le tableau suivant synthtise les avantages et inconvnients des deux mthodes :

Mthode
Avantages
Inconvnients
classique : par dfaut,

les navigateurs se mettent
jour automatiquement
auprs des serveurs de
Mozilla par Internet.
- mise en uvre aise par les services

informatiques ;
- haut taux de disponibilit des
serveurs de mise jour de Mozilla.
- ne permet pas aux services informatiques de tester

et valider les mises jour
avant leur dploiement, notamment lors de lutilisation
dapplications Web mtier peu
rpandues ;
- peu adapt pour un navigateur ddi lIntranet.
contrle : la mise jour

automatique de Firefox est
dsactive et les services
informatiques mettent les
mises jour disposition
des postes de travail depuis
un serveur local.
- permet de tester et valider les mises

jour avant dploiement ;
- permet dadapter les configurations centralises du navigateur
pour tenir compte des ventuelles
nouvelles fonctionnalits avant dploiement ;
- permet de bloquer tout le trafic
destination des serveurs de Mozilla.
- freine la ractivit des mises

jour ;
- ncessite des moyens humains importants.
Il sera nettement moins risqu (du point de la compatibilit) de retenir le mode classique (automatique) pour les versions ESR de Firefox tant donn que les mises jour concernent des correctifs de
scurit haut risque et napportent aucune nouvelle fonctionnalit. En revanche, les versions standards
de Firefox peuvent recevoir des mises jour fonctionnelles importantes quil serait plus pertinent de
contrler pralablement.
La problmatique des mises jour concerne galement les extensions. Bien quil soit recommand
de les interdire dans le cadre dune configuration durcie, une entit peut vouloir en dployer certaines
pour de bonnes raisons. La mise jour des extensions est indpendante du mcanisme de mise
jour du navigateur. Elles peuvent tre mises jour automatiquement (comportement par dfaut) ou
manuellement quelle que soit la stratgie de mise jour choisie pour le navigateur.
Le maintien en conditions de scurit des plugins devra par ailleurs tre gr indpendamment du
navigateur, chaque plugin ayant ses spcificits quant aux mcanismes de mise jour utiliss.
Concernant le service Mozilla Maintenance Service (service charg des mises jour de Firefox), ce
dernier sexcute avec les droits qui lui sont propres pour la mise jour du navigateur et ce, quels que
soient les droits de lutilisateur.
5 Stratgie de double navigateur

La scurit des systmes dinformation impose souvent un navigateur qui doit tre durci pour
laccs Internet mais plus permissif pour laccs aux applications internes. Lorsque certains serveurs
Web internes utilisent des appliquettes Java par exemple, ncessitant le dploiement de modules
complmentaires Java, le navigateur finit par avoir une surface dattaque trs importante et expose
ainsi lentit un des vecteurs dattaque les plus critiques et massivement exploits 19 .
19. Voir les recommandations de scurit publies par lANSSI relatives aux environnements dexcution Java sur les postes de travail Microsoft Windows ladresse http://www.ssi.gouv.fr/fr/
Page 12 sur 40
Pour traiter cette problmatique, lorsquelles disposent des ressources ncessaires, en particulier
pour en assurer le maintien en conditions de scurit, de plus en plus dentits sorientent vers lusage
de deux navigateurs diffrents. Il devient alors possible :
den ddier un la navigation sur Internet. De par sa configuration durcie, sa surface dattaque
est rduite au maximum. Il est maintenu en conditions de scurit avec la plus grande attention.
Les quipes de veille scrutent la moindre vulnrabilit dont le navigateur Internet fait lobjet.
Les quipements de filtrage et danalyse du trafic sont utiliss pour reprer tout comportement
suspect de navigation sur Internet ;
den ddier un deuxime laccs aux serveurs internes, ncessitant par exemple un module complmentaire qui peut faire lobjet de vulnrabilits frquentes ou qui ncessite une configuration
plus permissive. Il est alors possible de le configurer pour permettre uniquement laccs et lusage
de lensemble des sites et applications lgres de lIntranet.
Une telle stratgie de double navigateur doit ncessairement saccompagner de mesures de scurit
techniques permettant de garantir le primtre dutilisation de chaque navigateur par des paramtres
de configuration verrouills. Le tableau suivant en donne quelques exemples :
Composant
Action
Valeur
Serveur mandataire
Autoriser
User-Agent du navigateur Internet (ou plus strictement de

la dernire version de ce dernier)
Tout autre User-Agent non autoris
Bloquer
Pare-feu locaux
postes de travail
des
Autoriser
Bloquer
Pare-feu de passerelle
Internet
Autoriser
Bloquer
Applocker (ou SRP) sur
les postes de travail
TCP en sortie vers le serveur mandataire depuis :

- le processus du navigateur Internet (chemin complet de
lexcutable) ;
- les autres processus ventuels autoriss accder
Internet via le serveur mandataire.
TCP en sortie vers le serveur mandataire depuis tout autre
processus
TCP en sortie vers les ports 443 et 80 depuis :
- lIP source du serveur mandataire ;
- les autres IP sources ventuelles autorises sortir en
direct sur Internet sans passer par le serveur mandataire.
TCP en sortie vers ports 443 et 80 depuis toute autre IP
source
Autoriser lexcution
Chemin complet de lexcutable des navigateurs autoriss
Bloquer lexcution
Tout autre excutable de navigateur interdit
Les rgles de configuration dcrites en annexe I, section Primtre de navigation , permettent

alors de mettre en uvre une partie de ces mesures de scurit et de restreindre le primtre de
navigation possible de chacun des navigateurs.
guides-et-bonnes-pratiques/recommandations-et-guides/securite-du-poste-de-travail-et-des-serveurs/
recommandations-de-securite-relatives-aux-environnements-d-execution-java-sur.html
Page 13 sur 40
Les figures suivantes illustrent de manire synthtique les mesures de scurit appliques une
stratgie de double navigateur :
Figure 1 Illustration dune stratgie de double navigateur, cas o Firefox est utilis comme
navigateur Internet.
Page 14 sur 40
Figure 2 Illustration dune stratgie de double navigateur, cas o Firefox est utilis comme
navigateur Intranet.
Ces figures illustrent deux cas distincts. Le navigateur Firefox y est reprsent mais la stratgie
serait quivalente avec dautres navigateurs.
Les rgles de configuration recommandes en annexe I se prtent un contexte o le navigateur est
ddi la navigation sur Internet.
Page 15 sur 40
Annexe I : Stratgies de scurisation de Firefox

Cette annexe liste, sous forme de tableaux, les valeurs recommandes permettant de mettre en uvre
les recommandations formules dans cette note technique. La liste des paramtres de configuration
disponibles est sujette des volutions frquentes et certains sont peu, voire pas documents. Les
recommandations et leurs indications de mise en uvre figurant dans ce document sont bases sur les
paramtres de configuration de Firefox dans sa version ESR 31. Ces derniers pourront tre adapts
selon la version du navigateur dploye la date de lecture du document.
Depuis un navigateur Firefox, il est possible dafficher et de modifier les paramtres de configuration
appliqus en tapant about:config dans la barre dadresse. Les paramtres verrouills sont affichs en
italique. La page about:support affiche, quant elle, un rcapitulatif des informations systmes et
de version ainsi que les modifications importantes apportes la configuration par dfaut du navigateur.
En environnement professionnel, il est conseill de dployer une configuration de manire centralise
comme expliqu en annexe II. Pour un usage personnel de Firefox, il est galement possible de sinspirer
de tout ou partie des paramtres indiqus dans ce document partir de la page about:config.
Scurit des modules complmentaires :

Les rgles de configuration prfixes par le terme extensions ne sappliquent pas toujours
uniquement aux extensions comme elles pourraient le laisser entendre mais parfois, plus largement
aux plugins voire aux modules complmentaires dans leur ensemble. Il convient donc dtre vigilant
quant au primtre rel dapplication des rgles de configuration dont les noms pourraient prter
confusion.
Nom de stratgie
Description
Valeur recommande
extensions.autoDisableScopes Les extensions peuvent

tre
dsactives
automatiquement
en
fonction de leur localisation.
3 (les extensions dposes dans le profil Firefox de

lutilisateur ou dans le profil utilisateur Windows
seront automatiquement dsactives20 )
extensions.enabledScopes
12 (seules les extensions rfrences par une entre en

base de registres22 ou dposes dans le sous-dossier
dextensions lemplacement de lexcutable FireFox
seront actives. Attention, ce paramtre a priorit sur
extensions.autoDisableScopes
Les extensions peuvent tre

actives automatiquement
en
fonction
de
leur
localisation21 .
20. Contrairement ce quindique la MozillaZine Knownledge Base, le paramtre extensions.autoDisableScopes ne

permet pas de dsactiver un plugin, pour ce faire il convient dutiliser les paramtres plugin.state.x.
21. Pour plus dinformations sur le paramtre extensions.enabledScopes : https://developer.mozilla.org/en-US/
Add-ons/Installing_extensions.
22. Article de Mozilla expliquant lajout, la mise jour, et la suppression dextensions ou de plugins pour Firefox par
base de registre : https://developer.mozilla.org/en-US/docs/Adding_Extensions_using_the_Windows_Registry.
Page 16 sur 40
Nom de paramtre
Description
Valeur recommande
extensions.blocklist.enabled
Tlchargement rgulier dune

liste noire de modules rfrencs
comme tant malveillants
false si seuls les modules tl-dploys par les

quipes informatique sont installs, ou true si
lutilisateur est en mesure dinstaller des modules
lui-mme
extensions.blocklist.
detailsURL
URL de la page quun utilisateur peut visiter pour en savoir

plus sur la liste noire de modules
Celle par dfaut (https://www.mozilla.org/

%LOCALE%/blocklist/)
extensions.blocklist.itemURL URL de la page quun utilisateur peut visiter pour en savoir

plus sur la liste noire de modules
(variante)
Celle par dfaut (https://addons.mozilla.org/

%LOCALE%/%APP%/blocked/%blockID%)
extensions.blocklist.interval
Intervalle de tlchargement de
la liste noire de modules, en
secondes
86400 (soit 1 fois par jour)
extensions.blocklist.level
Niveau de blocage
2 (pour bloquer les extensions de la liste)
extensions.blocklist.url
Adresse de tlchargement de la
liste noire de modules
Celle par dfaut (https://addons.mozilla.

org/blocklist/3/%APP_ID%/%APP_VERSION%/%
PRODUCT%/%BUILD_ID%/%BUILD_TARGET%/%LOCALE%
/%CHANNEL%/%OS_VERSION%/%DISTRIBUTION%/%
DISTRIBUTION_VERSION%/%PING_COUNT%/%TOTAL_
PING_COUNT%/%DAYS_SINCE_LAST_PING%/)
extensions.enabledAddons
Modules activs au dmarrage

de Firefox
Mettre vide
pdfjs.disabled
Dsactiver la visionneuse PDF

intgre Firefox (pdf.js)
true pour que lutilisateur tlcharge les PDF et

les visionne via un lecteur PDF tiers maintenu en
conditions de scurit par lentit et ne faisant pas
lobjet de vulnrabilits frquentes, ou false pour
autoriser lusage du lecteur de PDF intgr.
plugin.state.flash
Configuration dactivation du
plugin Flash
1 (demander lautorisation lutilisateur avant

chaque excution du plugin Flash) ou 2 (toujours
activer) au choix de lentit et en fonction des
utilisateurs et des contraintes de scurit
plugin.state.java
plugin Java
0 pour ne jamais activer le plugin Java ( moins

que lentit souhaite utiliser ce plugin malgr les
risques de scurit encourus, auquel cas la valeur
donner serait 1 pour demander lautorisation
lutilisateur chaque excution du plugin Java)
plugin.state.x
plugin x, o x est remplacer
par le nom court du plugin
dsactiver (exemple : npctrl
pour Microsoft Silverlight. Les
noms courts des plugins sont
indiqus en affichant leurs informations dtailles depuis linterface graphique)
0 pour ne jamais activer le plugin, ou 1 pour

demander lautorisation lutilisateur avant chaque
excution du plugin
plugin.default.state
Configuration dactivation des

autres plugins
0 pour ne jamais activer un plugin non explicitement autoris par les rgles prcdentes
plugin.defaultXpi.state
Configuration dactivation des

autres plugins au format XPI
0 pour ne jamais activer un plugin au format XPI

non explicitement autoris par les rgles prcdentes
plugins.click_to_play
Cliquer pour lire le contenu ncessitant un plugin
true pour activer le mode Cliquer pour lire
plugins.load_appdir_plugins Chargement automatique des

plugins depuis des emplacements utiliss avant Firefox 21
false
Page 17 sur 40
tant donn que seuls les modules complmentaires tl-dploys par les quipes informatiques
sont autoriss, il est recommand de bloquer toute possibilit dajout de modules complmentaires par
lutilisateur.
Nom de stratgie
Description
Valeur recommande
extensions.getAddons.
getWithPerformance.url
URL de rcupration dun module complmentaire
Mettre vide
extensions.getAddons.maxResults
Nombre de rsultats maximum
extensions.getAddons.get.url
URL de consultation dun module complmentaire
Mettre vide
recommended.browseURL
URL de consultation des modules complmentaires

recommands
Mettre vide
recommended.url
URL de consultation des modules complmentaires

recommands, par API
Mettre vide
search.browseURL
URL de recherche de modules complmentaires
Mettre vide
extensions.getAddons.search.url
URL de recherche de modules complmentaires, par

API
Mettre vide
extensions.getAddons.showPane
Afficher le panneau dajout de modules complmentaires
false
extensions.hideInstallButton
Cacher le bouton dinstallation manuelle dextensions
true
extensions.webservice.discoverURL URL du catalogue dextensions
Mettre vide
xpinstall.enabled
Autoriser linstallation manuelle de modules au format

XPI
false
xpinstall.whitelist.required
Obligation pour une archive XPI dtre en liste blanche

pour tre installe manuellement
true
xpinstall.whitelist.add
xpinstall.whitelist.add.*
Liste blanche darchives XPI pouvant tre installes

manuellement
Mettre vide
Pour finir, lentit devra choisir sa stratgie de mise jour des extensions tl-dployes. Lentit
qui voudra tl-dployer elle-mme les versions jour des modules complmentaires aprs une phase de
validation optera pour le paramtrage donn ci-dessous, la responsabilit du maintien en conditions de
scurit sera alors dporte sur les services informatiques en charge du dploiement de ces mises jour.
Dans le cas contraire, les valeurs par dfaut permettent une mise jour automatique des extensions
par Internet.
Nom de stratgie
Description
Valeur recommande
extensions.hotfix.cert.
checkAttributes
Vrifie les attributs du certificat de signature des

correctifs tlchargs
true
extensions.hotfix.certs.1.
sha1Fingerprint
Empreintes attendues du certificat de signature des

correctifs tlchargs
Laisser la valeur par dfaut

(91:53:98:0C:C1:86:DF:47
:8F:35:22:9E:11:C9:A7:31
:04:49:A1:AA en date de
rdaction de ce document).
extensions.update.
autoUpdateDefault
Tlcharger et installer automatiquement les mises

jour dextensions
false
extensions.update.background. URL de tlchargement des mises jour dextensions

URL
en arrire plan
Mettre vide
extensions.update.enabled
Activer la mise jour des extensions
false
extensions.update.interval
Intervalle de tlchargement des mises jour des

extensions
86400 (soit 1 fois par jour)
plugins.update.notifyUser
Notifier lutilisateur de la prsence dune mise jour

pour ses modules complmentaires
false
plugins.update.url
URL de mise jour des modules complmentaires
Mettre vide
Page 18 sur 40
SSL/TLS et certificats :
Le paramtrage des suites cryptographiques autorises peut engendrer des problmes de compatibilit selon le contexte. Il est donc lgitime de prfrer ne pas modifier la configuration par dfaut.
Dans un soucis de durcissement, les recommandations suivantes pourraient toutefois tre appliques :
Nom de paramtre
Description
Valeur recommande
security.ssl3.dhe_dss_aes_128_sha
Autoriser ssl3.dhe_dss_aes_128_sha
false
security.ssl3.dhe_dss_aes_256_sha
Autoriser ssl3.dhe_dss_aes_256_sha
false
security.ssl3.dhe_dss_camellia_128_sha
Autoriser ssl3.dhe_dss_camellia_128_sha
false
security.ssl3.dhe_dss_camellia_256_sha
Autoriser ssl3.dhe_dss_camellia_256_sha
false
security.ssl3.dhe_rsa_aes_128_sha
Autoriser ssl3.dhe_rsa_aes_128_sha
true
security.ssl3.dhe_rsa_aes_256_sha
Autoriser ssl3.dhe_rsa_aes_256_sha
true
security.ssl3.dhe_rsa_camellia_128_sha
Autoriser ssl3.dhe_rsa_camellia_128_sha
false
security.ssl3.dhe_rsa_camellia_256_sha
Autoriser ssl3.dhe_rsa_camellia_256_sha
false
security.ssl3.dhe_rsa_des_ede3_sha
Autoriser ssl3.dhe_rsa_des_ede3_sha
false
security.ssl3.ecdhe_ecdsa_aes_128_gcm
_sha256
Autoriser ssl3.ecdhe_ecdsa_aes_128_gcm
_sha256
true
security.ssl3.ecdhe_ecdsa_aes_128_sha
Autoriser ssl3.ecdhe_ecdsa_aes_128_sha
true
security.ssl3.ecdhe_ecdsa_aes_256_sha
Autoriser ssl3.ecdhe_ecdsa_aes_256_sha
true
security.ssl3.ecdhe_ecdsa_rc4_128_sha
Autoriser ssl3.ecdhe_ecdsa_rc4_128_sha
false
security.ssl3.ecdhe_rsa_aes_128_gcm
_sha256
Autoriser ssl3.ecdhe_rsa_aes_128_gcm
_sha256
true
security.ssl3.ecdhe_rsa_aes_128_sha
Autoriser ssl3.ecdhe_rsa_aes_128_sha
true
security.ssl3.ecdhe_rsa_aes_256_sha
Autoriser ssl3.ecdhe_rsa_aes_256_sha
true
security.ssl3.ecdhe_rsa_des_ede3_sha
Autoriser ssl3.ecdhe_rsa_des_ede3_sha
false
security.ssl3.ecdhe_rsa_rc4_128_sha
Autoriser ssl3.ecdhe_rsa_rc4_128_sha
false
security.ssl3.rsa_aes_128_sha
Autoriser ssl3.rsa_aes_128_sha
true
security.ssl3.rsa_aes_256_sha
Autoriser ssl3.rsa_aes_256_sha
true
security.ssl3.rsa_camellia_128_sha
Autoriser ssl3.rsa_camellia_128_sha
false
security.ssl3.rsa_camellia_256_sha
Autoriser ssl3.rsa_camellia_256_sha
false
security.ssl3.rsa_des_ede3_sha
Autoriser ssl3.rsa_des_ede3_sha
false
security.ssl3.rsa_fips_des_ede3_sha
Autoriser ssl3.rsa_fips_des_ede3_sha
false
security.ssl3.rsa_rc4_128_md5
Autoriser ssl3.rsa_rc4_128_md5
false
security.ssl3.rsa_rc4_128_sha
Autoriser ssl3.rsa_rc4_128_sha
false
security.ssl3.rsa_seed_sha
Autoriser ssl3.rsa_seed_sha
false
Autres paramtres :
Nom de paramtre
Description
Valeur recommande
security.tls.version.max
Version
SSL/TLS
de
3 (ce qui correspond TLS 1.2)
security.tls.version.min
Version minimum de SSL/TLS
2 (ce qui correspond TLS 1.1)
maximum
security.ssl.allow_unrestricted_renego_
Activer la rengociation SSL
everywhere__temporarily_available_pref
false pour remdier une attaque par

le milieu connue
security.ssl.enable_false_start
Activer SSL False Start
false car non standardis et amenant

de potentielles vulnrabilits
security.ssl.enable_ocsp_stapling
Activer lOCSP stapling23
true
23. https://blog.mozilla.org/security/2013/07/29/ocsp-stapling-in-firefox/
Page 19 sur 40
Nom de paramtre
Description
Valeur recommande
security.ssl.require_safe_
negotiation
Ncessite une ngociation SSL qui nutilise

pas une ancienne version SSL/TLS vulnrable des attaques par le milieu
true
security.ssl.treat_unsafe_
negotiation_as_broken
Informer lutilisateur (cadenas cass rouge

dans la barre de status) lorsque les ngociations SSL/TLS sont non scurises
true
network.stricttransportsecurity. Charger la liste de sites dclars comme

preloadlist
utilisant HSTS (HTTP Strict Transport
Security 24 )
true
network.websocket.
allowInsecureFromHTTPS
Autoriser les WebSockets non scurise

pour un site consult en HTTPS
false
security.OCSP.enabled
Activer OCSP
2 pour vrifier le certificat partir de

lURL de service OCSP et de lautorit
de certification ayant sign le certificat. Notons que cette fonctionnalit
est critique pour des questions de
latence des rpondeurs OCSP (de lordre de 300ms pour les plus rapides
plus dune seconde pour les plus lents).
OCSP tend donc tre remplac par
des listes locales de certificats rvoqus dans dautres navigateurs, mais
Firefox ne dispose pas encore dune
telle liste. Une entit ayant des contraintes particulires quant la latence induite par OSCP pourrait opter
pour une dsactivation dOCSP avec
la valeur 0
security.OCSP.require
Ncessite la validation du certificat par

OCSP avant de continuer la navigation sur
le site
true si security.OCSP.enabled a t
configur true, ou false dans le cas
contraire.
security.cert_pinning.
enforcement_level
Niveau de certificate pinning (pinglage de

certificats)25 ( partir de Firefox 32)
2 pour utiliser lpinglage strict.
Gestionnaire de mots de passe :

Nom de paramtre
Description
Valeur recommande
privacy.clearOnShutdown.passwords
Effacer les mots de passe enregistrs la

fermeture du navigateur
true
signon.rememberSignons
Active le gestionnaire de mots de passe
false
signon.autofillForms
Remplissage automatique des formulaires

de login
false
24. https://developper.mozilla.org/fr/docs/Scurit/HTTP_Strict_Transport_Security.
25. Lpinglage de certificats permet davoir une base locale de certificats connus et attendus pour certains sites Web
consults en HTTPS. Ainsi, si le certificat prsent par le serveur est valide en tous points de vue mais nest pas le
certificat attendu, la connexion sera coupe. Ce mcanisme permet dviter une attaque par le milieu prsentant un faux
certificat issu dune autorit de certification de confiance.
Page 20 sur 40
Confidentialit :
Il nexiste pas, en date de rdaction de cette note, de rgle globale pour la dsactivation de Firefox
Sync. Sa dsactivation se fait par consquent travers plusieurs rgles de configuration.
Nom de paramtre
Description
Valeur recommande
services.sync.engine.addons
Synchronisation des modules complmentaires
false
services.sync.engine.bookmarks
Synchronisation des marque-pages
false
services.sync.engine.history
Synchronisation de lhistorique de navigation
false
services.sync.engine.passwords
Synchronisation des mots de passe stocks
false
services.sync.engine.prefs
Synchronisation des prfrences
false
services.sync.engine.tabs
Synchronisation des onglets ouverts
false
services.sync.registerEngines
Moteurs de synchronisation enregistrs
Mettre vide
services.sync.jpake.serverURL
URL du serveur synchronisation jpake
Mettre vide
services.sync.serverURL
URL du serveur de synchronisation
Mettre vide
services.sync.serverURL
URL du serveur de synchronisation
Mettre vide
services.sync.tokenServerURI
URI du serveur de jetons
Mettre vide
services.sync.nextSync
Planification de la prochaine synchronisation
Il convient galement de dsactiver les diffrents rapports Mozilla :

Nom de paramtre
Description
Valeur recommande
datareporting.healthreport.about.reportUrl
URL de rapport de sant
Mettre vide
datareporting.healthreport.
logging.consoleEnabled
Activer la journalisation (console) du service de rapports de sant
false
logging.dumpEnabled
Activer la journalisation (dumps) du service de rapports de sant
false
nextDataSubmissionTime
Date de prochaine soumission de rapport

de sant
Mettre vide
datareporting.healthreport.service.enabled
Activer le service de rapport de sant
false
datareporting.healthreport.uploadEnabled
Autoriser lenvoi de donnes au serveur de

rapports de sant
false
datareporting.policy.dataSubmissionEnabled
Activer lenvoi de donnes Mozilla des

fins damlioration
false
datareporting.policy.
dataSubmissionPolicyAccepted
Accepter les conditions denvoi de donnes

Mozilla des fins damlioration
false
dataSubmissionPolicyBypassAcceptance
Contourner lacceptation des conditions

denvoi de donnes Mozilla des fins
damlioration
false
dataSubmissionPolicyResponseType
Rponse aux conditions denvoi de donnes

Mozilla des fins damlioration
accepted-info
-bar-dismissed
dom.ipc.plugins.reportCrashURL
Intgrer lURL au rapport de crash de

plugins
false
dom.ipc.plugins.flash.subprocess.
crashreporter.enabled
Activer le rapport de crash du sousprocessus flash
false
toolkit.telemetry.enabled
Activer la fonctionnalit de tlmtrie
false
toolkit.telemetry.server
Adresse du serveur de tlmtrie
Mettre vide
breakpad.reportURL
URL du rapport de crash
Mettre vide
Page 21 sur 40
Il peut galement tre utile de configurer loption de suppression des donnes prives (Clear Private
Data) en slectionnant les lments qui seront supprims. Lentit pourra par exemple permettre aux
utilisateurs de supprimer leurs donnes prives dans le cadre dune navigation sur internet ou bien, de
linterdire sil sagit dun navigateur ddi lintranet. Une entit pourrait galement vouloir toujours
garder les historiques et le cache des fins dinvestigation (cela nempchera toutefois pas lutilisateur
de les supprimer directement au niveau du systme de fichiers dans son profil utilisateur).
Nom de paramtre
Description
Valeur recommande
privacy.cpd.cache
Supprimer le cache lors dune suppression des donnes

prives
Au choix de lentit
privacy.cpd.cookies
Supprimer les cookies lors dune suppression des donnes

prives
Au choix de lentit
privacy.cpd.downloads
Supprimer lhistorique des tlchargements lors dune

suppression des donnes prives
Au choix de lentit
privacy.cpd.formdata
Supprimer lhistorique de remplissage automatique des

formulaire lors dune suppression des donnes prives
Au choix de lentit
privacy.cpd.history
Supprimer lhistorique lors dune suppression des donnes

prives
Au choix de lentit
privacy.cpd.offlineApps
Supprimer les applications disponibles hors connexion

lors dune suppression des donnes prives
Au choix de lentit
privacy.cpd.passwords
Supprimer les mots de passe enregistrs lors dune suppression des donnes prives
Au choix de lentit
privacy.cpd.sessions
Supprimer les sessions en cours enregistres lors dune

suppression des donnes prives
Au choix de lentit
privacy.cpd.siteSettings
Supprimer les paramtres par site lors dune suppression

des donnes prives
Au choix de lentit
privacy.sanitize.
sanitizeOnShutdown
Supprimer les donnes prives la fermeture du navigateur
En cas de besoin spcifique de lentit
Viennent pour finir divers autres paramtres lis la confidentialit :

Nom de paramtre
Description
Valeur recommande
privacy.clearOnShutdown.sessions
effacer les sessions de navigation en cours lors

de la fermeture du navigateur
true
privacy.clearOnShutdown.cookies
effacer les cookies de navigation lors de la

fermeture du navigateur
true
privacy.donottrackheader.enabled
Activer Do-Not-Track
true
geo.enabled
activer la golocalisation
false
geo.wifi.uri
URI du service de golocalisation utiliser
Mettre vide
network.prefetch-next
Tlchargement prdictif anticip des documents lis la page Web visits (link prefetching)26
false pour viter ltablissement de connexions et le

tlchargement de contenu
non sollicits
media.navigator.permission.disabled Contourne la permission daccder la webcam
false
network.http.sendRefererHeader
Activer lenvoi de lentte referer
0 pour plus danonymat, ou 2

pour ne pas empcher le fonctionnement de certains sites
browser.send_pings
Activer lenvoi de requte POST lors du clic

sur un lien (fonctionnalit souvent utilise
pour tracer les clics)
false
26. Le link prefetching permet dacclrer le surf en anticipant le chargement des documents lis la page visits.
Limplmentation de ce mcanisme dans Firefox ne transmet aucune information Mozilla. Pour plus dinformations :
https://developer.mozilla.org/en-US/docs/Web/HTTP/Link_prefethcing_FAQ.
Page 22 sur 40
Filtrage de contenu :
Actions autorises aux les scripts :
Nom de paramtre
Description
Valeur recommande
dom.allow_scripts_to_close_windows
Autoriser les scripts fermer

une fentre
false
dom.disable_image_src_set
Interdire la modification des

images sources par script
true
dom.disable_window_flip
Interdire le changement de
fentre active par script
true
dom.disable_window_move_resize
Dtermine si les fentres

peuvent tre bouges or redimensionnes par script
false
dom.disable_window_open_feature.close
Interdire la cration
fentre sans bouton
fermeture
de
de
true pour viter les popups invasifs
dom.disable_window_open_feature.location
Interdire la cration de
fentre sans barre dadresse
true pour que lutilisateur puisse

toujours vrifier tre ladresse
prvue
dom.disable_window_open_feature.status
fentre sans barre de status

se rendre contre plus facilement
des tentatives de spoofing
dom.disable_window_open_feature.titlebar
fentre sans barre de titre

bien voir quil sagit dun popup
Firefox
dom.disable_window_open_feature.toolbar
fentre sans barre doutils
false
dom.event.clipboardevents.enabled
Permettre un script de
saisir les vnements du
presse papier
false
dom.event.contextmenu.enabled
Permettre un script de
saisir les vnements daccs au menu contextuel (clic
droit)
false
dom.inter-app-communication-api.enabled
Activer la communication
par API entre applications
false
dom.ipc.plugins.enabled
Activation du plugin container
true pour excuter les plugins

dans le plugin-container
dom.ipc.plugins.java.enabled
Excuter Java au sein du

plugin-container
false pour viter des problmes

de stabilit
Page 23 sur 40
Nom de stratgie
Description
Valeur recommande
browser.safebrowsing.enabled
Utiliser la navigation scurise

(protection contre le phishing et
les logiciels malveillants)27
true
javascript.enabled
Activation de Javascript
true
security.xpconnect.plugin.unrestricted Autoriser le scripting de plugins

par des scripts qui ne sont pas
de confiance
false moins dune incompatibilit avec

des plugins et/ou pages Web ncessaires
lentit
security.mixed_content.
block_active_content
Bloquer le contenu mixte actif
true
security.mixed_content.
block_display_content
Bloquer le contenu mixte passif
false
security.fileuri.
strict_origin_policy
Politique dorigine stricte pour

les URi de type fichiers
true sauf pour les populations de

dveloppeurs quun tel paramtre pourrait
bloquer pour le dveloppement en local
network.cookie.cookieBehavior
Politique de gestion des cookies
1 pour nautoriser que les cookies du

serveur dorigine, et bloquer les cookies
tiers
network.cookie.lifetimePolicy
Politique dexpiration des cookies
2 pour conserver les cookies pendant toute

la dure de la session seulement
network.cookie.thirdparty.sessionOnly Restreindre les cookies tiers la

dure de la session seulement
true
network.jar.open-unsafe-types
Nouvrir que les .jar servis avec

un content-type adquat
false
privacy.popups.policy
Politique de popups
1 pour activer les popups, ou 2 pour les

rejeter mais cela rendrait la navigation
difficile voire impossible sur une quantit
de sites Internet non ngligeable
privacy.popups.showBrowserMessage
Afficher un message lorsquun

popup a t bloqu
true
browser.popups.showPopupBlocker
Afficher licne du bloqueur de

popups dans la barre de status
true
security.csp.enable
Activer la Content Security Policy (politique de scurit des

contenus) qui permet de dtecter et de limiter limpact de
certains types dattaques
true
full-screen-api.enabled
Activer lAPI permettant dafficher du contenu en plein cran

pour les modules complmentaires
false
notification.feature.enabled
Permettre les notifications sur le

bureau
false
27. La fonctionnalit de navigation scurise consiste synchroniser une liste locale dadresses de sites maveillants
(depuis les serveurs de Google par dfaut, depuis que Firefox utilise leur service) pour alerter lutilisateur sil sapprte
en visiter un. Elle consiste galement analyser le contenu des pages pour reprer dventuelles tentatives dhameonnage.
Page 24 sur 40
Moteur de recherche par dfaut :

La configuration dun moteur de recherche personnalis ne peut pas se faire simplement par fichier
de configuration et ncessite le dploiement dun module de recherche (search engine plugin). Lannexe
IV illustre la tl-dploiement dun module de recherche utilisant le moteur franais https://www.
qwant.com 28 .
Nom de paramtre
Description
Exemple
browser.search.defaultenginename
Moteur de recherche par dfaut
Qwant.com
browser.search.defaulturl
URL du moteur de recherche par

dfaut
https://www.qwant.com/?q=searchTerms
browser.search.log
Journalisation de lutilisation des

services de recherche des fins de
dboggage
false
browser.search.openintab
Ouvrir les rsultats de recherche

dans un nouvel onglet
false
browser.search.order.1
Moteur de recherche utiliser en

priorit 1
Qwant.com
browser.search.suggest.enabled
activer les suggestions
false
browser.search.update
Recherche de mises jour pour les

modules de recherche
false
keyword.enabled
Permettre de faire une recherche

depuis la barre dadresse
true
Page(s) daccueil
Nom de stratgie
Description
Valeur recommande
startup.homepage_override_url
Page daccueil aprs une mise jour de Firefox
En fonction du choix de lentit
startup.homepage_welcome_url
Page daccueil au premier dmarrage
En fonction du choix de lentit
browser.startup.homepage
Page daccueil
about :blank pour une page vide,

ou ladresse dun site Web ou
intranet selon le choix de lentit
browser.startup.page
Page daccueil
1 pour ouvrir la page daccueil indique par le paramtre

browser.startup.homepage
browser.sessionstore.
resume_from_crash
Restauration de session aprs crash
false
browser.sessionstore.enabled
Activer le service de restauration de session
false
browser.newtab.url
Page ouverte par dfaut lors de la cration

dun nouvel onglet de navigation
about :blank pour une page vide,

ou ladresse dun site Web ou
intranet selon le choix de lentit
28. Ceci nest en aucun cas une recommandation ni une incitation son utilisation mais un simple exemple.
Page 25 sur 40
Authentification HTTP :
Nom de stratgie
Description
Valeur recommande
network.auth.force-generic-ntlm
Utiliser le module dauthentification NTLM de Firefox

plutt que celui fourni par
les APIs du systme
false
network.auth.use-sspi
Utiliser SSPI plutt que

GSSAPI pour lauthentification Kerberos
true sous Windows
network.ntlm.send-lm-response
Envoyer le LM Hash dans la

rponse NTLM
false
network.automatic-ntlmauth.allow-proxies
Authentification par NTLM

automatique
avec
les
serveurs proxy
Au choix de lentit en fonction du systme

dauthentification utilis par le serveur proxy
dentreprise
network.automatic-ntlmauth.trusted-uris
Liste des URIs autorises

pour lauthentification par
NTLM automatique
Liste de valeurs spares par des virgules (exemple : monsite.fr, https://monsite.fr.

Lentit y fera figurer les adresses de tous
les sites ayant recours une authentification
NTLM automatique
network.automatic-ntlmauth.allow-non-fqdn
Autoriser lauthentification
NTLM automatique avec
des sites sans FQDN
false moins que la liste network.automaticntlm-auth.trusted-uris comporte des adresses

sans FQDN
network.negotiate-auth.allow-nonfqdn
Autoriser lauthentification
SPNEGO avec des sites sans
FQDN
En fonction de lentit
network.negotiate-auth.allowproxies
Autoriser SPNEGO29 si demand par un serveur proxy
Au choix de lentit en fonction du systme

dauthentification utilis par le serveur proxy
dentreprise
network.negotiate-auth.delegationuris

pour lesquels le navigateur
peut dlguer lautorisation
de lutilisateur

les sites auxquels elle souhaite permettre la
dlgation SPNEGO
network.negotiate-auth.trusted-uris

pour engager une authentification SPNEGO

les sites ayant recours une authentification
SPNEGO
network.negotiate-auth.gsslib
Chemin vers une librairie

GSSLIB spcifique
Mettre vide
network.negotiate-auth.usingnative-gsslib
Utiliser la librairie GSSLIB

native du systme
true
security.default_personal_cert
Choix du certificat dauthentification client
Ask Every Time
29. SPNEGO est un standard qui permet de ngocier de lauthentification Kerberos, NTLM, ainsi que dautres
protocoles supports pour le systme. SPNEGO est galement connu sous le nom du protocole dauthentification
negociate . Pour plus dinformations : https://developer.mozilla.org/en-US/docs/Integrated_Authentication.
Page 26 sur 40
Serveur mandataire :
Nom de paramtre
Description
Valeur recommande
network.proxy.autoconfig_url
URL de configuration automatique du

proxy
Laisser vide
network.proxy.ftp
Adresse du proxy FTP
renseigner selon la configuration

de lentit et si un tel proxy est utilis
network.proxy.ftp_port
port du proxy FTP

network.proxy.http
Adresse du proxy proxy HTTP

network.proxy.http_port
port du proxy HTTP

network.proxy.no_proxies_on
Liste dexceptions lutilisation du serveur

proxy
A minima localhost, 127.0.0.1 et

davantage en fonction de lentit et
du primtre dutilisation du navigateur
network.proxy.share_
proxy_settings
Utiliser le mme proxy pour tous les protocoles
false
network.proxy.socks
Adresse du proxy socks

network.proxy.socks_port
port du proxy socks

network.proxy.socks_
remote_dns
Raliser les requtes DNS via le proxy

socks
false
network.proxy.socks_version
Version du proxy socks

network.proxy.ssl
Adresse du proxy HTTPS

network.proxy.ssl_port
port du proxy HTTPS

network.proxy.type
Type dutilisation du proxy
1 pour utiliser les valeurs indiques par les paramtres ci-dessus

(network.proxy.*)
network.http.proxy.version
version de proxy
1.1 par dfaut et en fonction du

serveur proxy de lentit
network.http.proxy.pipelining
Activer le pipelining30 par proxy
false pour des raisons de compatibilit. Lentit peut choisir de lactiver si le pipelining est support par
son serveur proxy dentreprise
signon.autologin.proxy
Saisie automatique du mot de passe de

proxy
false
30. Le pipelining permet de faire plusieurs requtes HTTP simultanment plutt que de les faire squentiellement en
attendant les rponses de chacune dentre elles. Pour plus dinformations : http://www-archive.mozilla.org/projects/
netlib/http/pipelining-faq.html.
Page 27 sur 40
Primtre de navigation :
Nom de paramtre
Description
Valeur recommande
network.protocolhandler.expose-all
Dtermine si le navigateur essaye

douvrir les liens cliqus dans le
navigateur en priorit avant de
laisser le systme sen charger en cas
dchec (si le protocole du lien en
question nest pas support par le
navigateur)
true
network.protocol-handler.warnexternal-default
Avertir lutilisateur avant

charger
un
gestionnaire
protocole tiers
true
network.protocolhandler.external-default
Action pour louverture dun protocole non pris en charge par le

navigateur
false de manire ne pas essayer

de charger des protocoles non pris en
charge nativement par le navigateur. Lentit renseignera ventuellement des gestionnaires de protocoles tiers pour des
protocoles quelle souhaite explicitement
permettre, tels que NNTP :, Mailto :,
etc. Pour illustrer par lexemple avec
Mailto :, le paramtre network.protocolhandler.external.mailto aurait pour valeur
true et le paramtre network.protocolhandler.app.mailto avec pour valeur le
chemin dun excutable comme Mozilla
Thunderbird ou Microsoft Outlook
network.protocolhandler.external.file
Gestionnaire de protocole file://

sous Firefox
false
network.protocolhandler.external.ftp
Gestionnaire de protocole ftp://

sous Firefox
false
gecko.handlerService.
allowRegisterFromDifferentHost
Autoriser les sites Web installer

des gestionnaires de protocoles ou
de contenus utilisable pour des
htes tiers
false
de
de
Page 28 sur 40
Administration systme, maintenance, et options diverses :

Paramtrage des mises jour :
Nom de paramtre
Description
Valeur recommande
app.update.enabled
Activation de la mise jour automatique
true
app.update.auto
Tlchargement
et
installation
automatiques (ncessite que le paramtre
app.update.enabled ait pour valeur
true)
true
app.update.cert.checkAttributes
Vrifie les attributs du certificat du serveur

de mise jour
false
app.update.cert.requireBuiltIn
Requiert lintgration des certificats du

serveur de mise jour et de toutes les
redirections intermdiaires
false
app.update.channel
Canal de mise jour
esr pour la version ESR de Firefox
app.update.download
.backgroundInterval
Temps de pause (en secondes) entre

chaque tlchargement, en arrire plan,
dun morceau de 300 Kb de mise jour
Au choix de lentit
app.update.idletime
Temps de pause (en secondes) entre chaque

tlchargement, la demande de lutilisateur) dun morceau de 300 Kb de mise
jour
60
app.update.interval
Intervalle de temps entre chaque vrification de disponibilit de nouvelles mises

jour
43200
app.update.mode
Dtermine quelles mises jour sont

tlcharges en arrire plan
0 pour tlcharger toutes les mises

jour sans intervention de lutilisateur
app.update.service.enabled
Active le service de mise jour de Firefox
true
app.update.showInstalledUI
Dtermine si, aprs installation de mise

jour, une bote de dialogue informe lutilisateur quune mise jour a t installe
Au choix de lentit
app.update.silent
Active le mode de mise jour silencieux
true pour une mise jour silencieuse

en arrire plan
app.update.url
URL de rcupration des mises jour de

Firefox
En fonction de la stratgie de mise

jour de lentit. Pour une mise jour
depuis les serveurs de Mozilla :
https://aus3.mozilla.org/
update/3/%PRODUCT%/%VERSION%
/%BUILD_ID%/%BUILD_TARGET%/%
LOCALE%/%CHANNEL%/%OS_VERSION%
/%DISTRIBUTION%/%DISTRIBUTION_
VERSION%/update.xml, sinon lURL
du serveur de mise jour interne
de lentit (quil faudra galement
renseigner dans le paramtre
app.update.url.override)
app.update.url.override
URL de rcupration des mises jour de

Firefox
Paramtre renseigner uniquement

dans le cas ou la mise jour de
Firefox se fait depuis lURL dun
serveur de mise jour interne de
lentit ( renseigner en plus du
paramtre app.update.url)
app.update.url.details
URL de consultation des informations relatives aux mises jour disponibles
Laisser la valeur par dfautr

https://www.mozilla.org/
%LOCALE%/firefox/notes
Page 29 sur 40
Configuration du cache :
Nom de paramtre
Description
Valeur recommande
browser.cache.check_doc_frequency
Quand vrifier la mise jour dune page en

cache disque
3 (vrifier quand la page est

prime)
browser.cache.compression_level
Niveau de compression du cache disque
Au choix de lentit, de 0
(pas de compression) 9
(haut taux de compression
avec forte sollicitation du processeur)
browser.cache.disk.capacity
Espace disque allou au cache disque, en

Kb
Au choix de lentit
browser.cache.disk.enable
Utiliser le cache disque
true
browser.cache.disk.max_entry_size
Taille maximum (en Kb) dune entre en

cache disque
Au choix de lentit
browser.cache.disk.smart_size.enabled
Allocation intelligente de lespace disque

allou au cache en fonction de lespace
disponible
Au choix de lentit
browser.cache.disk_cache_ssl
Mettre en cache disque les pages visites

en HTTPS
False de manire ne pas

mettre en cache le contenu
SSL
browser.cache.memory.enable
Utiliser le cache mmoire
true
browser.cache.memory.max_entry_size
Taille maximum (en Kb) dune entre en

cache mmoire
Au choix de lentit
browser.cache.memory_limit
Mmoire maximum utilise pour le cache

mmoire, en Kb
Au choix de lentit
browser.cache.offline.capacity
Espace disque allou au cache des applications Web
Au choix de lentit
browser.cache.offline.enable
Utiliser le cache des applications Web permettant une utilisation hors ligne
Au choix de lentit
browser.cache.use_new_backend
Utilisation du nouveau systme de cache
0 (ne pas utiliser pour des

questions de stabilit)
network.http.use-cache
Utiliser le cache des documents HTTP
true
media.cache_size
Taille du cache pour les fichiers multimedia
Au choix de lentit, par dfaut 512000
dom.storage.default_quota
Quota de stockage ct client pour les

pages Web
5120, taille par dfaut
dom.storage.enabled
Active le stockage ct client pour les pages

Web
true dfaut de vulnrabilits connues pour cette fonctionnalit
Page 30 sur 40
Dsactiver les options de dveloppement (sauf pour les populations de dveloppeurs) :

Nom de paramtre
Description
Valeur recommande
devtools.appmanager.enabled
Activation des outils de dveloppement, module appmanager
false
devtools.debugger.enabled
Activation des outils de dveloppement, module dbogueur
false
devtools.errorconsole.enabled
Activation des outils de dveloppement, module console

derreurs
false
devtools.fontinspector.enabled
Activation des outils de dveloppement, module inspecteur

de polices
false
devtools.inspector.enabled
Activation des outils de dveloppement, module inspecteur
false
devtools.netmonitor.enabled
Activation des outils de dveloppement, module rseau
false
devtools.profiler.enabled
Activation des outils de dveloppement, module profileur
false
devtools.shadereditor.enabled
Activation des outils de dveloppement, module vue adaptive
false
devtools.styleeditor.enabled
Activation des outils de dveloppement, module editeur de

styles
false
devtools.tilt.enabled
Activation des outils de dveloppement, module tilt
false
devtools.toolbar.enabled
Activation des outils de dveloppement, module barre de

dveloppement
false
Configurations diverses :
Nom de paramtre
Description
Valeur recommande
network.seer.enable-hover-on-ssl
Activer seer sur SSL
false
network.seer.enabled
Activer seer
false
network.http.pipelining
Activer le pipelining pour le surf

HTTP/1.1
false pour des raisons de compatibilit

avec les serveurs Web. Le pipelining peut
ventuellement tre utilis pour un navigateur ddi lintranet si lentit sait
lensemble de ses serveurs compatibles
network.http.pipelining.ssl
Activer le pipelining pour le surf

HTTPS/1.1
false pour des raisons de compatibilit

avec les serveurs Web. Le pipelining peut
ventuellement tre utilis pour un navigateur ddi lintranet si lentit sait
lensemble de ses serveurs compatibles
network.http.spdy.enabled
Activer SPDY31
false
network.http.spdy.enabled.v2
Activer SPDY v2
false
network.http.spdy.enabled.v3
Activer SPDY v3
false
network.http.spdy.enabled.v3-1
Activer SPDY v3.1
false
browser.shell.checkDefaultBrowser
Vrifier si Firefox est configur

comme navigateur par dfaut
false dans le cadre de double navigateurs.
browser.download.manager.
scanWhenDone
Scan antivirus dun fichier lorsque

son tlchargement est termin
true
browser.download.useDownloadDir
Utiliser le rpertoire de tlchargement par dfaut
false pour que lutilisateur indique

quel emplacement il souhaite tlcharger
le fichier
browser.fullscreen.autohide
Cacher la barre doutils et donglets

en mode plein cran
false
31. SPDY est un protocole rseau exprimental de Google visant augmenter les capacits du protocole HTTP pour
rduire le temps de chargement des pages Web en classant les objets par ordre de priorit et en multiplexant les transferts
pour ne ncessiter quune seule connexion. Ce protocole est vulnrable aux attaques CRIME (Compression Ratio Info-leak
Made Easy) lorsquil est utilis avec HTTPS (ce qui est gnralement le cas).
Page 31 sur 40
Annexe II : Dploiement et configuration centralise dans un

domaine Active Directory par GPP
Cette annexe prsente de manire synthtique une mthode de configuration centralise reposant
sur Active Directory.
Tlchargement de lexcutable dinstallation

La dernire version de Firefox est disponible sur le site Web de Mozilla 32 .
Le tlchargement nest propos quau format excutable. Son dploiement sera effectu selon les
mthodes utilises par chaque entit. Pour un dploiement par GPO au format MSI, un repaquettage
de lexcutable est ncessaire mais cela ncessite lusage doutils tiers.
Fichiers de configuration
La mthode de configuration centralise et verrouille de Firefox prsente dans cette annexe
consiste en la cration dun minimum de deux fichiers texte :
un fichier local-settings.js dposer dans le sous dossier defaults\pref\ du rpertoire
dinstallation de Firefox. Ce fichier, par convention, se contente de rfrencer un deuxime fichier
de configuration plus complet ;
un fichier mozilla.cfg (ou quelconque autre nom la discrtion de lentit) dposer directement dans le rpertoire dinstallation de Firefox et qui contient lensemble des paramtres de
configuration souhaits.
Fichier local-settings.js :
pref ( " general . c o n f i g _ o b s c u r e _ v a l u e " , 0) ; // fichier de configuration sans encodage
pref ( " general . config . filename " ," mozilla . cfg " ) ;
Fichier mozilla.cfg qui contient tous les paramtres de configuration souhaits :

// Configuration de Firefox
try {
// Options de configuration de proxy
lockPref ( " network . proxy . http " ," 192.168.0.100 " ) ;
lockPref ( " network . proxy . http_port " ,3128) ;
lockPref ( " network . proxy . ssl " ," 192.168.0.100 " ) ;
lockPref ( " network . proxy . ssl_port " ,3128) ;
// Autres options de configuration ...
// ...
} catch ( e ) {
displayError ( " Erreur dans le fichier de configuration local : " , e ) ;
}
32. Version ESR : https://www.mozilla.org/en-US/firefox/organizations/all. Version standard : https://www.

mozilla.org/en-US/firefox/new/.
Page 32 sur 40
Il est prcis que pour davantage de flexibilit, il est galement possible de centraliser ce dernier
fichier de configuration sur un espace partag 33 comme un site Web interne. Dans ce cas, le fichier
mozilla.cfg devient un simple chargeur dURL vers un troisime fichier de configuration :
// Configuration de Firefox - Chargeur URL
try {
lockPref ( " autoadmin . g l o b a l _ c o n f i g _ u r l " , " http :// intranet . local / config . cfg " ) ;
lockPref ( " autoadmin . a p p e n d _ e m a i l a d d r " , false ) ;
// ...
} catch ( e ) {
displayError ( " Erreur dans le fichier de configuration local : " , e ) ;
}
Le fichier config.cfg (ou un quelconque autre nom la discrtion de lentit) prcdemment

rfrenc et dpos lURL indique devient alors le fichier contenant tous les paramtres de configuration souhaits. Ce fichier est charg chaque lancement de Firefox :
// Configuration de Firefox
try {
lockPref ( " network . proxy . http " ," 192.168.0.100 " ) ;
lockPref ( " network . proxy . http_port " ,3128) ;
lockPref ( " network . proxy . ssl " ," 192.168.0.100 " ) ;
lockPref ( " network . proxy . ssl_port " ,3128) ;
// ...
} catch ( e ) {
displayError ( " Erreur dans le fichier de configuration distant : " , e ) ;
}
En suivant cette mthode, la configuration Firefox sera commune tous les comptes utilisateurs
dun poste de travail o la configuration est tl-dploye.
Tl-dploiement des fichiers de configuration par GPP/GPO

Les fichiers de configuration requis sur les postes (mozilla.cfg et local-settings.js dans lexemple donn prcdemment) peuvent tre dploys simplement par GPP (Group Policy Preferences).
tant donn que Firefox nest pas install dans un dossier identique sur les systmes 32 et 64 bits,
il est donc ncessaire de raliser le dploiement de manire distincte en fonction du type de systme
dexploitation.
Pour appliquer une GPO aux seuls postes utilisateurs 64 bits, il est possible dutiliser la fonctionnalit de filtre WMI des stratgies de groupes (dans lespace de noms "root\CIMV2" avec la requte Select * from Win32_Processor where AddressWidth = 64 ). Pour appliquer une GPO
aux seuls postes utilisateurs 32 bits, la requte devient Select * from Win32_Processor where
AddressWidth = 32 ). Ce filtre WMI permet alors dappliquer chacune des deux GPP de dploiement des fichiers de configuration aux postes 32 ou 64 bits respectivement.
33. Lentit veillera la scurit daccs de cet espace, pour viter que le fichier de configuration puisse tre modifi par
un utilisateur non privilgi. Elle tudiera galement la compatibilit avec ses postes nomades. Lorsque lespace partag
est temporairement indisponible, le lancement de Firefox est retard denviron trois secondes, mais la configuration
obtenue au dernier chargement russi reste applique.
Page 33 sur 40
Au niveau de la console de gestion des stratgies de groupe du domaine, ces deux GPO auront les
paramtres suivants :
Figure 3 GPO de dploiement du fichier local-settings.js sur les systmes 64 bits.
Figure 4 GPO de dploiement du fichier mozilla.cfg sur les systmes 64 bits.
Page 34 sur 40
Figure 5 GPO de dploiement du fichier local-settings.js sur les systmes 32 bits.
Figure 6 GPO de dploiement du fichier mozilla.cfg sur les systmes 32 bits.
Page 35 sur 40
Annexe III : Dploiement et matrise des magasins de certificats des

profils utilisateurs Firefox
Tout dabord, il est prcis quun crasement du fichier cert8.db dun profil Firefox a pour rsultat
de supprimer les certificats utilisateurs quil contient (il ne restera alors plus que les cls prives associes
ces derniers dans le fichier key3.db). La complexit de dploiement et de matrise des magasins de
certificats des profils utilisateurs varie donc en fonction du contexte dutilisation du navigateur.
Il noter galement que les certificats dautorits racines de confiance pr-intgrs Firefox sont
prsents en dur dans lexcutable Firefox et non pas dans les magasins de certificats cert8.db. Il nest
donc pas possible de les supprimer moins de recompiler Firefox partir des sources 34 (ces certificats
sont renseigns dans le fichier certdata.txt lemplacement security/nss/lib/ckfw/builtins/ de
larborescence des sources).
Scnario 1 : les utilisateurs de Firefox najoutent pas de certificats utilisateurs

leur magasin de certificats Firefox
Dans ce cas, une solution simple consiste copier rgulirement un fichier cert8.db de rfrence
dans les profils Firefox des utilisateurs. Comme le nom des sous dossiers de profils Firefox ne peuvent pas
tre dtermins lavance, il nest pas possible de copier ce fichier par GPP (Group Policy Preferences).
Par contre, cela peut tre fait simplement par GPO via un script douverture de session. Le script
PowerShell suivant illustre une manire de procder :
# R p e r t o i r e c o n t e n a n t l e f i c h i e r c o p i e r
$ s F F C e r t L o c a t i o n = chemin v e r s l e r p e r t o i r e l o c a l ou l e p a r t a g e r s e a u c o n t e n a n t c e r t 8 . db
# F i c h i e r c e r t 8 . db c o p i e r
$sFFCertDB = " $ s F F C e r t L o c a t i o n \ c e r t 8 . db"
# Chemin c o m p l e t v e r s l e s p r o f i l s F i r e f o x
$ s F F P r o f i l e s = $env :APPDATA + \ M o z i l l a \ F i r e f o x \ P r o f i l e s
$ l F F P r o f i l e s = GetC h i l d I t e m Path $ s F F P r o f i l e s |
WhereO b j e c t { $_ . A t t r i b u t e s band [ System . IO . F i l e A t t r i b u t e s ] : : D i r e c t o r y }
# Copie e t remplacement du f i c h i e r dans l e s p r o f i l s F i r e f o x
foreach ( $oProfile in $lFFProfiles ) {
CopyItem Path $sFFCertDB D e s t i n a t i o n $ o P r o f i l e . FullName F o r c e
}
Le fichier de rfrence dployer peut tre rcupr sur un profil Firefox existant dont le magasin
de certificats t configur, ou bien encore cr en utilisant loutil de gestion de magasins certificats
de Mozilla certutil.exe 35 .
34. Les sources de Firefox sont disponibles sur le site de Mozilla ladresse https://developer.mozilla.org/fr/
docs/Tlchargement_du_code_source_de_Mozilla.
35. Voici un article expliquant lutilisation de certutil.exe sur le site de Mozilla : https://developer.mozilla.org/
en-US/docs/Mozilla/Projects/NSS/tools/NSS_Tools_certutil. Loutil compil nest plus propos au tlchargement
par Mozilla, mais les sources sont disponibles ladresse https://ftp.mozilla.org/pub/mozilla.org/security/nss/
releases/ et un article de Mozilla explique la procdure de compilation suivre : https://developer.mozilla.org/
en-US/docs/Mozilla/Developer_guide/Build_Instructions/Windows_Prerequisites.
Page 36 sur 40
Scnario 2 : les utilisateurs de Firefox sont susceptibles dajouter des certificats

utilisateurs leur magasin de certificats Firefox
Dans ce cas, le fichier cert8.db ne doit pas tre cras. Les magasins de certificats devront alors
tre mis jour par lignes de commandes en utilisant loutil de Mozilla certutil.exe. La premire tape
consiste dployer loutil certutil.exe et ses dpendances sur les postes utilisateurs. Cela peut tre
ralis par GPP avec la mthode illustre en annexe II. Le dossier de destination est sans importance
et au choix de lentit. Les fichiers copier sont :
certutil.exe ;
libnspr4.dll ;
libplc4.dll ;
libplds4.dll ;
nss3.dll ;
nssutil3.dll ;
msvcr100.dll ;
smime3.dll.
Par la suite, diffrents scripts douverture de session permettraient de matriser les magasins de
certificats des profils utilisateurs Firefox. Voici quelques exemples de scripts PowerShell. Ces scripts
sont des illustrations permettant au lecteur de mieux apprhender la problmatique de matrise des
magasins de certificats Firefox. Ils ncessitent une adaptation lenvironnement de lentit avant tout
test et passage en production.
Script permettant de supprimer tous les certificats ajouts aux magasins de certificats des profils
utilisateurs Firefox, tout en y prservant les certificats utilisateurs :
#
#
#
#
#
#
#
#
S c r i p t de s u p p r e s s i o n d e s c e r t i f i c a t s a j o u t s aux ma g as i ns d e s
p r o f i l e s Firefox , l exception des c e r t i f i c a t s u t i l i s a t e u r s .
Attention :
Ce s c r i p t e s t s e n s i b l e au f o r m a t de s o r t i e de l o u t i l c e r t u t i l . e x e
S i l v e n a i t changer , c e s c r i p t s e r a i t r a d a p t e r .
I l e s t p r i m o r d i a l de t e s t e r c e s c r i p t dans l e n v i r o n n e m e n t
de l e n t i t avant son ex c u t i o n en p r o d u c t i o n s u r l e s p o s t e s de t r a v a i l
SetS t r i c t M o d e V e r s i o n 2 . 0
# R p e r t o i r e de c e r t u t i l c h a n g e r par c e l u i de l e n t i t
$ s P a t h T o C e r t u t i l = E : \PROJETS\ F i r e f o x \NSS 3 . 1 4 . 2 \ NSS 3 . 1 4 . 2 \ c e r t u t i l . e x e
$ l F F P r o f i l e s = GetC h i l d I t e m Path $ s F F P r o f i l e s | WhereO b j e c t { $_ . A t t r i b u t e s band [
System . IO . F i l e A t t r i b u t e s ] : : D i r e c t o r y }
# Pour chaque p r o f i l F i r e f o x :
$sPathToDB = $ o P r o f i l e . FullName
# Ex c u t i o n de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s
$ s C e r t u t i l O u t p u t = &" $ s P a t h T o C e r t u t i l " L d "$sPathToDB"
$ a L i n e s = $ s C e r t u t i l O u t p u t S p l i t [ \ r \n ]
# A t t r i b u t s d e s c e r t i f i c a t s ne pas s u p p r i m e r
# ( " u , u , u" pour l e s c e r t i f i c a t s u t i l i s a t e u r s )
$ s A t t r i b u t e s T o K e e p = @( u , u , u )
foreach ( $sLine in $aLines ) {
$sAttributes =
$sNickName =
Page 37 sur 40
# S u p r e s s i o n d e s l i g n e s v i d e s e t de l ent t e
$ s L i n e = $ s L i n e . Trim ( )
i f ( [ s t r i n g ] : : IsNullOrEmpty ( $ s L i n e ) Or
( $ s L i n e match ^\ s C e r t i f i c a t e Nickname \ s+Trust A t t r i b u t e s \ s $ ) Or
( $ s L i n e match ^\ s SSL , S/MIME, JAR/XPI\ s $ ) ) {
continue
}
# R cup r a t i o n d e s a t t r i b u t s en f i n de l i g n e
f o r ( $ i = $ s L i n e . Length 1 ; $ i ge 0 ; $ i ) {
i f ( $ s L i n e [ $ i ] . T o S t r i n g ( ) match ^\ s $ ) {
break
}
$sAttributes = $sLine [ $i ] + $sAttributes
}
# R cup r a t i o n du nom c o n v i v i a l
i f ( $ i g t 0 ) {
$sNickName = $ s L i n e . S u b s t r i n g ( 0 , $ i ) . Trim ( )
}
i f ( $ s A t t r i b u t e s n o t c o n t a i n s $ s A t t r i b u t e s T o K e e p ) {
&" $ s P a t h T o C e r t u t i l " D n " $sNickName " d "$sPathToDB"
i f ( ! $ ?) {
WriteOutput "Le c e r t i f i c a t $sNickName n a pas t supprim . "
}
}
Script permettant dajouter 36 des certificats serveurs ou dautorits de certification racines de

confiance de lentit :
#
#
#
#
#
#
S c r i p t d a j o u t de c e r t i f i c a t s dans l e s m ag a si n s de c e r t i f i c a t s d e s
p r o f i l s Firefox
Attention :
I l e s t p r i m o r d i a l de t e s t e r c e s c r i p t dans l e n v i r o n n e m e n t
de l e n t i t avant son ex c u t i o n en p r o d u c t i o n s u r l e s p o s t e s de t r a v a i l
# L i s t e de c e r t i f i c a t s i m p o r t e r
# Chemin c o m p l e t de c e r t u t i l . ex ( c h a n g e r par c e l u i de l e n t i t )
$ s P a t h T o C e r t u t i l = E : \PROJETS\ F i r e f o x \NSS 3 . 1 4 . 2 \ NSS 3 . 1 4 . 2 \ c e r t u t i l . e x e
# C e r t i f i c a t s i m p o r t e r , s o u s forme de t r i p l e t s ( chemin du . c e r , nom c o n v i v i a l , a t t r i b u t s )
$ a C e r t s = @(
# A u t o r i t s de c e r t i f i c a t i o n
( E : \PROJETS\ F i r e f o x \ CACerts \MONAC. c e r , MONAC , c , c , c ) ,
# Certificats serveurs
( E : \PROJETS\ F i r e f o x \ SSLSrvCerts \MONSERVER. c e r , MONSERVER , P , , )
)
$ l F F P r o f i l e s = GetC h i l d I t e m Path $ s F F P r o f i l e s |
WhereO b j e c t { $_ . A t t r i b u t e s band [ System . IO . F i l e A t t r i b u t e s ] : : D i r e c t o r y }
# Pour chaque p r o f i l F i r e f o x
$PathToDB = $ o P r o f i l e . FullName
# Ex c u t i o n de c e r t u t i l pour i m p o r t e r l e s
f o r e a c h ( $aC ert i n $ a C e r t s ) {
certificats
36. Lajout de certificats ncessite le positionnement dattributs de confiance pour chacun des 3 primtres (SSL/TLS,
S/MIME, JAR/XPI). La liste des attributs possibles est consultable ladresse https://developer.mozilla.org/en-US/
docs/Mozilla/Projects/NSS/tools/NSS_Tools_certutil.
Page 38 sur 40
&" $ s P a t h T o C e r t u t i l " A n $ aCe rt [ 1 ] t $a Cer t [ 2 ] i $a Cer t [ 0 ] d "$PathToDB"
Page 39 sur 40
Annexe IV : Tl-dploiement par GPO dun module de recherche

personnalis
Un module de recherche consiste en un fichier XML stock dans le sous dossier searchplugins
dun profil Firefox (pour un utilisateur) ou bien du rpertoire dinstallation de Firefox (pour tous les
utilisateurs de la machine). Lobtention de nouveaux modules de recherche peut se faire simplement
ladresse https://addons.mozilla.org/fr/firefox/search/?atype=4, chaque moteur ajout se
verra alors stock dans le profil Firefox sous la forme dun fichier XML pr-configur. Un administrateur
qui souhaite tl-dployer un module de recherche personnalis (moteur de recherche en intranet par
exemple) pourra alors aisment adapter un de ces fichiers XML ses besoins.
Pour lajout du moteur de recherche moteur.intranet.com , le contenu du fichier XML serait le
suivant :
<S e a r c h P l u g i n xmlns=" h t t p : / /www. m o z i l l a . o r g /2006/ b r o w s e r / s e a r c h / "
xmlns : o s=" h t t p : / / a9 . com// s p e c / o p e n s e a r c h / 1 . 1 / ">
<o s : ShortName>moteur . i n t r a n e t . f r </o s : ShortName>
<o s : D e s c r i p t i o n >moteur de r e c h e r c h e i n t r a n e t </o s : D e s c r i p t i o n >
<o s : InputEncoding>UTF8</o s : InputEncoding>
<o s : Image width=" 16 " h e i g h t=" 16 ">data : image / png ; base64 , image au f o r m a t png en
base64 </o s : Image>
<SearchForm>h t t p s : / / moteur . i n t r a n e t . f r /</SearchForm>
<o s : U r l t y p e=" a p p l i c a t i o n /xs u g g e s t i o n s+j s o n " method="GET"
t e m p l a t e=" h t t p : / / moteur . i n t r a n e t . f r / s u g g e s t ">
<o s : Param name="q" v a l u e=" { searchTerms } "/>
<o s : Param name=" c l i e n t " v a l u e=" f i r e f o x "/>
</o s : Url><o s : U r l t y p e=" t e x t / html " method="GET" t e m p l a t e=" h t t p s : / / moteur . i n t r a n e t . f r / ">
<o s : Param name="q" v a l u e=" { searchTerms } "/>
<o s : Param name=" c l i e n t " v a l u e=" f i r e f o x "/>
</o s : Url>
</S e a r c h P l u g i n >
Dans ce fichier, il convient de remplacer les termes image au format png en base64 par une
image au format PNG dune taille de 16*16 pixels et encode en base64.
Pour dployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins du
rpertoire dinstallation de Firefox, il est possible dutiliser les GPP (Group Policy Preferences) avec
la mthode illustre en annexe II.
Page 40 sur 40

NP NavigateurSecurise FireFox

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

NP NavigateurSecurise FireFox

Uploaded by

Copyright:

Available Formats

DAT-NT-20/ANSSI/SDE

Paris, le 15 janvier 2015

Agence nationale de la scurit

Nombre de pages du document

Personnes ayant contribu la rdaction de ce document:

BSS, SIS, LRP

Nature des modifications

Pour toute remarque:

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Table des matires

Enjeux de scurit dun navigateur Web

Firefox versus Firefox ESR

Choix des plugins . . . . . . . . . . . . . . . . .

Stratgie de double navigateur

Annexe I : Stratgies de scurisation de Firefox

Annexe IV : Tl-dploiement dun module de recherche personnalis par GPO

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

2 Enjeux de scurit dun navigateur Web

3 Firefox versus Firefox ESR

1. Sources : www.atinternet.com et www.w3schools.com.

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Le tableau comparatif suivant prsente les avantages et inconvnients de chaque version :

Le navigateur volue rgulirement et

Les quipes informatiques doivent

Les quipes informatiques nont pas se

ESR ne dispose pas des nouvelles

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

4.1 Choix des plugins

4.2 Choix des extensions

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Ne dployer que des extensions de confiance et ncessaires aux besoins mtiers.

Larticle SSL/TLS : tat des lieux et recommandations est disponible ladresse :

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

dun gestionnaire de mots de passe alternatif scuris est donc conseill.

Il est conseill de dsactiver le gestionnaire de mots de passe pour imposer la saisie

Dsactiver les divers rapports disponibles de plantage, de performance, etc.

Dsactiver le service de synchronisation Firefox Sync.

Activer les fonctionnalits de protection de la confidentialit (anti pistage, navigation

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Interdire les fonctions de golocalisation.

4.2.4 Moteur de recherche par dfaut

Activer les fonctionnalits de filtrage de contenu telles que la navigation scurise

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

4.2.7 Serveur mandataire

Privilgier lutilisation de serveurs mandataires avec authentification.

Interdire a minima le schma dadresses file:// pour un navigateur ddi la navigation

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

4.2.10 Administration systme et maintenance

4.3 Tl-dploiement initial

4.4 Gestion des mises jour

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

Le tableau suivant synthtise les avantages et inconvnients des deux mthodes :

classique : par dfaut,

- mise en uvre aise par les services

- ne permet pas aux services informatiques de tester

contrle : la mise jour

- permet de tester et valider les mises

- freine la ractivit des mises

5 Stratgie de double navigateur

No DAT-NT-20/ANSSI/SDE/NP du 15 janvier 2015

User-Agent du navigateur Internet (ou plus strictement de

TCP en sortie vers le serveur mandataire depuis :

Chemin complet de lexcutable des navigateurs autoriss