Professional Documents
Culture Documents
PREMIER MINISTRE
Secrtariat gnral
de la dfense
et de la scurit nationale
No DAT-NT-20/ANSSI/SDE/NP
Note technique
Recommandations pour le dploiement scuris du
navigateur Mozilla Firefox sous Windows
Public vis:
Dveloppeur
Administrateur
RSSI
DSI
Utilisateur
X
X
X
X
Informations
Avertissement
Ce document rdig par lANSSI prsente les Recommandations pour le dploiement
scuris du navigateur Mozilla Firefox sous Windows . Il est tlchargeable sur le site
www.ssi.gouv.fr. Il constitue une production originale de lANSSI. Il est ce titre plac sous le
rgime de la Licence ouverte publie par la mission Etalab (www.etalab.gouv.fr). Il est
par consquent diffusable sans restriction.
Ces recommandations sont livres en ltat et adaptes aux menaces au jour de leur
publication. Au regard de la diversit des systmes dinformation, lANSSI ne peut garantir que
ces informations puissent tre reprises sans adaptation sur les systmes dinformation cibles.
Dans tous les cas, la pertinence de limplmentation des lments proposs par lANSSI doit
tre soumise, au pralable, la validation de ladministrateur du systme et/ou des personnes
en charge de la scurit des systmes dinformation.
Rdig par
Approuv par
Date
BSS
SDE
15 janvier 2015
volutions du document :
Version
Date
1.0
15 janvier 2015
Version initiale.
Adresse
@ml
Tlphone
Bureau Communication
de lANSSI
51 bd de La
Tour-Maubourg
75700 Paris Cedex
07 SP
communication@ssi.gouv.fr
01 71 75 84 04
Page 1 sur 40
Prambule
Matrise du navigateur
4.1
4.2
4.3
4.4
5
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
5
5
6
7
8
9
9
9
10
10
10
11
11
11
12
16
Annexe II : Dploiement et configuration centralise dans un domaine Active Directory par GPP
32
Annexe III : Dploiement et matrise des magasins de certificats des profils utilisateurs Firefox
36
40
Page 2 sur 40
1 Prambule
Firefox est le navigateur web en sources ouvertes dit par la fondation Mozilla et dont la premire
version stable date de 2004. Rapidement devenu lun des navigateurs les plus utiliss par les internautes 1 , il est aujourdhui soutenu par une importante communaut de dveloppeurs du monde libre.
Firefox dispose dun mcanisme de mise jour automatique et peut tre configur de manire
centralise. Il se prte bien une utilisation professionnelle. De par son haut degr de paramtrage et
son code en sources ouvertes, il peut galement sadapter des environnements au sein desquels les
contraintes techniques sont importantes.
Cette note technique vise sensibiliser le lecteur aux enjeux de scurit dun navigateur Web et
doit le guider dans la mise en uvre dune stratgie de scurisation spcifique Firefox dans le cadre
dune configuration centralise et scurise en environnement Active Directory.
Page 3 sur 40
Avantages
Inconvnients
Version
standard
Version
ESR
Au sein dun systme dinformation administr de manire centralise, il est donc plutt conseill
de dployer la version ESR de Firefox. La prsente note technique sappuie sur le dploiement et la
configuration de Firefox ESR dans sa version 31.
4 Matrise du navigateur
Les principaux enjeux dun dploiement de navigateur au sein dun systme dinformation sont sa
scurit et sa matrise. Pour cela, il est ncessaire de pouvoir contrler sa configuration de manire
centralise, tout en procdant des dploiements et des mises jour (automatiques ou non) selon la
politique de mise jour de lentit et sans intervention de lutilisateur.
Firefox ne prend pas nativement en charge la configuration par stratgies de groupes (GPO) en
environnement Active Directory. Il est pour cela ncessaire de recourir des extensions tierces. Il est
en revanche possible de paramtrer le navigateur laide de fichiers de configuration dployer sur
les postes des utilisateurs. Cette mthode prsente lintrt dtre utilisable simplement, dans nombreux contextes, et aussi bien sous Linux que Windows sans distinction. Ces fichiers de configuration
permettent galement dimposer des paramtres verrouills et non modifiables par les utilisateurs.
R1
Avant tout dploiement de Firefox au sein dun systme dinformation, il est primordial de
dfinir prcisment une stratgie de paramtrage qui garantira lutilisation du navigateur
dans une configuration durcie et verrouille.
Page 4 sur 40
Il est important de commencer par clarifier les termes utiliss par Mozilla et ce quils dsignent. Le
terme de module (Add-on) ou de module complmentaire inclut :
les plugins ou greffons, qui sont des composants compils ;
les extensions (qui sont des composants en langage interprt comme XUL ou JavaScript) ;
les thmes (qui ne font lobjet daucune recommandation de scurit) ;
les modules de moteur de recherche.
Les recommandations de paramtrage figurant dans ce document sont donnes titre indicatif
dans loptique dune configuration durcie. Elles doivent donc tre modules selon les besoins propres
chaque entit et bien entendu selon le primtre dutilisation du navigateur (Internet, Intranet, etc.).
Leur application ne doit pas se faire sans validation pralable.
Lannexe I de ce document prcise les paramtres de configuration permettant dappliquer toutes
les recommandations de configuration de Firefox indiques dans ce document. En environnement
professionnel, il est par ailleurs conseill de dployer une telle configuration par GPP de manire
centralise comme expliqu en annexe II.
Tout plugin ajout Firefox fait courir un risque de scurit supplmentaire, il est alors
important de les limiter au strict ncessaire.
Note : Le risque induit par lutilisation du plugin Flash Player peut tre tolr ds lors que la lecture
des contenus Flash constitue un besoin incontournable. Complt par la visionneuse PDF intgre
Firefox (crite en JavaScript), la prise en charge de ces deux types de contenus devrait suffire pour la
plupart des usages.
Lajout, la mise jour, et la suppression de plugins pour Firefox de manire centralise peut se
faire simplement par base de registre 7 et par GPP (Group Policy Preferences).
Page 5 sur 40
qui leur sont accordes. Il convient donc dtre particulirement vigilant tant donn les risques de
scurit non ngligeables quelles introduisent.
Ainsi, une extension malveillante pourrait accder des informations sensibles concernant la navigation de lutilisateur puis les envoyer un serveur illgitime sur Internet. Une extension peut galement
introduire de nouveaux comportements indsirables suite une mise jour. Rien ne laisse prsager
quune extension aujourdhui non malveillante ne le sera pas demain.
En parallle, de nombreuses extensions prsentent des vulnrabilits qui peuvent tre exploites
(par le contenu des pages visites ou encore, par courriels spcifiquement forgs et consults par
webmail). Ces extensions vulnrables peuvent galement servir exploiter, par rebond, les vulnrabilits
dventuels plugins activs et ainsi obtenir un accs complet au systme.
R3
Note : Dans le cas dextensions dveloppes en interne, il convient de prter une attention particulire
la scurit de leur code 8 .
Lajout, la mise jour et la suppression dextensions pour Firefox de manire centralise peut se
faire simplement dans la base de registre et par GPP (Group Policy Preferences).
4.2.1 SSL/TLS et certificats
Firefox a comme particularit dutiliser ses propres bibliothques de gestion des changes scuriss
client/serveur dveloppes par la fondation Mozilla (bibliothques NSS, Network Security Services), ce
qui lui permet de disposer par exemple de son propre magasin de certificats et de sa propre liste de
CRL (listes de rvocations de certificats). Il est ainsi possible dappliquer des restrictions spcifiques
au navigateur sur certains certificats sans que cela ne sapplique au systme dexploitation dans son
ensemble, ce qui le diffrencie dautres navigateurs. Il est galement possible de restreindre simplement
les versions de protocoles SSL/TLS ainsi que les suites cryptographiques utilises. Cette indpendance
vis--vis du mcanisme fourni par le systme dexploitation lui confre une plus grande portabilit et
une souplesse dans sa configuration SSL/TLS mais se traduit en contrepartie par une dmarche de
scurisation plus complexe.
R4
Dsactiver lutilisation de SSL et nautoriser que les protocoles TLS v1.1 et suprieures
(la v1.0 tant vulnrable). Pour aller plus loin, il est galement possible de restreindre
les suites cryptographiques utilisables en dsactivant celles reposant sur des algorithmes
obsoltes comme RC4.
Note : Pour plus dinformations, le lecteur est invit se rfrer la section correspondante de
lannexe I ainsi quaux publications de lANSSI 9 . Par ailleurs, les suites nutilisant pas de mcanismes
de PFS (Perfect Forward Secrecy) devraient idalement tre dsactives elles aussi mais des difficults
de navigation seraient prvoir sur Internet du fait de l incompatibilit avec de nombreux serveurs
Web.
8. Larticle Security best practices in extensions expose certains fondamentaux respecter pour le dveloppement
dextension scurises : https://developer.mozilla.org/en-US/Add-ons/Security_best_practices_in_extensions.
9. La note Recommandations de scurit concernant lanalyse des flux HTTPS est disponible ladresse :
https://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/recommandations-et-guides/authentification-et-mecanismes-cryptographiques/
recommandations-de-securite-concernant-l-analyse-des-flux-https.html.
Page 6 sur 40
Chaque utilisateur dun poste de travail dispose de son propre profil Firefox. Les informations de
scurit relatives aux certificats sont stockes, pour chaque profil firefox, dans 3 fichiers :
cert8.db (objets accessibles publiquement : certificats, CRLs, enregistrements S/MIME) ;
key3.db (cls prives, mots de passe) ;
secmod.db (informations de configuration des modules de scurit).
Laccs aux fichiers key3.db et cert8.db non chiffrs dun profil Firefox permet la rcupration
et la rutilisation des certificats utilisateurs quils contiennent. Tout compte disposant de droits administrateurs sur un ordinateur a la possibilit de rcuprer lensemble des fichiers key3.db et cert8.db
qui y sont stocks (voire tout utilisateur non privilgi dans le cas dun systme de fichiers FAT32). La
confidentialit des donnes utilisateurs nest donc pas assure ds lors que ces fichiers ne sont pas chiffrs.
La dfinition dun mot de passe principal dclenche le chiffrement du fichier key3.db par algorithme
3DES-CBC avec une cl drive de ce mot de passe. La scurit apporte par une telle mesure reste
modre, des outils performants permettent de rapidement retrouver ce mot de passe matre par force
brute. Le stockage du profil Firefox dans un conteneur chiffr par une solution qualifie par lANSSI
peut tre, dans certains cas, la solution privilgier.
R5
Ds lors que des certificats utilisateurs sont stocks dans les magasins de certificats de
Firefox, il est recommand dassurer la scurit de leurs conteneurs de cls prives (fichiers
key3.db) par chiffrement.
Tout utilisateur de Firefox peut aussi ajouter des certificats serveurs et des autorits de confiance
dans son propre magasin de certificats. Selon le contexte dutilisation du navigateur, il peut donc
tre important de mettre en uvre des mesures techniques permettant de matriser les magasins de
certificats des profils Firefox et de sassurer de leur conformit vis vis de la stratgie de lentit.
R6
Matriser les magasins de certificats des profils Firefox et notamment les autorits de
certification racines de confiance et les certificats serveurs qui y sont configurs.
Note : lapplication de cette recommandation est simple ds lors que les utilisateurs ne stockent pas
de certificats utilisateurs dans leurs magasins de certificats Firefox, mais cela devient plus compliqu
dans le cas contraire. La problmatique est aborde plus en dtail en annexe III.
Il noter galement que, depuis sa version 24, Firefox se dtourne de lusage classique des CRLs
en ligne au profit dune liste de rvocations mise jour rgulirement pour consultation locale. Les
bibliothques NSS supportent toujours la gestion des CRLs classiques (modifiables par loutil crlutil
et non plus par interface graphique) mais il est prvu quelles ne soient plus utilises dans un avenir
proche. Les autorits de certification sont dailleurs invites envoyer leurs certificats rvoqus Mozilla
pour tre intgrs la liste de rvocation maintenue par Mozilla 10 .
4.2.2 Gestionnaire de mots de passe
Le gestionnaire de mots de passe de Firefox permet de mmoriser les mots de passe saisis dans
les formulaires Web. Tout comme pour les magasins de certificats, lutilisation dun mot de passe
principal 11 permet de chiffrer les mots de passe stocks par un algorithme 3DES-CBC avec une cl
drive du mot de passe principal. La scurit apporte par une telle mesure reste modre, des outils
performants permettent de rapidement retrouver ce mot de passe matre par force brute. Lutilisation
10. Le Wiki de Mozilla dtaille la problmatique de rvocation de certificats au sein de Firefox : https://wiki.
mozilla.org/CA:ImprovingRevocation.
11. https://support.mozilla.org/fr/kb/utiliser-mot-passe-principal-proteger-identifiants.
Page 7 sur 40
4.2.3 Confidentialit
Le lecteur est invit prendre connaissance de la dclaration de confidentialit de Firefox 13 .
Selon les fonctionnalits actives, diverses informations sont susceptibles dtre envoyes Mozilla. La
plupart sont en rapport avec :
les informations lies aux modules complmentaires installs et le blocage automatique des
modules en liste noire ;
les rapports de plantage ;
le service de mise jour automatique ;
le service de protection contre les sites malveillants ;
le service de synchronisation Firefox Sync.
Il est donc important de dsactiver certaines de ces fonctionnalits pour limiter les donnes envoyes
Mozilla.
R8
R9
R10
La fonctionnalit de blocage des sites contrefaits envoie des fournisseurs tiers de Mozilla
les adresses Web des sites visits pour vrifier quils ne soient pas connus comme tant
malveillants et en bloquer laccs si ncessaire. Bien quil soit conseill de laisser ce filtre
activ pour des raisons de scurit, une entit pourra juger suffisamment confidentielles les
adresses des pages Web visites pour quune dsactivation de ce mcanisme simpose.
La navigation prive ainsi que la protection contre le pistage (Do Not Track ) sont des fonctionnalits intressantes du point de vue du respect de la vie prive lors de la navigation sur Internet et
qui pourraient tre dsactives pour de la navigation en Intranet. La stratgie de configuration des
paramtres de confidentialit dpendra donc du primtre dutilisation du navigateur. Ds lors que le
navigateur Firefox dispose dune connectivit Internet, les recommandations suivantes sappliquent :
R11
Note : Le nouveau standard de protection contre le-pistage (Do Not Track ) nest quune sollicitation du
12. KeePass est un exemple de solution disposant dun certificat de scurit de premier niveau (CSPN) dlivr par
lANSSI qui peut tre utilise avec Firefox.
13. Dclaration disponible en anglais ladresse :
http://www.mozilla.org/en-US/legal/privacy/firefox.html.
Page 8 sur 40
client. Sa prise en compte par les serveurs Web ne dpend donc que de leurs pratiques de confidentialit
respectives et napporte aucune garantie au client.
R12
R13
Ds lors que la confidentialit des recherches est juge primordiale, il conviendra dimposer
un moteur de recherche de confiance et de dsactiver les fonctionnalits de recherche
instantane ou de suggestion de recherche.
Pour des questions de respect de la vie prive, il est conseill dimposer un moteur de
recherche sappuyant sur une connexion chiffre (HTTPS).
Note : Cela nempche pas linterception des donnes par le moteur de recherche, ce dernier tant dans
tous les cas destinataire des donnes de recherche en clair.
4.2.5 Filtrage de contenu
Le filtrage du contenu participe renforcer la scurit de la navigation en bloquant les contenus
potentiellement malveillants. Certains mcanismes de filtrage peuvent toutefois avoir une incidence sur
la facult des utilisateurs naviguer sur certains sites.
R15
R16
Interdire ou, a minima, restreindre les scripts, les contenus mixtes actifs 15 , les cookies tiers,
etc.
La section correspondante de lannexe I liste en dtail le paramtrage recommand pour ces types de
contenus.
4.2.6 Page(s) daccueil
Si le navigateur est configur pour restaurer la session prcdente, les donnes ainsi que les cookies
de session seront sauvegards puis restaurs au prochain dmarrage du navigateur (sauf en mode de
14. Cette couche de scurit, qui permet de se prmunir contre certains types dattaques, est dtaille dans un article du
Mozilla Developer Network : https://developer.mozilla.org/en-US/docs/Web/Security/CSP/Introducing_Content_
Security_Policy.
15. https://developer.mozilla.org/en-US/docs/Security/MixedContent.
Page 9 sur 40
navigation prive). Il est alors possible de rcuprer ces cookies sauvegards pour sauthentifier la
place de lutilisateur sans mot de passe, voire de rcuprer une session HTTPS pralablement initie.
R17
Il est prfrable que le navigateur nenregistre pas les sessions de navigation. Lors du
dmarrage du navigateur (aprs un arrt normal ou brusque), il est en effet conseill
de ne pas restaurer la session prcdente de lutilisateur mais dafficher une(des) page(s)
connue(s) et de confiance.
Note : Cette recommandation peut tre renforce par des rgles de filtrage de pare-feu.
4.2.8 Authentification HTTP
Il est possible de durcir la scurit des authentifications utilisant NTLM 16 ou SPNEGO 17 sur
Firefox ds lors que lune dentre elles est utilise par lentit qui le dploie. Il est par exemple
recommand de spcifier la liste des serveurs autoriss engager une authentification SPNEGO ou
une authentification NTLM automatique.
R19
Spcifier la liste des serveurs autoriss engager une authentification SPNEGO ou une
authentification NTLM automatique.
Note : Lutilisation de NTLM nest pas conseille, Kerberos tant le protocole dauthentification
privilgier.
4.2.9 Primtre de navigation
Il est recommand de restreindre le primtre de navigation en interdisant certains schmas dadresses
avec les protocol-handlers.
R20
Note : Lutilisation du navigateur Firefox ne sera alors plus possible pour afficher des pages html
directement depuis un systme de fichiers (CD-ROM, disque local ou distant via un partage rseau,
etc.).
Ces listes prsentent galement un intrt particulier dans le cadre dune stratgie de double
navigateur. Ce sujet est dtaill en section Stratgie de double navigateur .
16. NTLM (NT Lan Manager ) est une suite de protocoles dauthentification de Microsoft qui ne supporte pas les
mthodes cryptographiques rcentes comme AES ou SHA-256.
17. SPNEGO (Simple and Protected GSSAPI Negociation Mechanism) est un standard qui permet de ngocier de
lauthentification Kerberos, NTLM, ainsi que dautres protocoles supports pour le systme. SPNEGO est galement
connu sous le nom du protocole dauthentification negociate . Pour plus dinformations : https://developer.mozilla.
org/en-US/docs/Integrated_Authentication.
Page 10 sur 40
18. Pour plus dinformations sur la mise en uvre dun serveur de mises jour local : https://developer.mozilla.
org/en-US/docs/Mozilla/Setting_an_update_server.
Page 11 sur 40
Avantages
Inconvnients
Il sera nettement moins risqu (du point de la compatibilit) de retenir le mode classique (automatique) pour les versions ESR de Firefox tant donn que les mises jour concernent des correctifs de
scurit haut risque et napportent aucune nouvelle fonctionnalit. En revanche, les versions standards
de Firefox peuvent recevoir des mises jour fonctionnelles importantes quil serait plus pertinent de
contrler pralablement.
La problmatique des mises jour concerne galement les extensions. Bien quil soit recommand
de les interdire dans le cadre dune configuration durcie, une entit peut vouloir en dployer certaines
pour de bonnes raisons. La mise jour des extensions est indpendante du mcanisme de mise
jour du navigateur. Elles peuvent tre mises jour automatiquement (comportement par dfaut) ou
manuellement quelle que soit la stratgie de mise jour choisie pour le navigateur.
Le maintien en conditions de scurit des plugins devra par ailleurs tre gr indpendamment du
navigateur, chaque plugin ayant ses spcificits quant aux mcanismes de mise jour utiliss.
Concernant le service Mozilla Maintenance Service (service charg des mises jour de Firefox), ce
dernier sexcute avec les droits qui lui sont propres pour la mise jour du navigateur et ce, quels que
soient les droits de lutilisateur.
Page 12 sur 40
Pour traiter cette problmatique, lorsquelles disposent des ressources ncessaires, en particulier
pour en assurer le maintien en conditions de scurit, de plus en plus dentits sorientent vers lusage
de deux navigateurs diffrents. Il devient alors possible :
den ddier un la navigation sur Internet. De par sa configuration durcie, sa surface dattaque
est rduite au maximum. Il est maintenu en conditions de scurit avec la plus grande attention.
Les quipes de veille scrutent la moindre vulnrabilit dont le navigateur Internet fait lobjet.
Les quipements de filtrage et danalyse du trafic sont utiliss pour reprer tout comportement
suspect de navigation sur Internet ;
den ddier un deuxime laccs aux serveurs internes, ncessitant par exemple un module complmentaire qui peut faire lobjet de vulnrabilits frquentes ou qui ncessite une configuration
plus permissive. Il est alors possible de le configurer pour permettre uniquement laccs et lusage
de lensemble des sites et applications lgres de lIntranet.
Une telle stratgie de double navigateur doit ncessairement saccompagner de mesures de scurit
techniques permettant de garantir le primtre dutilisation de chaque navigateur par des paramtres
de configuration verrouills. Le tableau suivant en donne quelques exemples :
Composant
Action
Valeur
Serveur mandataire
Autoriser
Bloquer
Pare-feu locaux
postes de travail
des
Autoriser
Bloquer
Pare-feu de passerelle
Internet
Autoriser
Bloquer
Applocker (ou SRP) sur
les postes de travail
Autoriser lexcution
Bloquer lexcution
guides-et-bonnes-pratiques/recommandations-et-guides/securite-du-poste-de-travail-et-des-serveurs/
recommandations-de-securite-relatives-aux-environnements-d-execution-java-sur.html
Page 13 sur 40
Les figures suivantes illustrent de manire synthtique les mesures de scurit appliques une
stratgie de double navigateur :
Figure 1 Illustration dune stratgie de double navigateur, cas o Firefox est utilis comme
navigateur Internet.
Page 14 sur 40
Figure 2 Illustration dune stratgie de double navigateur, cas o Firefox est utilis comme
navigateur Intranet.
Ces figures illustrent deux cas distincts. Le navigateur Firefox y est reprsent mais la stratgie
serait quivalente avec dautres navigateurs.
Les rgles de configuration recommandes en annexe I se prtent un contexte o le navigateur est
ddi la navigation sur Internet.
Page 15 sur 40
Nom de stratgie
Description
Valeur recommande
extensions.enabledScopes
Page 16 sur 40
Nom de paramtre
Description
Valeur recommande
extensions.blocklist.enabled
extensions.blocklist.
detailsURL
extensions.blocklist.interval
Intervalle de tlchargement de
la liste noire de modules, en
secondes
extensions.blocklist.level
Niveau de blocage
extensions.blocklist.url
Adresse de tlchargement de la
liste noire de modules
extensions.enabledAddons
Mettre vide
pdfjs.disabled
plugin.state.flash
Configuration dactivation du
plugin Flash
plugin.state.java
Configuration dactivation du
plugin Java
plugin.state.x
Configuration dactivation du
plugin x, o x est remplacer
par le nom court du plugin
dsactiver (exemple : npctrl
pour Microsoft Silverlight. Les
noms courts des plugins sont
indiqus en affichant leurs informations dtailles depuis linterface graphique)
plugin.default.state
0 pour ne jamais activer un plugin non explicitement autoris par les rgles prcdentes
plugin.defaultXpi.state
plugins.click_to_play
false
Page 17 sur 40
tant donn que seuls les modules complmentaires tl-dploys par les quipes informatiques
sont autoriss, il est recommand de bloquer toute possibilit dajout de modules complmentaires par
lutilisateur.
Nom de stratgie
Description
Valeur recommande
extensions.getAddons.
getWithPerformance.url
Mettre vide
extensions.getAddons.maxResults
extensions.getAddons.get.url
Mettre vide
extensions.getAddons.
recommended.browseURL
Mettre vide
extensions.getAddons.
recommended.url
Mettre vide
extensions.getAddons.
search.browseURL
Mettre vide
extensions.getAddons.search.url
Mettre vide
extensions.getAddons.showPane
false
extensions.hideInstallButton
true
Mettre vide
xpinstall.enabled
false
xpinstall.whitelist.required
true
xpinstall.whitelist.add
xpinstall.whitelist.add.*
Mettre vide
Pour finir, lentit devra choisir sa stratgie de mise jour des extensions tl-dployes. Lentit
qui voudra tl-dployer elle-mme les versions jour des modules complmentaires aprs une phase de
validation optera pour le paramtrage donn ci-dessous, la responsabilit du maintien en conditions de
scurit sera alors dporte sur les services informatiques en charge du dploiement de ces mises jour.
Dans le cas contraire, les valeurs par dfaut permettent une mise jour automatique des extensions
par Internet.
Nom de stratgie
Description
Valeur recommande
extensions.hotfix.cert.
checkAttributes
true
extensions.hotfix.certs.1.
sha1Fingerprint
extensions.update.
autoUpdateDefault
false
Mettre vide
extensions.update.enabled
false
extensions.update.interval
plugins.update.notifyUser
false
plugins.update.url
Mettre vide
Page 18 sur 40
SSL/TLS et certificats :
Le paramtrage des suites cryptographiques autorises peut engendrer des problmes de compatibilit selon le contexte. Il est donc lgitime de prfrer ne pas modifier la configuration par dfaut.
Dans un soucis de durcissement, les recommandations suivantes pourraient toutefois tre appliques :
Nom de paramtre
Description
Valeur recommande
security.ssl3.dhe_dss_aes_128_sha
Autoriser ssl3.dhe_dss_aes_128_sha
false
security.ssl3.dhe_dss_aes_256_sha
Autoriser ssl3.dhe_dss_aes_256_sha
false
security.ssl3.dhe_dss_camellia_128_sha
Autoriser ssl3.dhe_dss_camellia_128_sha
false
security.ssl3.dhe_dss_camellia_256_sha
Autoriser ssl3.dhe_dss_camellia_256_sha
false
security.ssl3.dhe_rsa_aes_128_sha
Autoriser ssl3.dhe_rsa_aes_128_sha
true
security.ssl3.dhe_rsa_aes_256_sha
Autoriser ssl3.dhe_rsa_aes_256_sha
true
security.ssl3.dhe_rsa_camellia_128_sha
Autoriser ssl3.dhe_rsa_camellia_128_sha
false
security.ssl3.dhe_rsa_camellia_256_sha
Autoriser ssl3.dhe_rsa_camellia_256_sha
false
security.ssl3.dhe_rsa_des_ede3_sha
Autoriser ssl3.dhe_rsa_des_ede3_sha
false
security.ssl3.ecdhe_ecdsa_aes_128_gcm
_sha256
Autoriser ssl3.ecdhe_ecdsa_aes_128_gcm
_sha256
true
security.ssl3.ecdhe_ecdsa_aes_128_sha
Autoriser ssl3.ecdhe_ecdsa_aes_128_sha
true
security.ssl3.ecdhe_ecdsa_aes_256_sha
Autoriser ssl3.ecdhe_ecdsa_aes_256_sha
true
security.ssl3.ecdhe_ecdsa_rc4_128_sha
Autoriser ssl3.ecdhe_ecdsa_rc4_128_sha
false
security.ssl3.ecdhe_rsa_aes_128_gcm
_sha256
Autoriser ssl3.ecdhe_rsa_aes_128_gcm
_sha256
true
security.ssl3.ecdhe_rsa_aes_128_sha
Autoriser ssl3.ecdhe_rsa_aes_128_sha
true
security.ssl3.ecdhe_rsa_aes_256_sha
Autoriser ssl3.ecdhe_rsa_aes_256_sha
true
security.ssl3.ecdhe_rsa_des_ede3_sha
Autoriser ssl3.ecdhe_rsa_des_ede3_sha
false
security.ssl3.ecdhe_rsa_rc4_128_sha
Autoriser ssl3.ecdhe_rsa_rc4_128_sha
false
security.ssl3.rsa_aes_128_sha
Autoriser ssl3.rsa_aes_128_sha
true
security.ssl3.rsa_aes_256_sha
Autoriser ssl3.rsa_aes_256_sha
true
security.ssl3.rsa_camellia_128_sha
Autoriser ssl3.rsa_camellia_128_sha
false
security.ssl3.rsa_camellia_256_sha
Autoriser ssl3.rsa_camellia_256_sha
false
security.ssl3.rsa_des_ede3_sha
Autoriser ssl3.rsa_des_ede3_sha
false
security.ssl3.rsa_fips_des_ede3_sha
Autoriser ssl3.rsa_fips_des_ede3_sha
false
security.ssl3.rsa_rc4_128_md5
Autoriser ssl3.rsa_rc4_128_md5
false
security.ssl3.rsa_rc4_128_sha
Autoriser ssl3.rsa_rc4_128_sha
false
security.ssl3.rsa_seed_sha
Autoriser ssl3.rsa_seed_sha
false
Autres paramtres :
Nom de paramtre
Description
Valeur recommande
security.tls.version.max
Version
SSL/TLS
de
security.tls.version.min
maximum
security.ssl.allow_unrestricted_renego_
Activer la rengociation SSL
everywhere__temporarily_available_pref
security.ssl.enable_false_start
security.ssl.enable_ocsp_stapling
true
23. https://blog.mozilla.org/security/2013/07/29/ocsp-stapling-in-firefox/
Page 19 sur 40
Nom de paramtre
Description
Valeur recommande
security.ssl.require_safe_
negotiation
true
security.ssl.treat_unsafe_
negotiation_as_broken
true
true
network.websocket.
allowInsecureFromHTTPS
false
security.OCSP.enabled
Activer OCSP
security.OCSP.require
true si security.OCSP.enabled a t
configur true, ou false dans le cas
contraire.
security.cert_pinning.
enforcement_level
Description
Valeur recommande
privacy.clearOnShutdown.passwords
true
signon.rememberSignons
false
signon.autofillForms
false
24. https://developper.mozilla.org/fr/docs/Scurit/HTTP_Strict_Transport_Security.
25. Lpinglage de certificats permet davoir une base locale de certificats connus et attendus pour certains sites Web
consults en HTTPS. Ainsi, si le certificat prsent par le serveur est valide en tous points de vue mais nest pas le
certificat attendu, la connexion sera coupe. Ce mcanisme permet dviter une attaque par le milieu prsentant un faux
certificat issu dune autorit de certification de confiance.
Page 20 sur 40
Confidentialit :
Il nexiste pas, en date de rdaction de cette note, de rgle globale pour la dsactivation de Firefox
Sync. Sa dsactivation se fait par consquent travers plusieurs rgles de configuration.
Nom de paramtre
Description
Valeur recommande
services.sync.engine.addons
false
services.sync.engine.bookmarks
false
services.sync.engine.history
false
services.sync.engine.passwords
false
services.sync.engine.prefs
false
services.sync.engine.tabs
false
services.sync.registerEngines
Mettre vide
services.sync.jpake.serverURL
Mettre vide
services.sync.serverURL
Mettre vide
services.sync.serverURL
Mettre vide
services.sync.tokenServerURI
Mettre vide
services.sync.nextSync
Description
Valeur recommande
datareporting.healthreport.about.reportUrl
Mettre vide
datareporting.healthreport.
logging.consoleEnabled
false
datareporting.healthreport.
logging.dumpEnabled
false
datareporting.healthreport.
nextDataSubmissionTime
Mettre vide
datareporting.healthreport.service.enabled
false
datareporting.healthreport.uploadEnabled
false
datareporting.policy.dataSubmissionEnabled
false
datareporting.policy.
dataSubmissionPolicyAccepted
false
datareporting.policy.
dataSubmissionPolicyBypassAcceptance
false
datareporting.policy.
dataSubmissionPolicyResponseType
accepted-info
-bar-dismissed
dom.ipc.plugins.reportCrashURL
false
dom.ipc.plugins.flash.subprocess.
crashreporter.enabled
false
toolkit.telemetry.enabled
false
toolkit.telemetry.server
Mettre vide
breakpad.reportURL
Mettre vide
Page 21 sur 40
Il peut galement tre utile de configurer loption de suppression des donnes prives (Clear Private
Data) en slectionnant les lments qui seront supprims. Lentit pourra par exemple permettre aux
utilisateurs de supprimer leurs donnes prives dans le cadre dune navigation sur internet ou bien, de
linterdire sil sagit dun navigateur ddi lintranet. Une entit pourrait galement vouloir toujours
garder les historiques et le cache des fins dinvestigation (cela nempchera toutefois pas lutilisateur
de les supprimer directement au niveau du systme de fichiers dans son profil utilisateur).
Nom de paramtre
Description
Valeur recommande
privacy.cpd.cache
Au choix de lentit
privacy.cpd.cookies
Au choix de lentit
privacy.cpd.downloads
Au choix de lentit
privacy.cpd.formdata
Au choix de lentit
privacy.cpd.history
Au choix de lentit
privacy.cpd.offlineApps
Au choix de lentit
privacy.cpd.passwords
Supprimer les mots de passe enregistrs lors dune suppression des donnes prives
Au choix de lentit
privacy.cpd.sessions
Au choix de lentit
privacy.cpd.siteSettings
Au choix de lentit
privacy.sanitize.
sanitizeOnShutdown
Description
Valeur recommande
privacy.clearOnShutdown.sessions
true
privacy.clearOnShutdown.cookies
true
privacy.donottrackheader.enabled
Activer Do-Not-Track
true
geo.enabled
activer la golocalisation
false
geo.wifi.uri
Mettre vide
network.prefetch-next
Tlchargement prdictif anticip des documents lis la page Web visits (link prefetching)26
false
network.http.sendRefererHeader
browser.send_pings
false
26. Le link prefetching permet dacclrer le surf en anticipant le chargement des documents lis la page visits.
Limplmentation de ce mcanisme dans Firefox ne transmet aucune information Mozilla. Pour plus dinformations :
https://developer.mozilla.org/en-US/docs/Web/HTTP/Link_prefethcing_FAQ.
Page 22 sur 40
Filtrage de contenu :
Actions autorises aux les scripts :
Nom de paramtre
Description
Valeur recommande
dom.allow_scripts_to_close_windows
false
dom.disable_image_src_set
true
dom.disable_window_flip
Interdire le changement de
fentre active par script
true
dom.disable_window_move_resize
false
dom.disable_window_open_feature.close
Interdire la cration
fentre sans bouton
fermeture
de
de
dom.disable_window_open_feature.location
Interdire la cration de
fentre sans barre dadresse
dom.disable_window_open_feature.status
Interdire la cration de
fentre sans barre de status
dom.disable_window_open_feature.titlebar
Interdire la cration de
fentre sans barre de titre
dom.disable_window_open_feature.toolbar
Interdire la cration de
fentre sans barre doutils
false
dom.event.clipboardevents.enabled
Permettre un script de
saisir les vnements du
presse papier
false
dom.event.contextmenu.enabled
Permettre un script de
saisir les vnements daccs au menu contextuel (clic
droit)
false
dom.inter-app-communication-api.enabled
Activer la communication
par API entre applications
false
dom.ipc.plugins.enabled
dom.ipc.plugins.java.enabled
Page 23 sur 40
Nom de stratgie
Description
Valeur recommande
browser.safebrowsing.enabled
true
javascript.enabled
Activation de Javascript
true
security.mixed_content.
block_active_content
true
security.mixed_content.
block_display_content
false
security.fileuri.
strict_origin_policy
network.cookie.cookieBehavior
network.cookie.lifetimePolicy
true
network.jar.open-unsafe-types
false
privacy.popups.policy
Politique de popups
privacy.popups.showBrowserMessage
true
browser.popups.showPopupBlocker
true
security.csp.enable
true
full-screen-api.enabled
false
notification.feature.enabled
false
27. La fonctionnalit de navigation scurise consiste synchroniser une liste locale dadresses de sites maveillants
(depuis les serveurs de Google par dfaut, depuis que Firefox utilise leur service) pour alerter lutilisateur sil sapprte
en visiter un. Elle consiste galement analyser le contenu des pages pour reprer dventuelles tentatives dhameonnage.
Page 24 sur 40
Description
Exemple
browser.search.defaultenginename
Qwant.com
browser.search.defaulturl
https://www.qwant.com/?q=searchTerms
browser.search.log
false
browser.search.openintab
false
browser.search.order.1
Qwant.com
browser.search.suggest.enabled
false
browser.search.update
false
keyword.enabled
true
Page(s) daccueil
Nom de stratgie
Description
Valeur recommande
startup.homepage_override_url
startup.homepage_welcome_url
browser.startup.homepage
Page daccueil
browser.startup.page
Page daccueil
browser.sessionstore.
resume_from_crash
false
browser.sessionstore.enabled
false
browser.newtab.url
28. Ceci nest en aucun cas une recommandation ni une incitation son utilisation mais un simple exemple.
Page 25 sur 40
Authentification HTTP :
Nom de stratgie
Description
Valeur recommande
network.auth.force-generic-ntlm
false
network.auth.use-sspi
network.ntlm.send-lm-response
false
network.automatic-ntlmauth.allow-proxies
network.automatic-ntlmauth.trusted-uris
network.automatic-ntlmauth.allow-non-fqdn
Autoriser lauthentification
NTLM automatique avec
des sites sans FQDN
network.negotiate-auth.allow-nonfqdn
Autoriser lauthentification
SPNEGO avec des sites sans
FQDN
En fonction de lentit
network.negotiate-auth.allowproxies
network.negotiate-auth.delegationuris
network.negotiate-auth.trusted-uris
network.negotiate-auth.gsslib
Mettre vide
network.negotiate-auth.usingnative-gsslib
true
security.default_personal_cert
29. SPNEGO est un standard qui permet de ngocier de lauthentification Kerberos, NTLM, ainsi que dautres
protocoles supports pour le systme. SPNEGO est galement connu sous le nom du protocole dauthentification
negociate . Pour plus dinformations : https://developer.mozilla.org/en-US/docs/Integrated_Authentication.
Page 26 sur 40
Serveur mandataire :
Nom de paramtre
Description
Valeur recommande
network.proxy.autoconfig_url
Laisser vide
network.proxy.ftp
network.proxy.ftp_port
network.proxy.http
network.proxy.http_port
network.proxy.no_proxies_on
network.proxy.share_
proxy_settings
false
network.proxy.socks
network.proxy.socks_port
network.proxy.socks_
remote_dns
false
network.proxy.socks_version
network.proxy.ssl
network.proxy.ssl_port
network.proxy.type
network.http.proxy.version
version de proxy
network.http.proxy.pipelining
false pour des raisons de compatibilit. Lentit peut choisir de lactiver si le pipelining est support par
son serveur proxy dentreprise
signon.autologin.proxy
false
30. Le pipelining permet de faire plusieurs requtes HTTP simultanment plutt que de les faire squentiellement en
attendant les rponses de chacune dentre elles. Pour plus dinformations : http://www-archive.mozilla.org/projects/
netlib/http/pipelining-faq.html.
Page 27 sur 40
Primtre de navigation :
Nom de paramtre
Description
Valeur recommande
network.protocolhandler.expose-all
true
network.protocol-handler.warnexternal-default
true
network.protocolhandler.external-default
network.protocolhandler.external.file
false
network.protocolhandler.external.ftp
false
gecko.handlerService.
allowRegisterFromDifferentHost
false
de
de
Page 28 sur 40
Description
Valeur recommande
app.update.enabled
true
app.update.auto
Tlchargement
et
installation
automatiques (ncessite que le paramtre
app.update.enabled ait pour valeur
true)
true
app.update.cert.checkAttributes
false
app.update.cert.requireBuiltIn
false
app.update.channel
app.update.download
.backgroundInterval
Au choix de lentit
app.update.idletime
60
app.update.interval
43200
app.update.mode
app.update.service.enabled
true
app.update.showInstalledUI
Au choix de lentit
app.update.silent
app.update.url
app.update.url.override
app.update.url.details
Page 29 sur 40
Configuration du cache :
Nom de paramtre
Description
Valeur recommande
browser.cache.check_doc_frequency
browser.cache.compression_level
Au choix de lentit, de 0
(pas de compression) 9
(haut taux de compression
avec forte sollicitation du processeur)
browser.cache.disk.capacity
Au choix de lentit
browser.cache.disk.enable
true
browser.cache.disk.max_entry_size
Au choix de lentit
browser.cache.disk.smart_size.enabled
Au choix de lentit
browser.cache.disk_cache_ssl
browser.cache.memory.enable
true
browser.cache.memory.max_entry_size
Au choix de lentit
browser.cache.memory_limit
Au choix de lentit
browser.cache.offline.capacity
Au choix de lentit
browser.cache.offline.enable
Utiliser le cache des applications Web permettant une utilisation hors ligne
Au choix de lentit
browser.cache.use_new_backend
network.http.use-cache
true
media.cache_size
dom.storage.default_quota
dom.storage.enabled
Page 30 sur 40
Description
Valeur recommande
devtools.appmanager.enabled
false
devtools.debugger.enabled
false
devtools.errorconsole.enabled
false
devtools.fontinspector.enabled
false
devtools.inspector.enabled
false
devtools.netmonitor.enabled
false
devtools.profiler.enabled
false
devtools.shadereditor.enabled
false
devtools.styleeditor.enabled
false
devtools.tilt.enabled
false
devtools.toolbar.enabled
false
Configurations diverses :
Nom de paramtre
Description
Valeur recommande
network.seer.enable-hover-on-ssl
false
network.seer.enabled
Activer seer
false
network.http.pipelining
network.http.pipelining.ssl
network.http.spdy.enabled
Activer SPDY31
false
network.http.spdy.enabled.v2
Activer SPDY v2
false
network.http.spdy.enabled.v3
Activer SPDY v3
false
network.http.spdy.enabled.v3-1
false
browser.shell.checkDefaultBrowser
browser.download.manager.
scanWhenDone
true
browser.download.useDownloadDir
browser.fullscreen.autohide
false
31. SPDY est un protocole rseau exprimental de Google visant augmenter les capacits du protocole HTTP pour
rduire le temps de chargement des pages Web en classant les objets par ordre de priorit et en multiplexant les transferts
pour ne ncessiter quune seule connexion. Ce protocole est vulnrable aux attaques CRIME (Compression Ratio Info-leak
Made Easy) lorsquil est utilis avec HTTPS (ce qui est gnralement le cas).
Page 31 sur 40
Fichiers de configuration
La mthode de configuration centralise et verrouille de Firefox prsente dans cette annexe
consiste en la cration dun minimum de deux fichiers texte :
un fichier local-settings.js dposer dans le sous dossier defaults\pref\ du rpertoire
dinstallation de Firefox. Ce fichier, par convention, se contente de rfrencer un deuxime fichier
de configuration plus complet ;
un fichier mozilla.cfg (ou quelconque autre nom la discrtion de lentit) dposer directement dans le rpertoire dinstallation de Firefox et qui contient lensemble des paramtres de
configuration souhaits.
Fichier local-settings.js :
pref ( " general . c o n f i g _ o b s c u r e _ v a l u e " , 0) ; // fichier de configuration sans encodage
pref ( " general . config . filename " ," mozilla . cfg " ) ;
Page 32 sur 40
Il est prcis que pour davantage de flexibilit, il est galement possible de centraliser ce dernier
fichier de configuration sur un espace partag 33 comme un site Web interne. Dans ce cas, le fichier
mozilla.cfg devient un simple chargeur dURL vers un troisime fichier de configuration :
// Configuration de Firefox - Chargeur URL
try {
// Options de configuration de proxy
lockPref ( " autoadmin . g l o b a l _ c o n f i g _ u r l " , " http :// intranet . local / config . cfg " ) ;
lockPref ( " autoadmin . a p p e n d _ e m a i l a d d r " , false ) ;
// Autres options de configuration ...
// ...
} catch ( e ) {
displayError ( " Erreur dans le fichier de configuration local : " , e ) ;
}
En suivant cette mthode, la configuration Firefox sera commune tous les comptes utilisateurs
dun poste de travail o la configuration est tl-dploye.
33. Lentit veillera la scurit daccs de cet espace, pour viter que le fichier de configuration puisse tre modifi par
un utilisateur non privilgi. Elle tudiera galement la compatibilit avec ses postes nomades. Lorsque lespace partag
est temporairement indisponible, le lancement de Firefox est retard denviron trois secondes, mais la configuration
obtenue au dernier chargement russi reste applique.
Page 33 sur 40
Au niveau de la console de gestion des stratgies de groupe du domaine, ces deux GPO auront les
paramtres suivants :
Page 34 sur 40
Page 35 sur 40
Le fichier de rfrence dployer peut tre rcupr sur un profil Firefox existant dont le magasin
de certificats t configur, ou bien encore cr en utilisant loutil de gestion de magasins certificats
de Mozilla certutil.exe 35 .
34. Les sources de Firefox sont disponibles sur le site de Mozilla ladresse https://developer.mozilla.org/fr/
docs/Tlchargement_du_code_source_de_Mozilla.
35. Voici un article expliquant lutilisation de certutil.exe sur le site de Mozilla : https://developer.mozilla.org/
en-US/docs/Mozilla/Projects/NSS/tools/NSS_Tools_certutil. Loutil compil nest plus propos au tlchargement
par Mozilla, mais les sources sont disponibles ladresse https://ftp.mozilla.org/pub/mozilla.org/security/nss/
releases/ et un article de Mozilla explique la procdure de compilation suivre : https://developer.mozilla.org/
en-US/docs/Mozilla/Developer_guide/Build_Instructions/Windows_Prerequisites.
Page 36 sur 40
S c r i p t de s u p p r e s s i o n d e s c e r t i f i c a t s a j o u t s aux ma g as i ns d e s
p r o f i l e s Firefox , l exception des c e r t i f i c a t s u t i l i s a t e u r s .
Attention :
Ce s c r i p t e s t s e n s i b l e au f o r m a t de s o r t i e de l o u t i l c e r t u t i l . e x e
S i l v e n a i t changer , c e s c r i p t s e r a i t r a d a p t e r .
I l e s t p r i m o r d i a l de t e s t e r c e s c r i p t dans l e n v i r o n n e m e n t
de l e n t i t avant son ex c u t i o n en p r o d u c t i o n s u r l e s p o s t e s de t r a v a i l
SetS t r i c t M o d e V e r s i o n 2 . 0
# R p e r t o i r e de c e r t u t i l c h a n g e r par c e l u i de l e n t i t
$ s P a t h T o C e r t u t i l = E : \PROJETS\ F i r e f o x \NSS 3 . 1 4 . 2 \ NSS 3 . 1 4 . 2 \ c e r t u t i l . e x e
# Chemin c o m p l e t v e r s l e s p r o f i l s F i r e f o x
$ s F F P r o f i l e s = $env :APPDATA + \ M o z i l l a \ F i r e f o x \ P r o f i l e s
$ l F F P r o f i l e s = GetC h i l d I t e m Path $ s F F P r o f i l e s | WhereO b j e c t { $_ . A t t r i b u t e s band [
System . IO . F i l e A t t r i b u t e s ] : : D i r e c t o r y }
# Pour chaque p r o f i l F i r e f o x :
foreach ( $oProfile in $lFFProfiles ) {
$sPathToDB = $ o P r o f i l e . FullName
# Ex c u t i o n de c e r t u t i l pour l i s t e r l e s c e r t i f i c a t s
$ s C e r t u t i l O u t p u t = &" $ s P a t h T o C e r t u t i l " L d "$sPathToDB"
$ a L i n e s = $ s C e r t u t i l O u t p u t S p l i t [ \ r \n ]
# A t t r i b u t s d e s c e r t i f i c a t s ne pas s u p p r i m e r
# ( " u , u , u" pour l e s c e r t i f i c a t s u t i l i s a t e u r s )
$ s A t t r i b u t e s T o K e e p = @( u , u , u )
foreach ( $sLine in $aLines ) {
$sAttributes =
$sNickName =
Page 37 sur 40
# S u p r e s s i o n d e s l i g n e s v i d e s e t de l ent t e
$ s L i n e = $ s L i n e . Trim ( )
i f ( [ s t r i n g ] : : IsNullOrEmpty ( $ s L i n e ) Or
( $ s L i n e match ^\ s C e r t i f i c a t e Nickname \ s+Trust A t t r i b u t e s \ s $ ) Or
( $ s L i n e match ^\ s SSL , S/MIME, JAR/XPI\ s $ ) ) {
continue
}
# R cup r a t i o n d e s a t t r i b u t s en f i n de l i g n e
f o r ( $ i = $ s L i n e . Length 1 ; $ i ge 0 ; $ i ) {
i f ( $ s L i n e [ $ i ] . T o S t r i n g ( ) match ^\ s $ ) {
break
}
$sAttributes = $sLine [ $i ] + $sAttributes
}
# R cup r a t i o n du nom c o n v i v i a l
i f ( $ i g t 0 ) {
$sNickName = $ s L i n e . S u b s t r i n g ( 0 , $ i ) . Trim ( )
}
i f ( $ s A t t r i b u t e s n o t c o n t a i n s $ s A t t r i b u t e s T o K e e p ) {
&" $ s P a t h T o C e r t u t i l " D n " $sNickName " d "$sPathToDB"
i f ( ! $ ?) {
WriteOutput "Le c e r t i f i c a t $sNickName n a pas t supprim . "
}
}
S c r i p t d a j o u t de c e r t i f i c a t s dans l e s m ag a si n s de c e r t i f i c a t s d e s
p r o f i l s Firefox
Attention :
I l e s t p r i m o r d i a l de t e s t e r c e s c r i p t dans l e n v i r o n n e m e n t
de l e n t i t avant son ex c u t i o n en p r o d u c t i o n s u r l e s p o s t e s de t r a v a i l
# L i s t e de c e r t i f i c a t s i m p o r t e r
# Chemin c o m p l e t de c e r t u t i l . ex ( c h a n g e r par c e l u i de l e n t i t )
$ s P a t h T o C e r t u t i l = E : \PROJETS\ F i r e f o x \NSS 3 . 1 4 . 2 \ NSS 3 . 1 4 . 2 \ c e r t u t i l . e x e
# C e r t i f i c a t s i m p o r t e r , s o u s forme de t r i p l e t s ( chemin du . c e r , nom c o n v i v i a l , a t t r i b u t s )
$ a C e r t s = @(
# A u t o r i t s de c e r t i f i c a t i o n
( E : \PROJETS\ F i r e f o x \ CACerts \MONAC. c e r , MONAC , c , c , c ) ,
# Certificats serveurs
( E : \PROJETS\ F i r e f o x \ SSLSrvCerts \MONSERVER. c e r , MONSERVER , P , , )
)
# Chemin c o m p l e t v e r s l e s p r o f i l s F i r e f o x
$ s F F P r o f i l e s = $env :APPDATA + \ M o z i l l a \ F i r e f o x \ P r o f i l e s
$ l F F P r o f i l e s = GetC h i l d I t e m Path $ s F F P r o f i l e s |
WhereO b j e c t { $_ . A t t r i b u t e s band [ System . IO . F i l e A t t r i b u t e s ] : : D i r e c t o r y }
# Pour chaque p r o f i l F i r e f o x
foreach ( $oProfile in $lFFProfiles ) {
$PathToDB = $ o P r o f i l e . FullName
# Ex c u t i o n de c e r t u t i l pour i m p o r t e r l e s
f o r e a c h ( $aC ert i n $ a C e r t s ) {
certificats
36. Lajout de certificats ncessite le positionnement dattributs de confiance pour chacun des 3 primtres (SSL/TLS,
S/MIME, JAR/XPI). La liste des attributs possibles est consultable ladresse https://developer.mozilla.org/en-US/
docs/Mozilla/Projects/NSS/tools/NSS_Tools_certutil.
Page 38 sur 40
Page 39 sur 40
Dans ce fichier, il convient de remplacer les termes image au format png en base64 par une
image au format PNG dune taille de 16*16 pixels et encode en base64.
Pour dployer ces fichiers XML sur les postes utilisateurs dans le sous dossier searchplugins du
rpertoire dinstallation de Firefox, il est possible dutiliser les GPP (Group Policy Preferences) avec
la mthode illustre en annexe II.
Page 40 sur 40