La Fibre
Télécom => Réseau => 
IPv6 => Discussion démarrée par: Fric-Box le 04 juin 2022 à 10:38:14
-
Bonjour tout le monde,
Ce matin, j'active mon espace santé, https://www.monespacesante.fr/ un gros truc j'imagine car à portée nationale, et là, surprise, il n'est pas disponible en IPv6... De la part d'un service qui vient d'ouvrir, c'est un peu dommage, non ?
-
Aucune surprise. Si ce n'est pas mis dans le cahier des charges. Il n'aura pas d'IPV6.
-
Ah... C'est un poil gênant quand même non ? Je veux dire en 2022...
-
C'est la totale :
(https://lafibre.info/images/ipv6/202206_monespacesante_ipv6.png)
J'ai fais un tweet, l'hébergeur (Atos) ayant déjà dés compétences en IPv6 (le site sera dans le bloc 2a00:7900::/32) et je sais qu'une personne au ministère des Solidarités et de la Santé sait bien qu'il faut pousser IPv6 ;), donc cela a une chance d’aboutir.
Le tweet : https://twitter.com/lafibreinfo/status/1533012683271942144
-
Ensuite, sur le sujet sécurité, je ne comprends pas comment un projet aussi sensible que ça ne suit pas les bonnes pratiques en matière de sécurité et notamment le support de TLS 1.3 afin de faire monter le niveau de sécurité.
Le site ne gère que TLS 1.2 (de bon niveau) mais TLS 1.3 apporte quelques améliorations de sécurité dans plusieurs types d'attaques. Cela expliquer que TLS 1.3 soit interdit dans certains pays, où la surveillance passe avant les droits humains. Je demande pas forcément le retrait de TLS 1.2 (nécessaire pour supporter des navigateurs obsolètes) mais je demande l'activation de TLS 1.3 afin que 99% du trafic puisse bénéficier des avancées. Sur un site avec des données de santé, il serait possible de faire le choix de ne plus être compatible avec les navigateurs obsolètes qui ont des failles de sécurité et qui peuvent donc plus facilement faire fuiter des données et donc enlever le support de TLS 1.2 pour ne garder que TLS 1.3. Avec le retrait de Internet Explorer 11 le 15 juin par Microsoft (cf Après 27 ans de vie, Internet Explorer sera enterré le 15 juin 2022 (https://lafibre.info/navigateurs/internet-explorer-fin/)) on aura 100% des navigateurs maintenus qui gèrent TLS 1.3.
Aujourd'hui la majorité des sites internet proposent TLS 1.3, pour moi c'est un pré-requis pour un site qui gère des données de santé.
Statistique du déploiement de TLS 1.3 sur Internet :
(https://lafibre.info/images/ssl/statistiques_sites_https_populaires.webp)
TLS 1.3 est arrivé en 2018 et 2019 sur tous les navigateurs :
- Fireofx 63+
- Chrome 70+
- Edge 79+
- Safari 12.1+
- iOS 12.2
(https://lafibre.info/images/ssl/201806_firefox_61_tls13.jpg)
-
A priori hébergé par Atos, pas un petite boite :
$ host monespacesante.fr
monespacesante.fr has address 80.78.4.124
monespacesante.fr mail is handled by 10 mx-in02.eu.retarus.com.
monespacesante.fr mail is handled by 10 mx-in01.eu.retarus.com.
$ whois 80.78.4.124
...
inetnum: 80.78.0.0 - 80.78.15.255
netname: FR-ATOS-20010703
country: FR
org: ORG-AP1-RIPE
admin-c: AAR69-RIPE
tech-c: AAR69-RIPE
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-by: SVA-INFOGERANCE
mnt-lower: MNT-AOI-NSS
mnt-lower: SVA-INFOGERANCE
mnt-routes: SVA-INFOGERANCE
mnt-domains: SVA-INFOGERANCE
created: 2001-12-11T16:14:20Z
last-modified: 2017-12-11T11:28:13Z
source: RIPE
organisation: ORG-AP1-RIPE
org-name: Atos France SAS
country: FR
org-type: LIR
address: 80 Quai Voltaire
address: 95877
address: BEZONS
address: FRANCE
phone: +33146255000
fax-no: +33142042029
abuse-c: AR15192-RIPE
mnt-ref: SVA-INFOGERANCE
mnt-ref: RIPE-NCC-HM-MNT
mnt-ref: MNT-AOI-NSS
mnt-by: RIPE-NCC-HM-MNT
mnt-by: SVA-INFOGERANCE
admin-c: PB16993-RIPE
admin-c: DD2578-RIPE
admin-c: JN4683-RIPE
admin-c: MF2396-RIPE
created: 2004-04-17T11:21:07Z
last-modified: 2022-05-20T09:19:51Z
source: RIPE # Filtered
...
-
En mars 2020 l'ANSSI (Agence nationale de la sécurité des systèmes d'information) recommandait de prendre en charge TLS 1.3.
C'est quand même étonnant pour un site lancé en 2022 hébergeant des données de santé de ne pas suivre les recommandations de l'ANSSI.
Extrait du guide ANSSI "Recommandations de sécurité relatives à TLS" :
(https://lafibre.info/images/ssl/202003_anssi_recommandations_de_securite_relatives_a_tls_1.webp)
Guide ANSSI "Recommandations de sécurité relatives à TLS" : (cliquez sur la miniature ci-dessous - le document est au format PDF)
(https://lafibre.info/images/ssl/202003_anssi_recommandations_de_securite_relatives_a_tls.webp) (https://lafibre.info/images/ssl/202003_anssi_recommandations_de_securite_relatives_a_tls.pdf)
-
Atos lui même ne semble as avoir d'IPv6 :
$ host atos.net
atos.net has address 146.185.43.103
atos.net mail is handled by 10 mx1.atos.net.
atos.net mail is handled by 10 mx8.atos.net.
atos.net mail is handled by 10 mx2.atos.net.
atos.net mail is handled by 10 mx6.atos.net.
atos.net mail is handled by 10 mx7.atos.net.
atos.net mail is handled by 10 mx3.atos.net.
atos.net mail is handled by 10 mx4.atos.net.
atos.net mail is handled by 10 mx5.atos.net.
-
Atos est en mesure de répondre à la demande d'un client qui souhaites de l'IPv6, vu qu'il a fait le nécessaire au niveau backbone : https://bgp.he.net/AS21000#_prefixes6 même si je regrette le fait qu'il n'ai qu'un seul transitaire IPv6 (Telia).
-
Quand une institution publique, de santé qui plus est, choisit un hébergeur pour héberger ses données, les priorités, qui sont même inscrites dans les textes législatifs sont la souveraineté, et la sécurité des données. C'est probablement pour cela qu'Atos a été choisi, après appel d'offre. La connectivité IPv6 n'est clairement pas une priorité, et peut même être vue comme une complication pour la sécurité, car il faut gérer la double pile IPv4/IPv6, ce qui multiplie par deux les règles de pare-feu et autres, avec le risque d'en activer pour l'un mais pas pour l'autre.
Pour les données de santé, il y a même une liste d'hébergeurs certifiés :
https://esante.gouv.fr/offres-services/hds/liste-des-herbergeurs-certifies
-
Pour TLS, j'ai regardé le mot TLS n’apparaît nul par les référentiels HDS pour l'hébergement des données de santé.
La procédure de certification semble plus bas dans les couches, sur la sécurisation de l'hébergement plus que sur la sécurisation du lien entre l'internaute et le site web.
Les référentiels de la procédure de certification : https://esante.gouv.fr/services/hebergeurs-de-donnees-de-sante/les-referentiels-de-la-procedure-de-certification
-
Je serais curieux de connaitre qui a fait ce site, a quel cout et combien il coute a maintenir et faire évoluer... J'imagine qu'il a eu appel d'offre ?
d'après https://www.monespacesante.fr/a-propos, c'est géré par la Délégation ministérielle au Numérique en Santé (abrégé DNS ... sigh) mais ca n'en dit pas plus. La roadmap indiquée sur cette page est impressionnante mais ne mentionne pas IPv6 (normal c'est plus un détail de mise en œuvre qu'un point fonctionnel).
d'après https://www.monespacesante.fr/cgu (section 5), le backend est le meme, c'est l'ancien DMP (Dossier Médical Partagé) qui n'avait pas trop eu de succès... Worldline (ex Atos) et Atos assurent l'hébergement.
mais y'a des trucs hors de France , notamment le token 2FA recu par email vient d'Allemagne (société https://www.retarus.com/ , produit d'emailing). ::)
-
J'imagine qu'il a eu appel d'offre ?
C'est une obligation.
IPv6 je ne suis pas trop étonné, si tu ne le met pas dans le cahier des charges, cela ne sera pas mis en place. Il y a des pays où il y a une pression pour que tous les sites publiques passent à IPv6, ce n'est clairement pas le cas de la France.
98% des sites chez Cloudflare (hors Shopify) sont disponibles en IPv6 et tu arrives à avoir des sites gouvernementaux Français chez Cloudflare en IPv4 only (!).
TLS 1.3 je suis pus étonné, car normalement il y a quand même un budget conséquent pour la sécurité et même si ce n'est pas dans le cahier des charges, c'est clairement dans les bonnes pratiques et des les recommandation ANSSI, donc étonnant que ce n'ai pas été activé.
-
La Caisse nationale de l'assurance maladie (Cnam) a lancé un appel d'offres pour "la réalisation, l'hébergement, l'exploitation et la maintenance du dispositif Espace numérique de santé (ENS)" d'un montant estimé à 156 millions d'euros et d'une durée de 3 ans.
https://www.lemondeinformatique.fr/actualites/lire-atos-et-octo-remportent-le-marche-espace-numerique-de-sante-81627.html
https://www.espace-social.com/espace-numerique-de-sante-la-cnam-lance-un-appel-doffres/#:~:text=%C2%AB%20L'offre%20est%20bas%C3%A9e%20sur,l'appel%20d'offres.
-
Ah... C'est un poil gênant quand même non ? Je veux dire en 2022...
c'est quoi la gene exactement ?
-
mais y'a des trucs hors de France , notamment le token 2FA recu par email vient d'Allemagne (société https://www.retarus.com/ , produit d'emailing). ::)
Oui, comme vu au-dessus, les MX du domaine semblent être les serveurs de retarus :
monespacesante.fr mail is handled by 10 mx-in02.eu.retarus.com.
D'après leur site, le siège de l'entreprise est à Munich, en Allemagne, mais ils ont une filiale en France.
https://www.retarus.com/fr/company/
-
c'est quoi la gene exactement ?
Un nouveau site qui sort, on aimerait bien qui soit futur proof, la volonté à long terme étant d’éteindre IPv4.
Sinon on le fait qu'il n'y a pas d’accès direct à internet depuis les mobiles qui sont en IPv6 only.
On doit passer par une plateforme nat64 pour l’accès au site depuis un mobile IPv6 only (tous les iPhone et les Android pas trop anciens chez Orange et Bouygues).
Pour les accès fixes double pile avec CG-Nat IPv4 (coucou SFR FttH) on passe la aussi par une plateforme de NAT supplémentaire.
Que ce soit mobile ou fixe, cela dégrade de manière imperceptible la latence, mais surtout cela ne permet pas au site d'avoir l'IP du client pour des fonctions de sécurité : Il a un groupe de clients derrière l'IPv4 publique alors qu'il aurait pu avoir le client seul en IPv6. Dans certains cas (que je qualifierait de mauvaise implémentation) cela peut ouvre la porte aux autres clients derrière la même IPv4 partagée sur certaines URL. Le risque est quand même très très faible.
-
oui, aucune gene donc, le site fonctionne normalement
-
98% des sites chez Cloudflare (hors Shopify) sont disponibles en IPv6 et tu arrives à avoir des sites gouvernementaux Français chez Cloudflare en IPv4 only (!).
oui dans la console Cloudflare on peut désactiver IPv6 en un 1 click.
J'imagine qu'ils ne veulent pas d'IPv6 car leur backend/analytics/securité consigne les IP sources et qu'ils ne savent pas/veulent pas traiter ce format d'IP...(il y a pourtant une option pour cela dans Cloudflare (https://support.cloudflare.com/hc/en-us/articles/229666767-Understanding-and-configuring-Cloudflare-s-IPv6-support#h_877db671-916a-4085-9676-8eb27eaa2a91)).
-
Sinon, outre la vrai déception de ne pas avoir de TLS 1.3 (l'absence d'IPv6 est à peine une surprise)
J'ai testé le service et activé mon compte et je suis favorablement impressionné, c'est bien conçu, la double authentification (authentification à deux facteurs ouA2F) est imposée, ce qui est normal vu les données manipulés (c'est un coffre fort qui devrait avoir terme tous les documents de santé).
L'arrivée à la première connexion :
(https://lafibre.info/images/ssl/202206_monespacesante_2.webp)
La page d’accueil :
(https://lafibre.info/images/ssl/202206_monespacesante_1.webp)
-
Les choix pour les accès sont clairs :
(https://lafibre.info/images/ssl/202206_monespacesante_3.webp)
(https://lafibre.info/images/ssl/202206_monespacesante_4.webp)
-
J'ai retrouvé mon attestation de vaccination Covid-19 :
(https://lafibre.info/images/ssl/202206_monespacesante_5.webp)
Chaque assuré à une adresse mail qui est simple : C'est le numéro de sécurité social en entier (13 chiffres, suivi d'une clé de contrôle de deux chiffres) @patient.mssante.fr
Pour une femme (2) née en juin (06) 2022 (22) à Paris (75), ce sera donc 2220675xxxxxxxx@patient.mssante.fr
(https://lafibre.info/images/ssl/202206_monespacesante_6.webp)
-
TLS 1.3 je suis pus étonné, car normalement il y a quand même un budget conséquent pour la sécurité et même si ce n'est pas dans le chier des charges, c'est clairement dans les bonnes pratiques et des les recommandation ANSSI, donc étonnant que ce n'ai pas été activé.
Si, si, c'est dans le "chier des charges" d'ailleurs, il y a que ça, chier des charges, dans l'administration ils savent faire (elle était gratuite celle-là, mais elle était drôle dans le contexte) .
-
Corrigé le "a" manquant.
Tu vois où une obligation de faire du TLS 1.3 pour les données de santé ?
-
de mon coté la dinum nous a demandé d'ajouter le tls 1.3 sur une pf d'un client.
-
Corrigé le "a" manquant.
Tu vois où une obligation de faire du TLS 1.3 pour les données de santé ?
C'était pour le bon mot, et la plaisanterie.
Cette partie est interministérielle, ou sujette que au Ministère de la Santé ? A voir le périmètre d'intervention de la DINUM pour ce dossier, si c'est à implémenter et une demande à faire parvenir aux deux, ATOS et inscrire dans le cahier des charges pour la version ultérieure.
-
de mon coté la dinum nous a demandé d'ajouter le tls 1.3 sur une pf d'un client.
Ah ?
Leur site web ( https://www.numerique.gouv.fr/ ) ne propose ni TLS 1.3, ni IPv6. Il a également d'autres problèmes de sécurité :
This server supports weak Diffie-Hellman (DH) key exchange parameters. Grade capped to B.
This server does not support Forward Secrecy with the reference browsers. Grade capped to B.
Maintenant, c'est moins choquant, ce n'est pas un site qui gère des données de santé (et peut-être pas de données personnelles, cela ressemble à un site vitrine).
Pour l'IPv6, c'est probablement simple : Le site numerique.gouv.fr est hébergé par... OVH.
Coté contenu, il est noté F par https://observatory.mozilla.org/analyze/www.numerique.gouv.fr#http
Et noté F par https://securityheaders.com/?followRedirects=on&hide=on&q=www.numerique.gouv.fr
-
probablement qu'il n'y a pad de données importantes ou sensibles sur le site
mon client lui developpe un outil utilisé par les differents ministeres donc...