que dois-je savoir sur l’utilisation exclusive du protocole HTTPS et la plateforme ArcGIS ?

Réponse

Remarque : Ce document est dynamique et les informations de cette page sont régulièrement mises à jour à mesure que des modifications sont apportées.

Présentation du protocole HTTPS

Le protocole HTTPS, acronyme pour Hypertext Transfer Protocol for Secure communication, permet la transmission sécurisée des données entrantes et sortantes entre un client, comme un navigateur Web, et le serveur. Les performances sont améliorées lorsque le protocole HTTPS est associé à HTTP/2. HTTPS/2 constitue une révision majeure du protocole HTTP. Le protocole HTTPS améliore également le classement des recherches de contenu, il est donc fortement recommandé pour les applications critiques. Étant donné que toutes les données sont chiffrées, la confidentialité est améliorée et toute personne surveillant le trafic réseau ne serait pas en mesure de s’emparer d’informations sensibles. Esri met en œuvre l’utilisation exclusive du protocole HTTPS avec HSTS pour augmenter la sécurité de la plateforme ArcGIS.

Présentation du protocole HSTS

Le protocole HSTS, acronyme pour HTTP Strict Transport Security, est une technologie de sécurité Web qui sécurise les serveurs Web HTTPS contre les attaques par rétrogradation. Les attaques par rétrogradation (également appelées attaques « SSL Stripping ») sont une forme d’attaque de type intercepteur dans laquelle un attaquant redirige le navigateur Web d’un serveur Web HTTPS correctement configuré vers un serveur malveillant.
 

En quoi cela impacte-t-il la plateforme ArcGIS ?

Actuellement, ArcGIS Online prend en charge les configurations HTTP ou HTTPS. Toutefois, avec la mise à jour prévue le 8 décembre 2020, le paramètre par défaut « HTTPS Only (HTTPS uniquement) » sera appliqué et il ne sera plus possible de le désactiver. Cependant, pour ArcGIS Enterprise, l’administrateur peut contrôler totalement l’application du protocole HTTPS/HSTS pour sa configuration.
 

Suis-je concerné par le passage à l’utilisation exclusive du protocole HTTPS ?

Vous serez concerné par le passage d’ArcGIS Online à HTTPS uniquement si l’un des scénarios ou flux de travail suivants s’applique à votre utilisation :

1. Les éléments déjà ajoutés à ArcGIS Online avec des URL HTTP Only (HTTP uniquement) seront inaccessibles. Cela inclut tous les éléments ajoutés à ArcGIS Online qui sont hébergés par le serveur ArcGIS Enterprise sur site du client. Gardez à l’esprit qu’aucun nouvel élément ne sera ajouté via HTTP.
2. Si vous possédez des cartes ou des paquetages (.mxd ou .aprx) contenant des couches d’ArcGIS Online ayant été ajoutées à l’aide de texte en clair (HTTP), vous devrez mettre à jour les références des couches.
3. Les scripts Python utilisés pour l’administration ou la sauvegarde des données dans ArcGIS Online à l’aide de références d’URL HTTP cesseront de fonctionner. Les scripts devront être mis à jour afin d’utiliser des URL HTTPS.
4. Les éléments ajoutés à ArcGIS Online à partir de liens externes à la plateforme ArcGIS avec des URL HTTP uniquement seront inaccessibles via un navigateur en raison de conflits de contenu mixte. Ceci inclut :
   1. les liens dans les détails des éléments,
   2. les fenêtres contextuelles, etc.
5. Les services Web référencés via le proxy de partage ArcGIS Online ne seront pas affectés.
   Quels éléments peuvent utiliser le proxy de partage d’ArcGIS Online ?
   • Accès à des couches ou des services sécurisés ajoutés à partir d’une configuration ArcGIS Enterprise vers ArcGIS Online avec des identifiants de connexion stockés.
   • Accès à des ressources interdomaines (par exemple, des serveurs qui ne prennent pas en charge la norme CORS – généralement des serveurs OGC tiers)
   • Services interrogés à l’aide d’instructions GET HTTP qui dépassent 2 048 caractères

Que dois-je faire ?

Si votre organisation est concernée, vous devez prendre des mesures pour continuer à accéder à vos ressources. Si, par exemple, vous avez souscrit à ArcGIS Online avant le mois de septembre 2018 ET que votre abonnement est toujours configuré de sorte à autoriser les connexions HTTP et HTTPS, suivez la procédure indiquée ci-dessous pour ne pas connaître d’interruption de fonctionnement avant le passage à HTTPS uniquement.

1. Tous les clients doivent vérifier les paramètres de leur organisation pour s’assurer que l’option HTTPS Only (HTTPS uniquement) est activée. Si vous ne voyez pas d’option permettant de basculer entre HTTPS uniquement et HTTP/HTTPS, cela signifie que votre abonnement requiert déjà l’utilisation du protocole HTTPS.
2. Les utilisateurs doivent mettre à jour tous les éléments de leur organisation qui sont en HTTP uniquement.

Quels sont les outils disponibles pour le client ?

• Outils intégrés - il s’agit des outils intégrés dans ArcGIS Online ou Enterprise

1. Utilisez les options Paramètres de la couche disponibles dans chaque carte Web pour mettre à jour les références de couche afin d’utiliser le protocole HTTPS, comme indiqué dans l’image suivante.

En sélectionnant Mettre à jour les couches vers HTTPS, l’ outil vérifie que les couches faisant partie de la carte Web sont accessibles via HTTPS, et si tel est le cas, met à jour la référence.

Après avoir sélectionné Mettre à jour les couches, une liste de références de couches est renvoyée, avec notamment les couches ne pouvant pas être mises à niveau vers HTTPS, comme illustré ci-dessous :

2. L’outil Mettre à jour les références du site ArcGIS Server tool est conçu pour permettre une modification du nom de domaine complet (FQDN) du serveur SIG mais peut être utilisé pour mettre à jour par lots toutes les références au nom de domaine complet racine vers HTTPS. Cet outil valide également la prise en charge du protocole HTTPS par le serveur distant.

Remarque : Esri recommande fortement de valider la prise en charge du protocole HTTPS par le serveur distant avant d’effectuer cette modification.

• Outils non intégrés : ces outils sont fournis par l'équipe Esri chargée de la sécurité et de la confidentialité pour faciliter l’administration et la validation de votre organisation ArcGIS.

1. L’outil ArcGIS Security Advisor est un outil non intégré créé par l’équipe Esri chargée de la sécurité et de la confidentialité qui donne des conseils sur les paramètres de sécurité ArcGIS et vous aide à examiner les journaux :

• Cet outil fonctionne à la fois dans ArcGIS Online et ArcGIS Enterprise (Portal for ArcGIS) - Remarque : La vérification HTTP effectuée par cet outil ne requiert pas d’identifiants de connexion d’administration pour les utilisateurs avec la plupart des éléments de l’organisation.

Quelle est l’étendue du support pour les outils fournis ?

ArcGIS Security Advisor n’est pas pris en charge via les services de support technique Esri. Nous vous recommandons fortement de consulter les informations d’aide de ces outils au cours du processus d’identification et de correction HTTP. Les services de support technique Esri feront remonter tout bogue ou amélioration identifié pour les outils à l’équipe de sécurité logicielle.

Les outils intégrés à ArcGIS Online sont entièrement pris en charge par les services de support technique Esri.

Des correctifs seront-ils publiés pour ArcGIS Enterprise, ArcGIS Server, ou Portal for ArcGIS afin de faciliter la mise à jour des éléments HTTP vers HTTPS ?

Non, veuillez utiliser les outils disponibles pour identifier puis mettre à jour les éléments concernés dans votre configuration ArcGIS Enterprise. Reportez-vous également aux ressources supplémentaires fournies ci-dessous pour obtenir de l’aide sur le processus de mise à jour des couches dans les cartes Web pour l’utilisation du protocole HTTPS.
 

Ressources supplémentaires :

Nous vous conseillons également de consulter les références contenues dans la section Informations associées ci-dessous pour la mise à jour de contenu HTTP vers HTTPS :