ANNEXE 3
FIABILITÉ DE LA RESTRICTION D'ACCÈS À L'API
Un Code de conduite a été établi en concertation avec les opérateurs et les outils de mesure. Il s'agit d'un document à destination des acteurs de la mesure de la qualité des réseaux internet, aussi bien fixes que mobiles, qui regroupe des bonnes pratiques qui incitent les acteurs, d'une part, à accentuer la transparence des choix méthodologiques réalisés, afin que toute personne tierce soit en mesure d'analyser les résultats présentés et, d'autre part, à abandonner les pratiques les plus sujettes à caution, en termes de protocole de test comme de publication des résultats (10).
Afin de mieux fiabiliser la restriction définie en annexe 2, les outils de mesure devraient mettre en place les mesures de sécurité suivantes :
- le nom de domaine de l'outil de mesure doit être signé par DNSSEC, afin de protéger contre le cache poisoning ;
- le champ DNS Certification Authority Authorization (CAA) doit être déclaré pour limiter les autorités de certification (CA) qui sont autorisées à délivrer des certificats pour le nom de domaine ;
- un appel au site en HTTP doit contenir uniquement une redirection vers le même site en HTTPS ;
- les échanges HTTPS ne doivent pas gérer des versions inférieures à TLS 1.2 ;
- les en-têtes HTTP Strict Transport Security (HSTS) doivent être envoyés sur le domaine principal.
(10) La version 2018 du code de conduite a été publiée par l'ARCEP le 20 décembre 2018 à l'adresse internet https://www.arcep.fr/uploads/tx_gspublication/code-de-conduite-qs-internet-2018_FR.pdf.