Skip to main content

ArcGIS Online fait passer toutes les organisations à l’accès par HTTPS uniquement en décembre 2020

À partir de décembre 2020, Esri obligera toutes les organisations utilisatrices d’ArcGIS Online à migrer vers l’accès par HTTPS uniquement. Cette importante mise à jour de sécurité aura des conséquences sur certains logiciels ArcGIS et certaines solutions personnalisées, ainsi que sur le contenu d’ArcGIS Online. Vous avez peut-être déjà reçu quelques courriels au sujet de ce changement, mais si vous avez encore des inquiétudes quant à savoir si cette transition vous affectera ou non, nous sommes là pour vous.

La plateforme ArcGIS utilise le protocole HTTPS (Hypertext Transfer Protocol for secure communication), comme élément principal de sa sécurité pour les connexions d’API web et de services. Cela comprend les connexions entre nos logiciels, comme ArcGIS Desktop et ArcGIS Enterprise, et ArcGIS Online. Esri obligera la migration vers HTTPS seulement en décembre 2020, sans exception, pour accroître la sécurité de la plateforme ArcGIS.

Pourquoi ce changement est-il important?

Le chiffrement de renseignements sensibles est la raison principale de l’utilisation du protocole HTTPS. Ce chiffrement est important, car les renseignements que vous envoyez sur Internet passent généralement par de nombreux ordinateurs avant d’arriver au serveur de destination. Le protocole HTTPS permet la transmission sécurisée de données, tant entrantes que sortantes, entre un navigateur web et un site web. Comme toutes les données sont chiffrées, toute personne surveillant le trafic ne pourra pas saisir de renseignements sensibles.

L’utilisation du protocole HTTPS protège également contre les attaques par interposition (man-in-the-middle), au cours desquelles un agent malveillant intercepte des communications non sécurisées sur un réseau en se faisant passer pour la source légitime de la communication, tant pour le client que pour le serveur.

D’accord, mais est-ce que cela me concerne?

Les clients concernés par ce changement sont ceux qui utilisent et hébergent actuellement du contenu d’ArcGIS Online, comme des services, des images et des documents qui ne prennent pas actuellement en charge le protocole HTTPS. Les URL pointant vers ces contenus d’ArcGIS Online cesseront de fonctionner après la mise à jour si aucune mesure n’est prise pour effectuer la transition.

En outre, le changement ne concerne que les clients qui ont créé leur organisation avant septembre 2018 et qui ne sont pas encore passés au protocole HTTPS uniquement. En effet, le paramètre « HTTPS Only » est la configuration par défaut d’ArcGIS Online depuis septembre 2018. Tous les nouveaux abonnements effectués depuis cette date n’ont pas la possibilité de désactiver ce paramètre et ne sont donc pas concernés. Après la mise à jour prévue pour décembre 2020, ce paramètre par défaut « HTTPS Only » sera appliqué à toutes les organisations utilisatrices.

Si vous utilisez ArcGIS Enterprise, depuis la version 10.7, « HTTPS Only » est aussi le paramètre par défaut, créant ainsi un canal de communication sécurisé pour le trafic web, bien que les utilisateurs aient la possibilité de le désactiver s’ils le souhaitent. Les utilisateurs d’ArcGIS Enterprise continueront à avoir le contrôle total de l’application du protocole HTTPS pour leur configuration.

Je suis concerné. Qu’est-ce que cela signifie pour moi?

Après la mise à jour, les personnes qui utilisent des services ou des adresses URL HTTP dans leurs éléments d’ArcGIS Online ne pourront plus charger de couches HTTP. Un message d’erreur indiquant que le protocole n’est pas pris en charge s’affichera. Veuillez vous référer à la liste des scénarios ou des flux de travaux ci-dessous pour voir ce que le changement peut signifier pour vous :

  • Vous avez activé la communication HTTP et HTTPS dans votre organisation ArcGIS Online.

  • Vous possédez des documents ou des paquetages cartographiques (.mxd ou .aprx) qui contiennent des couches d’ArcGIS Online qui ont été ajoutées sous forme de fichiers texte (HTTP). Vous devrez mettre à jour les références aux couches.

  • Vous utilisez des scripts Python qui utilisent des adresses URL HTTP pour faire référence à du contenu d’ArcGIS Online. Puisque ceux-ci ne fonctionneront plus, les scripts doivent être mis à jour pour utiliser des adresses URL HTTPS.

  • Vous avez enregistré des adresses URL « HTTP Only » comme éléments dans ArcGIS.com, par exemple une image ou un service ArcGIS Server.

Y a-t-il des clients qui ne seront pas touchés par ce changement?

Oui. Les clients qui ont déjà activé le paramètre « HTTPS Only » dans leur organisation ArcGIS Online ne seront pas concernés par cette mise à jour de sécurité.

De plus, les clients dont tout le contenu (services, images, etc.) est hébergé dans ArcGIS Online n’auront rien à faire pour se préparer à cette mise à jour de sécurité. Le contenu d’ArcGIS Online passera automatiquement à la communication HTTPS avec la mise à jour.

Quelles mesures dois-je prendre si je suis concerné?

Nous vous recommandons de consulter la page d’assistance à la migration vers l’accès par HTTPS uniquement, y compris les mises à jour importantes pour la plateforme ArcGIS, et de suivre leur plan d’action dès que possible. Cette page d’assistance sera mise à jour à mesure que des renseignements supplémentaires seront disponibles.

En plus de consulter la page d’assistance, nous vous recommandons de changer le paramètre de votre organisation ArcGIS Online à « HTTPS Only » et de tester votre contenu avant décembre 2020, afin d’éviter les mauvaises surprises. À l’avenir, nous vous recommandons d’utiliser des adresses URL HTTPS lorsque vous ajoutez des couches aux cartes ou que vous ajoutez des couches en tant qu’éléments dans ArcGIS Online.

Pour garder l’accès à votre contenu, vous devrez faire migrer tous les éléments « HTTP Only » de votre organisation vers HTTPS. En tant que propriétaire ou administrateur d’une carte ou d’une scène web, vous pouvez mettre à jour toutes les couches de cartes ou de scènes pour utiliser HTTPS à partir de l’onglet Settings de la page de description des éléments de carte ou de scène :

Si une couche ne prend pas en charge HTTPS, vous en serez informé et la couche ne sera pas mise à jour. Dans ce cas, il est recommandé de communiquer avec le propriétaire de la couche, qui peut soit configurer la couche pour prendre en charge HTTPS, soit fournir une autre ressource.

Quels sont les outils disponibles pour m’aider?

De nombreuses ressources sont offertes pour faciliter cette transition. En plus des ressources dont les liens sont fournis à la fin de ce billet, vous pouvez utiliser l’outil ArcGIS Security Advisor pour effectuer une vérification HTTP. ArcGIS Security Advisor offre une interface simple aux administrateurs d’ArcGIS Online pour revoir les paramètres de sécurité et les changements passés des organisations ArcGIS Online en un coup d’œil. L’outil rend compte de l’état de sécurité actuel de votre organisation ArcGIS Online et fournit des conseils relatifs à l’intervention en cas de découverte potentielle.

Pour ArcGIS Enterprise – le script python HTTP Checker (qui est encore en cours de développement) sera utilisé. Gardez un œil sur la page d’assistance pour savoir lorsqu’il sera prêt.

Vous avez des questions auxquelles vous ne trouvez pas de réponse ici?

Nous vous recommandons également de revoir les ressources supplémentaires ci-dessous pour en savoir plus sur la migration du contenu HTTP vers HTTPS :

Si vous avez d’autres questions ou si vous souhaitez obtenir des précisions sur un sujet abordé dans ces ressources, n’hésitez pas à laisser un commentaire ci-dessous ou à communiquer avec l’équipe d’assistance technique d’Esri Canada à l’adresse support@esri.ca.

Ce billet a été écrit en anglais par Andrea Becker et peut être consulté ici.