En poursuivant votre navigation sur ce site, vous acceptez nos CGU et l'utilisation de cookies afin de réaliser des statistiques d'audiences et vous proposer une navigation optimale, la possibilité de partager des contenus sur des réseaux sociaux ainsi que des services et offres adaptés à vos centres d'intérêts.
Pour en savoir plus et paramétrer les cookies...

Comment le ministère des finances espionne le trafic web de ses collaborateurs

Mis à jour le
Le Minefi décrypte tous les échanges SSL de ses collaborateurs.
 
Le Minefi décrypte tous les échanges SSL de ses collaborateurs. - Le Minefi décrypte tous les échanges SSL de ses collaborateurs.

Une « erreur humaine » dans la gestion de la sécurité informatique a mis en évidence un système de surveillance pour déchiffrer les flux SSL entrants et sortants. Une pratique qui existe... dans toutes les grandes entreprises.

A voir aussi

Votre opinion

Postez un commentaire

4 opinions
  • abalex
    abalex     

    Pour avoir lu d'autres articles sur le sujet celui-ci me semble plus que léger. Les vrais experts de sécurité ne font pas des raccourcis et des titres tapageurs comme vous, il apparait clairement que le minefi a cherché à bloquer des flux SSL à ses employés de manière transparente via l'utilisation d'une appliance commerciale, c'est ce que beaucoup d'entreprises font (mais eux le font avec des certificats anonymes et non des certificats signés) et cela n'est pas mal interprété comme vous le faites. Effectivement ils l'ont mal fait mais absolument rien ne laisse à penser qu'il y avait une personne ou un système visant à prendre connaissance du contenu des flux, jusqu'à preuve du contraire bien sur... La dernière phrase de l'article relève de pur fantasmes teinté de populisme et ne s'appuie sur aucun fait tangible. Allez lire ailleurs et faites de la vraie information au lieu de prendre le parti pris d'un obscur hacker (que l'on peut bien sur citer mais en contrebalançant avec d'autres point de vues)

  • GilbertK
    GilbertK     

    D'après l'expert que j'ai eu au téléphone, les navigateurs intègrent d'emblée les autorités de certification officielles (telles que l'IGC/A ou Verisign). Mais au niveau local, il est aisément possible de rajouter des certificats qui ne soient rattachés à aucune autorité reconnue tout en les faisant passer pour un certificat de sécurité lié à un site donné (Google.com par exemple). Résultat: non seulement il n'y a pas d'alerte de sécurité (sauf pour Firefox paraît-il), mais en plus le néophyte n'y verrait que du feu car il voit bien "Google.com". Mais un expert devrait facilement voir la différence. A vérifier...

  • c2301net
    c2301net     

    ...mais si mon traffic SSL au MENEFI est intercepté, et que mon client voit que la connection est chiffrée et valide parce que signée par le WAF, je devrais le voir que la connection a été chiffrée par un CA racine du MINEFI, et non par le certificat racine commercial du genre Verisign/DigiCert? Du coup, ca devient facile de voir si son entreprise fait de genre de pratique ou pas? Ou je me trompe?

  • clement25000
    clement25000     

    En effet, vous écrivez: "personne ne lit jamais les chartes informatiques"
    Si personne ne lit jamais les chartes informatiques, cela signifie que tout le monde les lit, et il me semble que vous vouliez dire le contraire ;)

Votre réponse
Postez un commentaire