En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies afin de réaliser des statistiques d'audiences et vous proposer une navigation optimale, la possibilité de partager des contenus sur des réseaux sociaux ainsi que des services et offres adaptés à vos centres d'intérêts.

FERMER  x Pour en savoir plus et paramétrer les cookies...

En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies afin de réaliser des statistiques d'audiences et vous proposer une navigation optimale, la possibilité de partager des contenus sur des réseaux sociaux ainsi que des services et offres adaptés à vos centres d'intérêts.

FERMER  x Pour en savoir plus et paramétrer les cookies...
Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business
Applis, logiciels
Produits
Télécoms
Sécurité
Culture, médias
Politique, droits
Technos
Buzz, société
Jeux
Science, recherche

Votre patron espionne-t-il vos communications cryptées ? Faites le test !

De plus en plus d’entreprises disposent d'outils capables de déchiffrer toutes vos communications sécurisées. Voici un guide pour savoir si tel est le cas chez votre employeur.

laisser un avis
 Votre patron espionne-t-il vos flux SSL ? Faites le test !
Votre patron espionne-t-il vos flux SSL ? Faites le test !
Vous travaillez dans une entreprise et, souvent, vous vous connectez depuis votre poste de travail à votre messagerie perso ou à vos comptes bancaires au travers de votre navigateur. Et vous pensez que personne d’autre ne peut inspecter le contenu de ces échanges, car vous voyez un petit cadenas en haut de la page web, prouvant que la connexion est chiffrée de bout en bout en SSL. Erreur ! Un tiers que vous connaissez bien est peut-être en train d’analyser ces flux à caractère personnel : votre employeur.
En effet, de nombreuses entreprises disposent désormais d’un dispositif un peu spécial appelé « proxy web » ou « proxy SSL ». Sous ce nom un peu barbare se cache un appareil capable d’intercepter et de déchiffrer n’importe quelle connexion SSL générée depuis le réseau interne par le biais de certificats de chiffrement à usage interne. Résultat : l’ensemble du flux - y compris les mots de passe, les mails confidentiels et les numéros de carte bancaire - passe en clair et peut être stocké sur un serveur de l’entreprise. Avant de sortir du réseau local, il est chiffré à nouveau avec un certificat public. La dissimulation est (presque) parfaite.

Le cadenas vous renseignera

Pour vérifier si votre entreprise dispose d’un tel système, c’est simple : regardez le certificat utilisé par votre navigateur lorsque la connexion est en SSL. Concrètement, il suffit de cliquer sur le cadenas qui s’affiche à côté de l’URL. Une fenêtre pop-up s’ouvre alors, permettant d’accéder aux informations du certificat de chiffrement. En fonction du navigateur, il faut alors cliquer soit sur « Afficher les certificats » (Internet Explorer), sur « Connexion » > « Informations relatives au certificat » (Chrome) ou sur « Plus d’informations... » > « Afficher le certificat » (Firefox).  
Enfin, il faut ensuite vérifier qui a émis le certificat en question (« Délivré ou émis par... »). Si vous identifiez le nom de votre entreprise, c’est qu’il s’agit d’un certificat interne, donc bidon. C’est la preuve que votre employeur déchiffre vos flux SSL. Si vous ne voyez rien de suspect, vérifiez que la société émettrice est bien une autorité de certification ayant pignon sur rue, en faisant une recherche sur Google. Si vous ne trouvez rien, il s’agit probablement d’un certificat interne, donc bidon également.
agrandir la photo
Si votre employeur déchiffre vos flux SSL, faut-il s’en inquiéter ? Pas forcément. Dans de nombreux cas, les flux sont déchiffrés afin de détecter des virus et autres malwares. Les données personnelles ne sont pas regardées par une tierce personne, ni stockées quelque part. Donc tout va bien. Mais dans d’autres cas, le proxy SSL est utilisé pour savoir si des documents confidentiels ne partent pas vers l’extérieur ou pour identifier des téléchargements illégaux (musique, séries TV, porno). Dans ce cas, mieux vaut donc s’abstenir. Ou utiliser une connexion 3G/4G pour vous connecter.

C’est légal, mais encadré

Il faut savoir que l’employeur a le droit, à priori, de déchiffrer vos flux SSL. En revanche, il n’a pas le droit de regarder vos données personnelles, car cela relève du droit à la correspondance privée. La nuance est subtile. « L’employeur peut déchiffrer et même stocker les flux. Mais s’il veut y accéder, il doit faire appel à un tiers assermenté », explique Hubert Bitan, avocat spécialisé dans les nouvelles technologies. Dans tous les cas, l’employeur devra forcément faire une déclaration à la CNIL, car il manipule des données personnelles. Par conséquent, un salarié pourra toujours saisir la CNIL en cas de doute, histoire de vérifier si son patron est bien dans les clous. Dans le cas inverse, il peut risquer une grosse amende, voire même la prison (articles 226-15 et 226-16 du Code pénal).
Les « proxy SSL » ont récemment fait parler d’eux au ministère des Finances. En effet, l’administration a été épinglée en décembre dernier pour avoir utilisé à tort un certificat public délivré par l’ANSSI, révélant en même temps la présence de proxy SSL. Apparemment, il s’agissait d’une « erreur humaine »...
Lire aussi :
Comment le ministère des finances espionne le trafic web de ses collaborateurs, le 11/12/2013    
envoyer
par mail
imprimer
l'article


Newsletter 01net. Actus

@01net sur
à lire aussi
SUR LES MÊMES THÈMES
Le hacker d’avion prétend avoir aussi piraté... la station spatiale internationale
Des millions de routeurs domestiques peuvent être attaqués à distance
Un hacker aurait pris le contrôle d’un avion en vol grâce à son système de divertissement
Loi Renseignement : le gouvernement s’embourbe dans ses explications au Sénat
Venom : la faille zero day qui pourrait mettre le cloud à genoux
USB Kill, ou comment une clé USB préservera les données de votre PC en cas de crise
NSA : VoiceRT, l'outil qui transcrivait un million de conversations par jour
Tombertik, le malware qui détruit votre ordinateur quand il est détecté
Les 5 points qui font froid dans le dos du projet de loi sur le renseignement
Une faille dans WordPress rend des millions de blogs vulnérables
Les pirates russes de la Maison Blanche ont également lu des emails d’Obama
Hacker les trains sera plus facile demain, estime un chercheur britannique
Bernard Cazeneuve contre-attaque et défend tant bien que mal la loi sur le renseignement
Mauvaise nouvelle, Mac OS X est lui aussi un paradis pour les malwares
Des pirates russes se sont introduits dans le réseau du Pentagone
Des hackers ont piraté le lecteur d’empreintes digitales du Samsung Galaxy S5
Une faille zero-day permet de faire crasher iPhone et iPad indéfiniment
Les applications mobiles, toujours trop intrusives et trop peu sécurisées
Des chercheurs découvrent une faille qui touche 8 PC sur 10 dans le monde
Faille critique : le patch de Mac OS X totalement inefficace contre Rootpipe