On 12/09/2013 09:54 AM, Fabien Delmotte wrote: >> Personne n'a dit que cela ne marchait pas. C'est la moralité de ce >> détournement qui était en cause. > Mon propos était de dire que si il y a eu detection c’est que > l’implementation au niveau technique n’était pas bonne. > > Maintenant, dans le cas ou les employes sont prévenus et que le contenu des > messages n’est pas loggué, je ne vois pas ce qu’il y a de choquant !!! > N’oublions pas que lorsque nous faisons des stats sur les IP destinations > dans des grands groupes Facebook arrive en tete a 10h le matin !!! > > Trop de contrôle c'est la dictature mas pas de contrôle c’est le borde……. Il y a un cas d'usage encore plus simple: avec la multiplication des webmails, des Google Docs, et autres DropBox, si on désire appliquer du filtrage anti-virus, voir de la détection d'attaque sur les flux, il faut intercepter le SSL/TLS. Est-ce tromper l'utilisateur ? Est-ce protéger le SI, voir l'usager ? A voir selon le contexte.
Évidemment ce qui serai une faute éthique et possiblement légale serai d'intercepter les communications pour permettre à l'employeur d'empiéter sur la vie privée des employés, du moins en France. Il me semble, en tout cas, que c'est une pratique plutôt courante même si elle nécessite, évidemment, un encadrement rigoureux: communication, inclusion dans les règlements intérieurs et autres chartes d'utilisation, protection de la machine faisant l'interception, restriction de l'accès aux données interceptées au plus strict besoin d'en connaitre (sur incident sans doute ...), qui ne sont probablement pas toujours mis en œuvre. Enfin, il faut noter que les informations aujourd'hui publiquement disponibles ne permettent guère de conclure sur la nature et le détail de l'incident. -- Christophe Renard
signature.asc
Description: OpenPGP digital signature