On Sun, Dec 8, 2013, at 21:06, Raphaël Stehli wrote: > Juridiquement parlant, rien n'empêche à un employeur (public ou privé) : > - de déchiffrer le contenu des flux chiffrés pour les analyser de > manière automatique,
Faut voir le probleme sous un autre angle. Supposons le scenario suivant, qui n'est pas tout a fait a cote de la realite: - 10000 PME a 250 personnes chaque (en moyenne) deployent du "SSL intercept". - Ca fait ~2 500 000 personnes qui pendant 35-40 heures par semaine ne voyent plus qu'une seule CA qui signe TOUS les certifs SSL du monde - Ils ne voyent pas tous la meme CA, mais le temps d'etre salaries d'une seule societe ils voyent systematiquement la meme CA. - du coup, les certificats EV n'existent plus. - il y a parfois des rates dans les services informatiques de certaines entreprises (globalement, sur les 10000 PME, je dirais "assez souvent"). Pendant ces rates, les gens ont des "SSL warning", dont le service IT leur dit "pas de probleme". - les 2 500 000 personnes surfent chez eux, avec leurs ordinateurs sur des sites parfois douteux. Parfois ce sites sont en SSL, avec des faux cetifs. - BONUS : rajouter au lot 100 grands groupes a 5000 personens en moyenne (total, encore 500 K personnes, voire plus). -> Comment voulez-vous que les 2 500 000 personnes reagissent devant un "vrai faux certif" (lire frauduleux) quand ils passent pas mal de leur temps devant des certifs "re-signes" ? Est-ce que par la meme logique on peut dire que pour un service B2B c'est meme pas la peine d'acheter un vrai certificat, car la plupart des utilisateurs risquent de passe par des soi-disant "boities de securite" qui font du "SSL Intercept" ? Oui, la technique permet de faire ca, mais il faut avoir quand-meme un peu de discernement dans l'utilisation. La soi-disant "securite" de nos jours me fait penser a la course a l'armement nucleaire d'il y a pas si longtemps que ca. Si vous ne savez pas ce qu'est, demandez a vos parents/grand-parents. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/