Le 2013-12-09 12:51, Christophe Renard a écrit :
On 12/09/2013 09:54 AM, Fabien Delmotte wrote:
Personne n'a dit que cela ne marchait pas. C'est la moralité de ce
détournement qui était en cause.
Mon propos était de dire que si il y a eu detection c’est que
l’implementation au niveau technique n’était pas bonne.
Maintenant, dans le cas ou les employes sont prévenus et que le
contenu des messages n’est pas loggué, je ne vois pas ce qu’il y a de
choquant !!!
N’oublions pas que lorsque nous faisons des stats sur les IP
destinations dans des grands groupes Facebook arrive en tete a 10h le
matin !!!
Trop de contrôle c'est la dictature mas pas de contrôle c’est le
borde…….
Il y a un cas d'usage encore plus simple: avec la multiplication des
webmails, des Google Docs, et autres DropBox, si on désire appliquer du
filtrage anti-virus, voir de la détection d'attaque sur les flux, il
faut intercepter le SSL/TLS.
Il est clair qu'avec le Claude, on en arrive à ce genre d'aberrations
... Puisque les mails ne sont pas stockés chez moi (GoogleApps), mais
que l'utilisateur peut envoyer / télécharger des pièces jointes à
travers ce flux SSL, comment bloquer soit les mails à destination des
concurrents, soit le téléchargement de fichiers vérolés ??? Plein de SI
utilisent ZScaler comme tiers de confiance sur l'analyse antivirale /
antispam .... Et le pire c'est que les mails sont je sais pas ou, et
qu'ils transitent par un proxy SSL qui fait du MiTM je ne sais pas
ou....
Résultat : à force de vouloir blinder les échanges, on se retrouve avec
des idioties qui consiste à faire passer toute la merde dans du SSL/443,
et à devoir faire du MiTM pas très légal mais souvent inscrit
implicitement dans la charte de l'entreprise. En bref, avec le Claude,
le chiffrement SSL se généralise, mais du coup le MiTM aussi !
PS : Dans mes souvenirs, le proxy SSL NETASQ a une exception par défaut
des sites bancaires pour ne faire le déchiffrement et du coup squeezer
la responsabilité pour le domaine bancaire ... Il n'en empêche que le
mec désœuvré qui ne sait pas quoi faire de sa journée, peut dumper entre
2 loopbacks sur le point de MiTM ....
Vivement qu'on se mette tous à faire de l'IP over DNS, avec le proxy DNS
UDP comme prochaine killer feature des IPS / NGFW / FGFW (pour Future
Generation Firewall vu que la Next c'est l'actuelle .... Désolé on est
pas trolldi et le Gartner est pas encore au courant).
Est-ce tromper l'utilisateur ? Est-ce protéger le SI, voir l'usager ?
A voir selon le contexte.
Évidemment ce qui serai une faute éthique et possiblement légale serai
d'intercepter les communications pour permettre à l'employeur
d'empiéter
sur la vie privée des employés, du moins en France.
Il me semble, en tout cas, que c'est une pratique plutôt courante même
si elle nécessite, évidemment, un encadrement rigoureux: communication,
inclusion dans les règlements intérieurs et autres chartes
d'utilisation, protection de la machine faisant l'interception,
restriction de l'accès aux données interceptées au plus strict besoin
d'en connaitre (sur incident sans doute ...), qui ne sont probablement
pas toujours mis en œuvre.
Enfin, il faut noter que les informations aujourd'hui publiquement
disponibles ne permettent guère de conclure sur la nature et le détail
de l'incident.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/