J’ai déjà donné les arguments et les infos juridiques en 2013 (voir https://www.mail-archive.com/frnog%40frnog.org/msg26510.html <https://www.mail-archive.com/frnog@frnog.org/msg26510.html>)
A+ Kv > Le 12 avr. 2016 à 12:52, Edouard Chamillard <edouard.chamill...@ablogix.fr> a > écrit : > > > Le 12/04/2016 12:38, Jonathan Leroy a écrit : >> Le 12 avril 2016 à 12:17, Stephane Bortzmeyer <bortzme...@nic.fr> a écrit : >>> Avec ces critères, si une telle solution existait, ce serait une >>> énorme faille de sécurité dans TLS, et il faudrait la publier dans une >>> conf' fameuse (avec nom qui déchire et logo, bien sûr, comme toutes >>> les failles de sécurité). >> J'abonde avec cette petite infographie, qui explique quand intercepter >> ou pas le trafic HTTPS : >> https://twitter.com/__apf__/status/719577428058890240 >> > "on doit jamais MITM une session ssl (web ou non)" c'est un beau > principe mais ça va être dur a vendre aux entreprises. que les ISPs > aient pas a toucher aux paquets qu'on les paye a transbahuter c'est une > chose, mais si j'essaye de dire aux clients "oui mais non, ça c'est dans > du ssl, donc même si c'est un c&c zeus sur un site compromis on peut pas > le savoir et/ou pas y toucher", ça va mal passer. > > le matos de la boite c'est le matos de la boite, et en dehors de > quelques communications protégées (contactez votre juriste le plus > proche pour une réponse faisant autorité) personne ne peut s'attendre a > la confidentialité des échanges avec des serveurs distants. > > apres vu le prix du DPI au pps, j'ai tendance a encourager a ne > l'utiliser qu'en dernier ressort et/ou sur des périmètres sensibles. > dans l'immense majorité des cas, les métadonnées sont largement > suffisante pour prendre une décision. >
signature.asc
Description: Message signed with OpenPGP using GPGMail
