Suis-je protégé du logiciel de surveillance réseau si HTTPS est utilisé?

9

Je vais me connecter à mon compte bancaire et à mes comptes de messagerie personnels au travail. Ce n'est pas interdit au travail, mais je ne veux tout simplement pas qu'ils enregistrent / enregistrent une copie de tout ce que je fais avec ces services. Surtout mes mots de passe.

Si le service utilise une connexion HTTPS, mon entreprise pourra-t-elle suivre / enregistrer / enregistrer mes mots de passe que j'utilise pour ces services? qu'en est-il du contenu des pages?

Encore une fois, les règles de mon entreprise n'interdisent pas l'utilisation de mon compte de messagerie personnel ou des services bancaires par Internet, mais je ne veux simplement pas qu'ils connaissent des informations importantes à ce sujet. Ce n'est pas grave s'ils savaient que j'en utilise, mais ils ne devraient pas avoir accès à mes mots de passe.

Puis-je les utiliser en toute sécurité (sachant que mon entreprise ne peut enregistrer aucune de ces données) si HTTPS est utilisé?

PS Je ne suis vraiment pas un gars du réseau et je ne sais pas trop comment ces choses fonctionnent. Veuillez donc ne pas donner de réponses RTFM.

Quack Quichotte
la source
Comme déjà répondu: le réseau n'est pas le problème. Les traces laissées par votre navigateur (sur l'ordinateur que vous utilisez) sont beaucoup plus probables. Certains navigateurs ont des paramètres explicites pour activer / désactiver l'enregistrement des pages cryptées dans le cache hors ligne. (Comme dans Firefox: kb.mozillazine.org/Browser.cache.disk_cache_ssl qui par défaut est false, ce qui est sûr.)
Arjan
J'utilise le mode "navigation privée" dans Firefox. J'espère que cela n'économisera pas de choses sur mon système.
Non, il est beaucoup plus probable que votre entreprise dispose d'un logiciel de surveillance sur votre poste de travail qui surveille et enregistre ce que vous faites.
BBlake
Hé, merci pour toutes les réponses! Vous avez expliqué beaucoup de choses. Maintenant, je comprends ce qui est possible et ce que mon entreprise pourrait / ne pourrait pas faire. À en juger par ce que vous avez expliqué et par l'expertise technique de mon entreprise, je peux conclure qu'il est très peu probable qu'ils apprennent des informations envoyées via HTTPS. Merci pour votre aide! :) Je ne suis pas membre, je n'ai donc pas pu voter pour beaucoup de réponses même s'ils le méritent.

Réponses:

9

Avant de répondre: si un navigateur vous avertit qu'un site utilise un cryptage médiocre ou fournit des informations d'identité incorrectes, il est important de lire l'erreur, de la comprendre et de bien réfléchir si vous souhaitez continuer.

Réponse courte: Oui, si vous utilisez un appareil de confiance

Longue réponse:

Si quelqu'un surveille votre connexion à partir d'un autre ordinateur (quelque part entre vous et votre banque) et que vous utilisez HTTPS, et qu'ils utilisent des certificats signés avec un algorithme suffisamment solide, alors vous êtes en clair. (À moins qu'ils n'enregistrent les données pendant des années et les lisent plus tard après la rupture de l'algorithme - mais ils feraient probablement mieux de pénétrer dans votre maison et de voler vos affaires;)).

Si c'est votre banque, il y a de fortes chances qu'ils utilisent des certificats signés avec un chiffre suffisamment fort. Vous pouvez le vérifier en regardant les informations SSL de la page, qui devraient être affichées si vous regardez les informations de la page, cliquez sur le nom bleu ou vert à gauche dans la barre d'adresse avec Firefox 3.5, ou cliquez sur le verrou pour la droite dans la barre d'adresse dans IE8. Firefox affichera également l'algorithme de cryptage utilisé si vous sélectionnez Plus d'informations après avoir cliqué sur la zone colorée.

Si vous ne faites pas confiance à l'appareil que vous utilisez pour vous connecter (tel qu'un ordinateur qui n'est pas le vôtre et qui aurait pu être modifié par d'autres), cela est plus préoccupant. Maintenant, votre lieu de travail ne va probablement rien faire d'illégal comme regarder vos informations bancaires; mais il est possible que SSL soit compromis si votre système est compromis. Il se peut que votre ordinateur soit configuré pour accepter des certificats signés par un proxy (l'inspection du certificat ou l'épinglage de certificat empêcherait cela). Cependant, la surveillance peut être n'importe où - un enregistreur de frappe n'aurait même pas besoin de vaincre SSL pour capturer vos informations bancaires, par exemple. SSL fait en sorte que vous n'avez pas besoin de faire confiance à la connexion entre deux points de terminaison de confiance, mais si le point de terminaison lui-même n'est pas approuvé, tous les paris sont désactivés.

Tyler Szabo
la source
d'accord. Prenez hotmail par exemple. Si je sélectionne «Utiliser une sécurité renforcée» lors de la connexion, il passe à une connexion HTTPS. dans Firefox, la barre d'adresse est verte, et d'après ce qui y est affiché, je pense que c'est assez sécurisé. En prenant cela comme exemple, à des fins pratiques, il est parfaitement acceptable d'utiliser des sites Web avec ce type de connexion HTTPS, sachant que personne (au moins dans les deux prochains mois) ne peut décrypter les informations. Ai-je raison?
Je pense que oui. Je serais surpris si un administrateur réseau devait accéder à votre compte bancaire en utilisant uniquement le trafic réseau lorsque vous utilisez HTTPS. Cela dit, il existe d'autres façons d'être vulnérable même en utilisant une connexion sécurisée, et vous devez suivre les instructions de votre banque sur la façon d'utiliser son site - comme toujours vous déconnecter après avoir terminé (par opposition à fermer la fenêtre) et non la navigation sur d'autres sites lors de transactions bancaires. Utilisez toujours un navigateur à jour et assurez-vous que l'ordinateur que vous utilisez est approuvé par un logiciel antivirus.
Tyler Szabo
6

Non, pas nécessairement. Votre entreprise peut envoyer votre connexion via un proxy qui agit en tant qu'intermédiaire. C'est-à-dire que tout le trafic HTTPS va de votre machine au proxy, y est décrypté, analysé, crypté et envoyé au serveur. Votre machine n'utilisera pas le certificat de sécurité du serveur, mais le proxy en générera un pour le site Web donné et vous l'enverra, vous avez donc vraiment deux connexions HTTPS: de vous au proxy et du proxy au serveur.

Dans d'autres cas, la société doit disposer d'un serveur de certificats pour générer un certificat. Normalement, le navigateur s'opposerait ici et se plaindrait que l'autorité de certification n'est pas approuvée, mais bien sûr, cela peut être remplacé par des stratégies de groupe et autres.

Ce n'est pas nécessairement un acte criminel de la part de l'employeur, car cela peut faire partie d'un concept anti-virus ou pour des raisons légales.

Dans votre navigateur, regardez le certificat. Surtout, regardez l'autorité de certification. Si le certificat est émis par une "vraie" autorité de certification comme Thawte, VeriSign etc., cela signifierait que vous utilisez celui du serveur et que vous devriez être en sécurité. Cependant, s'il est émis par quelque chose comme "YourCompany-AV" ou similaire, alors vous avez un proxy man-in-the-middle.

Michael Stum
la source
2
Je pense que cela devrait être souligné ici. Les proxys normaux ne créent pas de certificats à la volée et ne déchiffrent pas le trafic HTTPS (mais prennent en charge la méthode CONNECT).
Arjan
1
... mais là encore: le questionneur est concerné, alors peut-être vaut-il mieux mentionner toutes les possibilités. (Et peut-être qu'il y a plus d'entreprises avec un tel proxy que je ne pourrais l'imaginer? +1 après tout!)
Arjan
Certes, normalement, les proxys traversent simplement le trafic HTTPS car ils ne peuvent rien y faire, et je ne sais pas si l'inspection HTTPS est en hausse, mais je l'ai vu se produire, j'ai donc pensé que je soulignais la possibilité.
Michael Stum
Je ne sais pas à quel point cette pratique est courante, mais mon employeur le fait. AFAIK, c'est pour s'assurer que nous n'envoyons pas de données propriétaires hors du réseau via SSL.
Dan Fiddling By Firelight
1
@senthil Le but du HTTPS est de crypter le trafic et d'identifier les participants . Quiconque contrôle la ligne peut théoriquement être un homme au milieu (c'est pourquoi on l'appelle même l'attaque de l'homme du milieu) mais contrairement au HTTP non chiffré, cela ne restera pas non détecté. Comme dit, vérifiez le certificat et qui l'a délivré. Il n'y a généralement aucun moyen de truquer un certificat (il y avait un bogue dans certaines versions de Debian Linux qui permettait de truquer les certificats, mais c'était jusqu'à présent un incident isolé).
Michael Stum
1

D'une manière générale, vous êtes en sécurité, car lorsque vous visitez le site Web de la banque via une connexion https, toutes les données comme le nom d'utilisateur et le mot de passe sont cryptées, il est difficile de les décrypter en très peu de temps, à moins qu'elles ne connaissent très bien l'algorithme de cryptage . Cependant, il existe d'autres attaques telles que l'enregistreur de clés, l'homme au milieu fonctionnera s'il est bien informé. Faites toujours attention à l'environnement avant de saisir les informations sensibles.

John
la source
l'homme au milieu fonctionnera s'il est bien informé - avec HTTPS?
Arjan
1

Si vous utilisez une machine appartenant à l'entreprise et que vous avez accepté les politiques de l'entreprise, il peut y avoir des problèmes spécifiques à votre entreprise. Sans connaître d'autres détails, je dirais que vous devriez être en sécurité, mais je dois équilibrer cela avec une mise en garde. Techniquement, c'est possible, mais si vous menez une vie "normale", il y a beaucoup de choses auxquelles vous êtes confronté chaque jour qui présentent un risque beaucoup plus probable pour vos données personnelles que le scénario que vous demandez.

Quelques éléments de base à prendre en compte. L'entreprise peut toujours savoir quels sites vous visitez et pendant combien de temps. Les données peuvent être cryptées, mais elles doivent toujours être routées afin que l'adresse à partir de laquelle les données vont et viennent soit exposée.

Les conseils fournis dans d'autres réponses sur la façon de tirer parti des fonctionnalités de sécurité de votre navigateur sont bons. J'ajouterai que vous devriez prendre un moment pour revoir les politiques de votre entreprise concernant les données personnelles sur les machines de travail.

Jason Aller
la source
Salut, comme je l'ai mentionné, je ne m'inquiète pas pour eux de savoir quels sites je visite et pour combien de temps, tant qu'ils ne savent pas ce que je tape dans les champs de texte. Et je suis absolument sûr qu'ils n'ont pas d'enregistreurs de frappe.
1

Les banques utilisent généralement un cryptage 128 bits ou plus. Vérifiez les propriétés de leur certificat SSL, ou même demandez à l'un de leur support technique de découvrir de quoi il s'agit. Si elle est inférieure à 128, je suggère de ne pas l'utiliser. Mais si c'est 128 ou plus, ça devrait aller. À moins que quelqu'un sur le réseau avec Ettercap, Wireshark, Shijack et une énorme puce sur leur épaule ait quelque chose contre vous. Cependant, si cela vous inquiète, alors n'utilisez simplement pas la banque nette au travail. Là encore, qu'est-ce qui empêche quelqu'un de casser votre ordinateur à la maison pour obtenir vos informations bancaires? Vous êtes probablement plus en sécurité au travail. Mes gestionnaires pouvaient à peine vérifier l'historique de mon navigateur - j'aimerais les voir casser un cryptage SHA1-RSA fourni par un certificat SSL.

user26528
la source
ROFLOL .. Je n'ai pas arrêté de rire pendant 2 minutes après avoir lu votre dernière ligne: D
Avez-vous simplement enchaîné un tas de mots liés tangentiellement?
Bryan Boettcher
0

En fait, vous êtes en sécurité simplement parce que les administrateurs réseau ont généralement de meilleures choses à faire. Techniquement, non, vos données ne sont pas sécurisées. Vous n'avez pas dit dans quel domaine vous étiez, mais le travail dans les centres d'appels, par exemple, aura des systèmes extrêmement surveillés. Le chiffrement des données n'a pas d'importance si les frappes sont enregistrées et si l'écran est capturé dans le cadre d'un fonctionnement normal. Si vous craignez que les administrateurs soient enclins à consulter les informations de votre compte bancaire, N'UTILISEZ PAS votre ordinateur de travail pour effectuer des opérations bancaires.

DHayes
la source
-1

Les entreprises utilisent souvent des proxys et des pare-feu pour l'analyse du réseau, mais vous pouvez être sûr que le trafic https ne peut être détecté par aucun d'entre eux. C'est le principe de base de https, pour empêcher une attaque d'homme au milieu.

Fernando Carvajal
la source
Voulez-vous ajouter une référence pour sauvegarder votre commentaire, donc s'ils veulent en savoir plus, ils peuvent en être certains?
fernando.reyes
"Mais vous pouvez être sûr que le trafic https ne peut être reniflé par aucun d'entre eux." Je peux confirmer que c'est faux dans de nombreuses entreprises, en fait, de nombreux logiciels de sécurité antivirus rendent également cette déclaration fausse, c'est extrêmement et dangereusement faux
Ramhound
@Ramhound vous vous trompez fort, il est évident que votre logiciel antivirus peut flairer votre trafic car vous l'avez préalablement autorisé, c'est dans votre ordinateur. Si votre entreprise possède votre PC de bureau, il est évident qu'elle peut flairer votre trafic, elle peut installer des certificats SSL sur votre ordinateur, de sorte que votre navigateur leur fera confiance et que celui qui possède la clé privée puisse regarder vos paquets. Si vous apportez votre ordinateur personnel à votre bureau, personne ne peut flairer votre trafic. vous vous trompez extrêmement et dangereusement.
Fernando Carvajal
L'auteur de cette question n'utilise pas de BYOD. . C'est clair en fonction du contexte de la question qu'ils utilisent un ordinateur d'entreprise. Vous n'avez jamais apporté la clarification d'un BYOD dans votre réponse. Vous avez dit que ce n'était pas possible ", mais vous pouvez être sûr que le trafic https ne peut être reniflé par aucun d'entre eux", ce qui n'est pas vrai. En fin de compte, peu importe qui a raison ou tort.
Ramhound
-2

Il est possible de sauvegarder des paquets et de briser le cryptage rsa plus tard, bien qu'Internet étant basé sur la commutation de paquets, il est peu probable qu'un attaquant ait suffisamment de substance pour reconstituer les paquets TCP.

Tout et n'importe quoi est possible.

Récursivité
la source
Vous pouvez brutaliser même RSA 1024 bits pendant des mois avec des centaines d'ordinateurs ( pcworld.com/article/id,132184-pg,1/article.html ), et 2048 bits n'est pas si rare de nos jours.
whitequark
OK, je me fiche que ce soit ses 399 millénaires, c'est toujours possible.
Récursion du
Cependant, qui dépensera toute cette puissance de calcul pour rompre une connexion SSL bancaire, à moins qu'il y ait quelque chose de très suspect à propos de cet utilisateur? Comme dit précédemment, si vous êtes un travailleur normal et que vous ne faites déjà rien d'illégal, ne vous inquiétez pas, à moins que votre patron n'ait de très bonnes raisons de vous espionner. Il serait plus facile de cacher une demi-douzaine de caméras Web pour espionner vos frappes que de décrypter votre trafic SSL.
jfmessier
OK et encore, le PO a demandé si c'était possible, pas si c'était probable. Continuez à voter s'il vous plaît.
Récursion du
. gentil à vous de prendre le temps de répondre :). Je suppose que l'aspect pratique était implicite dans ma question. Pourquoi m'en soucierais-je si quelqu'un découvre mes coordonnées bancaires 399 000 ans après ma mort? : P