Combien d'informations mon FAI peut-il voir?

26

Est-il possible pour mon FAI de voir les mots de passe que j'entre sur les sites Web et dans les programmes de chat? Et qu'en est-il des sites Web SSL commençant par https, chiffrent-ils mon nom d'utilisateur et mon mot de passe avant d'atteindre le FAI?

Gohary
la source
3
Est-ce possible ? Oui pour les trucs non SSL (ce qui n'est pas infaillible, mais j'essaie de garder cela court et pratique). Est-ce probable? Pas tellement.
Rob Moir

Réponses:

25

Si vous commencez à une https://adresse, tout est crypté entre votre ordinateur et le serveur distant, de sorte que votre FAI ne peut intercepter aucune de vos données * . Cependant, votre FAI peut facilement visualiser toutes les http://connexions non ssl ( ).

Notez que le plugin fireiresep firefox a révélé un trou dans ce mécanisme l'année dernière. De nombreux sites Web utilisent https uniquement pour votre connexion initiale, puis reviennent à http pour le reste du trafic. Dans ce cas, votre FAI pourrait intercepter votre trafic après votre connexion. Quelqu'un d'autre sur votre réseau local pourrait également exécuter le plugin firesheep et détourner votre session avec disons facebook et vous faire passer pour vous.

La plupart des grands sites Web passent maintenant à https tout le temps pour corriger ce trou. Ce n'est pas vraiment quelque chose dont vous devez trop vous soucier sur votre réseau domestique, mais vous devez savoir comment cela fonctionne.

En supposant que vous n'ignorez pas les avertissements de certificat et que votre ordinateur / navigateur n'a pas été compromis.

* Il peut également voir le nom d'hôte que vous demandez à un hôte éventuellement partagé. Depuis TLS1.0, le nom d'hôte est transmis en clair (SNI)

Phil Hollenback
la source
@Arjan - avec cette modification, cette réponse est bien meilleure. À votre santé.
Rory Alsop
Il convient également de noter que les autres protocoles (par exemple telnet:) sont en texte clair uniquement. YMMV avec protocoles de chat.
Iszi
Oui, l'avertissement concernant les programmes de chat est bon, car ils peuvent utiliser différents protocoles.
Phil Hollenback
@Iszi Personne n'utilise telnet, je suppose? Je n'ai jamais utilisé de telles choses pour le plaisir (sic).
Camilo Martin
@CamiloMartin Vous seriez surpris. Les premiers exemples qui me viennent à l'esprit sont les MUD. Je suis sûr qu'il y en a d'autres.
Iszi
9

Je pense que vous voudrez peut-être regarder la vidéo suivante du 27e Chaos Communication Congress (CCC):

"Comment Internet vous voit: montrer quelles activités la plupart des FAI vous voient faire sur Internet"

  1. Page d'infos
  2. Vidéo (embarquée) et mp4 à télécharger
  3. PDF du discours
souris de laboratoire
la source
4

Philiph est bon pour « Si vous commencez à une https://adresse, tout est chiffré entre votre ordinateur et le serveur distant » avec une mise en garde: tout ce que vous savez avec HTTPS est que tout est crypté entre votre ordinateur et quelque part ailleurs.

Il y a un risque que vos communications soient altérées par le FAI en utilisant un homme au milieu de l'attaque - et si vous pensez que cela ne peut pas se produire, consultez les actualités sur la Tunisie qui montrent ce qui peut arriver si un agent malveillant a accès à Niveau FAI.

Cela ne peut être évité que si:

  • Un utilisateur utilise toujours l' https://URL correcte .
  • Un utilisateur n'ignore pas les avertissements de certificat.
  • L'utilisateur est sûr à 100% que son ordinateur n'a pas été falsifié.

Sinon, un FAI pourrait altérer la connexion d'une manière qu'un utilisateur non averti en technologie pourrait ne pas remarquer.

Rory Alsop
la source
D'accord, nettoie alors. (Qu'en est-il de l'utilisation de la source Markdown pour un meilleur formatage et une meilleure liaison?)
Arjan
1
J'ai supprimé certains commentaires, maintenant un peu orphelins du commentaire de weeheavy, dans lesquels "mauvais" était dirigé vers moi, pas vers la réponse: ces appliances ne peuvent fonctionner que dans des environnements d'entreprise, où le navigateur a été configuré pour accepter de faux certificats.
Arjan
0

Bien sûr, votre FAI (ou une autre personne utilisant son équipement sans autorisation, ce qui constitue un risque grave en soi) pourrait lire des données non cryptées qui transitent par leur réseau. En règle générale, le trafic non chiffré inclut le trafic de messagerie électronique, Web et FTP, sauf s'il est spécifiquement chiffré à l'aide de SSL ou TLS, comme dans le protocole HTTPS.

De plus, votre FAI préfère généralement que les mots de passe que vous envoyez sur Internet (en particulier, pour leurs comptes de messagerie) soient chiffrés, afin d'empêcher les attaquants de compromettre un routeur quelque part - comme votre routeur sans fil avec le mot de passe par défaut - et accéder à leurs serveurs. Alors que le gouvernement pourrait forcer un FAI à écouter votre trafic à ses fins, une menace beaucoup plus grande pour vous existe de la part de personnes qui aimeraient voler vos informations privées et / ou votre argent.

Ernie Dunbar
la source
TLS bloque-t-il le cas où "le gouvernement pourrait forcer un FAI" à vous pirater?
Pacerier
0

Pas directement une réponse à votre question, mais les mots de passe sont plus souvent volés à l'aide d'un enregistreur de frappe (logiciel illégalement installé sur votre PC qui enregistre toutes vos frappes) ou de l'ingénierie sociale, comme le phishing. (Le phishing envoie des e-mails qui vous incitent à vous connecter à une "fausse version" de Facebook ou autre chose, révélant ainsi votre mot de passe aux hameçonneurs, puis vous redirigeant vers le vrai. La plupart des victimes ne réalisent même pas au début ce qui s'est passé .)

CarlF
la source