Journal Il est temps que vous ayez un meilleur HTTPS

35
21
nov.
2014

Ça y est (article en anglais désolé) le gouvernement français fait de la surveillance sur ses propres employés en créant un certificat "google.com" et en le signant avec sa propre autorité de certification (oui, si vous n'étiez pas au courant, l'ANSSI a sa propre autorité de certification.)

Moi qu'était fier que mon pays aie une autorité de certification, me voilà déçu par un hiérarchie qui fait de la merde avec.

Bref… Il est temps de faire le ménage dans vos autorités de certifications et retirer toutes les merdes. Dans mon viseur? L'ANSSI qui a signé un certificat google.com, Turktrust qui a signé un certificat google.com et enfin le CNNIC car je n'ai pas trop confiance en les autorité du gouvernement chinois.

Peut être qu'il y en a d'autres dont je ne suis pas au courant, n'hésitez pas à les lister en commentaires. Si vous utilisez Debian, Debian ne fait plus confiance au certificat de Turktrust.

Pour ceux qui commencent à avoir peur: non les services publiques (en tout cas impots.gouv.fr) utilisent GeoTrust ou Verisign. Ne plus faire confiance à l'ANSSI ne vous empêchera pas d'accéder aux services publiques.

Comment faire? Premièrement, ce mini-tutorial est pour Fedora, c'est très similaire sous Debian, mais peut être que ça ne marchera pas du premier coup (il faudra peut être bidouiller un peu). Si quelqu'un sous Debian peut copier et modifier mon mini-tutorial dans un commentaire pour Debian ce serait génial ;) .

Premièrement, pour accéder à Linuxfr, je fais confiance à CACert.org (facultatif):

# Télécharge cacert.org/root.crt et le met dans /etc/pki/ca-trust/source/anchors
curl http://www.cacert.org/certs/root.crt | sudo tee /etc/pki/ca-trust/source/anchors/cacert-class-1.crt
# Télécharge cacert.org/class3.crt et le met dans /etc/pki/ca-trust/source/anchors
curl http://www.cacert.org/certs/class3.crt | sudo tee /etc/pki/ca-trust/source/anchors/cacert-class-3.crt

Ensuite, je ne fais plus confiance aux autorités de merde:

# Ajoutons les certificats à la liste noire:
cd /etc/pki/ca-trust/source/blacklist/
# "openssl x509 -inform DER" sert à convertir les certificats en un format lisible
# Gouvernement Français
# Trouvé dans les pièces jointes du bug https://bugzilla.mozilla.org/show_bug.cgi?id=477147
curl -L "https://bugzilla.mozilla.org/attachment.cgi?id=369066" | openssl x509 -inform DER -text | sudo tee dcssi-french-gov.crt
# Autorité turque qui a signé des certificats google.com
# Trouvé dans les pièces jointes au bug https://bugzilla.mozilla.org/show_bug.cgi?id=380635
# et au bug https://bugzilla.mozilla.org/show_bug.cgi?id=433845
curl -L "https://bugzilla.mozilla.org/attachment.cgi?id=264741" | openssl x509 -inform DER -text | sudo tee turktrust-root-1.crt
curl -L "https://bugzilla.mozilla.org/attachment.cgi?id=264742" | openssl x509 -inform DER -text | sudo turktrust-root-2.crt
curl -L "https://bugzilla.mozilla.org/attachment.cgi?id=321914" | openssl x509 -inform DER -text | sudo tee turktrust-root-3.crt
# Gouvernement chinois
curl http://www1.cnnic.cn/IS/fwqzs/fwqzsxzzx/201208/W020120615437405690652.cer | sudo tee cnnic-root.crt

Vous pouvez survoler la liste des CA de mozilla vous même.

Un fois que vous avez ajouté vos propres autorité de certification et mis les mauvaises autorités de certification sur liste noire, il ne vous reste plus qu'à lancer: sudo update-ca-trust et redémarrer firefox.

Et vous voilà parti!

  • # Ironie ?

    Posté par (page perso) . Évalué à 10.

    C'est surprenant de faire aveuglément confiance à CAcert (alors que les navigateurs et les distributions jugent qu'elle n'apporte pas assez de garanties) au point de télécharger des fichiers *.crt via HTTP sans aucune vérification, non ?

    Debian Consultant @ DEBAMAX

  • # Pour Debian et Archlinux

    Posté par (page perso) . Évalué à 10. Dernière modification le 21/11/14 à 08:17.

    Pour Debian, il suffit de lancer dpkg-reconfigure ca-certificates. Je viens de désactiver :

    • mozilla/China_Internet_Network_Information_Center_EV_Certificates_Root.crt
    • mozilla/CNNIC_ROOT.crt
    • mozilla/IGC_A.crt # La DCSSI
    • mozilla/TURKTRUST_Certificate_Services_Provider_Root_1.crt
    • mozilla/TURKTRUST_Certificate_Services_Provider_Root_2007.crt
    • mozilla/TURKTRUST_Certificate_Services_Provider_Root_2.crt

    Archlinux réutilise le paquet ca-certificates de Debian mais n'a pas porté l'interface de configucation. Il suffit d'éditer /etc/ca-certificates/conf.d/mozilla.conf (ajouter un ! en début de ligne), puis lancer update-ca-certificates

    • [^] # Re: Pour Debian et Archlinux

      Posté par . Évalué à 1.

      Tu devrait faire un petit tuto pour Debian et Archlinux, ta façon de faire est simple et compréhensible pour tous.

      Merci aux personnes qui mon aidé a trouvé des solutions pour essayer d’écrire sans faute d’orthographe.

      • [^] # Re: Pour Debian et Archlinux

        Posté par (page perso) . Évalué à 10.

        Tu devrait faire un petit tuto pour Debian et Archlinux

        De toute façon tant qu'on sera pas passé de je gère des certificats a je gère des autorités ce genre de demarche restera marginale. Tu trouves normal que l'alerte soit la même quand le certificat est expiré ou ne match pas le CN que quand l'autorité est inconnue ?

    • [^] # Re: Pour Debian et Archlinux

      Posté par . Évalué à 2.

      Attention à l'interaction du paquet ca-certificates et de iceweasel : la plupart des logiciels Debian se basent sur la base de ca-certificates, mais iceweasel a une sorte de « cache utilisateur » qui fait que les certificats ajoutés/enlevés à ca-certificates ne sont pas vraiment répliqués dans ce cache. D'après ce que j'ai compris, ma complication est due au fait que j'ai upgradé iceweasel depuis des version assez anciennes (squeeze) et que le format de ce cache a changé, mais j'ai eu du mal à faire marcher le bousin (il y a cert8.db et key3.db dans votre profil, et cert9.db et key4.db — le nouveau format à priori — dans ~/.pki/nssdb ; mais les deux ont des mtime récent, donc je ne sais pas ce que fait iceweasel exactement).

      La seule solution qui a fonctionné pour moi est de manuellement importer un CA dans iceweasel (Préférences -> Avancé -> Afficher les certificats -> Autorités -> Importer).

  • # Pas nouveau

    Posté par (page perso) . Évalué à 10.

    Ça a au moins un an cette histoire. Il y avait eu une mise à jour des certificats des navigateurs.

    Par ailleurs, cette pratique est courante entreprise. La boîte possède une AC interne dont les certificats sont configurés sur tous les postes, et le proxy génère des certificats à la demande. Cela permet notamment de placer du DPI ou d'espionner ce que font les utilisateurs, au choix.

    Là où l'ANSSI a sévèrement merdé, c'est qu'ils ont fait ça avec leur AC publique.

    • [^] # Re: Pas nouveau

      Posté par . Évalué à 10.

      Je n'ai toujours compris comment il pouvait être légal d'espionner les communications cryptés de ses employés.

      Personne n'imagine que des "patrons" écoutent les conversations téléphoniques des employés, ce genre de MiN est encore pire (log, trie, data mining possible,…).

      J'attends le premier procès ou un responsable informatique ira en prison, pour avoir accès à des cartes bleus, ou des données personnels sensibles (santé par exemple). Le secret de communication est tout de même inscrit dans les droits de l'homme de l'ONU, il faudrait arrêter de se torcher avec.

      "La première sécurité est la liberté"

      • [^] # Re: Pas nouveau

        Posté par (page perso) . Évalué à 5.

        Dans les PME, le responsable informatique a le choix entre se taire ou prendre la porte.

        • [^] # Re: Pas nouveau

          Posté par . Évalué à 3.

          Dans ce cas c'est le patron qui ira en taule.

          "La première sécurité est la liberté"

          • [^] # Re: Pas nouveau

            Posté par (page perso) . Évalué à 6.

            Pour aller en prison, il faut y aller très (très) fort.
            Un cambriolage avec casse et violence, tu ne vas pas en prison (si c'est la première fois).
            Alors un truc d'informaticien/certificat/sécurité/machin auquel le juge ne pige rien, c'est peut-être même la relaxe.

            • [^] # Re: Pas nouveau

              Posté par . Évalué à -4.

              http://www.legifrance.gouv.fr/affichCode.do?idSectionTA=LEGISCTA000006165324&cidTexte=LEGITEXT000006070719

              vol, c'est 3 ans de prison et 45k€ d'amende.

              "La première sécurité est la liberté"

              • [^] # Re: Pas nouveau

                Posté par . Évalué à 1.

                Tu n'es pas sans savoir que la loi indique les peines maximales encourues pour le délit/crime en question. En pratique c'est autre chose (i.e. c'est moins) et on peut le regretter.

              • [^] # Re: Pas nouveau

                Posté par (page perso) . Évalué à 3.

                fumer du cannabis, c'est 3750€ d'amende et 1 an de prison. Tous les fumeurs pris en flag' l'ont cette peine,évidement.
                Tu crois sérieusement que ce que dit la loi est la peine automatique? Il va falloir penser à te renseigner sur la fonction de juge (qui prononce des peine jusqu'à la limite de la loi) avant de partir sur dees délire "en taule l'informaticien".

                • [^] # Re: Pas nouveau

                  Posté par . Évalué à -4.

                  ou est-ce que j'ai dis que ce n'est pas un maximum ? Quand on parle de peine, à part pour les délits routiers, c'est toujours des maximums.

                  "La première sécurité est la liberté"

                  • [^] # Re: Pas nouveau

                    Posté par (page perso) . Évalué à 1.

                    Un inconnu a dit "J'attends le premier procès ou un responsable informatique ira en prison"
                    Un inconnu à répondu à une personne qui dit "c'est peut-être la relaxe" un truc comme "vol, c'est 3 ans de prison et 45k€ d'amende.", ça sous-entend pas du tout que c'est un maximum, au contraire.

            • [^] # Re: Pas nouveau

              Posté par (page perso) . Évalué à 5.

              C'est faux, il y a toutes les semaines ou presque des gens qui vont en prison (ferme) pour 5 euros, une pomme, une broutille… Les colonnes faits divers de la "presse" régionale sont pleines de ces histoires. L'ordre national est bien tenu, les voleurs de pomme sont en prison, dormez tranquilles…

              Un exemple au hasard : http://www.estrepublicain.fr/actualite/2014/02/14/strasbourg-condamne-a-de-la-prison-ferme-pour-le-vol-de-deux-petits-pains-et-d-un-chausson-aux-pommes

              Alors les trucs d'informaticien, tu penses bien, il suffit de faire un pauvre site de liens eMule pour finir en prison avec des dettes à vie envers les majors. Et si c'est pas la prison, c'est les dettes. On sait de quel côté penche la justice, on devrait pouvoir dessiner une tendance avec tous les jugements d'hébergeurs et autres propriétaires de domaines ou kitetoa et compagnie…

              Je laisse comparer avec les sentences obtenues contre la police quand elle tue…

              « Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

              • [^] # Re: Pas nouveau

                Posté par (page perso) . Évalué à 5.

                Le prévenu, précisent nos confères avait déjà été condamné en février 2013 à trois mois d’emprisonnement avec sursis pour des faits similaires.

                Donc c'est au moins la seconde fois qu'il est condamné (minimum de minimum, car pour avoir un mois de sursis en volant une pâtisserie, le juge l'a sûrement déjà vu avant). Et probablement le double ou le triple qu'il se fait serrer sans que ça aille au jugement.
                On ne peut évidemment pas dire combien de fois il a volé sans se faire prendre, en plus ça ne fait pas partie de cette discussion.

                • [^] # Re: Pas nouveau

                  Posté par (page perso) . Évalué à 7.

                  Ouais enfin voler une patisserie ou 200 fois une patisserie, c'est pas de prison qu'il a besoin, c'est d'une formation de patissier… Je ne vois pas en quoi ça justifie de le mettre en prison.

                  « Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

                  • [^] # Re: Pas nouveau

                    Posté par . Évalué à 2.

                    c'est pas de prison qu'il a besoin

                    Lui, sûrement pas (personne n'a besoin de prison). Par contre, les boulangers de son quartier ont peut-être un avis un peu différent.

                  • [^] # Re: Pas nouveau

                    Posté par . Évalué à 1.

                    Je ne vois pas en quoi ça justifie de le mettre en prison.

                    son immoralité ?

                    • [^] # Re: Pas nouveau

                      Posté par . Évalué à 5.

                      Euh non.
                      C'est le fait qu'il ait commis des actes répréhensibles punis par le code pénal. En France, un des fondements du code pénal français c'est la précision, c'est pour ça que le tipiakage du dernier Taylor Swift n'est pas du vol, mais de la contrefaçon, car la définition du vol impose la disparition d'un objet physique. Même si, intuitivement, on aurait tendance à penser "on s'en fout, dans l'idée, c'est pareil".
                      L'immoralité est subjective, et donc on matière pénale, on essaie d'éviter, car dans ce cas, autant rétablir les lettres de cachet.

                • [^] # Re: Pas nouveau

                  Posté par . Évalué à 10.

                  On ne peut évidemment pas dire combien de fois il a volé sans se faire prendre, en plus ça ne fait pas partie de cette discussion.

                  On ne sait pas non plus combien de fois tu as volé sans te faire prendre.

                  Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

                • [^] # Commentaire supprimé

                  Posté par . Évalué à 8.

                  Ce commentaire a été supprimé par l'équipe de modération.

                  • [^] # Re: Pas nouveau

                    Posté par . Évalué à 3.

                    et si près de chez moi

                    Si seulement les pauvres pouvait rester dans leur pays de pauvres, ça nous éviterait d'avoir à les voir !

                    Je te taquine, je comprends très bien ce que tu veux dire on arrive pas à répartir correctement nos richesses, même dans une situation très favorable c'est à dire avec beaucoup de richesses et "peu" de pauvres (oui même si ça fait beaucoup et que ça augmente on a une proportion de pauvre dans la population faible comparé à d'autre endroit du monde).

                    Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

                    • [^] # Commentaire supprimé

                      Posté par . Évalué à 2.

                      Ce commentaire a été supprimé par l'équipe de modération.

                      • [^] # Re: Pas nouveau

                        Posté par . Évalué à 5.

                        Je veux juste dire que personne ne devrait avoir faim.

                        Je vois 2 solutions à ça :

                        • supprimer ceux qui ont faim
                        • faire en sorte que ceux qui ont faim ai suffisamment pour pouvoir manger (ce qui est une répartition plus correct des richesses)

                        Je n'ai pas dis égalitaire, je n'ai pas dis comment ça devait se faire.

                        Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

                  • [^] # Re: Pas nouveau

                    Posté par . Évalué à 7.

                    C'est pas sûr. Avoir une population de pauvre importante est très avantageux : tu peux faire du chantage au chômage facilement, tu peux leur imposer des conditions de vie indignes, tu peux les faire bosser le week end, et surtout tu peux faire peur aux autres : « Attention, si vous n'obéissez pas bien, vous aller devenir pauvre vous aussi »

                    Si tu supprimes les pauvres, alors on sera obligé de revoir pas mal de chose dans notre société, notamment les boulot de merde sous-payé…

                    Donc peut-être qu'il est moins coûteux pour la société de payer quelques hommes en arme que de supprimer la pauvreté.

        • [^] # Re: Pas nouveau

          Posté par (page perso) . Évalué à 10.

          Je ne pense pas que ce soit les PME qui ont le plus recours a cette attaque Man in the Middle

        • [^] # Re: Pas nouveau

          Posté par (page perso) . Évalué à 3.

          C'est pas ma faute, c'étaient les ordres, j'ai juste fait mon boulot

          Une ligne de défense très en vogue en 1945.

          • [^] # Re: Pas nouveau

            Posté par . Évalué à 3.

            C'est une des facilité de l'homme: "obéir les yeux fermé à tout ordres venant d'une authorité reconnue".

            Allez tous vous faire spéculer.

            • [^] # Re: Pas nouveau

              Posté par (page perso) . Évalué à 2.

              C'est même une faculté utilisée par l'ingénierie sociale. Publicitaires, politiciens, etc.

      • [^] # Re: Pas nouveau

        Posté par . Évalué à 9.

        Et avec une charte interne, signée par les employés, qui stipule que le matériel informatique mis à disposition ne peut pas être utilisé pour des besoins non-professionnels ?

        • [^] # Re: Pas nouveau

          Posté par . Évalué à 6.

          Ca ne suffi pas : certains employeurs enregistren les conversations téléphoniques de leurs employés (support téléphonique par exemple) : ils sont légalement contraints de le préciser. Or il n'est pas évident que les entreprises indiquent clairement que les certificats utilisés sont de faux : ca devrait être écrit et clair pour l'employé.

        • [^] # Re: Pas nouveau

          Posté par . Évalué à 4.

          Il me semble que l'employée à quand même droit à une vie privée. Typiquement s'il utilise sa boîte email pro, avec un entête [PERSO], je pense qu'il est dans son droit, et que le patron n'a pas le droit de regarder le contenu du mail, charte ou pas.

          • [^] # Re: Pas nouveau

            Posté par . Évalué à 1.

            Il me semble que l'employée à quand même droit à une vie privée. Typiquement s'il utilise sa boîte email pro, avec un entête [PERSO], je pense qu'il est dans son droit, et que le patron n'a pas le droit de regarder le contenu du mail, charte ou pas.

            Il a droit, sauf s'il décide (ou accepte) de renoncer à ce droit. Certes, comme noté plus haut, il faut probablement indiquer clairement que les connexions peuvent être espionnées. Mais non, ça n'est pas si "logique" que ça de pouvoir utiliser les ressources pro dans un but perso. Typiquement, tu n'as pas intérêt à te faire choper avec une voiture de service (et non de fonction) en dehors de tes heures de boulot.

            • [^] # Re: Pas nouveau

              Posté par (page perso) . Évalué à 10.

              La jurisprudence tranche clairement en faveur du fait que l'employé peut disposer des ressources de l'entreprise qui lui sont confiées (dont l'accès à Internet, des imprimantes et tout) tant que l'usage était modéré et ne contrevenait pas au bon déroulement de l'entreprise ni des activités de l'employé.

              En gros tu peux aller quelques minutes par jour voir tes courriels, y répondre, troller sur linuxfr.org et autres. Par contre si tu fais ça pendant des heures chaque jour, le licenciement sera justifié légalement.

              De même, les dispositifs d'enregistrement d'activités de l'employé sont légaux mais il faut notamment que l'employé soit prévenu avant (il est donc interdit de surveiller ses connexions Internet, d'installer un logiciel espion sur le poste professionnel ou autres sans le prévenir avant).

            • [^] # Re: Pas nouveau

              Posté par . Évalué à 3.

              Mais non, ça n'est pas si "logique" que ça de pouvoir utiliser les ressources pro dans un but perso.

              Cela n'est pas logique, cela peut être interdit, mais cela reste interdit de regarder dans tous les cas !

              Typiquement, tu n'as pas intérêt à te faire choper avec une voiture de service (et non de fonction) en dehors de tes heures de boulot.

              C'est surtout pour des raisons d'assurances. Si tu as un accident le week-end, tu n'es pas couvert.

              Il y a aussi une raison fiscale. Un voiture de fonction est vu comme un avantage en nature qui est taxé par le fisc. Donc, si tu utilises une voiture de service comme une voiture de fonction, le fisc peut envoyé une note à la boite.

              "La première sécurité est la liberté"

            • [^] # Re: Pas nouveau

              Posté par (page perso) . Évalué à 10.

              Mais non, ça n'est pas si "logique" que ça de pouvoir utiliser les ressources pro dans un but perso.

              Si, c'est logique, parce que la vie personnelle ne s'arrête pas quand on franchit la porte de son bureau, pour reprendre quand on la quitte. Par exemple, quand on a des enfants, il est normal de pouvoir être appelé au bureau si le dernier est malade et qu'il faut aller le chercher à l'infirmerie. Dans un but différent, il est normal de pouvoir appeler son assureur, son banquier, or comme le banquier travaille à des heures de bureau, il faut pouvoir le faire depuis son propre bureau, ce qui implique d'utiliser l'abonnement téléphonique de son employeur pour passer un appel perso.

              Bref, comme on a une vie hors du bureau, que celle-ci déborde nécessairement sur son temps de travail, et qu'elle nécessite des ressources qui fournies par son employeur, il faut pouvoir utiliser ces ressources à des fins personnelles. Par voie de conséquence il faut que ce genre de cas soit prévu et autorisé, faute de quoi le fait de travailler serait un handicap pour vivre une vie normale.

              • [^] # Re: Pas nouveau

                Posté par . Évalué à 4.

                Je suis tout à fait d'accord avec toi, cependant l'argument suivant :

                il est normal de pouvoir appeler son assureur, son banquier, or comme le banquier travaille à des heures de bureau, il faut pouvoir le faire depuis son propre bureau, ce qui implique d'utiliser l'abonnement téléphonique de son employeur pour passer un appel perso.

                ne me paraît plus très pertinent à l'heure où 99% des gens ont un portable :)

                • [^] # Re: Pas nouveau

                  Posté par . Évalué à 2.

                  ne me paraît plus très pertinent à l'heure où 99% des gens ont un portable :)

                  Je me souviens d'une collègue, sur un précédent taf, qui m'expliquait que j'étais bien con d'utiliser mon portable pour mes communications perso alors que la téléphonie de l'entreprise était à ma disposition.

                  Bon, c'était avant l'arrivée de Free sur le marché et le réajustement qui a suivi.

                • [^] # Re: Pas nouveau

                  Posté par (page perso) . Évalué à 3.

                  ne me paraît plus très pertinent à l'heure où 99% des gens ont un portable :)

                  On ne peut pas supposer cela de façon sûre, parce qu'il faut avoir un téléphone portable, que celui-ci ne soit pas resté à la maison, qu'il soit chargé, que ça capte…

                  Et puis, tout cela est valable pour le fax, pour le scanner, pour le courrier électronique…

                • [^] # Re: Pas nouveau

                  Posté par . Évalué à 3.

                  Je trouve plus confortable le combiné d'un téléphone fixe.

                  BeOS le faisait il y a 15 ans !

          • [^] # Re: Pas nouveau

            Posté par . Évalué à 1.

            L'entreprise peut regarder le contenu des mails et des flux HTTPS si :
            - cet accès est non discriminatoire et s'appuie sur un besoin opérationnel (typiquement a posteriori en cas d'incident avéré, ou a priori si c'est fait de manière globale et anonyme)
            - la pratique est affichée clairement au sein du règlement intérieur.

            La jurisprudence a acté à plusieurs reprises que les données manipulées depuis des équipements appartenant à l'entreprise ne relèvent pas de la vie privée.

            Voir par ex: http://www.cnil.fr/documentation/fiches-pratiques/fiche/article/lacces-a-la-messagerie-dun-salarie-en-son-absence/

            • [^] # Re: Pas nouveau

              Posté par . Évalué à 8. Dernière modification le 21/11/14 à 14:54.

              Toutefois, si le message est clairement identifié comme étant personnel, par exemple, si l’objet du message précise clairement qu’il s’agit d’un message privé ou personnel, l’employeur ne doit pas en prendre connaissance. Il doit respecter le secret des correspondances

              Ton lien est plus subtile que ce que tu dis.

              "La première sécurité est la liberté"

        • [^] # Re: Pas nouveau

          Posté par . Évalué à 2.

          Même si l'employé est en tord, cela ne donne pas le droit au entreprise d'espionner leur communications et de violer leur vie privé.

          "La première sécurité est la liberté"

        • [^] # Re: Pas nouveau

          Posté par . Évalué à 7.

          Interdire a tes employés d'utiliser tes ressources professionnelles pour autre chose que le boulot, ca ne te donne pas le droit d'ouvrir leurs communications privées.

          • [^] # Re: Pas nouveau

            Posté par . Évalué à -10.

            Donc tu peux interdire, mais pas faire respecter cette interdiction? Diable, et on se demande encore pourquoi personne n'embauche…

            • [^] # Re: Pas nouveau

              Posté par . Évalué à 10.

              C'est plus tordu que ca.
              Par exemple tu as tout a fait le droit d'avoir un robot qui scanne tous les mails de l'employé et qui envoie un rapport genre "M. Tartanpion a envoyé 67 mails aujourd'hui dont 1 perso (le coté "perso" etant detecté par la mention "perso", "privé", etc dans l'objet du mail). Mais tu n'as absolument pas le droit d'ouvrir le mail perso en question.
              Si un employé a envoyé dans la journée 90 mails dont 87 perso, tu peux raisonablement estimer qu'il abuse des ressources de l'entreprise (et le faire virer). Du moment que tu n'as ouvert aucun des 87 mails en question, c'est bon.

            • [^] # Re: Pas nouveau

              Posté par . Évalué à 10.

              Bien sûr c'est parce que la CNIL leur demande de ne pas ouvrir des mails qu'il y a du chômage en France. Non mais sérieusement, tu lis ce que t'écris de temps en temps ?

              Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

              • [^] # Re: Pas nouveau

                Posté par . Évalué à 5.

                C'est clairement marginal sur l'embauche, mais représentatif d'un état d'esprit qui a des répercussions bien au-delà du code du travail. Quand le Droit bavarde, dit-on, le citoyen ne lui prête plus qu'une oreille distraite. Il serait beaucoup plus sain, dans le cas qui nous préoccupe, que le Droit interdise à l'employeur d'interdire à l'employé (je sais…) d'utiliser les ressources professionnelles pour du perso.

                Là, on a juste un système un peu stupide, où on va laisser employeurs et employés se crêper le chignon par prud'hommes interposés, pour le bénéfice de … personne, en fait.

                • [^] # Re: Pas nouveau

                  Posté par . Évalué à 3.

                  Euh… non le droit ici est assez simple. On t'a donné dans d'autres commentaires les implications. Ça n'est pas un cas compliqué pour les prud'hommes (au contraire de bien des cas licenciements dont l'illégalité est plus difficile à prouver). C'est un droit tout à fait applicable et appliqué. Je l'ai vu, par exemple avec un gars qui utilisait massivement son VPN et qui s'est pris une remarque (et uniquement une remarque et pas un blâme) sans qu'il n'est était nécessaire de déchiffrer ses communications.

                  Par contre ce que tu propose énerverait les patrons parce que tu comprends les employés ils passent leur journée à aller sur youtube, etc.

                  Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

            • [^] # Re: Pas nouveau

              Posté par (page perso) . Évalué à 4.

              Mais c’est bien sûr ! La crise est causé par les barbus qui refuse de perdre leur vie (privée) au travail !

              Larry Cow président !

      • [^] # Re: Pas nouveau

        Posté par . Évalué à 1.

        Sans compter que pour les employés il n'est pas possible de savoir si on est bien connecte sur le site d'un client ou d'un fournisseur.
        On voit toujours le "faux" certificat et on ne sais pas ce qui est au bout…

      • [^] # Re: Pas nouveau

        Posté par . Évalué à 1.

        Merci pour cette bonne tranche de rire.

        • [^] # Re: Pas nouveau

          Posté par . Évalué à -3.

          Tu es un candidat pour aller en taule ?

          "La première sécurité est la liberté"

          • [^] # Re: Pas nouveau

            Posté par . Évalué à 3.

            "J'attends le premier procès ou un responsable informatique ira en prison, pour avoir accès à des cartes bleus, ou des données personnels sensibles (santé par exemple). "
            Moi aussi, j'ai même acheté du coca et du popcorn.

            "Tu es un candidat pour aller en taule ?"
            Pas vraiment même si 'Orange is the new black'.

      • [^] # Re: Pas nouveau

        Posté par . Évalué à 3.

        A ce sujet, existe-t-il un moyen de savoir si mon entreprise a de telles pratiques ?
        Par exemple, en ce moment, je suis à mon boulot (pause café), et je passe par le proxy de l'entreprise pour aller sur linuxfr.org (en https). Il y'a t il quelque chose de particulier à regarder dans les info du certificats de Linuxfr (reçu par Firefox) ?

        • [^] # Re: Pas nouveau

          Posté par . Évalué à 3.

          Il suffit de cliquer sur le cadenas vert. Quand il y a du MITM HTTPS, le certificat affiché par le navigateur est émis par l'entreprise, au lieu du certificat du site concerné.

      • [^] # Re: Pas nouveau

        Posté par . Évalué à 6.

        le but n'est pas d'espionner réllement les communications, mais de pouvoir appliquer les règles de filtrage URL et autre aux flux https, donc ça concerne surtout l'accès aux entêtes http. ça permet aussi de passer ces flux dans un antivirus. Ceci n'est pas illégal si ça apparait dans la chartre informatique de l'entreprise, et ça tu dois obligatoirement en avori connaissance et l'avoir signée, sinon c'est illégal.

        Ce qui est illégal, c'est d'utiliser les informations concernant l'usage internet d'un employé (remontée dans un reporting filtrage URL) pour le mettre à la porte.

        PS: je ne défends pas , j'explique car j'ai bossé sur ces sujets en entreprise. C'est assez répandu, le but n'étant pas que le flicage mais également la régulation de la consommation de bande passante. En géneral, ce n'est pas fait sur les sites banquaires et autres catégories sensibles.

        • [^] # Re: Pas nouveau

          Posté par . Évalué à 2.

          En général, ce n'est pas fait sur les sites bancaires et autres catégories sensibles.

          Cela n'est pas fait sur les moteurs de recherches ? Ou les webmail ?

          "La première sécurité est la liberté"

      • [^] # Re: Pas nouveau

        Posté par (page perso) . Évalué à 9.

        Personnellement, je trouve normal qu'il y ait un minimum de sécurité informatique dans les infrastructures critiques de l'État.
        Si tu ne fais pas de DPI, tu ne peux pas analyser ce qui passe dans les tunnels HTTPS et savoir si c'est un malware qui est en train d'exfiltrer des données ou si c'est quelque chose d'anodin. On ne peut pas à la fois râler sur le manque de sécurité informatique (bien réel, il suffit de voir ce qui s'est passé à Bercy) et refuser d'en mettre en œuvre.
        Accessoirement, personne n'a parlé d'espionner les conversations, on parle uniquement d'utiliser du matériel (ou logiciel) pour faire la distinction automatiquement entre flux anodins et flux suspects.

        Après, rien ne t'empêche d'utiliser ton téléphone si tu fais quelque chose de personnel, que tu as peur d'être espionné, et que ce que tu fais puisse servir contre toi…

        • [^] # Re: Pas nouveau

          Posté par . Évalué à 2.

          Si tu ne fais pas de DPI, tu ne peux pas analyser ce qui passe dans les tunnels HTTPS et savoir si c'est un malware qui est en train d'exfiltrer des données ou si c'est quelque chose d'anodin.

          Si le malware est un tant soit peu malin (et on a tout intérêt à considérer qu'il l'est), il risque fort de se méfier si le certificat de son serveur de contrôle n'a pas la signature attendue.

          • [^] # Re: Pas nouveau

            Posté par (page perso) . Évalué à 4.

            Et donc, les données ne seront pas exfiltrées, c'est tout bénef. C'est comme une conférence que j'ai vu où la "morale" était, faites tourner votre applicatif dans des sandbox, vous serez protégés des malwares.

            Mais le DPI, ça peut aussi détecter le téléchargement du malware et donc éviter qu'il s'installe tout simplement.

            Sinon, tu as vu des cas de malwares qui vérifiaient le certificat du serveur avec une technique proche (dans l'esprit) de ce que fait Chrome ?

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: Pas nouveau

        Posté par (page perso) . Évalué à 5.

        Personne n'imagine que des "patrons" écoutent les conversations téléphoniques des employés

        C'est pourtant le cas dans tous les centres d'appel

        • [^] # Re: Pas nouveau

          Posté par . Évalué à 2.

          c'est pas la même chose.En centre d'appel, le conseiller doit respecter un scénario, il sait qu'il est écouté, il n'est pas espionné "à l'insu de son plein gré"

        • [^] # Re: Pas nouveau

          Posté par . Évalué à 2.

          Cela n'a juste rien à voir.

          "La première sécurité est la liberté"

  • # Affreux anglicisme

    Posté par (page perso) . Évalué à 10.

    Permettez-moi donc de faire une remarque de semantic nazi.

    On ne dit pas « gouvernement » dans ce sens-là, ça sent bon les séries américaines mal traduites. Le gouvernement, ce sont les ministres et leur conseillers. Ici, on parlera plutôt d'administration.

    Une note à ce sujet par nos cousins d'outre-Atlantique.

    • [^] # Re: Affreux anglicisme

      Posté par . Évalué à 2.

      pourtant, hahaha, j'ai une adresse mail en .gouv.fr ; étonnant non. Mais je suis 100% d'accord avec toi. Quand à englober l'ensemble des fonctionnaires dans la même entité, ca relève de la méconnaissance du fonctionnement de nos institutions. Dans la pratique, chacun fait comme il peut et se débrouille générablement pour offrir un service informatique performant. Parfois, le service est hyper verrouillé. L'administration n'a pas le monopôle sur ce sujet. Quand aux fait d'espionner les communications, même combat. Tout dépend de la politique locale et ministérielle.

  • # ANSSI

    Posté par (page perso) . Évalué à 8.

    La mauvaise utilisation de la sous-autorité de certification du ministère des finances, en interne, par leurs équipes techniques n’a rien à voir avec l’ANSSI, d’ailleurs, la sous-autorité en question a été très rapidement révoquée par l’ANSSI…

    http://reflets.info/mitm-de-google-par-l-anssi-la-theorie-du-doigt-qui-pointait-la-lune/
    http://www.ssi.gouv.fr/fr/menu/actualites/suppression-d-une-branche-de-l-igc-a.html

    • [^] # Re: ANSSI

      Posté par (page perso) . Évalué à 4.

      Et surtout, on peut remarquer que l’information a bientôt un an. Je sais pas si ça rapporte beaucoup de taper comme ça sur l’ANSSI, mais il serait bon d’arrêter.

  • # Gouvernement

    Posté par (page perso) . Évalué à 0.

    Moi qu'était fier que mon pays aie une autorité de certification, me voilà déçu par un hiérarchie qui fait de la merde avec.

    Non mais sérieusement, parmi tous les organismes existants, tu étais parti pour faire confiance à un gouvernement ?

    Certes, les autorités de certification commerciales sont connues pour faire de la merde, puisque leur intérêt (ne pas refuser de clients !) les pousse à mal travailler (ne pas vérifier trop sérieusement). Mais de là à imaginer que la solution consiste à donner le même genre de pouvoir aux gouvernements, il faut être cinglé ! S'il y a un organisme dont il faut se défier, c'est bien l'État, ça n'a rien de nouveau mais ça a été prouvé par quelques affaires récentes tout de même.

    • [^] # Re: Gouvernement

      Posté par (page perso) . Évalué à 8.

      Tant que le gouvernement est démocratique et qu'il y a une justice indépendante pour le juger en cas de problème, un gouvernement n'est pas forcément ce qu'il y a de pire.

    • [^] # Re: Gouvernement

      Posté par . Évalué à 10.

      Non mais sérieusement, parmi tous les organismes existants, tu étais parti pour faire confiance à un gouvernement ?

      J'aimerais qu'on m'explique en quoi je dois plus me méfier de mon gouvernement que d'une entreprise privée.
      Mon gouvernement est censé agir pour le bien de ma société, puis pour mon bien à moi. Une entrerpise est censée agir pour son bien à elle.

      • [^] # Re: Gouvernement

        Posté par . Évalué à 8. Dernière modification le 21/11/14 à 17:53.

        Une entrerpise est censée agir pour son bien à elle.

        Une entreprise est censée agir pour le bien des actionnaires. Dépot de bilan, etc… peut être pour le bien des actionnaires.

      • [^] # Re: Gouvernement

        Posté par . Évalué à 5.

        Une entrerpise est censée agir pour son bien à elle.
        Pas tout à fait, n'est-ce pas le but de l'objet social que de dire à quoi sert l'entreprise pour la société ?

  • # Ramassis de conneries

    Posté par . Évalué à 10.

    1 - L'ANSSI n'a pas sa propre autorité de certification, mais gère la racine des autorités de certification (AC) ministérielles

    2 - l'article pointé date d'il y a un an, c'est du réchauffé.

    3 le "gouvernement français" n'espionne pas ses employés, il essaye de détecter les malwares que ses amis russes, chinois et américains lui envoient pour pourrir ses postes de travail. Quand le malware est encapsulé dans du HTTPS, comme ça arrive dans 90% des cas, il faut déchiffrer le HTTPS pour envoyer le contenu à l'antivirus

    4 - à la DG Trésor, y'a eu un techos qui a commis la bourde d'utiliser un certificat de la chaine étatique plutôt qu'un certificat lambda sur l'appliance netasq qui déchiffre les flux web. C'est ça qui a faut scandale, pas le fait de déchiffrer les flux HTTPS, ce que 99% des entreprises fait.

    5 - l'AC mise en cause à cette occasion a été démantelée dès novembre 2013

    6 - le portail des impôts utilisé geotrust non pas parce c'est mieux (personne n'oserait dire ça), mais parce que c'est moins cher que des AC franco-françaises

    7 - la sécurité d'une AC c'est la sécurité de ses procédures organisationnelles. C'est de CACert sont mauvaises, c'est pour ça que cette AC n'est incluse dans aucun magasin de confiance. Mais libre à toi de faire confiance à de la merde. Et d'en raconter.

    • [^] # Re: Ramassis de conneries

      Posté par . Évalué à -1.

      4 - à la DG Trésor, y'a eu un techos qui a commis la bourde d'utiliser un certificat de la chaine étatique plutôt qu'un certificat lambda sur l'appliance netasq qui déchiffre les flux web. C'est ça qui a faut scandale, pas le fait de déchiffrer les flux HTTPS, ce que 99% des entreprises fait.
      
      5 - l'AC mise en cause à cette occasion a été démantelée dès novembre 2013
      

      Est-ce que le techos a lui aussi été démantelé ?

    • [^] # Re: Ramassis de conneries

      Posté par . Évalué à 4.

      Au fait, pour les complotistes en tout genre, Mozilla a implémenté un contrôle dans Firefox qui n'autorise les certificats de l'Etat français que sur les domaines .fr (et .wf, etc)

    • [^] # Re: Ramassis de conneries

      Posté par (page perso) . Évalué à -7.

      Ramassis de conneries

      On est sur LinuxFr, hein, l'important est d'avoir une raison, qu'elle soit vraie ou non n'a pas d'importance, de taper sur le voisin qu'on n'aime pas (de préférence "le système", c'est passe partout), c'est tout! ;-)

      • [^] # Re: Ramassis de conneries

        Posté par . Évalué à 8.

        Tout à fait et pas que sur linuxfr.

        Ce que ne comprennent pas les gens qui tapent contre un système comme ça, c'est que bien souvent il n'existe pas (c'est une façon de raisonner proche de la théorie du complot qui consiste à créer une entité uniforme qui serait leur ennemi) ou qu'ils en font eux-même partie intégrante.

        « le système » c'est quelque chose de relatif à une situation ou à un contexte.
        Toi, par exemple, tu viens ici est ton système c'est "le libriste" ou "LA communauté du libre" (une image d'Épinal que tu invente et réinvente à l'infini).

        Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

    • [^] # Re: Ramassis de conneries

      Posté par . Évalué à 1.

      Quand le malware est encapsulé dans du HTTPS, comme ça arrive dans 90% des cas, il faut déchiffrer le HTTPS pour envoyer le contenu à l'antivirus

      Il existe donc des vrai anti virus qui arrivent à fonctionner inline, sur des genres de proxy transparent de façon performante ?

      Et ces anti virus arrivent à attraper des vers spécialement créé pour l'espionnage et donc pas spécialement à grandes échelles ?

      "La première sécurité est la liberté"

  • # Meilleur HTTPS => éviter X.509

    Posté par (page perso) . Évalué à 9.

    Pour un meilleur HTTPS, j’attends surtout que les navigateurs, et notamment Firefox, se mettent enfin à implémenter la RFC 6091 !

    Un bug a été ouvert au début de l'année pour firefox, mais rien de plus.

    GnuTLS qui implémente cette RFC depuis déjà plusieurs année explique fort bien l'enjeu et l’intérêt.

    Alors qu'avec la RFC 6091 et OpenPGP, je peux me situer directement dans la toile de confiance qui me relie à un site web, et en choisissant moi même la confiance que j'attribue à chaque intermédiaire dans cette toile ; pourquoi être obligé d'utiliser la certification pyramidale X.509, qui nous oblige à faire confiance à des entités dont ont ne sait rien, si ce n'est qu'elles signent souvent n'importe quoi, souvent pour de l'argent, et que la protection de leurs secrets (clés privés) est rarement à la hauteur de la convoitise dont ils sont sujets ? (convoitise engendrée elle même par ce modèle pyramidal)

    Note: De plus OpenPGP n'empêche pas de faire du pyramidal à la X.509 pour tous ces "madame-monsieur tout le monde" qui ne l'utilisent pas (ou pas correctement), et qui du coup n'ont pas de toile vraiment de confiance.

    Je moinsse, tu moinsses, il moinsse, nos bots moinssent ...

    • [^] # Re: Meilleur HTTPS => éviter X.509

      Posté par (page perso) . Évalué à 4.

      Note: De plus OpenPGP n'empêche pas de faire du pyramidal à la X.509 pour tous ces "madame-monsieur tout le monde" qui ne l'utilisent pas (ou pas correctement), et qui du coup n'ont pas de toile vraiment de confiance.

      Si c'est pour faire du pyramidal,je ne vois vraiment pas l'intérêt d'inclure PGP, si ce n'est inclure une couche de faille supplémentaire un système de révocation qui ne marche pas.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: Meilleur HTTPS => éviter X.509

        Posté par (page perso) . Évalué à 3.

        Si c'est pour faire du pyramidal,je ne vois vraiment pas l'intérêt d'inclure PGP, si ce n'est inclure une couche de faille supplémentaire un système de révocation qui ne marche pas.

        L'intérêt, je me répète, c'est pour ceux qui n'ont pas vraiment de toile de confiance.

        Sinon OpenPGP précise un système de révocation qui marche très bien :

        Le propriétaire d'un certificat peut très bien le révoquer si il pense qu'on lui a volé sa(ses) clé(s) privée(s) :
        https://www.debian-administration.org/article/450/Generating_a_revocation_certificate_with_gpg

        De plus les signatures, par exemple celles émanant "d'autorités de certification", peuvent également très bien être révoqués :
        https://security.ias.edu/how-revoke-gnupgpgp-signature-key

        Tant que les différents utilisateurs ("client" et "serveur" pour la mutual authentification) OpenPGP rafraîchissent régulièrement les certificats dont ils se servent, il n'y a pas de faille IMHO.

        Je moinsse, tu moinsses, il moinsse, nos bots moinssent ...

      • [^] # Re: Meilleur HTTPS => éviter X.509

        Posté par (page perso) . Évalué à 10.

        L’intérêt par rapport à X.509 est que ce dernier ne permet que de faire du pyramidal, là où OpenPGP permet de faire aussi bien du décentralisé que du pyramidal.

        Avec un certificat X.509, si le visiteur ne fait pas confiance à la seule autorité de certification qui a signé le certificat, il n’a aucun autre moyen de vérifier le certificat (sauf à recourir à des méthodes non-prévues par X.509, comme DANE, Monkeysphere, Convergence ou assimilées).

        Avec un certificat OpenPGP, le visiteur a plus d’options : il peut faire complètement confiance en une des autorités de certification qui a signé le certificat, il peut faire marginalement confiance (c’est possible avec OpenPGP, contrairement à X.509) en plusieurs des autorités de certifications qui ont signé le certificat, il peut connaître personnellement et faire complètement confiance à un des administrateurs du site (qui a ajouté sa propre signature au certificat, en plus des signatures posées par les autorités de certification), il peut connaître indirectement plusieurs personnes responsables du site et leur accorder une confiance partielle, etc.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.