Forum Astuces.divers Solution pour filtrer du contenu HTTPS

Posté par  .
Étiquettes : aucune
-10
9
oct.
2010
Bonjour,

Ayant bossé pour une boite qui avait les moyens... nous utilisions une solution permettant de filtrer le HTTPS de telle sorte que le flux crypté soit decrypter puis reencrypter (ce qui permettait de le filtrer au passage).

On utilisait cela:
http://jonsnetwork.com/2007/04/how-to-solve-the-ssl-security(...)

Mais je suis persuadé qu'il doit exister une solution qu on peut mettre en place en OpenSource et qui ferait le meme job!!!

Le simple squid utilisant la méthode CONNECT est bien evidamment exclue puisque celui ci pourrait encapsuler du SSH (ouvert en 443) sans rien voir passer...

Si quelqu'un a une idée je suis preneur!
  • # Bizarre, bizarre

    Posté par  . Évalué à 10.

    Ca me paraît louche ton truc. L'intérêt du SSL c'est justement d'éviter que l'information soit interceptée par un intermédiaire. Si on pouvait déchiffrer le SSL à la volée, ça n'aurait plus aucun intérêt (et accessoirement le commerce électronique s'effondrerait). Si la taille de clé n'est suffisamment pas trop grosse, il doit être possible de la casser mais pas en temps réel.

    A mon avis ce que fait ce truc est un peu différent. Il doit jouer l'homme du milieu. Tu ne te connectes plus directement au serveur auquel tu veux accéder en SSL mais à un serveur maison (avec donc un certificat maison) et le serveur se connecte, lui, au vrai serveur en SSL. De cette façon, il n'y a rien à casser. Sauf que tout bon navigateur t'indiquera un énorme warning anti comme quoi le certificat utilisé n'a pas été émis par le site que tu visites. Suivant le navigateur et les options de sécurité, la connexion peut carrément être impossible ou le navigateur peut afficher une confirmation "oui, j'ai bien compris que je faisais une grosse connerie, laissez moi m'auto-flageller, j'aime ça".
    • [^] # Re: Bizarre, bizarre

      Posté par  . Évalué à 10.

      Un gros warning, sauf si la personne qui rechiffre le flux a réussi (par un moyen quelconque*) à installer son certificat sur ta machine.

      * ce moyen peut par exemple être que le service informatique de la boîte a déployé, au moment de l'installation de la machine, ses certificats sur le navigateur installé. C'est le cas dans la boîte où je bosse (sauf que je n'utilise pas les navigateurs installés, mais le mien, donc je vois les gros warnings)

      Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

      • [^] # Re: Bizarre, bizarre

        Posté par  (site web personnel) . Évalué à 6.

        Oui, tout à fait.

        Du moment que l'on ne maîtrise ni le serveur DNS, ni le moyen de certification, le proxy / homme du milieu, peut signer tout les certificats qu'il veut, et faire son boulot d'interception.

        Mais ce genre de pratique est quand même sacrément malhonnête de la part de l'admin réseau...

        La seule solution que je vois pour éviter une telle interception, dans le cas par exemple de l'utilisation d'un wifi publique sur lequel on pourrait avoir ce genre de mécanisme d'homme du milieu:
        - utiliser un DNS "externe" bien précis (pas celui qui est fournit par le serveur DHCP). Mais la solution n'est pas 100% fiable, car le hotspot wifi peut très bien intercepter et modifier les requêtes DNS
        - ET de n'utiliser que des certificats de CA dans lesquels on a confiance. Donc surtout ne pas accepter des certificats qui viennent de cette connexion wifi.
        • [^] # Re: Bizarre, bizarre

          Posté par  . Évalué à -7.

          Bonjour,

          Je suis particulierement surpris par vos message :)

          En fait, ca n enleve pas de la sécurité puisqu il y a 2 flux cryptés
          -du client vers le proxy
          -du proxy vers le serveur final!

          C'est en effet un proxy MITM... Mais rien avoir avec une attaque... (ca je sais le faire ;)

          Pour avoir testé cette solution aucun probleme de certif en effet je pense que le CA est trusté par une autorité reconnue ... pour le fait que ce soit installé dans chazque navigateur: étonnant il y avait 200000 utilisateurs!

          Apres vous parlez de sécu, ben justement parlons en:

          Le fait que les users puissent utiliser ton proxy pour se connecter chez eux en SSH ça ce n'est pas secure!
          ou le fait qu'il passe par des services internet en https pour aller surfer ou ils veulent: ca ce n'est pas secure non plus...

          Donc j'aimerais 2 minutes mettre les questions de "pseudos-ethiques" de côté et réfléchir à la solution technique qui pourrait remplacer un outil commercial par une solution opensource...

          peut etre une piste:
          http://www.gnucitizen.org/blog/python-ssl-mitm-proxy-and-mor(...)
          • [^] # Re: Bizarre, bizarre

            Posté par  . Évalué à 10.

            Bien sûr que si que ça enlève de la sécurité. Au lieu d'avoir les contenu déchiffré en 2 endroits, tu l'as en trois endroits. En plus, tu as la possibilité de casser une clé sur deux, au choix, au lieu d'en avoir une seule, sans choix. Et enfin tu as éventuellement accès à deux flux chiffrés différents avec le même contenu, ce qui peut faciliter une attaque.

            Si tu ne veux pas que tes utilisateurs puisse faire du SSL sans voir ce qu'il y a dedans, la seule solution honnête et sûre, c'est d'interdire le SSL globalement (puis passer par une liste blanche pour les serveurs indispensables dont tu es sûr)

            Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

          • [^] # Re: Bizarre, bizarre

            Posté par  . Évalué à 3.

            Le fait que les users puissent utiliser ton proxy pour se connecter chez eux en SSH ça ce n'est pas secure!
            S'ils le font c'est qu'ils en ont besoin non ?
            Sinon, c'est comme dit 2PetitsVerres, il faut bloquer le port 443 sauf pour une liste blanche de sites web bien déterminés.
          • [^] # Re: Bizarre, bizarre

            Posté par  (site web personnel) . Évalué à 8.

            J'arrive un peu après le troll la bataille, mais je vais quand même rajouter mon commentaire:

            C'est en effet un proxy MITM... Mais rien avoir avec une attaque... (ca je sais le faire ;)

            Vis à vis de l'utilisateur, il y a tromperie, car il pense que son flux SSL ne peut pas être déchiffré, or c'est le cas ici. Je pense que c'est le genre de chose qui devrait être clairement affiché dans la charte informatique de la société, celle que l'employé signe en disant qu'il s'engage à ne pas faire mauvaise usage du système informatique. Mais par contre, il y a fort à parier qu'une telle charte soit dénoncée devant un tribunal.

            Que l'admin système (ou son équipe IT), détourne ou non l'usage "sécurité" de ce proxy est un autre débat : Grand groupe ou petite société, ce sont au final toujours des être humains qui ont entre les mains des données sensibles. Et parfois, elles les utilisent à mauvais escient.

            2 exemples récemment dans l'actualité informatique :
            - un employé de facebook a utilisé ses droits d'accès privilégiés pour connaître l'identité d'un client : http://www.infos-du-net.com/actualite/17513-vie-privee.html
            - des employés de SFR auraient exploités illégalement des codes de desimlockage : http://www.generation-nt.com/fraude-reseau-codes-desimlockag(...)

            pour le fait que ce soit installé dans chaque navigateur: étonnant il y avait 200000 utilisateurs!

            Alors là, aucun soucis. Exemple de techniques de déployment :
            - installation de ce CA à distance, en "poussant" un patch sécurité
            - utilisation de WMI pour modifier automatiquement la configuration des postes clients
            - modification de la configuration, en utilisant le script de login de la machine
            - ou plus simplement encore : Rajout du CA dans l'image disque des machines, en parallèle des xxx applications utilisés par cette entreprise.

            Le fait que les users puissent utiliser ton proxy pour se connecter chez eux en SSH ça ce n'est pas secure!

            Il faut :
            - contrôller les applications installées sur la machine
            - limiter les droits d'accès aux machines
            - etc...
            Le moindre firewall applicatif est capable d'empêcher une application qui ne serait pas dans une "white list" de se connecter à un réseau. Il suffit de définir la liste des ces applis, avec leur somme MD5/autre, afin d'empêcher un client SSH de se connecter

            Après un utilisateur peut toujours sortir sa clé USB/live CD pour passer outre l'OS de la société. Dans ce cas-là, un par-feu identifiant, comme http://fr.wikipedia.org/wiki/NuFW bloquera ce live-OS non autorisé

            Donc j'aimerais 2 minutes mettre les questions de "pseudos-ethiques" de côté et réfléchir à la solution technique qui pourrait remplacer un outil commercial par une solution opensource...

            Idées en vrac (je précise que je ne cautionne pas ce qui est fait ici):
            - pour le détournement de la requête au CA (Verisign, ou autre), il faut changer la configuration du DNS (bind9 ou autre)
            - pour simuler automatiquement le CA, je ne vois pas trop. J'imagine que cela peut se faire avec un serveur Apache, plus des scripts de génération de certificat à la volée. Ou du moins : Génération d'un certificat lors de la première demande, et sauvegarde de celui-ci sur le serveur. Aux prochaines demandes, on ira piocher dans la "base de certificats" déjà généré
            - pour la phase déchiffrement / chiffrement, il faut là probablement encore passer par un serveur web, qui se chargera de cela. Mais c'est du boulot...
        • [^] # Re: Bizarre, bizarre

          Posté par  . Évalué à -4.

          Bonjour,

          Je suis particulierement surpris par vos message :)

          En fait, ca n enleve pas de la sécurité puisqu il y a 2 flux cryptés
          -du client vers le proxy
          -du proxy vers le serveur final!

          C'est en effet un proxy MITM... Mais rien avoir avec une attaque... (ca je sais le faire ;)

          Pour avoir testé cette solution aucun probleme de certif en effet je pense que le CA est trusté par une autorité reconnue ... pour le fait que ce soit installé dans chazque navigateur: étonnant il y avait 200000 utilisateurs!

          Apres vous parlez de sécu, ben justement parlons en:

          Le fait que les users puissent utiliser ton proxy pour se connecter chez eux en SSH ça ce n'est pas secure!
          ou le fait qu'il passe par des services internet en https pour aller surfer ou ils veulent: ca ce n'est pas secure non plus...

          Donc j'aimerais 2 minutes mettre les questions de "pseudos-ethiques" de côté et réfléchir à la solution technique qui pourrait remplacer un outil commercial par une solution opensource...

          peut etre une piste:
          http://www.gnucitizen.org/blog/python-ssl-mitm-proxy-and-mor(...)
          • [^] # Re: Bizarre, bizarre

            Posté par  . Évalué à -4.

            Hum c'est un peu ce que je craignais...

            J adore les solutions proposées:
            - interdire le SSL ???
            Donc il vaut mieux interdir le SSL que faire confiance a son IT department.
            De meme ne pas oublier que les moyens info mis a dispositions par la boite doivdent etre utilisé en accord avec celle ci... Donc le fait que son traffic soit decrypté pour etre checké par un squidgard & co puis reencrypter n'est pas un problème.

            C'est vraiment dommage de s 'éloigner de la discussion principale qui est:
            "Quel solution OpenSource utiliser a la place de cette solution commerciale ?"

            et de faire des pages entieres de réponse sur des questions de pseudo éthiques douteuses...
            d autant que les utilisateurs s en CONTREFOUTE que leur traffic soit encrypter puis decrypter (pour filtrage) puis reencrypter, puisqu ils sont deja filtré sur le HTTP"normal.

            A bon entendeur.
            • [^] # Re: Bizarre, bizarre

              Posté par  . Évalué à 8.

              Je suis un utilisateur et je ne m'en contrefous pas.

              Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

          • [^] # Re: Bizarre, bizarre

            Posté par  . Évalué à 6.

            Juste pour faire le lourd :
            (dé)crypté -> (dé)chiffré
            secure -> sûr
            trusté -> certifié/reconnu
            user -> utilisateur

            Et si on veut vraiment faire le lourd :
            proxy -> (serveur )mandataire

            Sur la forme, je considère que justement ta solution enlève un des piliers du secret puisque tu as un intermédiaire :
            - dont tu ne maîtrises rien (en tant qu'utilisateur) ;
            - qui voit tout ;
            - qui te fait croire que tes échanges ne sont connus que de toi et tes destinataires.

            En gros, tu enlèves tout intérêt au chiffrement, autant passer directement en clair, ça sera moins coûteux en temps CPU, pas trompeur et surtout (à confirmer)... légal.
            • [^] # Re: Bizarre, bizarre

              Posté par  . Évalué à -2.

              Bon juste pour vous le rappeler...

              Ok le traffic est decrypté pour filtrage .
              MAIS AUCUN TRAFFIC NE PASSE EN CLAIR SUR LE RESEAU!

              Alors au lieu de me dire qu il vaut mieux supprimer le SSL ce qui a CE MOMENT serait une vrai faille de sécu ou le laissé passer sans le checker histoire que tout le monde fasse ce quu il veut sous couvert de la bonne ethique de certain... regardez juste un peu autour de vous dans les grosses boites / administrations .
              Je parle en connaissance de cause j ai géré un accès au net pour 200 000 utilisateurs sensibles pour un ministère.

              Donc s'il vous plait arrêter de me rabacher n importe quoi et concentre vous sur la question:


              Comment remplacer la solution commerciale par de l OpenSource!!!!!

              Des pistes:
              DeleGate
              OpenDPI (et ça c'est koi alors !? pourtant la communauté bosse dessus!)
              ipoque

              Donc voila je m arrache un peu les cheveux qu'il me reste en lisant des trucs incroyables comme ce que vous raconter... je le rappel aucunne info ne passe en clair sur le reseau... le seul decryptage serait fait en local sur une machine pendant le temps de la connexion...

              De même vous me dites c pas secure blablabla...
              Mais un reverse proxy apache avec SSL !!! ca marche comment ?????? C'est pire ya du SSL que sur le reverse proxy puis ce n'est meme pas reencrypter vers le serveur de destination... POurant c'est utilisé couramment dans le domaine des Payment Card Industry.
              • [^] # Re: Bizarre, bizarre

                Posté par  . Évalué à 6.

                Sur un squid récent (version 3.1 minimum je dirais), tu peux utiliser l'option ssl-bump qui devrait te permettre de faire ce que tu veux. Je ne pense pas qu'il soit nécessaire d'utiliser d'autres outils.

                J'ai pas mal hésité à répondre, car tu es tout de même relativement agressif. Clairement, simuler de l'homme du milieu avec un proxy, non ce n'est pas sécurisé. Si quelqu'un prend le contrôle de ton serveur, il pourra intercepter tous les flux que les utilisateurs peuvent penser sans risques. Et je ne parle même pas du risque d'un administrateur qui s'ennuie...

                Prendre l'exemple des grosses boîtes et grosses administrations pour parler d'éthique me fait bien rigoler... Si tu souhaites vraiment mettre cela en place, fait le. Mais ne vient pas dire que c'est sans risque. Et surtout, n'oublie pas de prévenir tes utilisateurs sur les risques et sur ce que vous faites vraiment (sans prévenir les utilisateurs, je trouve cette pratique vraiment malhonnête).

                Je préviendrais demain mon employeur qu'il a un gros trou de sécu dans son réseau, il me laisse utiliser du ssh vers chez moi...
                • [^] # Re: Bizarre, bizarre

                  Posté par  . Évalué à -1.

                  Bonjour,

                  Merci pour ton retour.
                  Mon agressivité est due au fait que dès que l'on touche a des domaines qui s'approchent de l'éthique les gens s'éloignent du sujet principal qui était comment remplacer un outil commercial par de l'open source.
                  Je ne réinvente rien qui n'existe déjà.

                  Le fait de faire du ssh n est pas une faille de sécurité mais le fait et je l'ai déjà vu d outrepasser la politique de filtrage de ta boite en faisant une connexion SSH via le proxy de la boite qui te permet de te forwarder le port du squid qui tourne sur ton petit serveur Linux a la maison...
                  Et bien dans ce cas oui, tu detournes l utilisation du système d informations et de son filtrage puisque tu reroutes ton traffic HTTP via ta machine.

                  Et c'est ce genre de chose que je veux eviter.

                  En tous cas merci pour ton message je vais regarder dans ce sens.
                  • [^] # Re: Bizarre, bizarre

                    Posté par  (site web personnel) . Évalué à 2.

                    Le fait de faire du ssh n est pas une faille de sécurité mais le fait et je l'ai déjà vu d outrepasser la politique de filtrage de ta boite en faisant une connexion SSH via le proxy de la boite qui te permet de te forwarder le port du squid qui tourne sur ton petit serveur Linux a la maison...

                    Voir mon message plus haut, j'y ai expliqué comment empêcher l'utilisation de SSH
                  • [^] # Re: Bizarre, bizarre

                    Posté par  . Évalué à 10.

                    Franchement, j'ai le thread jusqu'ici et tu as réussi a épuiser mon capital sang-froid.

                    "Mon agressivité est due au fait que dès que l'on touche a des domaines qui s'approchent de l'éthique les gens s'éloignent du sujet principal qui était comment remplacer un outil commercial par de l'open source."
                    Et ça te parait justifié d'être agressif pour ça ? T'es sur que t'as bien lu l'url qui s'affiche en haut de ton navigateur ? Alors, de deux choses l'une. Premièrement, c'est quand même bien normal qu'on se pose des questions éthiques avant de t'indiquer comment faire des choses louches. On va pas t'indiquer comment torturer quelqu'un si on estime que c'est pas éthique (oui, c'est un exemple extrémiste, non, je n'associe pas le fait de faire un MITM à de la torture, c'est juste pour illustrer mon propos). Deuxièmement, on est pas ton presta. On pas le devoir de te fournir une solution technique. Alors merci de ne pas nous rappeler à l'ordre lorsqu'on ne répond pas à ta question.

                    D'autre part, t'es vraiment borné (en plus d'être agressif) ! On tente de t'expliquer que la mise en œuvre de ce genre de techniques (qui s'apparentent de très près à celles utilisés par des malfaiteurs) risque de te conduire toi ou ta boite au tribunal.

                    Pour couronner le tout, on t'as donné des solutions techniques autrement moins agressives (NuFW + Sécurisation des postes clients par exemple, tout ça avec charte informatique) qui te permettraient d'arriver à un résultat équivalent. Et puis merde ! Tu sais prendre un peu de recul ? C'est vraiment si grave que ça que les gens de ta boite fassent du SSH sur le port 443 ? T'as vraiment besoin de sortir une artillerie aussi lourde pour qu'ils arrêtent ?

                    T'as géré l'accès internet de 200 000 utilisateurs ? Waooow, bravo ! Et t'en est réduit à venir demander de l'aide sur linuxfr... Avec une telle expérience, tu n'as toujours pas trouvé la touche ' de ton clavier ? Tu n'as toujours pas compris que commercial n'était pas l'antonyme d'open-source ? T'as besoin qu'on te rappelle le vocabulaire de base de la cryptographie ? C'était au ministère de la culture, non ?

                    Concernant ta remarque sur les reverse-proxy SSL, tu sais c'est pas très grave si le trafic n'est pas chiffré sur le réseau local de la boite qui gère le proxy. De toutes façons, ils ont ton numéro de carte en clair à un moment où à un autre.

                    Finalement, c'est bien étonnant que la discussion soit restée aussi calme et que personne ne t'ait rappelé à l'ordre. Tout ce perd sur linuxfr :-) À moins que je sois le seul abruti à être tombé dans un fake aussi grossier.
                    • [^] # Re: Bizarre, bizarre

                      Posté par  . Évalué à -5.

                      Pour avoir des propos autant irrétionnels je me dis que tu n'as jamais du bosser dans aucune boite.

                      Car oui! quand on bosse dans une vrai boite il ya des règles, des directives a suivre et à travailler...

                      Donc fini tes études, travailles 5 ans ou plus et on en reparlera...
                      • [^] # Re: Bizarre, bizarre

                        Posté par  . Évalué à 7.

                        Bon, je ne comptais pas répondre (enchainer des attaques personelles, ça n'a pas beaucoup d'intérêt) mais comme tu dis la vérité dans ton post, je trouve intéressant de le faire tout de même.

                        En effet, je suis étudiant et je n'ai jamais bossé dans aucune boite (si on exclue les stages évidemment).

                        Mais excuse-moi, tu ne fais vraiment pas sérieux. Regarde l'orthographe et la typographie de tes posts, tu es le seul qui fait autant de fautes (et enchaine les points d'interrogation). D'autre part, venir se vanter d'avoir géré l'accès internet de 200 000 utilisateurs, ça fait très légèrement aberrant.
                        200 postes, c'est ce qu'on trouve dans une PME. 2000 postes c'est déjà conséquent. 20 000 c'est énorme. 200 000 c'est... étonnant (Pour se donner une idée, 200 000 c'est le nombre TOTAL de salariés de PSA dans le monde) ! Alors si jamais tu avais géré ne serait que 20 000 postes, tu devait être à un poste de direction d'une grosse équipe , donc savoir prendre un minimum de recul et se poser quelques questions (Est-ce que c'est légal, couteux, facile à mettre en oeuvre, bon pour les conditions de travail...). Ce qui contraste totalement avec le manque d'ouverture et l'agressivité dont tu fais preuve.

                        Bref, tu n'est pas plus administrateur système que moi...

                        Bon, et une fois que tu auras filtré le SSL, tu vas faire quoi ? Faire la chasse au httptunnel, à iodine et consorts...
                        • [^] # Re: Bizarre, bizarre

                          Posté par  . Évalué à 5.

                          Je confirme tes propos. J'ai beau être aussi étudiant et n'avoir jamais dirigé que des petits groupes de travail, je sens beaucoup plus de maturité dans tes posts et d'autres que dans ceux de ddeted. C'est peut-êre l'orthographe et la grammaire, mais àmha, pas que. Donc perso, je pencherais pour un fake.
                        • [^] # Re: Bizarre, bizarre

                          Posté par  . Évalué à -3.

                          J ai expliqué... mais de toute evidence et comme tu n'as pas lu...
                          J'ai bossé en prestation pour un ministere et si je suis plus administrateur que toi... (cf google ou tu dis que tu as découvert Firefox puis vlc puis Linux en 2008..)
                          Pour info je ne vais pas trop en faire mais je suis cité dans un bouquin d'O'REILLY qui traite de sécurité informatique et je teouche a Linux depuis presque 14 ans.

                          Pour les fautes c'est juste que je tape rapidement et que je n ai pas envie de perdre du temps pour des attaques... car depuis le début de ce post je n'ai eu que 2 posts sur lesquels ont me parlait techniquement... tout le reste c'est: du blabla dans le genre de tes posts...

                          Je le répète je ne suis pas responsable de l'accès de 200000 utilisateurs, mais je suis un des ingés de l'équipe... et je me demandais simplement comment on pourrait faire la même chose avec une solution opensource existante plutot qu avec ce truc commercial qui vaut une fortune... (d autant que ce sont des appliances qui fonctionnent sous Linux...)

                          Voila si la longueur de ta pensée et la direction de tes réflexions ne peut pas aller au dela de tes petits problèmes d éthiques, un conseil change de job parce qu aucune boite ne voudra bosser avec toi. Et je ne dis pas ça pour être blaissant mais simplement parce que quand on bosse on doit aussi savoir parfois faire des choses qui vont pas "forcément" dans son éthique ou ses idées... (dans la mesure où l'on respecte la législation bien entendu).

                          Et je suis un peu virulant car tu l'admettras c'est une question qui techniquement est intéressante a traiter et que 90% du post rabache le même blabla... c'est dommage...
                          • [^] # Re: Bizarre, bizarre

                            Posté par  . Évalué à 6.

                            Voilà, tu l'avoues clairement : tu es un connard parce que tu y es soit-disant « obligé ». Ce que t'expliquent les gens ici, c'est que tu n'es pas obligé de lécher le cul de tes patrons, en allant de surcroît sur un site de Logiciel Libre poser ta question. Remarque le mot « Libre » et essaye de comprendre pourquoi ta démarche nous paraît incompatible avec notre éthique. Que tu n'aies pas les couilles de refuser de faire ce filtrage et que tu préfères être à la solde de gros cons montre bien que cette « obligation » est une excuse débile pour cacher le fait que ça te fait bander de fliquer les gens comme ça, et que tu es aussi gerbant que les gens pour qui tu travailles. Ton égoïsme te perdras.
                            • [^] # Re: Bizarre, bizarre

                              Posté par  . Évalué à 3.

                              Il y en avait un qui disait que les barbares étaient ceux qui croyaient à la barbarie. Donc l'éthique c'est bien, mais si c'est pour condamner irrévocablement, c'est quand même pas top.
                              • [^] # Re: Bizarre, bizarre

                                Posté par  . Évalué à 3.

                                Bah je sais pas, il y a quand même pas mal de gens qui lui ont expliqué gentiment, mais il persiste dans sa connerie. Moi ça m'énerve, et je lui envoies clairement en pleine gueule. Après, il y a sûrement une solution plus douce, mais là je vois pas trop, à part le faire changer de métier.
                                • [^] # Re: Bizarre, bizarre

                                  Posté par  . Évalué à 2.

                                  En même temps, si je te juge trop mal parce que tu es un barbare parce que tu crois à la barbarie, je suis aussi un barbier barbare, donc heu, bon.... Joker ?
                                  • [^] # Re: Bizarre, bizarre

                                    Posté par  . Évalué à 2.

                                    Tu te prends beaucoup la tête pour si peu de chose, même si ta remarque au départ était intéressante.
                                    • [^] # Re: Bizarre, bizarre

                                      Posté par  . Évalué à 2.

                                      Je suis moi-même un peu partagé quand à l'utilité de ce que j'écris. Dans l'ordre, j'ai écris une réflexion qui me paraissait pertinente et plutôt modératrice, puis je suis revenu sur mes pas en en voyant les conséquences. Sur le fond le type de problèmes posés m'intéressent.

                                      Il reste que d'un côté c'est sans doute un peu trop perso comme intérêt. D'un autre je suis pas sûr que ça soit vraiment inutile au fond ce que je dis (puisque ça m'intéresse d'ailleurs). Bon, en tout cas, c'est là, maintenant. Et je pense pas vraiment avoir trop gâché le temps et l'argent de trop de personnes.
                  • [^] # Re: Bizarre, bizarre

                    Posté par  . Évalué à 3.

                    Si ce n'est déjà fait, t'es bon pour adhérer à l'UMP.
                • [^] # Re: Bizarre, bizarre

                  Posté par  . Évalué à -1.

                  Bonjour,

                  As tu eu l'occasion de mettre ce genre de choses en place ?

                  Car après avoir lu la doc du wiki, ils disent d utiliser du ICAP pour le filtrage mais l exemple ne montre pas comment... une idée ?
                • [^] # Re: Bizarre, bizarre

                  Posté par  . Évalué à -2.

                  Bonjour,

                  As tu eu l'occasion de mettre ce genre de choses en place ?

                  Car après avoir lu la doc du wiki, ils disent d utiliser du ICAP pour le filtrage mais l exemple ne montre pas comment... une idée ?
              • [^] # Re: Bizarre, bizarre

                Posté par  . Évalué à 7.

                Donner la possibilité à un seul mec, du moins une petit équipe (les administrateurs réseaux) de pouvoir lire dans des flux déchiffrés de 200 000 utilisateurs de manière centralisée est bien plus sensible au niveau sécurité que de laisser 200 000 flux chiffrés sortant indépendants. Enfin c’est selon chacun, les administrateurs diront toujours qu’ils sont ultra-compétents et qu’ils ne risquent rien…

                Question éthique, t’es quand même tenu de le signaler aux utilisateurs, d’où les habituelles chartes informatiques qui sont je crois bien une obligation légale et qui décrivent ce à quoi l’administrateur a accès, entre autres. De plus les utilisateurs peuvent utiliser les moyens informatiques de leur entreprise à des fins privées sous certaines conditions. Je te conseille vivement de te renseigner à ce sujet.

                Question subsidiaire, comment fais-tu pour bloquer les mails chiffrés avec PGP ?
                • [^] # Re: Bizarre, bizarre

                  Posté par  . Évalué à 1.

                  Bonjour,

                  Je voudrais juste rappeler que dans ce genre de contexte de production, ce n'est pas moi ou mes collegues qui prennent des décisions. Et ça c'est important de le souligner!!!
                  Ce snt des appels d'offres etc etc...

                  Concernant la charte au user tout est clean.

                  Concernant les mails chiffrés ils sont egalement interdits et la solution actuelle permet de les bloquer (pour qu il ne puisse pas contenir d exe ou autre verole)...

                  Voila...

                  Merci encore pour sslbump
                  • [^] # Re: Bizarre, bizarre

                    Posté par  . Évalué à 5.

                    "Concernant les mails chiffrés ils sont egalement interdits et la solution actuelle permet de les bloquer"

                    Bah bien sur ! Et si je cache mon mail chiffré dans une image ? Et si je code son contenu dans les mots de mon mail ?

                    "Concernant la charte au user tout est clean"
                    Ben pas sur, vu ce que tu fais soit la charte utilisateur n'est pas complète soit elle est peut-être illégale.
                    • [^] # Re: Bizarre, bizarre

                      Posté par  . Évalué à -4.

                      et si tu comptes a l envers 3 fois depuis linfini ?
                      pffffffffffff
  • # Parade ou détection ?

    Posté par  . Évalué à 6.

    Cela m'amène à réfléchir à la détection, puis la parade de ce genre de problème.

    Prenons un cas où il est clairement inadmissible de déchiffrer/chiffrer le flux de manière transparente, à l'insu de l'utilisateur:
    Admettons que je travaille dans une SSII. Je suis en déplacement chez un client. J'utilise mon ordinateur portable. Je me connecte au réseau local de l'entreprise pour faire mon travail. Et de temps en temps j'ouvre une session SSH vers un serveur de ma SSII.
    Dans ce cas, qui n'est qu'un exemple parmi d'autres, il est parfaitement inadmissible que mes communications soient interceptées.

    Si l'entreprise m'indique que les communications sont interceptées, j'ai le choix de faire attention.
    Par contre il y a probablement pas mal de cas où l'administrateur ne le dit pas, pour la simple raison qu'il le fait en cachette.
    On peut imaginer qu'un FAI le fasse. Pour de bonnes raisons... ou pas.

    1 - comment détecter cela _simplement_ ?
    2 - comment contourner cela _simplement_ ?

    Pour le 2, une solution est d'avoir un VPN vers une machine extérieure "fiable". La clef publique du VPN étatant stockée sur ma machine. Ce n'est pas totalement trivial, mais c'est efficace.

    Pour le 1, une fois qu'on a le VPN, il suffit de comparer la clefs d'un site web en passant par le VPN et en passant par le réseau de l'entreprise.
    Ca n'est pas totalement trivial non plus.
    • [^] # Re: Parade ou détection ?

      Posté par  . Évalué à -5.

      Bonjour,

      Merci a tout ceux qui ont apporté des solutions techniques constructives.
      (il y en a pas beaucoup)

      Je constate par ailleurs que 9 commentaires sur 10 étaient agressifs (voir haineux)... Et ce genre de personne voir Xeno..., je le constate sont des ignorants.

      En effet, quand on gere 200000 utilisateurs, ce n est pas l IT qui choisit la politique de sécu...
      Ce sont des centaines de milliers d euros d'achats...
      Alors venir pleurnicher en me disant que je suis attaquable devantr un tribunal que c'est ecouerant et que ce serait normal que mes users fassent du SSH a travers mon proxy...
      ===> Ca c'est profondément débil.

      De même cher Xeno, je pense que les directeurs de projet, les syndicats & co sont bien plus au fait que toi des problématiques légales??? et de ce côté en 4 ans jamais eu de problèmes...
      Je le redis je n'ai rien INVENTE!!! C'est une solution déjà mise en place et ma question était plutot de me demander comment on pouvait faire la meme chose avec de lopensource!
      C'est plutot le côté technique de la chose surlequel je me posais la question...

      Mais je vois que même se posait des questions "techniques" est interdit si ça ne respecte pas l avis de certains qui n ont surement meme pas pris la peine de lire ou de comprendre...

      Voila, je trouve ça déplorable, voir meme pitoyable qu'au lieu de réfléchir à comment ces boites (voir lien prmeier message) font techniquement pour faire ce qu'is font les gens du forum dépensent du temps et autant d 'énergie a se dechainer ...

      D'ailleurs je pense que la pluspart de ceux qui ont pleurnichait n'avait concretement aucnne idée de comment mettre ça en place mais ça c'est un autre débat...

      Et me porposer des solutions a mettre enplace sur chaque poste avec du NuFW & Co je trouve ca encore plus intrusif et totalement inutil...
      Mon but est principalement de bloquer le SSH et de m'assurer du respect des conditions générales d'utilisation ...

      C'est bien dommage que des questions techniques évoluent vers de la philosophie d'ideéaliste et qu'on se soit autant égarer du sujet...
      • [^] # Re: Parade ou détection ?

        Posté par  . Évalué à 6.

        Tu prétends qu'une question technique n'a pas besoin de réponse philosophique (ou idéaliste en prenant tes termes). Tu prétends également que puisqu'on te donne un "ordre", tu dois l'exécuter.

        Voyons voir... je vais tenter un exemple sans tomber dans le point Godwin sinon ce serait trop facile :-)

        Tient, j'ai trouvé un premier exemple:
        Hé les mecs, j'ai une question technique sur le GHB. Comment je peux masquer son goût pour une personne qui ne boit pas d'alcool ? C'est pour que ma soeur qui a 10 ans ne le détecte pas.
        C'est purement technique comme question.
        Une réponse purement technique est: mélange ça avec du café. Et bon amusement !
        Je doute cependant que ce soit la réponse la plus courante.

        Un autre exemple:
        Super mon nouveau job. En plus le patron est sympa car il me demande des trucs faciles. Aujourd'hui il m'a donné l'ordre de mettre un keylogger sur les ordis qu'on livre à nos clients. Bon c'est pas le tout, il faut que je m'y remette. En plus je n'ai pas compris le principe du contrôle à distance via IRC qu'il m'a également demandé de mettre. Vous pouvez m'expliquer svp ?
        Tu crois que tu vas recevoir quel genre de réponses ? :-)
        • [^] # Re: Parade ou détection ?

          Posté par  . Évalué à -3.

          Approche très intéressante, sincèrement mais totalement hors contexte...

          De même et pour vous rappeler juste 1 seconde c'est bien bon de faire autant de manière pour du traffic decrypter pendant quelques ms sur un serveur (meme pas sur le réseau) mais vous oublier le nombre de techos qui peuvent prendre la main sur les postes utiolisateurs par VNC et qui voient tout se qui se passe sur l'écran... je dis ça mais je dis rien ;)
          • [^] # Re: Parade ou détection ?

            Posté par  . Évalué à 5.

            ce genre de prise de controle à distance NE doit PAS se faire à l'insu de l'utilisateur.

            1 - ca doit etre prevu par la charte
            2 - il doit y avoir un affichage visuel et/ou une demande d'acceptation par l'utilisateur de cette prise en main à distance.
          • [^] # Re: Parade ou détection ?

            Posté par  (site web personnel) . Évalué à 2.

            >traffic decrypter pendant quelques ms sur un serveur (meme pas sur le réseau)


            il est où ton serveur si il n'est pas sur le réseau ?
        • [^] # Re: Parade ou détection ?

          Posté par  . Évalué à 4.

          Pour détecter du GHB, il faut déjà savoir le goût que ça a.
          D'ailleurs ça a quel goût le GHB?
          • [^] # Re: Parade ou détection ?

            Posté par  . Évalué à 2.

            Comme l'arsenic, c'est amer. Je n'ai pas goûté, mais c'est un des rares cas où je fais confiance sans vérifier :-)
          • [^] # Re: Parade ou détection ?

            Posté par  . Évalué à 7.

            Demande à ta soeur.

            => [X]

            THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

          • [^] # Re: Parade ou détection ?

            Posté par  . Évalué à 3.

            Ben écoute, j'ai goûté mais... je me souviens plus de goût !
            • [^] # Re: Parade ou détection ?

              Posté par  . Évalué à 3.

              Il paraît qu'en fait le goût amer n'est rien par rapport au mal au cul que ça donne :-)
      • [^] # Re: Parade ou détection ?

        Posté par  . Évalué à 4.

        Wahow, j'espère que tu n'est pas trop souvent amené à rédiger
        des textes avec des mots du dictionnaire français dans le cadre de ton travail, parce que la ça frise l'inacceptable.

        Je ne vais pas m'amuser à faire la liste des fautes mais avant de poster assure toi d'être sur une surface stable, d'avoir un clavier avec toutes les lettres dont tu aura besoin, et attends que la colère redescende, souvent on regrette un peu, après.
        • [^] # Re: Parade ou détection ?

          Posté par  . Évalué à -2.

          Non jete rassure a l'heure actuelle 80 de mes mails sont en anglais ..

          Mais merci du conseil!!!
      • [^] # Re: Parade ou détection ?

        Posté par  . Évalué à 3.

        Bon, là tu me conforte définitivement dans mon avis : qu'un mec comme toi soit à ce genre de poste est extrêmement dangereux. Que tu aies travaillé dans le public me rassure encore moins.
    • [^] # Re: Parade ou détection ?

      Posté par  . Évalué à 6.

      j'ai l'impression que "VPN" ca devient un mot magique comme "ssh" et "SSL"

      c'est pas le cas.
      • [^] # Re: Parade ou détection ?

        Posté par  . Évalué à 2.

        Libre à toi de proposer une meilleure solution :-)
        La question était de savoir détecter le problème, puis de le contourner.
        J'ai pensé à cette solution. Solution qui fonctionne parfaitement bien, mais qui nécessite tout de même d'avoir une passerelle "fiable" à l'extérieur, ainsi que quelques compétences. Donc pas idéale.
      • [^] # Re: Parade ou détection ?

        Posté par  . Évalué à -3.

        Merci.
    • [^] # Re: Parade ou détection ?

      Posté par  (site web personnel) . Évalué à 2.

      Je comprend pas ton problème, si tu fait du SSH vers le serveur de ta boite, alors il n'est pas possible d'intercepter ta communication sans que tu en soit notifié par un message du genre "la clef du serveur a changée"

      Si tu parle de SSL vers le serveur de ta boite, pareil si tu contrôle ton poste utilisateur tu verra tout de suite apparaître ce type d'immonde magouille (certificat autosigné, ou signé par une AC que ton navigateur ne reconnaîtra pas).

      Si tu ne contrôle pas le poste tu peut toujours te rendre compte d'un soucis en regardant qui a émis le certificat du site que tu consulte

      >1 - comment détecter cela _simplement_ ?
      bein y a pas besoin c'est prévu dedans

      >2 - comment contourner cela _simplement_ ?
      si la boîte à mis en place ce type de politique pour empêcher les connections SSH/... via leur proxy SSL, y a pas vraiment de chance que tu puisse monter un VPN dessus (ou alors leur système est mal configuré ...)
      • [^] # Re: Parade ou détection ?

        Posté par  . Évalué à -3.

        Merci pour ce commentaire qui est pertinent et c'est trop rare.
      • [^] # Re: Parade ou détection ?

        Posté par  . Évalué à 2.

        Je comprend pas ton problème
        Si tu fais du ssh vers une machine dont tu as déjà la clef publique, ok, pas de soucis. Dans _tous_ les autres cas, c'est mort.
        Pour ssh, une solution est d'utiliser l'extension OpenPGP dont on a parlé il y a 2 jours. Pourquoi pas.
  • # Moi je proposerai de mettre des caméras dans les toillettes

    Posté par  . Évalué à 6.

    histoire de vérifier que les employés qui n'en branlent pas une au boulot ne se branlent pas aux chiottes ^^

    J'ai toujours trouvé ce genre de filtrage contre productif, y a qu'a voir le nombre de fois où je tape une question précise dans google, un début de réponse dans le résumé, et quand je clique sur le lien, paf, bloqué par le proxy. Heureusement celui de la boite laisse passer le https, et en jouant avec le cache google, j'arrive parfois à avoir la réponse (mais pas toujours, le cache n'étant pas toujours à jour)

    Je me suis longtemps posé la question si je voulais contourner ce genre de proxy filtrant par exemple avec un bouncer qui va s'amuser à faire un rot13 sur tout ce qui est hors balise, ou un xor à la con, décodé au final sur le poste client.

    C'est enfantin, et il y a à peu près autant de solution que d'utilisateurs motivés. J'ai d'autres solution encore plus chaude à détecter chiffrement par dictionnaire ou les prépositions sont remplacé par d'autre préposition, mais décalé d'un certain nombre calculé à partir d'une clé, pareil pour les noms, verbes, adverbes...

    Enfin y a la possibilité de replacer les termes filtrés par des images, des smilés, des mots clés.

    Je ne l'ai pas fait, car si l'entreprise veut absolument me gêner dans mon travail, je ne vais pas aller à l'encontre de ses souhaits.

    Par contre il suffit d'une personne prenant la main sur le proxy, et elle peut récupérer les mots de passes des comptes distants (mail, bancaires... ), les n° de carte bleue, de tous les utilisateurs aussi longtemps que sa modif n'est pas détectée.

    Il ne faut pas décorner les boeufs avant d'avoir semé le vent

    • [^] # Re: Moi je proposerai de mettre des caméras dans les toillettes

      Posté par  . Évalué à -2.

      On en est pas la quand meme :)

      Faire du filtrage dans le HTTPS ca protège aussi les users des différentes saloperies qu'il pourraient attraper (en allant ou non sur des sites de cul)...
      Et puis comme je le disais, combien de personnes ont accès a ce serveur ? peut etre 3 voir 4.

      Combien de personnes peuvent surveiller un ecran via VNC (et donc voir tous les num de carte etc.. etc...) ?
      Réponse: une equipe de 50 personnes...
      • [^] # Re: Moi je proposerai de mettre des caméras dans les toillettes

        Posté par  . Évalué à 3.

        Ils sont pas prévenus les employés quand quelqu'un les observes avec VNC ?

        Car bon, faut être con pour afficher son code bancaire quand on est surveillé.

        Envoyé depuis mon lapin.

      • [^] # Re: Moi je proposerai de mettre des caméras dans les toillettes

        Posté par  . Évalué à 4.

        > Et puis comme je le disais, combien de personnes ont accès a ce serveur ? peut etre 3 voir 4.
        1 ) Des presta ?
        2 ) Les femmes / hommes de ménages ont ils accès à la salle du proxy?
        3 ) Un gars peut il déjouer les sécurités et accéder au proxy hors des chemins traditionnels ou légaux ?

        Si la réponse est oui à l'une des questions ci dessus y a un soucis (du plus gros au moins gros )

        Combien de personnes peuvent surveiller un ecran via VNC
        Je ne sais pas, mais chaque fois qu'un couillon veut accéder à ma machine via vnc je suis prévenu, et j'ai suffisamment joué avec les fonds d'écran de mes collègue (atlantis le premier Avril ^^) pour qu'ils sachent ce qu'un xhost +IP veut dire ^^

        Il ne faut pas décorner les boeufs avant d'avoir semé le vent

        • [^] # Re: Moi je proposerai de mettre des caméras dans les toillettes

          Posté par  . Évalué à 3.

          L'année dernière, dans un CHU, j'ai vu des ordis tourner sous XP avec IE6 comme navigateur web obligatoire, à cause de l'appli maison interopérable au possible qui ne fonctionnait qu'avec IE6.

          Et j'imagine que le personnel va acheter ses billets de train avec IE6. Donc j'ai des vagues doutes sur les soucis de sécurisation dans les entreprises de temps.

          Vu qu'un CHU fonctionne avec des problèmes de gestion sans doute analogues à ceux rencontrés dans des boîtes non subventionnées par l'État.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.