Au lendemain de ma question sur la licéité de certaines pratiques d'office 365, et 15 minutes avant la pause café officielle, un collègue me demande de déboguer son poste sous W$ : plus de connexion à internet.
Pourtant le réseau est configuré et tous les autres postes de l'étage (sous Linux) sur le même réseau et avec des configurations réseau similaires fonctionnent normalement. Diagnostique : tout semble marcher mais impossible de toucher le portail (gateway), même par un simple ping (alors que celui-ci fonctionne parfaitement pour les postes Linux). On décide d'attendre le retour de l'informagicien. En tisanerie, tous les otages volontaires office sont réunis et se plaignent des mêmes symptômes. Quelques heures plus tard, le bogue n'est pas expliqué, mais seulement résolu par un redémarrage des serveurs W$. Comme s'il fallait plus qu'une configuration réseau valide pour communiquer avec internet.
De là à supputer un lien avec des pratiques de surveillance dénoncées dans l'article, il n'y a qu'un pas pour qui n'est pas administrateur pro : si les machines n'accèdent au net qu'après avoir fait leur rapport à un logiciel de contrôle qui aurait planté discrètement par exemple. Quelqu'un qui s'y connaît aurait-il l'obligeance de nous en dire plus sur le sujet ?
Mais sinon, il est possible qu'une machine sous Windows reçoive par exemple son firewall via une group policy ou ce genre de chose. Le serveur qui sert d'active directory fait aussi parfois office de DHCP/DNS, donc suivant ce qui est mis en place, peut être que ça coince aussi (avec une expiration plus rapide pour avoir une propagation plus rapide des infos).
Mais bon, pour savoir ça, il faut s'intéresser un peu aux fonctionnements des machines et chercher à comprendre.
« Mais bon, pour savoir ça, il faut s'intéresser un peu aux fonctionnements des machines et chercher à comprendre. »
Et en s'intéressant, pour comprendre sans disposer de formation, un bon moyen pourrait-il être de poser la question à des gens qui s'y connaissent mieux ?
En l'occurrence, le serveur DHCP fait effectivement office de serveur DNS, et répondait aux requêtes. C'est tout ce que mes maigres compétences m'ont permis de vérifier. Et mes maigres connaissances ne me permettent pas d'en apprendre plus à partir de votre réponse. Suggérez-vous que la réponse du DNS ait été fausse ? En quoi le DNS pourrait-il être impliqué dans les (non) réponses du portail ?
Ou expliquez-vous que les machines n'auraient pas reçues leur politique de pare-feu et se seraient cantonnées à discuter uniquement sur le réseau local ? Dans ce cas, n'auraient-elles pas dû pouvoir toucher le portail qui en fait justement parti ?
Il est évident que votre réponse me reste sibylline. Il me semble savoir que ceci est votre domaine, alors que je n'y connais strictement rien. N'hésitez pas à expliquer pour un neuneu. Comprendre m'intéresse définitivement. Même si ça doit balayer mes hypothèses farfelues criminalisant billou jusque dans sa retraite :-).
DNS : par défaut, c'est 8.8.8.8. Mais quand on creuse un peu, on s'aperçoit qu'il ne s'agit pas de celui de Google, mais en fait de celui de SFR/Completel qui s'occupe de l'infra, FW, accès au net, etc. OK. Et il fait quoi de spécial celui-ci ?
j'ai une photo d'écran de mon Firefox qui me prévient que le site https://www.google.com constitue un risque de sécurité. Ah bon ? Ah oui, c'est peut-être normal quand au niveau CA, au lieu d'un certificat Google, ça nous parle htm-group-root-CA au lieu Google Trust Services LLC (HTM, c'est l'ancien nom du groupe Boulanger, Electro Dépot, B'Dom, etc. Maintenant, c'est United b, depuis le rachat de Krëfel et Hifi en Belgique et au Luxembourg). Pourquoi je l'ai détecté ? Parce que je bosse sous Linux (un des rares), avec Firefox, et avec une config faite à la main. J'imagine que les postes de travail officiels, sous total contrôle de SI, ont des config 100% bricolées pour intégrer ces certificats.
Mais sinon, mort de rire quand on leur pose la question : "ah, ça, c'est une erreur de configuration d'un FW". Bien sûr, et la marmotte … C'est par erreur que quelqu'un a créé un certificat pour se faire passer pour Google ? Ça n'a rien à voir avec la possibilité d'espionner des échanges chiffrés ? (MITM : Man in the Middle)
Alors on va me répondre que bosser avec "mon" linux, c'est contraire à la politique de sécurité de la boîte. Le problème, c'est qu'il n'ont pas de solution pour que je bosse tout court.
M'enfin, tout ça pour dire que les boîtes n'ont pas froid aux yeux quand il s'agit d'espionner les salariés. Je serais curieux d'avoir l'avis de la CNIL là-dessus.
Car tu n'as pas un tartampion des RH les yeux rivés à un écran tentant de savoir ce que chaque employé fait en temps réel.
Par contre beaucoup d'entreprise veulent pouvoir bloquer certains traffics sortant pour:
- éviter les exfiltrations de données
- découvrir potentiellement des chevaux de troie et rootkits appelant leur maison mère.
- soient alertés si un employé visite certains sites louches.
Aussi, imagine le cas où la gendarmerie sonne à la porte et vient leur dire que l'ip nattée de la boite a servie pour consulter ou diffuser du contenu pédophile, envoyer des messages préparant un attentat, a été utiliser pour s'introduire sur les serveurs du gouvernement. Ta direction préfères quoi à ton avis? Que la gendarmerie perquisitionne et saisisse tout le matos informatique? Où pouvoir leur dire, "par ici messieurs, vous allez pouvoir accéder aux logs et identifier lequel de nos employé est suspect" ?
Alors bien sûr, s'ils laissent n'importe quel appareil / laptop sous linux se connecter à leur réseau sans s'authentifier et accéder à l'internet directement, ça perd un peu de son intérêt.
Le routeur qui NAT ne pourrait-il donc garder aucun log permettant de remonter d’une connexion à une machine qu’il faille en arriver à ce genre de douteseté ?
Posté par Psychofox (Mastodon) .
Évalué à 4.
Dernière modification le 14 avril 2023 à 20:12.
Ben je précise que je ne suis absolument pas pour ce genre de truc mais le routeur ne va te donner que les ips conectées, les iops et la bande passante utilisée. Et le dns que les domaines sans connaitre l'url exacte et vue que de nos jours tout est encapsulé dans https, tu ne connaitras pas le type de traffic.
Bon de toute façon avec les postes qui sont de plus en plus mobiles la mode maintenant c'est d'installer des logiciels espions directement sur les postes.
Depuis quand un proxy a besoin de se faire passer pour les sites visités ?
J'avoue qu'admin sys, c'est pas un full time job, seulement une nécessité depuis que j'ai de l'ADSL (23 ans).
Mais mon squid n'a jamais eu besoin de ça. Et les certif que mon FF récupère ne proviennent pas de squid, mais de Google directement.
Le cache doit être la douzième raison pour laquelle les entreprises font du proxy "man in the middle". Loin derrière la surveillance de la navigation des utilisateurs et le filtrage des contenus suspects.
Je serai intéressé de connaître le taux de hit sur un cache entreprise de nos jours où les sites sont hyper personnalisés.
Oui, je conviens. Il y a pas mal de bonnes raisons de le faire.
Il y en a aussi des mauvaises. Je n'ai pas de preuves, mais je suis persuadé que les salariés en situation "dangereuse" feraient l'objet de surveillance ciblée.
Mais ça suppose qu'ils sachent faire des choses. Sauf que c'est une boîte de chefs, pas de faiseurs.
Exemple : un jour, j'ai fais une connerie, et ça s'est vu.
Conséquence : inspection de mon serveur fautif, pour vérifier son intégrité.
Par Boulanger ?
Non.
Par un sous-traitant.
Première question : "c'est quoi le mot de passe de root ?"
Kooooowaaaaaa ???
Si, si, le type a booté la bécane comme si de rien n'était, et s'est loggé root pour faire ses vérifs.
J'ai trouvé ça hallucinant. Il a jamais vu un rootkit le gars ?
Posté par steph1978 .
Évalué à 6.
Dernière modification le 16 avril 2023 à 09:59.
Aucun idée quant à la légalité de la pratique. J'imagine que ça doit passer par des clauses dans le contrat de travail ou la "charte IT" qu'on te (force à)/fait signer en entrant.
Le besoin est en effet d'inspecter le contenu de la navigation utilisateur. La raison la plus officielle étant de se protéger des fuites de données au sens propriété intellectuelle ou information stratégique.
Quoi qu'il en soit la pratique est généralisée. Les utilisateurs ne voient rien car ils utilisent le navigateur maison, edge ou chrome, qui est piloté par l'IT, et qui as déjà l'autorité de certification de l'entreprise et qui ne bronche donc pas quand il reçoit un certificat "usurpé".
Mais si tu viens avec ton propre navigateur, au hasard Firefox, il n'a pas l'autorité de certification maison dans son magasin et il couine et demande d'accepter un certificat pour . Avant, il fallait extraire le certificat du store windoze et l'importer dans firefox. Maintenant, Firefox a une option security.enterprise_roots, désactivée par défaut, qui permet de récupérer automatique cet autorité de certification.
Quoi qu'il en, ne faite jamais rien de perso avec un poste pro. En particulier accéder à votre banque. L'administrateur du proxy "man in the middle" voit tout le trafic en clair.
# Coïncidence
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 4.
Au lendemain de ma question sur la licéité de certaines pratiques d'office 365, et 15 minutes avant la pause café officielle, un collègue me demande de déboguer son poste sous W$ : plus de connexion à internet.
Pourtant le réseau est configuré et tous les autres postes de l'étage (sous Linux) sur le même réseau et avec des configurations réseau similaires fonctionnent normalement. Diagnostique : tout semble marcher mais impossible de toucher le portail (gateway), même par un simple ping (alors que celui-ci fonctionne parfaitement pour les postes Linux). On décide d'attendre le retour de l'informagicien. En tisanerie, tous les otages volontaires office sont réunis et se plaignent des mêmes symptômes. Quelques heures plus tard, le bogue n'est pas expliqué, mais seulement résolu par un redémarrage des serveurs W$. Comme s'il fallait plus qu'une configuration réseau valide pour communiquer avec internet.
De là à supputer un lien avec des pratiques de surveillance dénoncées dans l'article, il n'y a qu'un pas pour qui n'est pas administrateur pro : si les machines n'accèdent au net qu'après avoir fait leur rapport à un logiciel de contrôle qui aurait planté discrètement par exemple. Quelqu'un qui s'y connaît aurait-il l'obligeance de nous en dire plus sur le sujet ?
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: Coïncidence
Posté par Misc (site web personnel) . Évalué à 3.
It’s not DNSThere’s no way it’s DNS
It was DNS
Mais sinon, il est possible qu'une machine sous Windows reçoive par exemple son firewall via une group policy ou ce genre de chose. Le serveur qui sert d'active directory fait aussi parfois office de DHCP/DNS, donc suivant ce qui est mis en place, peut être que ça coince aussi (avec une expiration plus rapide pour avoir une propagation plus rapide des infos).
Mais bon, pour savoir ça, il faut s'intéresser un peu aux fonctionnements des machines et chercher à comprendre.
[^] # Re: Coïncidence
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 4.
Et en s'intéressant, pour comprendre sans disposer de formation, un bon moyen pourrait-il être de poser la question à des gens qui s'y connaissent mieux ?
En l'occurrence, le serveur DHCP fait effectivement office de serveur DNS, et répondait aux requêtes. C'est tout ce que mes maigres compétences m'ont permis de vérifier. Et mes maigres connaissances ne me permettent pas d'en apprendre plus à partir de votre réponse. Suggérez-vous que la réponse du DNS ait été fausse ? En quoi le DNS pourrait-il être impliqué dans les (non) réponses du portail ?
Ou expliquez-vous que les machines n'auraient pas reçues leur politique de pare-feu et se seraient cantonnées à discuter uniquement sur le réseau local ? Dans ce cas, n'auraient-elles pas dû pouvoir toucher le portail qui en fait justement parti ?
Il est évident que votre réponse me reste sibylline. Il me semble savoir que ceci est votre domaine, alors que je n'y connais strictement rien. N'hésitez pas à expliquer pour un neuneu. Comprendre m'intéresse définitivement. Même si ça doit balayer mes hypothèses farfelues criminalisant billou jusque dans sa retraite :-).
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: Coïncidence
Posté par AncalagonTotof . Évalué à 4.
Expérience chez Boulanger (siège) :
htm-group-root-CAau lieuGoogle Trust Services LLC(HTM, c'est l'ancien nom du groupe Boulanger, Electro Dépot, B'Dom, etc. Maintenant, c'est United b, depuis le rachat de Krëfel et Hifi en Belgique et au Luxembourg). Pourquoi je l'ai détecté ? Parce que je bosse sous Linux (un des rares), avec Firefox, et avec une config faite à la main. J'imagine que les postes de travail officiels, sous total contrôle de SI, ont des config 100% bricolées pour intégrer ces certificats. Mais sinon, mort de rire quand on leur pose la question : "ah, ça, c'est une erreur de configuration d'un FW". Bien sûr, et la marmotte … C'est par erreur que quelqu'un a créé un certificat pour se faire passer pour Google ? Ça n'a rien à voir avec la possibilité d'espionner des échanges chiffrés ? (MITM : Man in the Middle)Alors on va me répondre que bosser avec "mon" linux, c'est contraire à la politique de sécurité de la boîte. Le problème, c'est qu'il n'ont pas de solution pour que je bosse tout court.
M'enfin, tout ça pour dire que les boîtes n'ont pas froid aux yeux quand il s'agit d'espionner les salariés. Je serais curieux d'avoir l'avis de la CNIL là-dessus.
[^] # Re: Coïncidence
Posté par Psychofox (Mastodon) . Évalué à 2.
Je ne crois pas qu'espionner est le bon terme.
Monitorer et logger serait le bon.
Car tu n'as pas un tartampion des RH les yeux rivés à un écran tentant de savoir ce que chaque employé fait en temps réel.
Par contre beaucoup d'entreprise veulent pouvoir bloquer certains traffics sortant pour:
- éviter les exfiltrations de données
- découvrir potentiellement des chevaux de troie et rootkits appelant leur maison mère.
- soient alertés si un employé visite certains sites louches.
Aussi, imagine le cas où la gendarmerie sonne à la porte et vient leur dire que l'ip nattée de la boite a servie pour consulter ou diffuser du contenu pédophile, envoyer des messages préparant un attentat, a été utiliser pour s'introduire sur les serveurs du gouvernement. Ta direction préfères quoi à ton avis? Que la gendarmerie perquisitionne et saisisse tout le matos informatique? Où pouvoir leur dire, "par ici messieurs, vous allez pouvoir accéder aux logs et identifier lequel de nos employé est suspect" ?
Alors bien sûr, s'ils laissent n'importe quel appareil / laptop sous linux se connecter à leur réseau sans s'authentifier et accéder à l'internet directement, ça perd un peu de son intérêt.
[^] # Re: Coïncidence
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 3.
Le routeur qui NAT ne pourrait-il donc garder aucun log permettant de remonter d’une connexion à une machine qu’il faille en arriver à ce genre de douteseté ?
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: Coïncidence
Posté par Psychofox (Mastodon) . Évalué à 4. Dernière modification le 14 avril 2023 à 20:12.
Ben je précise que je ne suis absolument pas pour ce genre de truc mais le routeur ne va te donner que les ips conectées, les iops et la bande passante utilisée. Et le dns que les domaines sans connaitre l'url exacte et vue que de nos jours tout est encapsulé dans https, tu ne connaitras pas le type de traffic.
Bon de toute façon avec les postes qui sont de plus en plus mobiles la mode maintenant c'est d'installer des logiciels espions directement sur les postes.
[^] # Re: Coïncidence
Posté par AncalagonTotof . Évalué à 2.
Sur ce point précis : pourquoi créer un faux certificat Google si ça n'est pas pour espionner le contenu du HTTPS à la volée ?
[^] # Re: Coïncidence
Posté par Psychofox (Mastodon) . Évalué à 1.
Ce n'est pas un faux certificat google, c'est le certificat du proxy de la boite.
[^] # Re: Coïncidence
Posté par AncalagonTotof . Évalué à 4.
Depuis quand un proxy a besoin de se faire passer pour les sites visités ?
J'avoue qu'admin sys, c'est pas un full time job, seulement une nécessité depuis que j'ai de l'ADSL (23 ans).
Mais mon squid n'a jamais eu besoin de ça. Et les certif que mon FF récupère ne proviennent pas de squid, mais de Google directement.
[^] # Re: Coïncidence
Posté par Psychofox (Mastodon) . Évalué à 2.
Si tu veux faire office de cache pour du https, t'es obligé de faire du man in the middle.
[^] # Re: Coïncidence
Posté par steph1978 . Évalué à 4.
Le cache doit être la douzième raison pour laquelle les entreprises font du proxy "man in the middle". Loin derrière la surveillance de la navigation des utilisateurs et le filtrage des contenus suspects.
Je serai intéressé de connaître le taux de hit sur un cache entreprise de nos jours où les sites sont hyper personnalisés.
[^] # Re: Coïncidence
Posté par AncalagonTotof . Évalué à 3.
Oui, je conviens. Il y a pas mal de bonnes raisons de le faire.
Il y en a aussi des mauvaises. Je n'ai pas de preuves, mais je suis persuadé que les salariés en situation "dangereuse" feraient l'objet de surveillance ciblée.
Mais ça suppose qu'ils sachent faire des choses. Sauf que c'est une boîte de chefs, pas de faiseurs.
Exemple : un jour, j'ai fais une connerie, et ça s'est vu.
Conséquence : inspection de mon serveur fautif, pour vérifier son intégrité.
Par Boulanger ?
Non.
Par un sous-traitant.
Première question : "c'est quoi le mot de passe de root ?"
Kooooowaaaaaa ???
Si, si, le type a booté la bécane comme si de rien n'était, et s'est loggé root pour faire ses vérifs.
J'ai trouvé ça hallucinant. Il a jamais vu un rootkit le gars ?
[^] # Re: Coïncidence
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 4.
Encore heureux qu'il ait pu avoir un mot de passe en route… (et dire que c'est une expertise qui a coûté un bras…)
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: Coïncidence
Posté par steph1978 . Évalué à 6. Dernière modification le 16 avril 2023 à 09:59.
Aucun idée quant à la légalité de la pratique. J'imagine que ça doit passer par des clauses dans le contrat de travail ou la "charte IT" qu'on te (force à)/fait signer en entrant.
Le besoin est en effet d'inspecter le contenu de la navigation utilisateur. La raison la plus officielle étant de se protéger des fuites de données au sens propriété intellectuelle ou information stratégique.
Quoi qu'il en soit la pratique est généralisée. Les utilisateurs ne voient rien car ils utilisent le navigateur maison, edge ou chrome, qui est piloté par l'IT, et qui as déjà l'autorité de certification de l'entreprise et qui ne bronche donc pas quand il reçoit un certificat "usurpé".
Mais si tu viens avec ton propre navigateur, au hasard Firefox, il n'a pas l'autorité de certification maison dans son magasin et il couine et demande d'accepter un certificat pour . Avant, il fallait extraire le certificat du store windoze et l'importer dans firefox. Maintenant, Firefox a une option
security.enterprise_roots, désactivée par défaut, qui permet de récupérer automatique cet autorité de certification.Quoi qu'il en, ne faite jamais rien de perso avec un poste pro. En particulier accéder à votre banque. L'administrateur du proxy "man in the middle" voit tout le trafic en clair.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.