Au lendemain de ma question sur la licéité de certaines pratiques d'office 365, et 15 minutes avant la pause café officielle, un collègue me demande de déboguer son poste sous W$ : plus de connexion à internet.
Pourtant le réseau est configuré et tous les autres postes de l'étage (sous Linux) sur le même réseau et avec des configurations réseau similaires fonctionnent normalement. Diagnostique : tout semble marcher mais impossible de toucher le portail (gateway), même par un simple ping (alors que celui-ci fonctionne parfaitement pour les postes Linux). On décide d'attendre le retour de l'informagicien. En tisanerie, tous les otages volontaires office sont réunis et se plaignent des mêmes symptômes. Quelques heures plus tard, le bogue n'est pas expliqué, mais seulement résolu par un redémarrage des serveurs W$. Comme s'il fallait plus qu'une configuration réseau valide pour communiquer avec internet.
De là à supputer un lien avec des pratiques de surveillance dénoncées dans l'article, il n'y a qu'un pas pour qui n'est pas administrateur pro : si les machines n'accèdent au net qu'après avoir fait leur rapport à un logiciel de contrôle qui aurait planté discrètement par exemple. Quelqu'un qui s'y connaît aurait-il l'obligeance de nous en dire plus sur le sujet ?
Mais sinon, il est possible qu'une machine sous Windows reçoive par exemple son firewall via une group policy ou ce genre de chose. Le serveur qui sert d'active directory fait aussi parfois office de DHCP/DNS, donc suivant ce qui est mis en place, peut être que ça coince aussi (avec une expiration plus rapide pour avoir une propagation plus rapide des infos).
Mais bon, pour savoir ça, il faut s'intéresser un peu aux fonctionnements des machines et chercher à comprendre.
« Mais bon, pour savoir ça, il faut s'intéresser un peu aux fonctionnements des machines et chercher à comprendre. »
Et en s'intéressant, pour comprendre sans disposer de formation, un bon moyen pourrait-il être de poser la question à des gens qui s'y connaissent mieux ?
En l'occurrence, le serveur DHCP fait effectivement office de serveur DNS, et répondait aux requêtes. C'est tout ce que mes maigres compétences m'ont permis de vérifier. Et mes maigres connaissances ne me permettent pas d'en apprendre plus à partir de votre réponse. Suggérez-vous que la réponse du DNS ait été fausse ? En quoi le DNS pourrait-il être impliqué dans les (non) réponses du portail ?
Ou expliquez-vous que les machines n'auraient pas reçues leur politique de pare-feu et se seraient cantonnées à discuter uniquement sur le réseau local ? Dans ce cas, n'auraient-elles pas dû pouvoir toucher le portail qui en fait justement parti ?
Il est évident que votre réponse me reste sibylline. Il me semble savoir que ceci est votre domaine, alors que je n'y connais strictement rien. N'hésitez pas à expliquer pour un neuneu. Comprendre m'intéresse définitivement. Même si ça doit balayer mes hypothèses farfelues criminalisant billou jusque dans sa retraite :-).
Car tu n'as pas un tartampion des RH les yeux rivés à un écran tentant de savoir ce que chaque employé fait en temps réel.
Par contre beaucoup d'entreprise veulent pouvoir bloquer certains traffics sortant pour:
- éviter les exfiltrations de données
- découvrir potentiellement des chevaux de troie et rootkits appelant leur maison mère.
- soient alertés si un employé visite certains sites louches.
Aussi, imagine le cas où la gendarmerie sonne à la porte et vient leur dire que l'ip nattée de la boite a servie pour consulter ou diffuser du contenu pédophile, envoyer des messages préparant un attentat, a été utiliser pour s'introduire sur les serveurs du gouvernement. Ta direction préfères quoi à ton avis? Que la gendarmerie perquisitionne et saisisse tout le matos informatique? Où pouvoir leur dire, "par ici messieurs, vous allez pouvoir accéder aux logs et identifier lequel de nos employé est suspect" ?
Alors bien sûr, s'ils laissent n'importe quel appareil / laptop sous linux se connecter à leur réseau sans s'authentifier et accéder à l'internet directement, ça perd un peu de son intérêt.
Le routeur qui NAT ne pourrait-il donc garder aucun log permettant de remonter d’une connexion à une machine qu’il faille en arriver à ce genre de douteseté ?
Posté par Psychofox (Mastodon) .
Évalué à 4.
Dernière modification le 14 avril 2023 à 20:12.
Ben je précise que je ne suis absolument pas pour ce genre de truc mais le routeur ne va te donner que les ips conectées, les iops et la bande passante utilisée. Et le dns que les domaines sans connaitre l'url exacte et vue que de nos jours tout est encapsulé dans https, tu ne connaitras pas le type de traffic.
Bon de toute façon avec les postes qui sont de plus en plus mobiles la mode maintenant c'est d'installer des logiciels espions directement sur les postes.
Le cache doit être la douzième raison pour laquelle les entreprises font du proxy "man in the middle". Loin derrière la surveillance de la navigation des utilisateurs et le filtrage des contenus suspects.
Je serai intéressé de connaître le taux de hit sur un cache entreprise de nos jours où les sites sont hyper personnalisés.
Posté par steph1978 .
Évalué à 6.
Dernière modification le 16 avril 2023 à 09:59.
Aucun idée quant à la légalité de la pratique. J'imagine que ça doit passer par des clauses dans le contrat de travail ou la "charte IT" qu'on te (force à)/fait signer en entrant.
Le besoin est en effet d'inspecter le contenu de la navigation utilisateur. La raison la plus officielle étant de se protéger des fuites de données au sens propriété intellectuelle ou information stratégique.
Quoi qu'il en soit la pratique est généralisée. Les utilisateurs ne voient rien car ils utilisent le navigateur maison, edge ou chrome, qui est piloté par l'IT, et qui as déjà l'autorité de certification de l'entreprise et qui ne bronche donc pas quand il reçoit un certificat "usurpé".
Mais si tu viens avec ton propre navigateur, au hasard Firefox, il n'a pas l'autorité de certification maison dans son magasin et il couine et demande d'accepter un certificat pour . Avant, il fallait extraire le certificat du store windoze et l'importer dans firefox. Maintenant, Firefox a une option security.enterprise_roots, désactivée par défaut, qui permet de récupérer automatique cet autorité de certification.
Quoi qu'il en, ne faite jamais rien de perso avec un poste pro. En particulier accéder à votre banque. L'administrateur du proxy "man in the middle" voit tout le trafic en clair.
# Coïncidence
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 4.
Au lendemain de ma question sur la licéité de certaines pratiques d'office 365, et 15 minutes avant la pause café officielle, un collègue me demande de déboguer son poste sous W$ : plus de connexion à internet.
Pourtant le réseau est configuré et tous les autres postes de l'étage (sous Linux) sur le même réseau et avec des configurations réseau similaires fonctionnent normalement. Diagnostique : tout semble marcher mais impossible de toucher le portail (gateway), même par un simple ping (alors que celui-ci fonctionne parfaitement pour les postes Linux). On décide d'attendre le retour de l'informagicien. En tisanerie, tous les otages volontaires office sont réunis et se plaignent des mêmes symptômes. Quelques heures plus tard, le bogue n'est pas expliqué, mais seulement résolu par un redémarrage des serveurs W$. Comme s'il fallait plus qu'une configuration réseau valide pour communiquer avec internet.
De là à supputer un lien avec des pratiques de surveillance dénoncées dans l'article, il n'y a qu'un pas pour qui n'est pas administrateur pro : si les machines n'accèdent au net qu'après avoir fait leur rapport à un logiciel de contrôle qui aurait planté discrètement par exemple. Quelqu'un qui s'y connaît aurait-il l'obligeance de nous en dire plus sur le sujet ?
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: Coïncidence
Posté par Misc (site web personnel) . Évalué à 3.
It’s not DNSThere’s no way it’s DNS
It was DNS
Mais sinon, il est possible qu'une machine sous Windows reçoive par exemple son firewall via une group policy ou ce genre de chose. Le serveur qui sert d'active directory fait aussi parfois office de DHCP/DNS, donc suivant ce qui est mis en place, peut être que ça coince aussi (avec une expiration plus rapide pour avoir une propagation plus rapide des infos).
Mais bon, pour savoir ça, il faut s'intéresser un peu aux fonctionnements des machines et chercher à comprendre.
[^] # Re: Coïncidence
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 4.
Et en s'intéressant, pour comprendre sans disposer de formation, un bon moyen pourrait-il être de poser la question à des gens qui s'y connaissent mieux ?
En l'occurrence, le serveur DHCP fait effectivement office de serveur DNS, et répondait aux requêtes. C'est tout ce que mes maigres compétences m'ont permis de vérifier. Et mes maigres connaissances ne me permettent pas d'en apprendre plus à partir de votre réponse. Suggérez-vous que la réponse du DNS ait été fausse ? En quoi le DNS pourrait-il être impliqué dans les (non) réponses du portail ?
Ou expliquez-vous que les machines n'auraient pas reçues leur politique de pare-feu et se seraient cantonnées à discuter uniquement sur le réseau local ? Dans ce cas, n'auraient-elles pas dû pouvoir toucher le portail qui en fait justement parti ?
Il est évident que votre réponse me reste sibylline. Il me semble savoir que ceci est votre domaine, alors que je n'y connais strictement rien. N'hésitez pas à expliquer pour un neuneu. Comprendre m'intéresse définitivement. Même si ça doit balayer mes hypothèses farfelues criminalisant billou jusque dans sa retraite :-).
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 4.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Coïncidence
Posté par Psychofox (Mastodon) . Évalué à 2.
Je ne crois pas qu'espionner est le bon terme.
Monitorer et logger serait le bon.
Car tu n'as pas un tartampion des RH les yeux rivés à un écran tentant de savoir ce que chaque employé fait en temps réel.
Par contre beaucoup d'entreprise veulent pouvoir bloquer certains traffics sortant pour:
- éviter les exfiltrations de données
- découvrir potentiellement des chevaux de troie et rootkits appelant leur maison mère.
- soient alertés si un employé visite certains sites louches.
Aussi, imagine le cas où la gendarmerie sonne à la porte et vient leur dire que l'ip nattée de la boite a servie pour consulter ou diffuser du contenu pédophile, envoyer des messages préparant un attentat, a été utiliser pour s'introduire sur les serveurs du gouvernement. Ta direction préfères quoi à ton avis? Que la gendarmerie perquisitionne et saisisse tout le matos informatique? Où pouvoir leur dire, "par ici messieurs, vous allez pouvoir accéder aux logs et identifier lequel de nos employé est suspect" ?
Alors bien sûr, s'ils laissent n'importe quel appareil / laptop sous linux se connecter à leur réseau sans s'authentifier et accéder à l'internet directement, ça perd un peu de son intérêt.
[^] # Re: Coïncidence
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 3.
Le routeur qui NAT ne pourrait-il donc garder aucun log permettant de remonter d’une connexion à une machine qu’il faille en arriver à ce genre de douteseté ?
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: Coïncidence
Posté par Psychofox (Mastodon) . Évalué à 4. Dernière modification le 14 avril 2023 à 20:12.
Ben je précise que je ne suis absolument pas pour ce genre de truc mais le routeur ne va te donner que les ips conectées, les iops et la bande passante utilisée. Et le dns que les domaines sans connaitre l'url exacte et vue que de nos jours tout est encapsulé dans https, tu ne connaitras pas le type de traffic.
Bon de toute façon avec les postes qui sont de plus en plus mobiles la mode maintenant c'est d'installer des logiciels espions directement sur les postes.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 2.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Coïncidence
Posté par Psychofox (Mastodon) . Évalué à 1.
Ce n'est pas un faux certificat google, c'est le certificat du proxy de la boite.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 4.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Coïncidence
Posté par Psychofox (Mastodon) . Évalué à 2.
Si tu veux faire office de cache pour du https, t'es obligé de faire du man in the middle.
[^] # Re: Coïncidence
Posté par steph1978 . Évalué à 4.
Le cache doit être la douzième raison pour laquelle les entreprises font du proxy "man in the middle". Loin derrière la surveillance de la navigation des utilisateurs et le filtrage des contenus suspects.
Je serai intéressé de connaître le taux de hit sur un cache entreprise de nos jours où les sites sont hyper personnalisés.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 3.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Coïncidence
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 4.
Encore heureux qu'il ait pu avoir un mot de passe en route… (et dire que c'est une expertise qui a coûté un bras…)
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: Coïncidence
Posté par steph1978 . Évalué à 6. Dernière modification le 16 avril 2023 à 09:59.
Aucun idée quant à la légalité de la pratique. J'imagine que ça doit passer par des clauses dans le contrat de travail ou la "charte IT" qu'on te (force à)/fait signer en entrant.
Le besoin est en effet d'inspecter le contenu de la navigation utilisateur. La raison la plus officielle étant de se protéger des fuites de données au sens propriété intellectuelle ou information stratégique.
Quoi qu'il en soit la pratique est généralisée. Les utilisateurs ne voient rien car ils utilisent le navigateur maison, edge ou chrome, qui est piloté par l'IT, et qui as déjà l'autorité de certification de l'entreprise et qui ne bronche donc pas quand il reçoit un certificat "usurpé".
Mais si tu viens avec ton propre navigateur, au hasard Firefox, il n'a pas l'autorité de certification maison dans son magasin et il couine et demande d'accepter un certificat pour . Avant, il fallait extraire le certificat du store windoze et l'importer dans firefox. Maintenant, Firefox a une option
security.enterprise_roots, désactivée par défaut, qui permet de récupérer automatique cet autorité de certification.Quoi qu'il en, ne faite jamais rien de perso avec un poste pro. En particulier accéder à votre banque. L'administrateur du proxy "man in the middle" voit tout le trafic en clair.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.