Votre patron espionne-t-il vos communications cryptées ? Faites le test !
De plus en plus d’entreprises disposent d'outils capables de déchiffrer toutes vos communications sécurisées. Voici un guide pour savoir si tel est le cas chez votre employeur.
Votre patron espionne-t-il vos flux SSL ? Faites le test !
Vous travaillez dans une entreprise et, souvent, vous vous connectez depuis votre poste de travail à votre messagerie perso ou à vos comptes bancaires au travers de votre navigateur. Et vous pensez que personne d’autre ne peut inspecter le contenu de ces échanges, car vous voyez un petit cadenas en haut de la page web, prouvant que la connexion est chiffrée de bout en bout en SSL. Erreur ! Un tiers que vous connaissez bien est peut-être en train d’analyser ces flux à caractère personnel : votre employeur.
En effet, de nombreuses entreprises disposent désormais d’un dispositif un peu spécial appelé « proxy web » ou « proxy SSL ». Sous ce nom un peu barbare se cache un appareil capable d’intercepter et de déchiffrer n’importe quelle connexion SSL générée depuis le réseau interne par le biais de certificats de chiffrement à usage interne. Résultat : l’ensemble du flux - y compris les mots de passe, les mails confidentiels et les numéros de carte bancaire - passe en clair et peut être stocké sur un serveur de l’entreprise. Avant de sortir du réseau local, il est chiffré à nouveau avec un certificat public. La dissimulation est (presque) parfaite.
Le cadenas vous renseignera
Pour vérifier si votre entreprise dispose d’un tel système, c’est simple : regardez le certificat utilisé par votre navigateur lorsque la connexion est en SSL. Concrètement, il suffit de cliquer sur le cadenas qui s’affiche à côté de l’URL. Une fenêtre pop-up s’ouvre alors, permettant d’accéder aux informations du certificat de chiffrement. En fonction du navigateur, il faut alors cliquer soit sur « Afficher les certificats » (Internet Explorer), sur « Connexion » > « Informations relatives au certificat » (Chrome) ou sur « Plus d’informations... » > « Afficher le certificat » (Firefox).
Enfin, il faut ensuite vérifier qui a émis le certificat en question (« Délivré ou émis par... »). Si vous identifiez le nom de votre entreprise, c’est qu’il s’agit d’un certificat interne, donc bidon. C’est la preuve que votre employeur déchiffre vos flux SSL. Si vous ne voyez rien de suspect, vérifiez que la société émettrice est bien une autorité de certification ayant pignon sur rue, en faisant une recherche sur Google. Si vous ne trouvez rien, il s’agit probablement d’un certificat interne, donc bidon également.
Si votre employeur déchiffre vos flux SSL, faut-il s’en inquiéter ? Pas forcément. Dans de nombreux cas, les flux sont déchiffrés afin de détecter des virus et autres malwares. Les données personnelles ne sont pas regardées par une tierce personne, ni stockées quelque part. Donc tout va bien. Mais dans d’autres cas, le proxy SSL est utilisé pour savoir si des documents confidentiels ne partent pas vers l’extérieur ou pour identifier des téléchargements illégaux (musique, séries TV, porno). Dans ce cas, mieux vaut donc s’abstenir. Ou utiliser une connexion 3G/4G pour vous connecter.
C’est légal, mais encadré
Il faut savoir que l’employeur a le droit, à priori, de déchiffrer vos flux SSL. En revanche, il n’a pas le droit de regarder vos données personnelles, car cela relève du droit à la correspondance privée. La nuance est subtile. « L’employeur peut déchiffrer et même stocker les flux. Mais s’il veut y accéder, il doit faire appel à un tiers assermenté », explique Hubert Bitan, avocat spécialisé dans les nouvelles technologies. Dans tous les cas, l’employeur devra forcément faire une déclaration à la CNIL, car il manipule des données personnelles. Par conséquent, un salarié pourra toujours saisir la CNIL en cas de doute, histoire de vérifier si son patron est bien dans les clous. Dans le cas inverse, il peut risquer une grosse amende, voire même la prison (articles 226-15 et 226-16 du Code pénal).
Les « proxy SSL » ont récemment fait parler d’eux au ministère des Finances. En effet, l’administration a été épinglée en décembre dernier pour avoir utilisé à tort un certificat public délivré par l’ANSSI, révélant en même temps la présence de proxy SSL. Apparemment, il s’agissait d’une « erreur humaine »...
Comment le ministère des finances espionne le trafic web de ses collaborateurs
Une « erreur humaine » dans la gestion de la sécurité informatique a mis en évidence un système de surveillance pour déchiffrer les flux SSL entrants et sortants. Une pratique qui existe... dans toutes les grandes entreprises.
Le Minefi décrypte tous les échanges SSL de ses collaborateurs.
Pour Ralf Skyper Kaiser (RSK), membre du collectif de hackers « The Hackers Voice », il n’y a pas de doute possible : le ministère français de l’Economie et des Finances (Minefi) espionne les flux web chiffrés en SSL de ses collaborateurs. Et il est tellement remonté qu’il a même averti la Commission européenne pour l’inciter à mener une enquête.
L’affaire remonte en fait à quelques jours. Google avait mis la main sur un faux certificat de chiffrement SSL, émis et utilisé par le Minefi pour chiffrer les échanges avec le domaine google.com. En d’autres termes, le Minefi a endossé le rôle d’un tiers de confiance reconnu pour garantir la sécurité des échanges entre les utilisateurs internes et les sites web de Google. Ce qui est, évidemment, totalement anormal. C’est pourquoi Google a immédiatement sonné l’alarme, en épinglant non pas le Minefi, mais l’ANSSI. En effet, si le Minefi a pu créer un tel faux certificat, c’est parce que l’ANSSI - qui est une autorité de certification dite « racine » - lui a donné ce pouvoir selon un processus de délégation définie dans le cadre de l’IGC/A (infrastructure de gestion de la confiance de l’administration).
Tous les échanges SSL sont passés au peigne fin
L’ANSSI a réagi au quart de tour, en révoquant les faux certificats et en publiant un communiqué qui fait référence à une « erreur humaine » dans l’utilisation des certificats. Mais selon RSK, l’affaire est beaucoup plus malsaine que cela. Selon lui, l’usage de ces faux certificats ne peut pas se faire par erreur et prouve l’existence d’une technologie de surveillance appelée « proxy SSL ». Celle-ci se place dans l’enceinte d’une organisation et intercepte le trafic entre l’utilisateur et le site web en question.
Grâce au faux certificat, ce dispositif fait croire à l’utilisateur qui souhaite accéder aux sites web externes que sa liaison est bien sécurisée. Mais en réalité, cela lui permet de déchiffrer les échanges, d’analyser son contenu, avant de les chiffrer à nouveau avec un vrai certificat et de les réexpédier vers l’extérieur. Du point de vue de Google, tout se passe donc normalement. Mais ce n’est pas tout. Doté d’une délégation de la part de l’ANSSI, le Minefi pouvait en réalité créer un faux certificat pour n’importe quel site. « Il est probable que le Minefi ait surveillé les échanges vers tous les sites », souligne RSK.
Un espionnage qui se fait depuis des années
Mais pour Bruno Bonfils, consultant en sécurité indépendant, il n’y a rien de vraiment nouveau sous le soleil dans cette histoire. « Les proxy SSL sont déployés dans toutes les grandes entreprises. Elles veulent déchiffrer les flux SSL entrants et sortants pour éviter que des informations sensibles ne sortent. C’est la stratégie dite du Data Leakage Prevention », explique l’expert. Cet espionnage se fait en toute douceur, depuis des années. Mais personne ne s’en aperçoit, car ces dispositifs utilisent des certificats à usage strictement interne, qui ne sont rattachés à aucune autorité de certification. « Si le Minefi s’est fait épinglé, c’est justement parce qu’il n’a pas utilisé de certificat local, mais un certificat qui était validé par une autorité officielle. Ce qui est contraire aux principes de sécurité des autorités de certification », poursuit le consultant.
Une telle surveillance serait d’ailleurs légale, à partir du moment où elle est notifiée aux utilisateurs par le biais d’une charte informatique. Mais la plupart des salariés n’en ont pas conscience : personne ne lit jamais les chartes informatiques et le décryptage des données SSL est rarement indiqué de manière explicite.
L’ANSSI confirme
Interrogé par 01net, l’ANSSI admet d’ailleurs l’existence de ce dispositif de surveillance au sein du Minefi. « La direction générale du Trésor, étant particulièrement sensibilisée aux attaques informatiques, a mis en place un dispositif de filtrage (un web application firewall - WAF) en périphérie d'une partie de son système d'information pour détecter des attaques potentielles, nous explique l’autorité par email. C'est sur ce dispositif qu'étaient utilisés les certificats. L'emploi d'équipements de sécurité de type WAF, lorsqu'il est réalisé dans les règles de l'art, n'est pas un problème en soi. En revanche, les certificats utilisés sur de tels équipements ne doivent impérativement pas être rattachés à une autorité de certification reconnue (telle que l’IGC/A). » En effet, un tel mauvais usage entache la crédibilité de l'ANSSI en tant qu'autorité de certification racine.
L'ANSSI tient par ailleurs à préciser qu'il ne faut pas parler d'espionnage des collaborateurs. « Ces technologies largement utilisées (que l'on retrouve dans la plupart des firewall applicatifs) sont destinées à inspecter le trafic chiffré entrant et sortant d'une entreprise, d'une administration...pour analyser l'activité potentielle de codes malveillants. Ce genre de technologies est justement là pour détecter d'éventuelles traces d'espionnage et pas le contraire. »
En tous les cas, si vous êtes salarié dans une grande entreprise, sachez désormais qu’il ne suffit pas d’être connecté en SSL pour se sentir à l’abri vis-à-vis de son employeur. Et qu’il est préférable de faire ses virements bancaires depuis chez soi...
From : O1Informatique,....