SSL : yes we Scan ! | Orange Business Services - ®om's shaarli - Httqm's Links
jeudi 23 octobre 2014 à 11:43®om's shaarli > Httqm, le 23/10/2014 à 11:43
> > Un billet expliquant pourquoi il faut faire du MITM rangé dans "bonnes-pratiques".
>
> C'est dans le contexte particulier d'un réseau d'entreprise
En tant qu'employé de l'entreprise, si je me connecte à un site en HTTPS, je veux avoir un chiffrement de bout en bout entre ma machine et le serveur. C'est le but de SSL/TLS, non?
> Tu laisses entrer et sortir tout ce qui transite en SSL sans le moindre contrôle ?
Pas de contrôle sur le contenu.
Quand le mec dit :
« En effet, à quoi sert un DLP si les flux sortant vers Dropbox ou Google Drive ne sont pas analysés et filtrés pour bloquer par exemple le dépôt d’un contrat client, d’un appel d’offre, d’une liste de prix dans le Cloud ? Une solution de DLP inclue donc forcément, dans son arsenal de protection, un déchiffrement du flux SSL, quelque part sur le chemin entre le poste client et Internet. »
Il considère qu'empêcher les fuites passe avant toute autre considération.
Dans ce cas, comment s'assurer qu'un employé ne prenne pas une photo du contrat avec son téléphone pour le leaker quelque part ? Il faut bien obliger les employés à mettre en place une caméra de surveillance chez eux et installer un logiciel espion dans leur téléphone, sinon comment l'entreprise pourrait-elle minimiser les risques de fuites?
(Permalink)
Httqm > ®om's shaarli, le 23/10/2014 à 13:55
> En tant qu'employé de l'entreprise, si je me connecte à un site en HTTPS, je veux avoir un chiffrement de bout en bout entre ma machine et le serveur. C'est le but de SSL/TLS, non?
Oui et non : le but du réseau de l'entreprise est de permettre aux employés de faire leur travail. Si le travail inclut de se connecter en HTTPS sur un site externe pour un usage pro, le login + mdp + les infos échangées "appartiennent" à l'entreprise, il ne s'agit pas de données personnelles. Le réseau d'entreprise, même s'il _peut_ autoriser des usages personnels (avec modération), doit assurer sa propre sécurité et son maintien en conditions opérationnelles. Cela dit, je suis à peu près sûr que la mise en place d'un proxy effectuant un MitM sur les connexions SSL doit être déclarée aux salariés.
Pour la partie "je veux avoir un chiffrement de bout en bout entre ma machine et le serveur", je dirais que c'est au bon vouloir de l'admin : l'entreprise n'est tenue qu'à nous fournir les moyens d'effectuer notre travail, et ce proxy filtrant fait partie de ces moyens. Je ne suis même pas sûr qu'une entreprise ait une quelconque obligation quant à l'utilisation à des fins personnelles des moyens informatiques.
> Pas de contrôle sur le contenu.
> Quand le mec dit :
> « En effet, à quoi sert un DLP si les flux sortant vers Dropbox ou Google Drive ne sont pas analysés et filtrés pour bloquer par exemple le dépôt d’un contrat client, d’un appel d’offre, d’une liste de prix dans le Cloud ? Une solution de DLP inclue donc forcément, dans son arsenal de protection, un déchiffrement du flux SSL, quelque part sur le chemin entre le poste client et Internet. »
> Il considère qu'empêcher les fuites passe avant toute autre considération.
Si dans la balance il y a d'un côté la confidentialité des données internes et de l'autre la possibilité pour les utilisateurs de se connecter sur le site de leur banque ou faire des achats en ligne, je pense que le choix est vite fait. De plus, avec cette méthode, même si la session n'est pas chiffrée de bout en bout, les infos ne circulent jamais en clair sur un réseau (ni interne, ni externe). Elles sont en clair sur le proxy et chiffrées avec le certificat du site distant. Mais effectivement, si l'admin n'est pas digne de confiance, ça pue un peu...
> Dans ce cas, comment s'assurer qu'un employé ne prenne pas une photo du contrat avec son téléphone pour le leaker quelque part ? Il faut bien obliger les employés à mettre en place une caméra de surveillance chez eux et installer un logiciel espion dans leur téléphone, sinon comment l'entreprise pourrait-elle minimiser les risques de fuites?
Drôle de raisonnement : sous prétexte que quelqu'un de motivé pourra contourner des protections, finalement, ça ne sert à rien d'essayer de sécuriser un minimum ?
(Permalink)
> > Un billet expliquant pourquoi il faut faire du MITM rangé dans "bonnes-pratiques".
>
> C'est dans le contexte particulier d'un réseau d'entreprise
En tant qu'employé de l'entreprise, si je me connecte à un site en HTTPS, je veux avoir un chiffrement de bout en bout entre ma machine et le serveur. C'est le but de SSL/TLS, non?
> Tu laisses entrer et sortir tout ce qui transite en SSL sans le moindre contrôle ?
Pas de contrôle sur le contenu.
Quand le mec dit :
« En effet, à quoi sert un DLP si les flux sortant vers Dropbox ou Google Drive ne sont pas analysés et filtrés pour bloquer par exemple le dépôt d’un contrat client, d’un appel d’offre, d’une liste de prix dans le Cloud ? Une solution de DLP inclue donc forcément, dans son arsenal de protection, un déchiffrement du flux SSL, quelque part sur le chemin entre le poste client et Internet. »
Il considère qu'empêcher les fuites passe avant toute autre considération.
Dans ce cas, comment s'assurer qu'un employé ne prenne pas une photo du contrat avec son téléphone pour le leaker quelque part ? Il faut bien obliger les employés à mettre en place une caméra de surveillance chez eux et installer un logiciel espion dans leur téléphone, sinon comment l'entreprise pourrait-elle minimiser les risques de fuites?
(Permalink)
Httqm > ®om's shaarli, le 23/10/2014 à 13:55
> En tant qu'employé de l'entreprise, si je me connecte à un site en HTTPS, je veux avoir un chiffrement de bout en bout entre ma machine et le serveur. C'est le but de SSL/TLS, non?
Oui et non : le but du réseau de l'entreprise est de permettre aux employés de faire leur travail. Si le travail inclut de se connecter en HTTPS sur un site externe pour un usage pro, le login + mdp + les infos échangées "appartiennent" à l'entreprise, il ne s'agit pas de données personnelles. Le réseau d'entreprise, même s'il _peut_ autoriser des usages personnels (avec modération), doit assurer sa propre sécurité et son maintien en conditions opérationnelles. Cela dit, je suis à peu près sûr que la mise en place d'un proxy effectuant un MitM sur les connexions SSL doit être déclarée aux salariés.
Pour la partie "je veux avoir un chiffrement de bout en bout entre ma machine et le serveur", je dirais que c'est au bon vouloir de l'admin : l'entreprise n'est tenue qu'à nous fournir les moyens d'effectuer notre travail, et ce proxy filtrant fait partie de ces moyens. Je ne suis même pas sûr qu'une entreprise ait une quelconque obligation quant à l'utilisation à des fins personnelles des moyens informatiques.
> Pas de contrôle sur le contenu.
> Quand le mec dit :
> « En effet, à quoi sert un DLP si les flux sortant vers Dropbox ou Google Drive ne sont pas analysés et filtrés pour bloquer par exemple le dépôt d’un contrat client, d’un appel d’offre, d’une liste de prix dans le Cloud ? Une solution de DLP inclue donc forcément, dans son arsenal de protection, un déchiffrement du flux SSL, quelque part sur le chemin entre le poste client et Internet. »
> Il considère qu'empêcher les fuites passe avant toute autre considération.
Si dans la balance il y a d'un côté la confidentialité des données internes et de l'autre la possibilité pour les utilisateurs de se connecter sur le site de leur banque ou faire des achats en ligne, je pense que le choix est vite fait. De plus, avec cette méthode, même si la session n'est pas chiffrée de bout en bout, les infos ne circulent jamais en clair sur un réseau (ni interne, ni externe). Elles sont en clair sur le proxy et chiffrées avec le certificat du site distant. Mais effectivement, si l'admin n'est pas digne de confiance, ça pue un peu...
> Dans ce cas, comment s'assurer qu'un employé ne prenne pas une photo du contrat avec son téléphone pour le leaker quelque part ? Il faut bien obliger les employés à mettre en place une caméra de surveillance chez eux et installer un logiciel espion dans leur téléphone, sinon comment l'entreprise pourrait-elle minimiser les risques de fuites?
Drôle de raisonnement : sous prétexte que quelqu'un de motivé pourra contourner des protections, finalement, ça ne sert à rien d'essayer de sécuriser un minimum ?
(Permalink)