• # Juste une question de point de vue

    Posté par (site web personnel) . En réponse au journal Dominique Loiselet, Blue Coat : « généraliser le HTTPS va rendre la sécurité aveugle ». Évalué à 8.

    Je crois qu'il faut aussi bien prendre en compte le point de vue émis qui est proposé ici : c'est un article pour les décideurs, donc du point de vue de l'entreprise et de son fonctionnement.

    Au fil des ans, les entreprises ont déployé de multiples solutions – contrôles sur les contenus, IPS, IDS, firewalls, gateway, etc. – pour apporter à leurs utilisateurs un certain niveau de confiance dans l’usage de la technologie.

    Si je comprends bien, il affirme que les entreprises (jolie généralisation) ont mis en place des systèmes d'analyse et de filtrage dynamique du contenu sur ces divers nœuds du réseau. Comme il l'écrit par la suite, c'est vrai que HTTPS rend en partie ces systèmes aveugles. Bon, ceci dit, il me semble que des politiques de filtrage sont toujours possibles même avec le HTTPS (moins avec le VPN mais ce n'est pas de ça dont il s'agit ici).

    Est-ce qu'il y a des systèmes qui analysent le contenu HTML des pages pour les filtrer ? Est-ce que ces systèmes sont déployés en entreprise ? de manière légitime ? Si oui, effectivement, c'est effectivement problèmatique pour ces entreprises.

    Ces boîtiers réseau, issus d’une technologie rachetée en 2013 à Netronome, déchiffrent le trafic crypté une seul fois et redirigent les flux vers les différents équipements.

    Un petit peu de pub sur la route :)

    Avec la généralisation des flux cryptés, on peut imaginer que les fabricants de firewalls, d’IDS ou de gateway proposent des composants dédiés afin d’assurer le déchiffrement sans dégrader les performances [question du mag]

    Je ne suis pas sûr de comprendre. Le principe du HTTPS étant que seuls le site et l'internaute puissent déchiffrer les échanges. Ceci dit, j'imagine qu'avec un proxy, on peut changer cela, le proxy faisant office de passerelle d'internaute, c'est lui qui déchiffre les informations. Je me demande si les entreprises qui mettent cela en place informent leurs usagers de cette pratique...

    Je ne comprends pas vraiment cet argument. Le SSL ne fait que garantir la confidentialité des informations véhiculées. Et n’est en rien une garantie contre la vulnérabilité des sites.

    Ici, nous voyons bien le point de vue qui est défendu. La personne n'imagine même pas être un utilisateur d'internet mais seulement un fournisseur de contenu et donc responsable de la maintenance du serveur (site).

    D'une manière générale, je dirais que l'article est très révélateur des pratiques mises en place et des problèmes que posent l'HTTPS vis-à-vis de ces pratiques. Je n'ai pas l'impression qu'il soit dit n'importe quoi, corrigez-moi si je me trompe, mais que seul un point de vue est défendu.