Il faut tout de même réussir à recadrer un minimum le débat. On est là dans le cadre professionnel d'une entreprise, pas sur un hotspot WIFI ou un réseau public, avec du matériel fourni par l'entreprise et des règles qui sont normalement communiquées aux collaborateurs (salariés ou prestataires). Si l'on en arrive à un tel niveau de paranoïa vis à vis de ses admin réseau et système, il faut effectivement réduire au minimum les échanges personnels, voire professionnels comme indiqué plus bas, sur ce matériel et ce réseau (actuellement avec un téléphone perso ou une tablette + un accès 4G, ça n'est pas bien compliqué).
Mais je ne pense pas que l'objectif (premier) de ce type d'infrastructure soit de venir découvrir les codes d'accès aux sites bancaires ou les mots de passe des comptes LinuxFr.org. J'ai vu des entreprises mettre en place ces proxy SSL filtrant au fur et à mesure que les flux https se sont développés de façon à filtrer de la même façon les contenus https ou http. Sans vouloir défendre ces pratiques, il faut aussi comprendre les contraintes auxquelles sont soumises les entreprises :
- responsabilité en cas d'accès à certains sites ;
- irresponsabilité/manque de compétences des utilisateurs qui téléchargent un peu n'importe quoi ou cliquent n'importe où (avec des risques d'infection qu'un antivirus local ne suffit pas toujours à réduire) ;
- obligation de conserver certaines logs de connexion pendant un certain temps (cette obligation n'est pas forcément légale mais peut être liée à certaines procédures de sécurité ou à des agréments).
Donc, je ne pense pas que ces entreprises aient un intérêt particulier à dissimuler leur AC derrière un nom particulier, l'objectif n'étant pas de tromper les collaborateurs mais de protéger le réseau interne (ou au pire de surveiller les employés ou des les dissuader d'utiliser les ressources professionnelles pour des besoins perso). Je pense même qu'elles auraient tout intérêt à communiquer largement sur ce filtrage.
La vérification de l'AC émettrice du certificat me semble donc suffisante. Si ce n'est pas le cas, rien ne le sera (et il faut alors certainement penser à changer de boite).
[^] # Re: vérifier l'autorité qui a délivré le certificat
Posté par JJD . En réponse au message Man in the middle ? Vérifier la validité du SSL. Évalué à 2.
Il faut tout de même réussir à recadrer un minimum le débat. On est là dans le cadre professionnel d'une entreprise, pas sur un hotspot WIFI ou un réseau public, avec du matériel fourni par l'entreprise et des règles qui sont normalement communiquées aux collaborateurs (salariés ou prestataires). Si l'on en arrive à un tel niveau de paranoïa vis à vis de ses admin réseau et système, il faut effectivement réduire au minimum les échanges personnels, voire professionnels comme indiqué plus bas, sur ce matériel et ce réseau (actuellement avec un téléphone perso ou une tablette + un accès 4G, ça n'est pas bien compliqué).
Mais je ne pense pas que l'objectif (premier) de ce type d'infrastructure soit de venir découvrir les codes d'accès aux sites bancaires ou les mots de passe des comptes LinuxFr.org. J'ai vu des entreprises mettre en place ces proxy SSL filtrant au fur et à mesure que les flux https se sont développés de façon à filtrer de la même façon les contenus https ou http. Sans vouloir défendre ces pratiques, il faut aussi comprendre les contraintes auxquelles sont soumises les entreprises :
- responsabilité en cas d'accès à certains sites ;
- irresponsabilité/manque de compétences des utilisateurs qui téléchargent un peu n'importe quoi ou cliquent n'importe où (avec des risques d'infection qu'un antivirus local ne suffit pas toujours à réduire) ;
- obligation de conserver certaines logs de connexion pendant un certain temps (cette obligation n'est pas forcément légale mais peut être liée à certaines procédures de sécurité ou à des agréments).
Donc, je ne pense pas que ces entreprises aient un intérêt particulier à dissimuler leur AC derrière un nom particulier, l'objectif n'étant pas de tromper les collaborateurs mais de protéger le réseau interne (ou au pire de surveiller les employés ou des les dissuader d'utiliser les ressources professionnelles pour des besoins perso). Je pense même qu'elles auraient tout intérêt à communiquer largement sur ce filtrage.
La vérification de l'AC émettrice du certificat me semble donc suffisante. Si ce n'est pas le cas, rien ne le sera (et il faut alors certainement penser à changer de boite).