Comme par exemple se connecter à mon compte bancaire ou savoir quelles informations je soumets via HTTPs?
Je ne suis pas sûr quel serveur proxy nous avons.
Réponses
Trop de publicités?
Tout à fait. Plusieurs mandataires de niveau entreprise prennent en charge la ré-encryption des connexions établies par votre navigateur à l'aide d'une autorité de certification d'entreprise. Essentiellement, l'équipe d'administration peut déployer un certificat sur votre poste de travail via des stratégies de groupe, et l'ajouter à la liste des autorités de confiance. Le mandataire possède ensuite la clé privée correspondant à ce certificat et génère un certificat pour chaque nom d'hôte à la volée. Ensuite, lorsque votre navigateur se connecte, le mandataire utilise HTTPS pour se connecter à la destination, mais chiffre ensuite le tunnel réel vers votre navigateur en utilisant ledit certificat et clé privée.
Il existe également des mandataires open source et gratuits capables de cette interception (qui n'est en fait qu'une attaque MITM facilitée par le fait que les administrateurs ont accès à la liste des certificats de confiance sur chaque poste de travail).
Édit : Vous pouvez détecter cela en inspectant qui a signé le certificat de chaque site HTTPS, mais le nom peut même correspondre à des certificats existants, donc vous devriez comparer l'empreinte à une empreinte connue de chaque autorité de certification.
Evan Anderson
Points
140581
Généralement non (voir ma modification ci-dessous). HTTPS est crypté de bout en bout - donc votre PC lui-même effectue le chiffrement et le déchiffrement, tout comme l'ordinateur serveur à l'autre extrémité. Tout ce qui passe par le fil est crypté, donc l'ordinateur serveur proxy ne voit que des textes chiffrés passer.
Maintenant, avec ce keylogger que le service informatique a installé sur votre PC... >sourire<
Plus sérieusement, si quelqu'un d'autre administre la machine que vous utilisez pour accéder à des sites web sensibles, il pourrait avoir installé un logiciel ou un matériel sur le PC lui-même pour vous surveiller. Je ne sais pas à quel point vous avez confiance en votre employeur, mais je n'accède pas à des sites web sensibles comme la banque à partir d'ordinateurs administrés et/ou possédés par d'autres.
Modification :
Mince, j'aurais aimé ajouter ce paragraphe que je pensais à propos d'un proxy réalisant une attaque de type "man-in-the-middle" automatisée, parce que j'imagine qu'il existe vraiment des produits louches qui peuvent le faire ! C'est fou.
Apparemment, il existe des dispositifs qui peuvent exécuter des attaques automatisées "man-in-the-middle" contre SSL. Ils requièrent l'installation d'un certificat d'autorité (CA) sur l'ordinateur client "victime" puisque le proxy va, par définition, falsifier des certificats pour chaque site HTTPS qu'il tente d'intercepter.
Je maintiens ma déclaration précédente : n'accédez pas à des sites web sensibles depuis des ordinateurs que vous n'administrez / possédez pas. Dans le cas d'un de ces serveurs proxy malveillants "man-in-the-middle" que Luke a mentionné dans son message, votre ordinateur personnel n'aurait pas le certificat d'autorité de CA nécessaire chargé pour le CA du serveur proxy, et donc vous recevriez un avertissement dans votre navigateur indiquant que le site web avait un certificat émis par une CA inconnue.
Rien que de penser à un tel produit me donne mauvaise impression. La seule utilité que je vois pour un tel dispositif est l'espionnage des utilisateurs.
