Quête de sécurité concernant les fournisseurs d'accès Internet (ISP)

Je pense que vous devez partir du principe que tout ce que vous envoyez sur Internet sans être crypté n'est pas sécurisé. Même dans ce cas, il n'y a aucune garantie, car il existe de nombreuses attaques de type "man-in-the-middle" et qui sait quelle est la sécurité du système qui stocke vos données à l'autre bout.

Si vous devez transmettre des données en toute sécurité d'un point a à un point b, c'est aux points finaux de trouver la meilleure façon de le faire. Dans la plupart des cas sur le web, cela se fait avec SSL. Mais les entreprises utilisent aussi souvent la technologie VPN pour crypter toutes les données entre deux sites.

Edit : Pour développer un peu ma réponse. Je pense que votre utilisation du mot "mainframe" est un peu fausse dans ce cas. La plupart du trafic passant par un FAI passe juste par le réseau de l'IPS et non par leurs serveurs. Il traverse donc des routeurs, des commutateurs, des pare-feu, et très probablement des proxies de mise en cache. Avec un peu d'inspection approfondie des paquets et de mise en forme du trafic peut-être. Mais en général, seul le trafic allant vers les services offerts par le FAI, comme le courrier électronique, passe par leurs serveurs.

Comme l'a dit 3dinfluence, vous avez vraiment besoin d'une sécurité de bout en bout. Les chances de reniflage sont probablement plus probables dans votre propre réseau, la sécurité de bout en bout est la seule façon de résoudre ce problème. Les exemples sont SSL (généralement https://) qui crypte le trafic sur votre ordinateur, et le décrypte sur le serveur Web (c'est ce que end-to-end signifie). Le VPN s'occupe de tout le trafic, PGP est utilisé pour le cryptage de bout en bout du courrier électronique, etc. Avec certains d'entre eux, des certificats sont également utilisés, qui non seulement garantissent que le trafic est crypté, mais aussi que l'autre extrémité est bien celle qu'elle prétend être.

Les types d'ordinateurs dont disposent les fournisseurs d'accès sont appelés routeurs, et le rôle de ces routeurs est d'acheminer le trafic d'un point à un autre. Ils doivent protéger ces routeurs pour s'assurer que les données arrivent à leur (bonne) destination et ils travaillent dur pour s'assurer que les gens ne peuvent pas pirater les routeurs et rerouter le trafic. La sécurité du trafic lui-même dépend des utilisateurs à chaque extrémité. Le réacheminement du trafic et la prévention de l'endommagement de leur partie de l'internet par des pirates informatiques sont leur préoccupation.

1) Je dirais que cela dépend. C'est certainement faisable, mais cela dépend de ce qui est en place pour voir les conditions inhabituelles... Je veux dire, vous parlez d'un accès non autorisé, comme un accès physique, ou d'un accès par effraction à un serveur ? L'accès physique pourrait signifier l'ajout d'une autre machine à un port de commutateur et la mise en miroir des données ou le vol de bandes de sauvegarde, et si c'est à distance, la plupart des FAI devraient remarquer un pic de trafic sortant qui étouffe leurs connexions lorsque les données sont reniflées et mises en miroir (ou des pics lorsque les données sont transférées plus tard). De plus, vous devez rediriger le trafic à travers un système qui n'est pas un routeur normalement pour voir le trafic, puisque sans configurer un commutateur pour refléter le trafic, vous devez usurper les requêtes ARP pour rediriger le trafic de la passerelle. Mais oui, il est possible qu'ils puissent renifler des données.

2) VLANs, mises à jour des systèmes, audit des comportements inhabituels, etc.

En tant qu'utilisateur, vous avez peur de ce que fait le FAI pour surveiller votre trafic ? Vous n'êtes jamais totalement sûr que votre trafic n'est pas surveillé. Je veux dire, pensez-y... vous faites du trafic bancaire. Votre trafic va de votre ordinateur à votre fournisseur d'accès à votre fournisseur d'accès en amont (et vous ne savez pas combien de sauts il y a) au FAI de votre banque et aux serveurs de votre banque. Votre connexion peut être détournée au niveau de votre réseau, de votre fournisseur d'accès, du fournisseur d'accès de votre banque et des employés de votre banque, ainsi qu'à chaque étape du réseau fédérateur. Et comment la protéger ? Le cryptage, tout au plus. En supposant que personne n'injecte un faux certificat pour détourner votre connexion SSL et que personne n'ait installé un enregistreur de frappe ou un programme de capture d'écran sur votre système ou celui d'un employé de la banque.

Quelqu'un peut-il le faire ? Bien sûr. Il y a de fortes chances pour qu'un voleur préfère vous agresser au distributeur de billets plutôt que de se donner la peine de le faire, mais oui, c'est possible. C'est juste que ce n'est pas une menace si courante qu'il vaille la peine d'en perdre le sommeil.