22 réponses à ce sujet

[ghost]

Si je consulte des mails perso en entreprise, le protocole https peut-il empêcher celle-ci de logger ou de voir la nature des mails envoyés?

[aciD]

Oui

Edit : tu peux facilement le vérifier sur ton LAN avec Wireshark (ou tcpdump).

[ghost]

Ok. Même si je suis connecté sur le réseau Internet de l'entreprise, le protocole https empêche l'entreprise de voir mes mails?

Juste pour être vraiment sûr .

[aciD]

Tiens pleins d'infos ici : http://sebsauvage.net/comprendre/ssl/

[ghost]

Grand merci aciD .

[The Datawolf]

Attention, cette réception de mails peut t'être interdite. Auquel cas mieux vaut ne pas jouer...
http://www.arobase.o...l-personnel.htm

[ghost]

Je consulte Hotmail en https sur un navigateur sur mon PC personnel. C'est tout. J'utilise simplement la connexion.

[aciD]

Ça peut être interdit par la charte informatique de ta boite. Vérifie avant.
Tu peux pas poper les mails sur ton smartphone ?

[ghost]

C'est l'entreprise qui m'a autorisé à prendre mon PC perso vu que c'est un stage cours. Je voulais juste savoir la confidentialité des données quand j'accède à mes mails via https sous Firefox. C'est tout.

[aciD]

OK alors pas de problèmes dans ce cas, ils sont assez souple pour les stages, du moment où tu pompes pas toute la BP (en hostant un serveur UT3 par ex )

[ghost]

Je télécharge rien à part les mises à jours de Notepad++ et LibreOffice .

[BlueIcefield]

Bonjour,

1/ Ils ne peuvent pas consulter le contenu de tes emails si tu passes via HTTPS (même s'il y a des méthodes pour cela, cela est trop lourd à mettre en place dans une entreprise, c'est bon pour la CIA et le FBI).
2/ Ils n'ont pas le droit de consulter tes emails, il s'agit de ta boite email privée et de mails privés.
3/ Ils ont le droit de sanctionner cela même si cela est fait via ton PC personnel, le fait de passer par le réseau est suffisant (sauf citation contraire dans leur charte informatique). Les équipements personnels peuvent êtres tolérés ou interdits sur le réseau de l'entreprise mais dans tout les cas leur utilisation reste strictement professionnelle (ou possibilité d'utilisation privée dans le cadre d'une utilisation responsable : pas jouer sur le net, faire des choses illicites, passer sa journée sur sa boite perso...).

Voilà, en tout cas, en France, la législation sur les données informatique est très stricte et les responsables informatiques ne peuvent pas faire n'importe quoi ! Par exemple, on est tenu d'informer les utilisateurs que système automatisé scan l'ensemble des emails reçus lorsqu'on a un système anti-spam.

[ghost]

Je considère ma question comme résolue. Merci.

[dsy]

BlueIcefield, le 10 février 2012 - 15:22, dit :

Voilà, en tout cas, en France, la législation sur les données informatique est très stricte et les responsables informatiques ne peuvent pas faire n'importe quoi ! Par exemple, on est tenu d'informer les utilisateurs que système automatisé scan l'ensemble des emails reçus lorsqu'on a un système anti-spam.

Salut
Peux-tu indiquer stp le texte de loi qui impose cet avertissement auprès des employés ? Cela m'intéresse.
Merci

[DmilZ]

Salut,
Sans pouvoir citer la source exacte je suis sûr que tu trouveras ton bonheur dans la loi "Informatique et Liberté".

Il n'y a pas énormément de différence entre le courrier physique ou électronique : il s'agit de la vie privée et il est absolument interdit à quiconque de le lire sauf évidement pour la personne concernée. Mais tout comme si tu fais parvenir ton courier perso sur ton lieu de travail, tu laisses "l'enveloppe" être potentiellement manipulée par différents intermédiaire avant d'arriver à bon port. Encore une fois le courier physique doit lui aussi subir des tests à des fins préventives lorsqu'il passe par La Poste ou sur le lieu de réception.

Dans le cas des emails en entreprises il s'agit généralement que des mesures de protection du parc informatique.

[BlueIcefield]

dsy, le 11 février 2012 - 07:25, dit :

Salut
Peux-tu indiquer stp le texte de loi qui impose cet avertissement auprès des employés ? Cela m'intéresse.
Merci

Il s'agit de la loi 78-17 du 6 janvier 1978 modiée et tout ce qui gravite autour. Notamment le fait qu'un email contenant une mention "privé" dans l'objet ou étant classé dans un dossier portant la mention "privé" est considéré comme une correspondance privée interdisant ainsi l'accès à son contenu par l'entreprise, c'est un droit stricte de l'employer, si l'entreprise veut accéder au contenu des emails privés il faut une décision de justice. Ceci est valable même si es emails privés sont interdits au sein de l'entreprise. Donc si tu mets en place un système anti-spam, celui-ci va systématiquement lire le contenu de chaque email reçus pour déterminer si il s'agit d'un spam ou pas sans faire la différence entre correspondance professionnelle ou privée, d'où "l'obligation" ou l'intérêt si tu préfères de signaler dans une charte informatique la présence d'un tel dispositif pour éviter tout problème juridique par la suite.

Par contre, il n'est pas possible à l'employé de faire n'importe quoi avec sa boite professionnelle en marquant ses emails comme privés, il est par exemple pénalement interdit d'envoyer des emails à caractère professionnels sous la forme d'emails personnels (par exemple pour refiler des infos à un concurrent).

Je te suggère de lire un peu cette doc : http://www.cnil.fr/f...uideTravail.pdf

PS/ Auant que sysadmin, je peux te dire que la legislation est délicate et complexe et pas facile à mettre en place tout les jours.

[KikoololM4573R]

BlueIcefield, le 10 février 2012 - 15:22, dit :

Bonjour,

1/ Ils ne peuvent pas consulter le contenu de tes emails si tu passes via HTTPS (même s'il y a des méthodes pour cela, cela est trop lourd à mettre en place dans une entreprise, c'est bon pour la CIA et le FBI).
2/ Ils n'ont pas le droit de consulter tes emails, il s'agit de ta boite email privée et de mails privés.
3/ Ils ont le droit de sanctionner cela même si cela est fait via ton PC personnel, le fait de passer par le réseau est suffisant (sauf citation contraire dans leur charte informatique). Les équipements personnels peuvent êtres tolérés ou interdits sur le réseau de l'entreprise mais dans tout les cas leur utilisation reste strictement professionnelle (ou possibilité d'utilisation privée dans le cadre d'une utilisation responsable : pas jouer sur le net, faire des choses illicites, passer sa journée sur sa boite perso...).

Voilà, en tout cas, en France, la législation sur les données informatique est très stricte et les responsables informatiques ne peuvent pas faire n'importe quoi ! Par exemple, on est tenu d'informer les utilisateurs que système automatisé scan l'ensemble des emails reçus lorsqu'on a un système anti-spam.

euh ... faut arrêter de croire que parce que c'est du ssl (https ou autre) que c'est impossible/difficile à déchiffrer!!!

sur du matos d'entreprise, il suffit d'avoir un certificat racine maison (de nombreuses entreprises en on pour signer des appli/mails, générer des x509, ...) installé sur chaque poste et faire du mitm/proxying qui modifie la requête SSL pour changer de certif et mettre celui de l'entreprise à la place (comme le certif root de l'entreprise est installé sur la machine, tu n'aura aucune notification de certificat invalide). Donc non, c'est super simple à mettre en place en entreprise.

[BlueIcefield]

KikoololM4573R, le 13 février 2012 - 13:19, dit :

euh ... faut arrêter de croire que parce que c'est du ssl (https ou autre) que c'est impossible/difficile à déchiffrer!!!

sur du matos d'entreprise, il suffit d'avoir un certificat racine maison (de nombreuses entreprises en on pour signer des appli/mails, générer des x509, ...) installé sur chaque poste et faire du mitm/proxying qui modifie la requête SSL pour changer de certif et mettre celui de l'entreprise à la place (comme le certif root de l'entreprise est installé sur la machine, tu n'aura aucune notification de certificat invalide). Donc non, c'est super simple à mettre en place en entreprise.

Oui mais ce certificat ne coïncidera pas avec celui du site visité (Gmail par exemple), de plus dans ce cas précis, il utilise son propre PC personnel donc il n'a aucun certificat de la boite sur sa machine. Sinon, comme je le disais... ils n'ont pas le droit légalement de consulter ses emails perso.

[KikoololM4573R]

BlueIcefield, le 13 février 2012 - 13:27, dit :

Oui mais ce certificat ne coïncidera pas avec celui du site visité (Gmail par exemple), de plus dans ce cas précis, il utilise son propre PC personnel donc il n'a aucun certificat de la boite sur sa machine.

Pour ça faut quand même cliquer sur le cadenas et vérifier le nom de l’émetteur, très peu de gens y font attention :/

BlueIcefield, le 13 février 2012 - 13:27, dit :

Sinon, comme je le disais... ils n'ont pas le droit légalement de consulter ses emails perso.

Si dans la charte info de l'entreprise il spécifie clairement que les postes de l'entreprise doivent uniquement servir à une utilisation professionnelle, ils considèrent de fait que tout ce qui passe sur le réseau depuis cette machine concerne l'entreprise, et doit donc être analyser.

Après, si tu peux utiliser ta machine perso sur leurs réseaux, on peux considérer que la sécurité est naze, et donc qu'il ne déchiffre rien ^^, pour ma part j'ai eu le malheur de passer par une boite ultra parano, avec salles blindées pour les serveurs, câbles réseaux cadenacé sur les bécanes, accès internet par proxy (liste blanche et analyse de contenu y compris contenu chiffré par SSL grâce au certif root de la boite) et là faut vraiment éviter de faire des trucs perso sur le PC :s.

[ghost]

Ah bah non, le sujet n'est pas clos. Le certificat SSL est celui de Microsoft pour Hotmail donc tout va bien. Du moment que le point de départ et d'arriver sont https certifié, ça devrait rester sécuriser sur le réseau de l'entreprise sans que celle-ci puissent intercepter les contenus de la messagerie.