Au travail, mon entreprise utilise un logiciel de surveillance Internet (Websense). Je sais que si je visite un site https chiffré par SSL (tel que https://secure.example.com), ils ne peuvent pas voir ce que je fais sur le site car tout le trafic est chiffré . Mais voient-ils que j'ai visité https://secure.example.com?
Une connexion cryptée est établie avant toute requête HTTP (par exemple GET , POST , HEAD , etc.), mais le le nom d'hôte et le port sont visibles.
Il existe de nombreuses autres façons de détecter les sites que vous visitez également, par exemple:
Un moyen courant d'échapper à un proxy Websense consiste d'abord à établir une connexion via HTTPS à un proxy externe ( par exemple https://proxy.org/) et faites votre demande à partir de là.
C'est possible, mais cela nécessite une certaine configuration. Voici comment procéder et comment vous en rendre compte.
Sur un ordinateur d'entreprise, où les mises à jour logicielles sont envoyées depuis un emplacement central, il est possible d'envoyer à votre ordinateur un certificat "de confiance" qui être stocké à côté du certificat de confiance, par exemple Verising ou Entrust.
Le proxy de votre entreprise détiendra la clé privée de ce certificat.
Lorsque vous visitez un site Web HTTPS, comme https://mybank.com/, le proxy se mettra au milieu. Il établira une connexion HTTPS avec votre navigateur générant à la volée un certificat pour mybank.com. Il rejouera (et éventuellement surveillera ou enregistrera) tout votre trafic sur une nouvelle connexion, du proxy à mybank.com.
Vous pouvez savoir si c'est le cas en regardant l'icône du cadenas. Si vous voyez que le certificat pour mybank.com a été émis par acmesprockets.com (le nom de votre entreprise), alors vous savez qu'ils peuvent voir votre trafic «chiffré». Mais comme votre entreprise peut forcer votre ordinateur à faire confiance à n'importe quel certificat, elle peut créer un certificat en utilisant un nom bien connu, comme «Entrust.net Secure Server Certification Authority» (même si cela serait probablement illégal en vertu de certaines lois sur les marques).
Alors, comment pouvez-vous le dire? Après vous être connecté au site Web, regardez le certificat. Les détails varient pour chaque navigateur, mais cliquer sur l'icône de cadenas à côté de https est généralement le point de départ. À partir de ce certificat, recherchez l'empreinte numérique du certificat et recherchez-la en ligne . Mieux encore, faites la même chose avec l'autorité de certification. Si vous ne trouvez pas le ressort du certificat en ligne (mais que vous le pouvez lorsque vous êtes chez vous ou sur votre téléphone), il est probable que votre trafic HTTPS soit déchiffré en cours de route.
Même un proxy simple verra et enregistrera les noms des serveurs . Par exemple, visiter https://example.com/some/address.html créera une requête comme celle-ci du navigateur vers le serveur proxy:
exemple CONNECT. org: 443 HTTP / 1.1User-Agent: Mozilla / 5.0 (X11; Linux x86_64; rv: 2.0b13pre) ... Proxy-Connection: keep-aliveHost: example.org Le le reste de la connexion est chiffré et un simple proxy la transmet simplement.
.
Il existe, cependant, un proxy plus complexe les serveurs , capables de voir l’ensemble du trafic en texte brut . Cependant, ces types de serveurs proxy nécessitent que vous ayez un certificat racine installé pour lequel ils peuvent créer des certificats de serveur à la volée.
L'examen de la chaîne de certificats dans le navigateur révèle généralement ce type d'homme dans attaque moyenne. Au moins dans le cas courant où cela est fait par votre propre entreprise et non par des agences d'État:
Avec HTTPS, le tunnel SSL / TLS est établi en premier , et le trafic HTTP se produit uniquement dans ce tunnel. Certaines informations fuient encore:
Si le client utilise un proxy, la connexion au proxy ressemble à: CONNECT www.example.com:443 avec le nom du serveur cible. Alternativement, le client peut envoyer l'adresse IP du serveur cible, mais ce n'est que légèrement moins révélateur; et, pour connaître l'adresse IP du serveur, le client doit faire une résolution de nom, en utilisant les serveurs DNS fournis par l'entreprise elle-même.
Les clients assez récents enverront le nom du serveur cible dans le cadre de la négociation SSL initiale (c'est l'extension Indication du nom du serveur).
Le serveur répond en renvoyant son certificat, qui comprend, dans vue claire et par définition, le nom du serveur.
De ces derniers, nous pouvons conclure que le nom du serveur cible n'est certainement pas un secret. Vous pouvez supposer que votre entreprise l'apprend.
Le reste de la communication est cryptée et est donc théoriquement inaccessible aux étrangers. Cependant, la longueur des paquets de données qui sont envoyés et reçus par le client peut toujours être déduite par n'importe quel espionnage (avec une précision d'un octet si une suite de chiffrement RC4 est utilisée), et cela peut également révéler un beaucoup d'informations, selon le contexte.
Si votre entreprise est sérieuse en matière de sécurité , il se peut qu'elle ait installé un proxy plus avancé comme ProxySG de Blue Coat. Ces systèmes exécutent une attaque Man-in-the-Middle en générant dynamiquement un faux certificat pour le serveur cible. Cela leur donne accès aux données complètes, comme s'il n'y avait pas de SSL.
Notez que, cependant, une telle interception n'est possible que si l'entreprise peut ajouter au magasin de confiance de votre système de bureau le certificat d'autorité de certification racine que le proxy utilise pour émettre les faux certificats. C'est une action plutôt intrusive. Par conséquent, s'ils pouvaient faire cela, pourquoi s'arrêteraient-ils là? Ils peuvent avoir inséré, tout aussi facilement, une poignée de logiciels d'espionnage qui brancheront votre navigateur Web, votre clavier et votre écran; et tout que vous faites sur la machine leur est connu.
Alternativement, si vous pouvez vous assurer que votre machine est libre de toute interférence de votre entreprise (par exemple, il s'agit de votre propre appareil et vous n'avez installé aucun logiciel fourni par l'entreprise), alors MitM-proxy ne peut pas déchiffrer vos connexions SSL.
Un très simple moyen de masquer votre trafic à votre entreprise est de ne pas utiliser du tout leurs installations. Apportez votre propre ordinateur portable avec une clé 3G (ou connecté à votre smartphone). En payant votre propre Internet, vous pouvez éviter la détection basée sur le réseau et passer vos journées à parcourir le Web au lieu de faire le travail pour lequel vous êtes payé (mais, bien sûr, la détection des fainéants n'a jamais été limité à l'utilisation de gadgets informatiques uniquement).
Si websense est configuré pour le consigner, alors oui, il pourra voir où vous êtes allé, toutes les URL que vous visitez.
Le contenu est moins susceptible d'être consulté - cela dépend de la façon dont websense / proxy est configuré - mais cela peut être fait. Cela dépend si la session SSL est de votre navigateur vers le serveur ou si elle est juste vers le proxy (exécutant effectivement une attaque de type homme au milieu)
Ils peuvent voir tout votre trafic SSL non chiffré s'ils utilisent un proxy BlueCoat ou similaire. De nombreuses grandes entreprises le font.
Suite à la réponse de Guillaume, une autre façon de vérifier les fautes de jeu est d'utiliser le module complémentaire "Perspectives" de Firefox. Lors de la visite d'un site https, il vérifie (via des «notaires» Internet) que la clé publique que vous recevez (via le certificat du serveur Web) appartient bien au site que vous visitez.
Oui , votre entreprise peut surveiller votre trafic SSL.
D'autres réponses disent que SSL est sécurisé, en effet il l'est.
Mais, votre entreprise proxy peut intercepter et inspecter votre trafic chiffré comme indiqué par l'image ci-dessous:
Cette image est lorsque je visite Google sur mon ordinateur de travail.
Ici, ils utilisent la Forefront Threat Management Gateway 2010 qui peut intercepter la connexion entre moi et un site sécurisé.
Explication:
La sécurité SSL (Secure Socket Layer) et TLS (Transport Layer Security) est basée sur PKI (Public Key Infrastructure).
La PKI consiste en une série de certificats de confiance appelés certificats racine.
Ici, dans mon entreprise, l'un des certificats racine est le certificat que Forefront génère les certificats pour chaque site Web que je visite.
Étant donné que mon ordinateur fait confiance au certificat utilisé par le proxy, aucun avertissement n'a été généré et la connexion est effectuée en toute sécurité mais peut être inspectée par le p serveur roxy.
Non seulement à partir du certificat, mais aussi à partir des messages de prise de contact, des informations de nom de serveur peuvent être obtenues. Comme je l'ai testé, 80% du trafic contient l'extension de nom de serveur dans le message hello client (premier message envoyé par le client au serveur dans le protocole https). Mais cette extension est facultative et parfois elle n'existe pas. Dans ce cas, le certificat peut être vérifié. Dans le certificat, il existe à nouveau un nom de serveur.