Pour votre utilisateur domestique moyen, des services comme GMail (qui sont exécutés via TLS) ne divulgueraient pas d'informations telles que le nom d'utilisateur au FAI ou à l'administrateur réseau.

Si vous utilisez une machine qui est également administré par l'administrateur du réseau local (par exemple, un ordinateur de travail connecté à un domaine géré par l'entreprise), vous devez alors supposer qu'ils peuvent lire tout ce que vous faites dessus. Ils pourraient avoir un logiciel pour enregistrer votre activité (navigation et / ou frappes au clavier), ils pourraient avoir installé des certificats SSL supplémentaires qui leur permettent de MITM votre connexion à GMail (ou à tout autre site).

Si vous pensez que votre l'ordinateur n'a pas été falsifié et n'est pas sous le contrôle de quelqu'un en qui vous n'avez pas confiance (c'est-à-dire que l'administrateur LAN ne contrôle pas votre machine), vous pouvez alors vous connecter à GMail via https. (À ce stade, l'administrateur LAN équivaut à un attaquant sur Internet.) Assurez-vous de vous connecter à https://mail.google.com avec un certificat valide, puis à tout votre trafic entre votre ordinateur et les serveurs GMail sont cryptés. Cela inclurait toutes les informations sur votre compte, y compris le nom d'utilisateur avec lequel vous êtes connecté.

Pour compléter les réponses de @ David et @ Steve:

• Si l'attaquant ("Adam", dans votre cas) a un accès administratif à votre machine, alors il peut apprendre tous vos des secrets. L'installation d'une autorité de certification racine supplémentaire, sous son contrôle, pour exécuter la routine interception MitM sur vos connexions SSL est un outil populaire pour les administrateurs système honnêtes (mais curieux): c'est un- une installation qui ne sera pas compromise par les mises à jour logicielles et n'entraînera pas de problèmes de compatibilité avec d'autres logiciels tels que l'antivirus. Cependant, un administrateur système curieux qui souhaite que son espionnage reste discret dispose de nombreuses autres options, telles que l'installation de keyloggers, d'outils de capture d'écran et généralement le pillage des données directement depuis la RAM de la machine.

• Si l'attaquant n'a pas accès aux entrailles de votre machine, alors il doit être tenu à l'écart de vos échanges SSL. Il pourra toujours remarquer quand vous vous connectez à Gmail et observer la taille exacte des éléments de données échangés avec Gmail. Il pourra probablement déterminer la longueur (en caractères) de votre adresse Gmail.

  Comme le fait remarquer @Steve, une adresse Gmail n'est pas conçue pour être un secret et fuira dans plusieurs places. Dans tous les cas, en tant qu'adresse e-mail , elle est nécessairement partagée avec d'autres personnes (celles qui vous envoient des e-mails) et ne peut donc pas être considérée comme vraiment secrète.

  Si vous utilisez Google+ (indexé par votre adresse e-mail), l'administrateur système malveillant remarquera votre activité et pourra la mettre en corrélation avec une activité visible sur certains comptes Google+ candidats. Après tout, s'il est après vous, alors il est intéressé par vous, et peut tout aussi bien faire preuve de dévouement et vous suivre avec compétence.

Comme le dit David, le fournisseur de votre réseau ne peut généralement pas voir les données transmises via les connexions https.

Cependant, votre adresse Gmail n'est pas nécessairement transmise uniquement via les connexions https. Par exemple, si vous vous connectez à StackExchange à l'aide de votre compte Gmail secret et que vous visitez la version http (et non https) de votre page de profil utilisateur, votre adresse Gmail vous est envoyée de manière non sécurisée dans le contenu de cette page. Le fournisseur de votre connexion réseau pourrait alors le voir. La même chose peut être vraie pour d'autres sites qui utilisent https pour la connexion OAuth mais pas pour tout le trafic.

De plus, comme le souligne user49372, si Adam est prêt à monter un homme actif -in-the-middle attaque, et si vous vous connectez à StackExchange en utilisant votre adresse Gmail secrète, il pourrait injecter des éléments dans votre trafic http normal qui redirigeraient votre navigateur vers la version http de votre page de profil StackExchange.

Alors oui, il y a des moyens imaginables pour Adam ou Ike de l'apprendre même en supposant qu'ils ne peuvent pas interférer avec votre machine ou surmonter la sécurité fournie par https.

En utilisant l'idée de Steve Jessops, votre fournisseur pourrait injecter des iframes ou des redirections dans votre trafic http normal, ce qui chargera votre profil sur stackexchange non sécurisé avec http ou toute autre page faisant de même.

La seule réponse que je n'ai pas vue ici est celle qui concerne les environnements d'entreprise, comme le mien, où les machines d'entreprise accèdent au 'net via un filtre / proxy, ce qui permet aux "administrateurs" d'inspecter le trafic SSL, en forcer les machines clientes à faire confiance au certificat SSL du filtre Web / proxy Web. Le filtre Web / proxy Web usurpe ensuite l'identité de l'ordinateur client auprès de Google (ou de tout autre service en ligne), télécharge le contenu, puis le transmet à l'ordinateur client en usurpant l'identité de Google (ou de tout autre service en ligne) au client.

Il s'agit, en fait, d'une attaque MITM, mais c'est assez courant pour que je pense que cela mérite d'être mentionné, en particulier.

Si vous accédez au réseau via un proxy ou un filtre configuré pour inspecter le trafic SSL , puis à vos administrateurs , tout ce qui est fait via https est visible comme s'il avait été envoyé en texte brut.