Question:
Mon service informatique peut-il lire mes chats Google Hangouts au travail?
Jack
2014-08-20 09:36:29 UTC
view on stackexchange narkive permalink

Les Hangouts Google sont-ils chiffrés? Les informaticiens de mon travail pourraient-ils voir les images et le texte que j'envoie sur un ordinateur de travail? Oui, je sais que je ne devrais pas envoyer des trucs que je ne veux pas qu'ils voient au travail, mais ce n'était pas au travail. J'utilise également des hangouts sur mon téléphone et je viens de réaliser que j'utilise le plug-in Chrome pour les hangouts au travail et qu'il synchronise toutes mes conversations.

Vous pouvez contourner ce problème en vous déconnectant du plugin du navigateur lorsque vous n'êtes pas à votre bureau. Il ne se synchronisera pas * beaucoup * avec vos hangouts de bureau, sauf si vous faites défiler la discussion vers le haut. Cela synchronisera toujours une conversation si quelqu'un à qui vous parliez sur votre téléphone vous parle pendant que vous êtes connecté à votre bureau.
Mieux vaut utiliser un ordinateur personnel pour éviter le risque d'avoir qui sait quel logiciel installé dessus.
@logixologist Cela ne prouve cependant pas qu'ils le font. Même si c'était quelque chose de si obtus qu'il vous a convaincu qu'il scannait ce que vous avez écrit, vous ne pouvez pas vraiment prouver que c'était le cas. Vous avez peut-être raison, mais restons fidèles aux faits et non aux hypothèses et aux préjugés anti-Google.
@patricksweeney c'est à peu près leur modèle commercial: des publicités ciblées. Que ce soit le mal est une opinion personnelle, bien sûr. Quoi qu'il en soit, cela n'a vraiment rien à voir avec ce que le PO demande.
Peut-être. Je sais que les messages de chat Facebook sont envoyés via HTTP, même si vous visitez la page FB via HTTPS. Ainsi, tous les messages de discussion sont lisibles dans les journaux
@logixologist Google est assez ouvert sur l'analyse du contenu du site (y compris, bien sûr, le contenu généré par les utilisateurs sur les sites Google tels que Gmail) pour sélectionner les annonces à afficher: voir [1] (https://support.google.com/adsense/ answer / 9713? hl = en) [2] (http://www.dailytech.com/Google+Yes+we+Read+Your+Gmail/article33184.htm) et [3] (http: //www.theguardian .com / technology / 2014 / apr / 15 / gmail-scans-all-emails-new-google-terms-clarifier). La vraie question est, (1) quelles sont les limites de ce que ces «systèmes automatisés» font avec l'information, et (2) est-ce que des humains peuvent accéder à l'information?
En d'autres termes, ceux qui font confiance à Google lui font confiance pour limiter son utilisation de ces informations aux utilisations évidentes liées aux fonctionnalités et aux publicités, plutôt que de, par exemple, les stocker et / ou les vendre à d'autres entreprises.
@logixologist: * "Cela signifie qu'ils l'ont transcrit et m'ont ensuite envoyé des publicités ciblées non sollicitées basées sur un mot-clé." * Bien sûr, ils vous ont ** dit ** qu'ils allaient le faire lorsque vous vous êtes inscrit et avez accepté les CGU. Vous n'avez peut-être pas «sollicité» leur envoi d'annonces, mais vous y avez consenti.
Six réponses:
Andrey
2014-08-20 11:06:36 UTC
view on stackexchange narkive permalink

Vous devez supposer qu'ils le peuvent. Ils peuvent le faire de diverses manières, mais le fait de le faire dépend des normes et des pratiques de l'entreprise. Certaines des options:

  1. Il est possible d'installer des certificats racine supplémentaires sur les machines de l'entreprise et de les utiliser pour MITM tout le trafic (le trafic passe de toute façon par la passerelle / proxy de l'entreprise, et ayant un certificat racine convivial sur l'utilisateur 'sPC permet de faire un MITM complet);
  2. Il est possible d'installer un "logiciel de surveillance des employés", qui est essentiellement un key logger + process monitor + screen grabber. Certains outils ont la capacité d'intercepter localement les messages reçus dans les chats.
  3. Il est possible d'utiliser des outils d'accès / de collaboration à distance pour surveiller ce qui se passe sur l'écran d'un PC particulier.

En bref, si vous n'avez pas le contrôle sur le PC sur lequel vous travaillez (et avec les postes de travail de l'entreprise, vous ne pouvez généralement pas supposer qu'il est exempt de tels implants de surveillance.

J'espère que c'est pas trop effrayant :)

Bons points, vous pouvez également bénéficier d'une technologie d'inspection approfondie des paquets
Faisant écho à ce qui précède, techniquement c'est parfaitement faisable. En pratique, les données sont-elles réellement examinées? En tant qu'administrateur système moi-même, je ne soupçonne pas. Même les jours de détente, il y a beaucoup plus de choses intéressantes à faire que de voir si nous pouvons surprendre un collègue en train de faire quelque chose qu'il ne devrait pas faire! :RÉ
Cela dépend du pays dans lequel vous vous trouvez (je suppose que c'est légal dans certaines juridictions et une sorte de zone grise dans d'autres) et des circonstances particulières (par exemple si la personne en question est soupçonnée d'un acte répréhensible). De nombreuses fuites de données, par exemple, sont confirmées / identifiées de cette manière (elles peuvent cependant être automatisées dans une large mesure).
Probablement pas l'endroit pour les questions juridiques, mais comment cela ne serait-il pas hautement illégal (avec des sanctions sévères) dans la plupart des pays civilisés (je veux dire, c'est un contournement à grande échelle des communications Internet cryptées des gens - SSL)? Je veux dire que ce serait une chose pour la NSA de le faire, mais une entreprise privée ne pourrait pas tirer ce genre de chose et ne pas s'attendre à une peine de prison dure, non?
Je fais bien sûr référence à l'attaque MITM et au faux scénario d'autorité de certification - inspecter le contenu de votre PC de travail ou utiliser un logiciel de surveillance est une chose différente que de nombreuses entreprises font ouvertement.
Je suis d'accord, cela ressemble à une violation des droits, mais il semble aussi que ce soit plutôt courant, par exemple. aux États-Unis (http://it.slashdot.org/story/14/03/05/1724237/ask-slashdot-does-your-employer-perform-https-mitm-attacks-on-employees). L'argument principal est «Notre matériel - nos règles», ce qui a également un sens (rappelez-vous, nous parlons de la surveillance par l'employeur du trafic à partir d'appareils dont il est légalement propriétaire).
@fjw Cela serait considéré comme légal aux États-Unis car presque tous les employeurs demandent à leurs employés de signer une politique d'utilisation acceptable qui comprendra une disposition indiquant quelque chose comme "Vous n'avez aucune attente en matière de confidentialité sur notre réseau et / ou matériel, et toutes vos communications sont soumis à surveillance ". Les employés donnent donc leur consentement aux employeurs pour ce faire.
Quelle est la différence entre 2 et 3? Un «outil de support» est aussi un «outil de suivi des employés» dès lors qu'il ne nécessite pas d'autorisation de l'employé pour regarder le contenu de son écran.
@CraineRunton Je suis au courant des accords des employés qui suppriment les attentes en matière de confidentialité, mais je ne vois pas comment cela pourrait annuler le fait qu'une attaque MITM contre SSL serait un acte * criminel *, pas civil. Les organisations peuvent surveiller et surveillent l'activité des employés, et peuvent le faire par tout moyen légal (y compris tout logiciel de surveillance côté client qui capture l'activité sur le PC lui-même), mais essayez-vous de me dire que le fait de mener un Attaque MITM contre SSL, ou prétendez-vous plutôt qu'un accord d'employé peut d'une manière ou d'une autre légaliser un acte illégal?
Je suis heureux de me tromper là-dessus s'il n'y a pas une telle loi, mais j'ai du mal à croire que dans un pays où c'est un acte * criminel * (pas seulement civil) de contourner le cryptage sur un DVD, qu'il Il n'y a pas de loi similaire sur le contournement de SSL.
@fjw: il n'y a pas (AFAIK) d'interdiction légale des attaques MITM contre SSL en elles-mêmes. Si le SSL était utilisé pour protéger du contenu protégé par des droits d'auteur, vous pourriez vous heurter au DMCA. Il est criminel de contourner une mesure de protection du droit d'auteur, mais (encore une fois AFAIK) il n'y a pas d'interdiction pénale de ce type en général de contourner les mesures de sécurité qui ne protègent pas le droit d'auteur. Il est également potentiellement criminel d'utiliser un système informatique sans autorisation, mais cela ne s'applique pas ici car l'employeur ofc a la permission d'utiliser * leur * système.
Quoi qu'il en soit, les lois ne naissent pas simplement parce qu'il semblerait raisonnable et cohérent de les avoir, elles existent parce que quelqu'un les a écrites et que le Congrès les a adoptées. Dans la pratique, cela se produit généralement parce que quelqu'un a fait du lobbying pour eux. Dans le cas de la plupart des lois sur les droits d'auteur, «quelqu'un» est Disney (en fait plus que Disney, mais les médias), et Disney n'est pas du tout intéressé par SSL. Enfin, l'entreprise ne peut de toute façon pas (juridiquement parlant) contourner SSL, puisque l'employé a choisi d'utiliser les certificats racine de l'entreprise, qui autorisent le proxy de l'entreprise à se présenter comme n'importe quel domaine.
@CraineRunton: C'est une pratique courante avec certaines grandes entreprises que je connais (et j'en conclus que c'est courant pour la plupart des entreprises), pas seulement celles basées aux États-Unis. Le MITM d'entreprise (automatisé) et les logiciels de surveillance se produisent à peu près sur chaque ordinateur. La réalité est, malheureusement, même dans les juridictions où cela est illégal, la ligne du bas est simplement: _fuck vos droits_. L'employeur présente un document que vous devez signer, et si vous voulez conserver votre emploi (ou entre-temps, car il est déjà en place: si vous voulez être embauché), vous le signez et ne vous plaignez pas.
@fjw - Si votre employeur est propriétaire de la machine que vous utilisez, il est légitime d'installer des certificats qui lui permettent de mettre fin au trafic SSL (a.k.a faire une "attaque" MITM), et * il n'y a aucune ** attaque ** en cours *. C'est une simple configuration de leurs propres possessions. Le fait d'ignorer que SSL ne vous mettra pas à l'abri de l'observation ne rend pas leurs actions criminelles (tout comme, si votre employeur vous informait que des caméras étaient utilisées et que vous essayiez de cacher des actions aux caméras mais échouiez, vous n'auriez aucun recours. ). S'ils déclarent que vous n'avez AUCUNE attente en matière de confidentialité, vous ne devez PAS vous attendre à la confidentialité. C'est si simple.
Tant que je n'ai aucun moyen de connaître les qualifications juridiques des personnes qui me répondent, je n'ai pas d'indicateur de la confiance en ces réponses. Je n'aurais probablement pas dû en parler ici pour cette raison. ErikE, en particulier, votre réponse se concentre sur la terminologie: si vous pouvez utiliser le mot «attaque» pour décrire cette méthode de contournement de SSL avec différents certificats ou non (d'un point de vue technique (non légal), MITM * est * une attaque). Alors que d'autres commentaires, qui semblent plus convaincants, m'ont informé qu'il n'existe pas de loi de ce type rendant illégale le contournement / les attaques sur SSL.
@fjw - il est légal dans l'UE pour une entreprise d'enregistrer toutes les communications entrantes / sortantes en utilisant tous les moyens disponibles. Les contrôles sont basés sur ce qui arrive au contenu du message; tout humain travaillant avec le matériel doit cesser de le faire dès qu'il constate qu'il est personnel et qu'il ne peut rien y faire. Les employeurs agissant sur la base d'informations provenant de messages personnels ont donné lieu à des poursuites.
La seule partie déroutante de ceci pour moi est la raison pour laquelle quelqu'un pourrait penser qu'il a le «droit» de détourner les ressources de l'entreprise.
@Michael Comment cette mauvaise utilisation des ressources de l'entreprise? De nombreuses entreprises autorisent une utilisation personnelle acceptable d'Internet / des ordinateurs au travail. Certains en font même la promotion, car il existe des études qui montrent que les travailleurs sont plus productifs lorsque vous n'essayez pas de restreindre l'accès à certains sites Web sur le lieu de travail, mais même lorsque cela est encouragé, il reste à savoir s'il est surveillé.
Google n'utilise-t-il pas l'épinglage de certificats pour empêcher MITM?
Hybrid
2014-08-20 11:28:11 UTC
view on stackexchange narkive permalink

Oui si vos données Google Hangouts ont été synchronisées avec votre ordinateur professionnel, le service informatique pourrait les consulter. Cependant, ne paniquez pas encore, à moins qu'ils ne le cherchent , il est extrêmement improbable qu'ils le voient.

Il y a trois endroits où le service informatique pourrait le voir:

En transit

Lors de la synchronisation des données de votre Hangout, si votre service informatique surveille le trafic sur le réseau, il aurait pu le voir. Comme BigBob1000 le dit, il est crypté (HTTPS), mais de nombreuses entreprises installent des certificats de confiance sur leurs ordinateurs, puis man-in-the-middle leurs propres ordinateurs pour décrypter tout le trafic HTTPS. Il est probable que même s'ils faisaient cela, ils n'auraient pas enregistré les données, juste que vous vous soyez connecté à Google.

Au repos

C'est un problème plus plausible mais toujours incroyablement improbable, Chrome (tous les navigateurs) cache les éléments. Donc, plutôt que de télécharger la même image de Google une centaine de fois, il la télécharge une fois sur votre disque dur de calcul, puis l'utilise à chaque fois. Je ne suis pas sûr de ce que Chrome met en cache pour les hangouts, mais une supposition éclairée serait qu'il s'agit d'images de profil de vos contacts et d'autres images, mais pas du texte de vos conversations.

Vous pouvez vider votre cache, votre service informatique peut encore avoir une sauvegarde, mais la plupart des emplacements ne sauvegardent pas les bureaux, uniquement les serveurs.

En mémoire

Honnêtement, je mets juste celui-ci pour être complet. EDIT: Après avoir vu la réponse d'Andrey, il soulève un bon point, c'est plus plausible que je ne le pensais. Il pourrait y avoir un logiciel de surveillance des employés qui enregistre les journaux de discussion.

Je pense que les captures d'écran à intervalles x (ou aléatoires) (pour le contenu réel) seraient plus courantes que n'importe laquelle d'entre elles - "En transit" sera probablement implémenté en premier.
Les captures d'écran @user2813274 sont probablement le moyen le plus efficace et le plus infaillible de contrôler ce que fait réellement l'utilisateur.
Il y a aussi le problème que même s'ils sont techniquement capables (probablement), ils peuvent ne pas être légalement autorisés à le faire (dans certaines juridictions, les communications personnelles sont confidentielles, et si vous n'avez pas signé une déclaration générale ...). Donc, s'ils l'ont accidentellement connecté et que vous avez découvert cela, vous pourriez avoir une bonne affaire contre eux pour espionnage.
@ Ángel Même en supposant que c'est vrai, je ne pense pas vraiment que ce soit pertinent. S'ils voient quelque chose qu'ils n'aiment pas, ils peuvent vous renvoyer. À ce stade, vous aurez probablement une bataille longue, coûteuse et douloureuse. Donc, à toutes fins pratiques, vous devez supposer qu'ils peuvent le faire et le feront, et que vous n'avez pas de re-cours.
@Patrick-m, Je ne considère pas qu'il soit trop pertinent d'interroger _s'ils le peuvent_ (je suis d'accord qu'il devrait avoir ses discussions non synchronisées), mais c'est intéressant sur la question _s'ils vont_ réellement aller aussi loin pour le faire (secrètement, sans vous en informer). Que quelque chose soit illégal peut être une bonne incitation à ne pas le faire :)
HopelessN00b
2014-08-20 18:39:44 UTC
view on stackexchange narkive permalink

Bien que ce soit certainement possible, la question la plus pertinente est "quelle est la probabilité que mon service informatique se soucie?" (À moins que vous ne fassiez quelque chose qui pourrait vous faire renvoyer ou vous arrêter, naturellement.)

En plus de cela, l'autre considération est qu'il en coûte beaucoup d'argent pour stocker le trafic Web de tout le monde, donc le le contenu des messages et des requêtes Web n'est généralement pas stocké pendant une période de temps significative - cela coûte beaucoup d'argent pour stocker ces informations et les rendre consultables, et il y a rarement une raison commerciale de le faire.

Take ça de la part d'un informaticien - vous n'êtes pas si intéressant, et je n'apprécie pas les demandes de «regarder» les activités des autres employés. J'ai mieux à faire que d'espionner l'utilisation des médias sociaux ou la navigation sur le Web, donc même lorsque je suis explicitement invité à le faire, je n'ai pas l'air plus difficile que nécessaire pour me conformer à mes ordres. Sur mon lieu de travail, cela implique l'envoi par e-mail d'un rapport prédéfini au demandeur avec des statistiques de haut niveau sur les activités d'un utilisateur - combien de demandes Web effectuées au cours d'une certaine période, à quels domaines ces demandes ont été faites et une ventilation de ces demandes par catégorie de site Web. - et ce n'est que lorsque je ne peux pas me permettre de dire «non» aux demandes concernant ce qu'un employé fait en ligne.

Tous les I.T. mec ressent la même chose que toi. Je parie que vous pourriez trouver cet âne gung-ho dans votre organisation qui apprécierait l'expérience d'attraper quelqu'un «abusant» des ressources de l'entreprise dans le cadre de son travail.
@Kristopher Bien sûr, c'est pourquoi j'ai dit que la question la plus pertinente était de savoir si le service informatique était concerné. Je ne. D'autres personnes / monstres de contrôle de crétin pourraient le faire.
Josh Bond
2014-08-20 22:30:45 UTC
view on stackexchange narkive permalink

Si votre entreprise a installé un produit nommé "Google Vault", alors oui, votre service informatique, ou toute personne autorisée à accéder à Vault, peut lire vos messages et photos Hangouts non chiffrés.

Google Vault est une plate-forme de découverte électronique - https://support.google.com/vault/answer/2462365?hl=fr

La seule façon pour eux de ne pas pouvoir lire vos messages Hangouts est de ont désactivé l'historique pour chaque discussion. Dans Google Chat, cette option est nommée «Chat off the record». Dans Hangouts, il s'appelle "Historique des Hangouts". Tout ce qui est saisi après la désactivation de l’historique n’est pas enregistré.

Pour voir ce que vos informaticiens peuvent voir: ouvrez votre compte Gmail dans le navigateur Chrome et cliquez sur le libellé "Chats" trouvé après avoir développé le bouton "Plus". La suppression de ce que vous trouvez dans cette étiquette ne vous aidera pas, car une fois qu'elle existe, elle existe pour toujours ou jusqu'à l'expiration de la politique de Google Vault.

@Jack implique qu'il n'utilise pas le compte Google Apps de son entreprise pour envoyer des messages personnels via Hangouts. Si je comprends bien, s'il utilise son compte personnel, l'entreprise ne peut pas accéder à ses conversations Hangout via le coffre-fort. À moins, bien sûr, que je manque quelque chose.
John U
2014-08-20 18:10:14 UTC
view on stackexchange narkive permalink

Oui - vous devriez vraiment supposer que n'importe qui peut lire tout que vous faites en ligne n'importe où , n'importe quand . S'ils possèdent le réseau, alors doublement. S'ils possèdent l'ordinateur que vous utilisez, triplement avec les boutons activés.

Sous un autre angle, si vous faites des choses sur l'ordinateur de travail ou dans l'environnement de travail que vous Je ne veux pas que le travail soit au courant , vous ne devriez probablement pas le faire . La loi de Murphys nous dit que cela va mal tourner pour vous à un moment donné.

En supposant que le service informatique soit des modèles de permissivité bienveillante et / ou ignorant / incompétent, il suffit d'un collègue qui vous n'aime pas (peut-être parce que vous passez trop de temps sur des hangouts alors que vous devriez travailler, par exemple) pour regarder par-dessus votre épaule, ou un crash d'ordinateur en milieu de session, ou un virus informatique inattendu, ou un nouveau bogue passionnant dans Google Hangouts qui apporte votre machine vers le bas, pour exposer tout ce que vous ne vouliez pas être exposé.

Encore une fois, au son de celui-ci, le jour où votre téléphone portable est perdu / volé, quelqu'un a beaucoup de chantage matériel sur vous de toute façon. Le problème avec les choses que vous mettez sur Internet, c'est qu'elles sont sur Internet.

udonsoup16
2014-08-22 03:44:37 UTC
view on stackexchange narkive permalink

Cela dépend ... un moyen simple est de simplement demander à l'IT. service:

Vous: salut, je suis curieux de savoir si nos chats et e-mails de messagerie instantanée sont sauvegardés ou stockés pour des raisons de conformité. Si j'ai besoin de récupérer un chat à partir de Google Hangouts pour des raisons juridiques, est-ce possible?

J'ai travaillé dans la finance où 100% de toutes les communications ont été enregistrées dans notre bureau conformément à la réglementation gouvernementale, y compris les appels téléphoniques, les chats sur n'importe quel client de messagerie instantanée (nous avions un logiciel spécial qui lui était dédié), etc.

Il y a de fortes chances que vous ne soyez pas activement surveillé, mais vos habitudes de navigation peuvent déclencher un pare-feu de bureau pour des violations répétées, ce qui peut entraîner un examen minutieux si c'est ridicule (tonnes de pornographie, utilisation de la bande passante obscène, téléchargement / téléchargement constant 24/7 tels que torrents ou spotify).

E-mails oui si vous utilisez leur domaine ou envoyez à un domaine de messagerie professionnel.

EDIT: une chose à surveiller est la sécurité du bâtiment. Si le I.T. département mis en place ou payé pour les caméras comme je l'ai fait, nous pouvons vous espionner à 100% à tout moment et même avoir des déclencheurs de zone pour nous alerter. Un D-bag que je connais a permis à la sécurité du bâtiment d'enregistrer les temps d'entrée pour marquer les travailleurs en retard sans qu'ils le sachent, alors que l'entreprise n'était qu'un locataire. Si vous le pouvez, dites à la sécurité de refuser toute demande d'accès à ces informations provenant d'un tiers, car elles seront utilisées contre vous si possible.

Pays strict, ou salle des marchés côté vente: "J'ai travaillé dans la finance où 100% de toutes les communications étaient enregistrées dans notre bureau conformément à la réglementation gouvernementale, y compris les appels téléphoniques, les chats sur n'importe quel client de messagerie instantanée."
USA ... nous avons été condamnés à de lourdes amendes pour les enregistrements manquants, donc la société enregistre tout. Si votre société a un stockage / enregistrement médiocre et que vous êtes ciblé par les régulateurs ... vous allez passer un mauvais moment.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...