Inspection SSL

[minicray]

Bonjour à tous,

Bien que je consulte le site depuis de nombreuses années, je post ici pour la première fois, j'espère donc ne pas commettre d'erreur dans le fond comme dans la forme. Je travailla pas dans l'informatique de près ni de loin, pas plus que les réseaux, et mes connaissances dans le domaine sont limités, ceci explique les erreurs de formulation / terminologie qui pourraient apparaître dans les lignes suivantes.

Venons-en au sujet : l'inspection SSL.

La situation : Cela fait quelques temps déjà qu'au boulot, on nous impose un filtrage Internet très restrictif et un déchiffrage de tous les flux chiffrés.

Cela ne me plaisant pas vraiment, je me suis mis en quête de savoir comment cela fonctionne et comment rétablir le chiffrement de mes données, non pas pour accéder à tel ou tel site bloqué, mais surtout pour garantir l'aspect confidentiel (au moins au sein de l'entreprise) des données que j'échange sur Internet.

De ce que j'ai compris, un équipement sur notre réseau intercepte les clefs publiques (RSA ?) lors de l'établissement d'une connexion ssl/tls. Cet équipement (proxy ?) se fait passer pour le site et a accès la la clef privée (AES ?), ce qui lui permet d'accéder à l'intégralité de nos données en clair. Ensuite il rétabli une connexion chiffrée jusqu'au serveur distant sur Internet.

Solution 1 : Tous les sites que j'ai pu consulté me renvoie vers la solution d'un tunnel ssh, via stunnel ou openssh. Cependant, si j'ai bien compris cela ne fonctionnera pas, car lors de l’établissement de la connexion, la clef publique sera interceptée et tout le contenu du tunnel sera déchiffré et donc accessible par l'entreprise.

Solution 2 : Créer un tunnel chiffrant les données à l'aide d'une clef privée déjà stockée en local avant que la connexion soit établie. Je ne sais pas faire cela.

Solution 3 : Réseau 4G. C'est la solution que j'utiliserai en dernier recours.

 

Voilà où j'en suis rendu. Si quelqu'un peut m'aider, je lui serai très reconnaissant ! Merci d'avance.

[Aloyse57]

D'un point de vue éthique, que faites vous au boulot que vous vouler cacher à votre employeur ?

Si vous en êtes là, utilisez votre téléphone cellulaire, pas le matériel de l'entreprise, comme ça, plus de soucis...

Je scanne+log régulièrement et aléatoirement les ordinateurs de la compagnie (desktop, laptop,terminal, cell). Si je choppais un employé en train de tenter d'établir une connexion avec l'extérieur qui permettrait de sortir des données de la compagnie, et bien tant pis pour lui. Idem s´il va sur internet au lieu de bosser.

C'est très risqué ce que vous faites/voulez faire, à mon avis. Ceci dit, les us et coutumes françaises ne sont pas les mêmes qu'au Canada.

[L33thium]

c'est visiblement un proxy, cela dit il n'intercepte pas les clés comme tu le pense.

En fait tu négocie une connexion ssl (ou non) avec un certificat ssl au nom du proxy, entre ton poste et le proxy
et le proxy négocie une connexion sécurisée entre le site visé et lui-même.
Donc les données sont déchiffrée sur le proxy mais y a pas de "vol" de clés.

Pour vérifier si c'est le cas, connecte toi à facebook par exemple et vérifie que le certificat est au nom de facebook et non à celui de ta compagnie.
Si c'est bien celui de facebook, ton admin ne peux pas voir les données en clair et donc tu a une connexion directe.
Sinon il va falloir scanner pour trouver un port laissé ouvert et monter un VPN ou un tunnel ssh a joindre chez toi ou chez un hébergeur.

[minicray]

Il y a 11 heures, Aloyse57 a écrit :

D'un point de vue éthique, que faites vous au boulot que vous vouler cacher à votre employeur ?

Si vous en êtes là, utilisez votre téléphone cellulaire, pas le matériel de l'entreprise, comme ça, plus de soucis...

Je scanne+log régulièrement et aléatoirement les ordinateurs de la compagnie (desktop, laptop,terminal, cell). Si je choppais un employé en train de tenter d'établir une connexion avec l'extérieur qui permettrait de sortir des données de la compagnie, et bien tant pis pour lui. Idem s´il va sur internet au lieu de bosser.

C'est très risqué ce que vous faites/voulez faire, à mon avis. Ceci dit, les us et coutumes françaises ne sont pas les mêmes qu'au Canada.

Merci de ta réponse.

D'un point de vue éthique, je ne fais rien de particulier sur les postes informatiques au boulot. Tout mon traffic "perso" je l'effectue depuis mon téléphone et pendant les pauses. Je m'intéresse à contourner l'inspection ssl davantage pour des raisons idéologiques. Par contre je ne risque pas grand chose, étant donné que le règlement n'interdit pas d'établir des connexions avec des serveurs distants (mais là, ça dépasse mes compétences, et je ne connais ni les protocoles ni les ports utilisés).

Il y a 7 heures, L33thium a écrit :

c'est visiblement un proxy, cela dit il n'intercepte pas les clés comme tu le pense.

En fait tu négocie une connexion ssl (ou non) avec un certificat ssl au nom du proxy, entre ton poste et le proxy
et le proxy négocie une connexion sécurisée entre le site visé et lui-même.
Donc les données sont déchiffrée sur le proxy mais y a pas de "vol" de clés.

Pour vérifier si c'est le cas, connecte toi à facebook par exemple et vérifie que le certificat est au nom de facebook et non à celui de ta compagnie.
Si c'est bien celui de facebook, ton admin ne peux pas voir les données en clair et donc tu a une connexion directe.
Sinon il va falloir scanner pour trouver un port laissé ouvert et monter un VPN ou un tunnel ssh a joindre chez toi ou chez un hébergeur.

Merci de ta réponse.

Le certificat est bien au nom de l'entreprise, apparemment il semble être installé dans l'OS et non pas dans le navigateur (chrome).

Si je trouve un port laissé ouvert, dans l'optique de créer un tunnel ssh chez un hébergeur, existe-t-il un moyen de vérifier que le proxy ne déchiffre pas cette connexion ?

[L33thium]

le proxy ne peut rien déchiffrer si on ne lui donne pas les clés. C'est le but du chiffrage.
j'ai tenté de t'expliquer comment il faisait mais visiblement j'ai pas été assez clair

dans le cas d'une connexion directe :
ton poste <- certificat ssl facebook -> facebook.com

Et dans le cas du proxy :
ton poste <- certificat ssl de ta boite -> proxy <- certificat ssl facebook -> facebook.com

le proxy négocie lui-même la connexion sécurisée avec le site donc il a la clé de la connexion mais toi tu ne l'a pas, il t'en donne une autre entre lui-même et ton poste.
et il ne peut faire ça que sur https, pas les autres protocoles, donc un vpn marchera ou marchera pas, mais il pourra pas être déchiffré sur la route.

[RaphAstronome]

Il y a 11 heures, minicray a dit :

Par contre je ne risque pas grand chose, étant donné que le règlement n'interdit pas d'établir des connexions avec des serveurs distants (mais là, ça dépasse mes compétences, et je ne connais ni les protocoles ni les ports utilisés).

Je ne serais pas aussi catégorique. Le problème avec les chartes floues c'est qu'en cas de problème c'est ceux qui peuvent sortir les meilleurs "spécialistes" qui gagnent quitte à faire du gros enfumage technique. De plus sans aller jusqu'à être viré tu risques d'être plus ou moins mis au placard ce qui est guère mieux. Je serais de toi j'éviterais.

[minicray]

Merci à vous pour vos réponses.