Suis-je protégé du logiciel de surveillance réseau si HTTPS est utilisé?

Je vais me connecter à mon compte bancaire et à mes comptes de messagerie personnels au travail. Ce n'est pas interdit au travail, mais je ne veux tout simplement pas qu'ils enregistrent / enregistrent une copie de tout ce que je fais avec ces services. Surtout mes mots de passe.

Si le service utilise une connexion HTTPS, mon entreprise pourra-t-elle suivre / enregistrer / enregistrer mes mots de passe que j'utilise pour ces services? qu'en est-il du contenu des pages?

Encore une fois, les règles de mon entreprise n'interdisent pas l'utilisation de mon compte de messagerie personnel ou des services bancaires par Internet, mais je ne veux simplement pas qu'ils connaissent des informations importantes à ce sujet. Ce n'est pas grave s'ils savaient que j'en utilise, mais ils ne devraient pas avoir accès à mes mots de passe.

Puis-je les utiliser en toute sécurité (sachant que mon entreprise ne peut enregistrer aucune de ces données) si HTTPS est utilisé?

PS Je ne suis vraiment pas un gars du réseau et je ne sais pas trop comment ces choses fonctionnent. Veuillez donc ne pas donner de réponses RTFM.

Avant de répondre: si un navigateur vous avertit qu'un site utilise un cryptage médiocre ou fournit des informations d'identité incorrectes, il est important de lire l'erreur, de la comprendre et de bien réfléchir si vous souhaitez continuer.

Réponse courte: Oui, si vous utilisez un appareil de confiance

Longue réponse:

Si quelqu'un surveille votre connexion à partir d'un autre ordinateur (quelque part entre vous et votre banque) et que vous utilisez HTTPS, et qu'ils utilisent des certificats signés avec un algorithme suffisamment solide, alors vous êtes en clair. (À moins qu'ils n'enregistrent les données pendant des années et les lisent plus tard après la rupture de l'algorithme - mais ils feraient probablement mieux de pénétrer dans votre maison et de voler vos affaires;)).

Si c'est votre banque, il y a de fortes chances qu'ils utilisent des certificats signés avec un chiffre suffisamment fort. Vous pouvez le vérifier en regardant les informations SSL de la page, qui devraient être affichées si vous regardez les informations de la page, cliquez sur le nom bleu ou vert à gauche dans la barre d'adresse avec Firefox 3.5, ou cliquez sur le verrou pour la droite dans la barre d'adresse dans IE8. Firefox affichera également l'algorithme de cryptage utilisé si vous sélectionnez Plus d'informations après avoir cliqué sur la zone colorée.

Si vous ne faites pas confiance à l'appareil que vous utilisez pour vous connecter (tel qu'un ordinateur qui n'est pas le vôtre et qui aurait pu être modifié par d'autres), cela est plus préoccupant. Maintenant, votre lieu de travail ne va probablement rien faire d'illégal comme regarder vos informations bancaires; mais il est possible que SSL soit compromis si votre système est compromis. Il se peut que votre ordinateur soit configuré pour accepter des certificats signés par un proxy (l'inspection du certificat ou l'épinglage de certificat empêcherait cela). Cependant, la surveillance peut être n'importe où - un enregistreur de frappe n'aurait même pas besoin de vaincre SSL pour capturer vos informations bancaires, par exemple. SSL fait en sorte que vous n'avez pas besoin de faire confiance à la connexion entre deux points de terminaison de confiance, mais si le point de terminaison lui-même n'est pas approuvé, tous les paris sont désactivés.

Non, pas nécessairement. Votre entreprise peut envoyer votre connexion via un proxy qui agit en tant qu'intermédiaire. C'est-à-dire que tout le trafic HTTPS va de votre machine au proxy, y est décrypté, analysé, crypté et envoyé au serveur. Votre machine n'utilisera pas le certificat de sécurité du serveur, mais le proxy en générera un pour le site Web donné et vous l'enverra, vous avez donc vraiment deux connexions HTTPS: de vous au proxy et du proxy au serveur.

Dans d'autres cas, la société doit disposer d'un serveur de certificats pour générer un certificat. Normalement, le navigateur s'opposerait ici et se plaindrait que l'autorité de certification n'est pas approuvée, mais bien sûr, cela peut être remplacé par des stratégies de groupe et autres.

Ce n'est pas nécessairement un acte criminel de la part de l'employeur, car cela peut faire partie d'un concept anti-virus ou pour des raisons légales.

Dans votre navigateur, regardez le certificat. Surtout, regardez l'autorité de certification. Si le certificat est émis par une "vraie" autorité de certification comme Thawte, VeriSign etc., cela signifierait que vous utilisez celui du serveur et que vous devriez être en sécurité. Cependant, s'il est émis par quelque chose comme "YourCompany-AV" ou similaire, alors vous avez un proxy man-in-the-middle.

D'une manière générale, vous êtes en sécurité, car lorsque vous visitez le site Web de la banque via une connexion https, toutes les données comme le nom d'utilisateur et le mot de passe sont cryptées, il est difficile de les décrypter en très peu de temps, à moins qu'elles ne connaissent très bien l'algorithme de cryptage . Cependant, il existe d'autres attaques telles que l'enregistreur de clés, l'homme au milieu fonctionnera s'il est bien informé. Faites toujours attention à l'environnement avant de saisir les informations sensibles.

Si vous utilisez une machine appartenant à l'entreprise et que vous avez accepté les politiques de l'entreprise, il peut y avoir des problèmes spécifiques à votre entreprise. Sans connaître d'autres détails, je dirais que vous devriez être en sécurité, mais je dois équilibrer cela avec une mise en garde. Techniquement, c'est possible, mais si vous menez une vie "normale", il y a beaucoup de choses auxquelles vous êtes confronté chaque jour qui présentent un risque beaucoup plus probable pour vos données personnelles que le scénario que vous demandez.

Quelques éléments de base à prendre en compte. L'entreprise peut toujours savoir quels sites vous visitez et pendant combien de temps. Les données peuvent être cryptées, mais elles doivent toujours être routées afin que l'adresse à partir de laquelle les données vont et viennent soit exposée.

Les conseils fournis dans d'autres réponses sur la façon de tirer parti des fonctionnalités de sécurité de votre navigateur sont bons. J'ajouterai que vous devriez prendre un moment pour revoir les politiques de votre entreprise concernant les données personnelles sur les machines de travail.

Les banques utilisent généralement un cryptage 128 bits ou plus. Vérifiez les propriétés de leur certificat SSL, ou même demandez à l'un de leur support technique de découvrir de quoi il s'agit. Si elle est inférieure à 128, je suggère de ne pas l'utiliser. Mais si c'est 128 ou plus, ça devrait aller. À moins que quelqu'un sur le réseau avec Ettercap, Wireshark, Shijack et une énorme puce sur leur épaule ait quelque chose contre vous. Cependant, si cela vous inquiète, alors n'utilisez simplement pas la banque nette au travail. Là encore, qu'est-ce qui empêche quelqu'un de casser votre ordinateur à la maison pour obtenir vos informations bancaires? Vous êtes probablement plus en sécurité au travail. Mes gestionnaires pouvaient à peine vérifier l'historique de mon navigateur - j'aimerais les voir casser un cryptage SHA1-RSA fourni par un certificat SSL.

En fait, vous êtes en sécurité simplement parce que les administrateurs réseau ont généralement de meilleures choses à faire. Techniquement, non, vos données ne sont pas sécurisées. Vous n'avez pas dit dans quel domaine vous étiez, mais le travail dans les centres d'appels, par exemple, aura des systèmes extrêmement surveillés. Le chiffrement des données n'a pas d'importance si les frappes sont enregistrées et si l'écran est capturé dans le cadre d'un fonctionnement normal. Si vous craignez que les administrateurs soient enclins à consulter les informations de votre compte bancaire, N'UTILISEZ PAS votre ordinateur de travail pour effectuer des opérations bancaires.

Les entreprises utilisent souvent des proxys et des pare-feu pour l'analyse du réseau, mais vous pouvez être sûr que le trafic https ne peut être détecté par aucun d'entre eux. C'est le principe de base de https, pour empêcher une attaque d'homme au milieu.

Il est possible de sauvegarder des paquets et de briser le cryptage rsa plus tard, bien qu'Internet étant basé sur la commutation de paquets, il est peu probable qu'un attaquant ait suffisamment de substance pour reconstituer les paquets TCP.

Tout et n'importe quoi est possible.