Le recours portait sur les recherches systématiques effectuées par la National Security Agency sur le trafic Internet entrant et sortant des États-Unis, « y compris les e-mails, messages et communications Web privés des Américains », précise l'ACLU.
Ce programme de « surveillance en amont » est autorisé par l'article 702 du Foreign Intelligence Surveillance Act (FISA), qui autorise l'interception des communications internationales des Américains, « sans mandat, tant qu'il cible des personnes situées en dehors des États-Unis à des fins de renseignement étranger ».
La Cour suprême a invoqué le « privilège des secrets d'État », qui « permet au gouvernement de retenir des informations dans le cadre de procédures judiciaires si leur divulgation porterait atteinte à la sécurité nationale », explique l'ONG défense des libertés.
L'ACLU avance que « cette surveillance gouvernementale a eu un effet dissuasif mesurable sur les utilisateurs de Wikipédia, des recherches documentant une baisse du trafic vers des articles de Wikipédia sur des sujets sensibles » suite aux révélations Snowden en 2013.
Cependant, l'ACLU ne précise pas que, depuis, la majeure partie du trafic Internet (et la totalité des pages de l'encyclopédie Wikipedia) est désormais chiffrée, le protocole HTTPS empêchant la NSA d'avoir accès aux URL des pages consultées sur Wikipedia (ou autre), seuls les noms de domaine pouvant donc être interceptés.
L'ACLU précise cela dit que l'article 702 expirera cette année, « à moins qu'il ne soit réautorisé par le Congrès ».
Commentaires (27)
#1
Ouais, alors, méfiance vis à vis du HTTPS, du Man In The Middle est toujours possible.
À une échelle moindre, j’ai une photo d’écran d’un Firefox qui trouve bizarre que le certif pour www.google.com soit signé par htm-group-root-CA.
Oui, HTM, l’ancien nom de l’entité qui regroupe Boulanger, B’dom, Électro Dépot, etc, et qui s’appelle maintenant United b, depuis le rachat des magasins Krefel et Hifi en Belgique et au Luxembourg.
Normal qu’un Firefox sous Linux trouve ça louche.
Mais un Windows sur un PC “normal” administré par l’info Boulanger ?… J’ai pas trop de doute sur leur capacité à installer leur propres certificats en lieu et place des véritables certif de Google (et autres sites).
Explication de l’info ? “ah, c’est une erreur de configuration d’un firewall”
Ouais, et quelqu’un a forgé par erreur un faux certificat pour www.google.com ?
Si des anciens collègues me lisent ici, méfiez-vous, votre navigation, même HTTPS est peut-être espionnée.
#1.1
Aucune”erreur de configuration” ici, c’est tout a fait normal qu’un employeur vérifie et bloque le trafic internet indésirable sur un PC professionnel d’entreprise ! Il en va de sa responsabilité ! Faites vos recherches/navigation perso sur du matériel perso !
#1.2
Et la marmotte, elle met le chocolat …
#2
Il faut voir ce que propose f5. Cherche “f5 visibilité ssl” la communication est assez parlante. Je connais des entreprises qui ont déployé ça en France. C’est légal si les utilisateurs sont informés et si le dispositif est “proportionné”.
#3
Effectivement, la plupart des antivirus qui font de l’inspection “web” installent leurs propres certificats pour faire du MITM et ça pose pas mal de soucis de sécu et d’éthique (genre quand l’outil est Russe).
Concernant Boulanger, c’était un ordinateur acheté chez eux avec une solution de sécurité “Boulanger” ?
#3.1
Machine pro, mais installation perso de Debian (faut bien que je bosse, qu’est-ce que je ferais d’un Windows ?)
C’est pour ça que j’ai pu détecter l’arnaque. Sur les machines officielle qui font tourner le Windows officiel, je pense que ça ne se serait jamais vu.
Oh, en passant, le DHCP du réseau donne 8.8.8.8 comme DNS, mais la machine au bout de ce 8.8.8.8 n’est pas celle de Google, c’est une machine de SFR/Completel, le fournisseur se solution/service réseau de Boulanger.
Encore un autre moyen de bloquer et d’espionner
#3.2
Dans un cadre pro, l’employeur a tout à fait le droit de faire ceci quand c’est annoncé (généralement dans la charte informatique que tu as peut-être signée sans la lire avec suffisamment d’attention).
#3.3
J’ai pas le souvenir d’une quelconque charte informatique. Et si il y en a eu une, je n’ai jamais vu de clause là-dessus
#3.4
Définir le « cadre pro » pour commencer, et ensuite c’est pas aussi simple que « juste l’annoncer ».
Exemple : une entreprise fournit un accès internet (via wi-fi ou ethernet) à ses visiteurs (commerciaux, clients, fournisseurs, prestataires, formateurs, comptables, auditeurs et consultants, etc.). Sachant qu’une “visite” peut durer aussi bien une heure que plusieurs semaines (formation ou prestation principalement).
C’est un « cadre pro » ou pas ? Je suppose que oui. Est-ce que ça autorise à savoir ce que le visiteur fera avec l’accès fourni ou bien est-ce de l’espionnage ?
Étendons la question : si on considère que c’est de l’espionnage, et que l’entreprise s’assure alors que les visiteurs ont à disposition un accès non surveillé (type DMZ), comment justifier que les employés n’y aient pas eux aussi accès pour protéger leur vie privée ?
#4
C’est moi ou le certificat du site Nextinpact est périmé depuis le mercredi 18 janvier 2023 à 15:26:59 ?
#5
C’est toi ;) C’est un let’s encrypt qui est valide jusqu’au 7 mai 2023.
#5.1
J’ai ça comme infos
Nom commun (CN) *.nextinpact.com
Organisation (O)
Unité d’organisation (OU)
Nom commun (CN) R3
Organisation (O) Let’s Encrypt
Unité d’organisation (OU)
Émis le jeudi 20 octobre 2022 à 16:27:00
Expire le mercredi 18 janvier 2023 à 15:26:59
Empreinte SHA-256 60 E6 5E DF 4D D9 34 8A 1D 78 3E 2D 2F 79 E3 CC DD DD D4 73 7A 7E 42 20 98 DA A8 DA 75 8F 1D FD
Empreinte SHA-1 D7 64 DE 69 5C DA 78 52 D8 88 10 12 C0 45 D7 B8 11 32 74 78
#5.2
Il t’a dit que c’est toi et je confirme.
#5.3
Tu n’as pas le bon certificat, et pas de messages d’avertissement de ton navigateur ?
Nom du sujet
Nom courant *.nextinpact.com
Nom de l’émetteur
Pays US
Organisation Let’s Encrypt
Nom courant R3
Validité
Pas avant Mon, 06 Feb 2023 08:04:50 GMT
Pas après Sun, 07 May 2023 08:04:49 GMT
Empreintes numériques
4:F4
7:B2:9E:C6:5D:FD:C7:BC:AB:FB:E0:1A
D:BD:63:33:16:93:59
6:5D:95:EB:74
0:A3
SHA-256 4C:C0:9A:22:3D:61:C6:01:B7:05:57
SHA-1 01:0D:5F:2C:4E:56:10:0F:1E:B2:4B:18:9D
#6
Par contre, c’est la bonne date sur Edge.
#7
Quel navigateur, quel OS, quelles versions des deux et “have you turned it off and on again” ?
#8
Nobody panic. Historique et cookies purgés et tout est rentré dans l’ordre.
Reste à comprendre pourquoi je n’ai pas eu d’alerte sur la date de péremption.
#9
Il ne parle pas de blocage, mais de redirection masquée vers un site qui usurpe l’identité d’un autre pour induire les employés en erreur. Et dont la seule finalité que j’y vois serait de les espionner … Ce genre de pratique est clairement répréhensible, rien à voir avec un simple blocage.
Quelle responsabilité ?
À titre purement personnel, jamais ne n’irais bosser pour un employeur qui ne tolérerait pas que je fasse qq trucs persos sur mon poste (mails / news pendant mes pauses, etc.). La #flexibilité, c’est pas juste un hashtag pour faire du marketing …
#10
Effectivement, après, il y a la loi et la jurisprudence sur le respect du salarié (et de sa vie privée). Et là, c’est une autre histoire.
C’est fréquent que 2 lois (ou bien plus…) s’affrontent sur le même sujet, genre terrorisme et informatiques et libertés sur la conservation (et la durée) des historiques de connexion…
#10.1
Perso, une fois j’ai fait un stage dans une entreprise et l’accès était totalement proxyfié avec identifiants. Impossible de se connecter au net. Il n’y a que le chef du service qui avait accès au web. Après pour leur défense ce n’était pas un service où l’accès internet était indispensable, je ne sais pas ce qu’il en était ailleurs.
Par contre, plus flippant, j’étais sur un des PC, quand j’ai vu tout d’un coup ma souris bouger toute seule. Un des mecs de l’info avait pris le contrôle du PC, pourquoi ? Sans doute parce qu’il fallait surveiller que le stagiaire fasse pas de connerie… Ça m’a tellement surpris que j’ai arraché le câble réseau
#10.2
Rooooh, yep, flippant !
Ça me rappelle deux missions :
Arcelor : les internes ont deux PC, un pour l’accès au net, aux mail, toussa. Et un pour bosser … Accès au outils de dév, et aux lignes de production. Séparation physique ou VLAN, je sais pas, mais séparation efficace me semblait-il.
Pour les consultants, c’est dév et prod uniquement. Pas pratique pour du dév, fini les copier-coller de Stack Overflow ;-)
TCB (Thalès Communication Belgium) : c’était drôle. Accès internet contrôlé par proxy avec authentification. Sauf que j’ai pas pigé comment faisait corkscrew, mais ce petit utilitaire arrivait à passer outre, et ensuite, open bar, surtout avec un tunnel SSH … Champions du monde …
Ouais, j’aime pas “les gens de l’info”, j’ai toujours l’impression qu’ils sont là pour mettre des bâtons dans les roues et empêcher les gens de bosser … C’est pas leurs freins qui ont empêché une assistante de direction de cliquer sur un PDF d’un faux mail DHL. Résultat : Zepto, un jour 1⁄2 chaumé, + le week end pour “les gens de l’info” pour scanner une à une toutes les bécanes de la boite, yeah ! Heureusement que le truc est apparu louche à une collègue qui est venue me poser la question. Let me Google that for you … Zepto ? Wow, Zepto ! ALARM !!!
#11
Il faut l’accord de ton employeur pour virer le Windows que ça te plaise ou non… dans le cas contraire, ça peut être motif de licenciement. (idem pour le fait d’installer à côté un linux, et potentiellement même sur une VM).
#11.1
Ah bah vu la réactivité et l’ouverture d’esprit de l’info, j’ai bien fait de pas attendre …
Déjà qu’après 10 là-bas, les seuls à savoir quel est mon métier, c’était mes deux collègues directs, et assez bien mon manager … De l’utilité des entretiens annuel pour caler les armoires des RH …
#12
C’est en général annexé au Règlement Intérieur de la structure.
#13
Responsabilité de la sécurité de l’infrastructure. Ça peut s’entendre sur certains réseaux ou certaines machines. Par exemple j’ai déjà vu des machines dédiées à manipuler les serveurs de production, totalement hermétique. Ou alors pour les serveurs en questions, filtrer les sites autorisés et faire du MitM pour analyser (antivirus) les fichiers récupérés par les serveurs.
#14
C’est pas malin de passer outre les mesures de sécurité dans une société qui bosse dans le domaine de la défense.
Quand je bossais dans ce domaine, un prestataire qui aurait été pris à faire ça aurait été raccompagné immédiatement à la sortie et sa boîte aurait eu des problèmes.
Surtout que tu n’as pas l’air de comprendre ce que faisait le logiciel que tu utilisais.
Il faisait un tunnel vers un serveur de proxy https. Si tu ne savais pas quel proxy il utilisait, tu mettais en danger toutes les données qui passaient par ce logiciel et surtout tu pouvais récupérer des saloperies qui pouvaient compromettre le réseau interne.
#14.1
J’ai dit que je ne savais pas comment il faisait pour sortir de TCB. J’ai pas dit que je ne savais pas où il allait : chez moi.
Après, pas malin, risqué, avec conséquences si pincé, ok, peut-être, mais corkscrew lui a l’air plus malin que l’info d’une boîte dont le nom laisse penser qu’ils s’y connaissent.
Pas malin non plus de faire venir des gens et ne pas leur donner accès à une ressource dont il est carrément difficile de se passer, si ce n’est inconcevable.
Alors, ouais, je suis joueur, et j’ai pas perdu cette fois là.
Parce que oui, ça m’est arrivé de “perdre” une fois. Mais au moins, j’ai bien rigolé quand j’ai vu le prestataire d’une boîte spécialisé dans la sécu, chargé d’autopsier mon serveur fautif ! “C’est quoi le mot de passe de root ?” qu’il m’a demandé ! J’y croyais pas, pour l’analyser, il l’avait booté et voulais juste utiliser le compte root de l’OS. Même pas un boot sur une distrib live. Pffffffffff.