Déchiffrement SSL (NetAsq) et Législation Fr

Déchiffrement SSL (NetAsq) et Législation Fr - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 29-04-2013 à 09:21:32    

Bonjour à tous,
 
Nous venons de réaliser un upgrade de nos NetAsq en V8 vers V9 (pour la petite histoire ceux-ci sont en HA et nous avons été impactés par un bug qui nous a forcé à downgrader en V8 il y a un an).
Bref, la migration est OK, nous avons ajusté la configuration à la nouvelle version et tout semble fonctionner comme attendu (et parfois même mieux).
 
Avec l'arrivée de la V9 il est maintenant possible d'utiliser le déchiffrement SSL, permettant d'utiliser le filtrage du NetAsq pour les connexions sécurisées (antivirus, réputation, etc...)
Je me pose donc les questions suivantes (pour une entreprise sur le sol Français) :

  • Quel est le cadre légal encadrant ce type de filtrage ?
  • Dois-je demander une autorisation ou procéder à une déclaration à la CNIL ?


Merci d'avance pour votre participation.


---------------
Feed-back
Reply

Marsh Posté le 29-04-2013 à 09:21:32   

Reply

Marsh Posté le 30-04-2013 à 21:37:58    

Bonjour,
 
Je pense qu'une charte indiquant aux utilisateurs que le contenu de leur navigation peut-être récupéré est nécessaire. Après concernant la CNIL, il est normalement obligatoire de faire une déclaration si tu dois faire une analyse sur les logs.
 
À mon avis faudrait les contacter pour leur demander ce qu'ils ont l'habitude de faire dans des situations similaires.
 

Spoiler :

Sinon pour ma culture perso, ça se passe comment techniquement ? C'est un "moteur" qui génère à la volée des certificats au nom du site accédé par l'utilisateur comme peut le faire un Blue Coat ?

Reply

Marsh Posté le 01-05-2013 à 23:33:53    

euh...
moi qui ai toujours cru que le https était totalement sécurisé, sauf si une partie tierce (ici ton netasq) dispose d'une copie du certificat du site ..
 
pour bluecoat, j'ai un pc qui tourne avec k9, capable de filtrer le 443; mais je pense qu'il ne décrypte pas, mais qu'il regarde en fonction du dns..
 
c'est pas avec ce genre de merde que la syrie a mis ces citoyens sur écoute, et que ms ont été pointés du doigt pour avoir filé des certifs skype/hotmail pour décrypter le https de tout un pays?
 
il m'a toujours semblé que ce protocole ne pouvait pas être déchiffré..
 
et je doute que ce soit légal ..

Reply

Marsh Posté le 02-05-2013 à 11:44:10    

Salut,
 
pour le HTTPS, c'est légal du moment que tu préviens les utilisateurs (via autorisation + charte + déclaration cnil).
 
Le NetAsq se positionne comme Man In The Middle. Il intercepte le flux HTTPS, propose SON certificat à l'utilisateur au lieu de celui du site distant, et rechiffre le flux derrière.
Tu peux diffuser le certificat SSL du NetAsq sur tes postes clients pour éviter d'avoir les beaux warnings de certifs SSL non valides.
 
De la doc intéressante : http://www.olfeo.com/sites/olfeo/f [...] idique.pdf

Reply

Marsh Posté le 02-05-2013 à 22:36:05    

Merci pour la précision technique :).
 
Donc c'est bien ce que je pensais : c'est une mini PKI qui génère des certificats à la volée au nom des sites web visités.

Reply

Marsh Posté le 03-05-2013 à 09:32:08    

Tout d'abord, je vous remercie pour vos participations et je m'excuse de ne pas avoir répondu plus tôt !
 
En ce qui concerne le mode de fonctionnement, effectivement il convient d'installer une autorité de certification sur tous les postes du parc afin d'éviter d'avoir des alertes. Par contre il existe une fonction intéressante : il est possible de définir des règles de non-déchiffrage (par exemple pour les établissements bancaires).
 
Pour le côté légal, j'en suis arrivé aux mêmes conclusions : déclaration CNIL + charte informatique (j'ai même pu lire qu'il fallait l'accord du salarié).
SSL c'est bien mais c'est la merde quand ton job c'est de de sécuriser le réseau et que tu peux pas savoir ce que les users échangent avec l'extérieur.
Bref, tout ça me semble bien complexe, je pense que je ne vais pas l'implémenter pour le moment.

Message cité 1 fois
Message édité par dam09fr le 03-05-2013 à 09:33:05

---------------
Feed-back
Reply

Marsh Posté le 03-05-2013 à 10:49:21    

dam09fr a écrit :

SSL c'est bien mais c'est la merde quand ton job c'est de de sécuriser le réseau et que tu peux pas savoir ce que les users échangent avec l'extérieur.


 
Si je peux me permettre, savoir ce que les users échangent avec l'extérieur ne sécurisera pas ton réseau.

Reply

Marsh Posté le 03-05-2013 à 11:01:40    

frnl a écrit :


 
Si je peux me permettre, savoir ce que les users échangent avec l'extérieur ne sécurisera pas ton réseau.


 
Ah bon ?
 
- un virus téléchargé sur un site en https va être détecté qu'une fois sur le poste client alors que le proxy aurait pu s'en occuper en amont
- un pc infecté qui initie une communication vers le site en https du hackeur pour un reverse shell sera détecté (et si possible arrêté :D)

Reply

Marsh Posté le 19-07-2014 à 15:42:03    

remi_ a écrit :

Salut,
 
pour le HTTPS, c'est légal du moment que tu préviens les utilisateurs (via autorisation + charte + déclaration cnil).
 
Le NetAsq se positionne comme Man In The Middle. Il intercepte le flux HTTPS, propose SON certificat à l'utilisateur au lieu de celui du site distant, et rechiffre le flux derrière.
Tu peux diffuser le certificat SSL du NetAsq sur tes postes clients pour éviter d'avoir les beaux warnings de certifs SSL non valides.
 
De la doc intéressante : http://www.olfeo.com/sites/olfeo/f [...] idique.pdf


 
 
Je sais que ce poste est un peu vieux, mais je souhaitera savoir comment je récupère le certificat  du netask pour le déployer sur mes postes.
Je sais que l'on peu aussi acheter un certificat puis le mettre sur le netasq mais je ne sais pas comment.
Si quelqu'un connait la méthode je suis preneur. Merci

Reply

Marsh Posté le 19-07-2014 à 18:54:44    

Comment ça récupérer le certificat ?

 

Le certificat d'AC qui est déployé sur le proxy est généré selon tes besoins :

 

- autosigné,
- signé par une AC racine ou intermédiaire.

 

Techniquement, c'est toi qui déploie ce certificat sur ce proxy. Tu peux donc le récupérer aisément.

 

Concernant l'obtention d'un certificat depuis une société externe (si tu parles de ça quand tu dis "acheter" ). Je ne sais pas s'il existe ce genre de contrat mais ça me paraît utopique qu'une boite te file un certificat d'AC te permettant de signer tout ce que tu veux comme bon te semble en son nom :pt1cable:.


Message édité par _ToM_343 le 19-07-2014 à 18:57:23
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed