Bonjour !  
 
je vais me connecté à un site https depuis un poste de mon entreprise.  
Est que mon entreprise peut lire mon mot de passe si elle utilise des options spéciales dans leur routeur ou proxy etc... ?  
 
Merci !

Oui

OK merci de ta réponse Je@nb !
Pourrais-je avoir des détails techniques s'il te plaît ?

J'ai juste trouvé ça sur wikipedia mais doit y avoir d'autres sources plus techniques
http://en.wikipedia.org/wiki/Proxy_server
[quote]An important fact is that even secure https (SSL) connections can not protect from a sniffing proxy. It has been demonstrated that the SSL handshake can be intercepted on the proxy. The browser will show a secure, encrypted connection but the proxy is able to read everything in clear text. When encrypting email traffic through a proxy, one more technique is frequently used to stop the encryption: The proxy intercepts the email servers response to the encryption (TLS, SSL) request and fakes a negative response. Almost all email clients use a default setting that uses cleartext transfer in such a case. Using a proxy is always dangerous if you do not own or trust it, keep this in mind. Even high anonymity and privacy services like Tor or Cloakfish can not protect from these risks. Whenever a proxy is used you are at risk that someone "in the middle" can read your data.[/quote

a modérer.
la vraie reponse est NON.
mais elle devient oui parce que les users acceptent n'importe quel certificat.
Mais su tu vérifies que le certificat SSL présenté par le site en question est bon, alors NON, personne ne peut sniffer.

ok merci pour la précision, j'ai compris.
Le sniffing proxy est couremment utilisé dans les entreprises d'après toi ?
Yat-il une chance importante de ne pas être sniffé ?
 

ah ok trictrac, j'étais surpris !
Donc si je me conencte sur uen site sérieux genre cisco, google, hotmail... j'aurais pas de soucis !
 
(j'allais dire ça craint pour ceux qui rentrent sur le site de leur banque, ebay ...) loul
 
Merci quand même Je@nb d'avoir essayé de m'aider !

Après on peut (pas le premier venu c sûr) créer une fausse CA
http://www.win.tue.nl/hashclash/rogue-ca/

C'est la même routine... Rien n'est jamais sûr dans aucune communication, puisqu'il y a toujours un "man in the middle" quelque part entre son propre PC et le serveur distant.
 
Après, il faut aussi savoir arrêter la parano.

100 % sécurité ça n'existe pas ou "on dira" au mieux 99,9999... %.
 
Le MD5 avec SSL c'est fini (vulnérable). Les sites web SSL qui le proposent toujours sont à éviter.  
 
Trictac t'a répondu. En principe, à l'heure actuelle on ne pas lire le SSL qui est crypté (SHA-3, ...) qui passe par le proxy si tu utilises les bons certificats mêmes si ton administrateur réseau s'y met ("enfin, c'est pas pour 1er venu" ).

Oui vous dîtes tous ce que je pensais.
Merci quand même pour tes avertissements Je@nb
 
Et merci à tous !

oh, les enfants, on arrete de tergiverser.
OUI, https est couremment sniffé en entreprise (je le fais tous les jours) par man in the middle.
Mais pour une raison : les users sont des boeufs, qui acceptent n'importe quels certificats, et ne vérifient pas la conformité du certif.
NON, https n'est pas violable, si on prends la peine de vérifier la validité du certificat distant (fingerprint par ex).
Pour certaines appli bien faites, et certaines banque tout aussi bien faites, tu dois importer le certificat du server, et la, pas moyen de sniffer (obligé de mettre des exceptions dan sle proxy pour que le trafic passe sans etre intercepté).

 
 
 
Tu sniffes quoi exactement ? Des données cryptées ? (même avec un algorythme de merde)

bah du https.
Mon proxy fait de l'SSL interception, afin de passer meme le trafic https par l'antivirus.

 
Ton proxy a donc les certificats adéquates?

bah non, mais il est con : par défaut, il accepte les certificats de tous les sites distants.
Et il présente au client son propre certificat, qui est trusté par défaut dans le browser par GPO, pour que le user ait l'illusion d'une connexion secure.
Par contr, je le repete: pour les sites bien conçus, on doit faire des exception au niveau du proxy pour ne pas faire d'SSL interception, parce que sinon, ca fonctionne pas.