Ceci est une tentative de question canonique suivant cette discussion sur Meta . L'objectif est de produire des réponses de base qui peuvent être comprises par le grand public.
Disons que je navigue sur le Web et utilise différentes applications tout en étant connecté au réseau au travail. Mon employeur (qui contrôle le réseau) peut-il voir quels sites Web je visite, quels e-mails j'envoie, mes messages instantanés, quelles chansons Spotify j'écoute, etc.? Que voient-ils?
Est-ce important si j'utilise mon propre ordinateur, ou celui fourni par mon employeur? Peu importe les programmes que j'utilise ou les sites Web que je visite?
Même si vous n'êtes pas sûr, supposez toujours oui. Même si vous êtes sûr, ils pourraient avoir un contrat avec le FAI, un administrateur voyou qui a installé un enregistreur de paquets, une caméra vidéo qui attrape votre écran ... oui.
Tout ce que vous faites sur le lieu de travail est visible par tous. Surtout tout ce que vous faites sur les médias numériques. Des choses particulièrement personnelles. Surtout des choses que vous ne voudriez pas qu'elles voient.
L'une des règles de base de la sécurité de l'information est que quiconque a un accès physique à la machine possède la machine. Votre employeur a un accès physique à tout: la machine, le réseau, l'infrastructure. Il peut ajouter et modifier des politiques, installer des certificats, jouer l'homme au milieu. Même les sites Web avec "SSL" peuvent être interceptés. Il existe de nombreuses raisons valables à cela, principalement liées à leur propre sécurité réseau (antivirus, journalisation, interdiction d'accès à certains sites ou fonctionnalités).
Même si vous avez de la chance et qu'ils ne peuvent pas voir le contenu de vos messages, ils pourraient toujours voir beaucoup d'autres choses: combien de connexions vous faites, vers quels sites, combien de données vous avez envoyées, à quels moments ... même lorsque vous utilisez votre propre appareil, même en utilisant une connexion sécurisée, les journaux réseau peuvent être assez révélateurs.
S'il vous plaît, lorsque vous êtes au travail, ou utilisez un ordinateur de travail, ou même en utilisant votre propre ordinateur sur le réseau de l'entreprise: supposez toujours que tout ce que vous faites peut être vu par votre employeur.
Vous pouvez être surveillé de deux manières: soit ce que vous faites sur votre ordinateur est enregistré sur votre ordinateur, soit le trafic Internet qu'il génère est enregistré ailleurs sur le réseau.
Il existe de nombreuses façons d'empêcher l'espionnage sur le trafic pendant le transport, mais si ce n'est pas votre ordinateur (ou smartphone ou tablette), il est toujours possible qu'un type de logiciel de journalisation soit installé qui puisse potentiellement surveiller tout ce que vous faites sur l'appareil, aucune exception. Il en va de même si vous avez autorisé votre employeur à falsifier l'appareil, par ex. installer des logiciels.
Maintenant, ce n'est peut-être pas aussi probable que votre trafic soit enregistré, car de nombreux employeurs qui ne travaillent pas dans une zone de haute sécurité peuvent ne pas en valoir la peine, mais c'est toujours une possibilité très réelle. Par conséquent, si vous utilisez un appareil fourni par votre employeur, il peut potentiellement voir tout ce que vous faites, quelles que soient les précautions que vous prenez.
Disons donc que vous utilisez votre propre appareil et que votre employeur n'y a rien installé (peut-être que vous connectez votre téléphone intelligent privé au Wi-Fi du bureau). Peuvent-ils toujours voir quelles pages Web vous visitez en surveillant le trafic réseau?
Cela dépend si vous utilisez HTTP simple ou si vous utilisez HTTPS. Si l'adresse que vous visitez commence par https://
cela signifie que la communication est cryptée - le S signifie Secure - mais si elle commence par http://
ce n'est pas. Vous pouvez également vérifier s'il y a une icône de cadenas dans la barre d'URL - voir les instructions pour Firefox ici .
Il y a cependant de grandes mises en garde:
https://example.com/secret
votre employeur pourra voir que vous avez visité example.com
, mais pas que vous ayez visité spécifiquement la page secret
, ce qui y était écrit ou tout ce que vous avez publié.Nous faisons plus sur Internet que de simplement visiter des pages Web avec un navigateur. Votre ordinateur et votre téléphone ont probablement installé des dizaines d'applications qui utilisent Internet d'une manière ou d'une autre. Et ceux-là?
Malheureusement, c'est un peu plus opaque. Par défaut, le propriétaire du réseau peut lire (et modifier) tout ce que vous envoyez ou recevez sur celui-ci. Pour arrêter cela, une sorte de cryptage doit être utilisé.
Si une application spécifique utilise ou non un cryptage (correctement implémenté), il est difficile de le savoir, sauf si les créateurs de l'application en font la publicité active (et que vous leur faites confiance ...). Certaines applications, telles que WhatsApp , utilisent le cryptage alors que d'autres non. Je vous recommande de supposer que le trafic n'est pas chiffré à moins que vous ne le sachiez.
Ça dépend. Pour être prudent, il peut être judicieux de supposer que oui, et de simplement faire des affaires sensibles à partir de votre propre réseau domestique privé.
Afin de faire un argument efficace, nous étudierons la possibilité de la façon dont l'espionnage peut être fait.
Il convient de noter: toutes les entreprises ne surveilleront pas votre comportement, même si elles en ont l'occasion. Il s'agit d'une enquête strictement hypothétique. Nous seulement étudions la possibilité d'espionnage, pas comment votre employeur l'utilise. La façon dont vous supposez que votre employeur se comporte entre vous et votre employeur.
Cela dit, il y a des points cruciaux à considérer lors de l'examen du degré de possibilité d'espionnage:
Si vous utilisez du matériel appartenant à un empolyer, c'est probablement le pire des cas. Votre employeur dispose d'un large éventail d'outils parmi lesquels choisir pour déterminer comment espionner. Si vous utilisez le matériel de votre employeur, tout est possible: tout peut être surveillé . Les employeurs ont une autonomie complète lors de la configuration du matériel. Les enregistreurs de frappe, les enregistreurs d'écran, les manipulateurs de paquets et les rappels ennuyeux de continuer à travailler ne sont qu'une petite liste de ce qui peut être installé sur l'ordinateur sans votre consentement car ce n'est pas votre ordinateur. Il est impossible de vérifier que quelque chose a été falsifié en toute confiance . Même si vous parvenez à utiliser un réseau différent (peu probable), les données peuvent passer entre n'importe quel nombre de matériel avant d'atteindre votre moniteur. Comme indiqué précédemment, c'est probablement le pire des scénarios.
Vous travaillez dans une société de production vidéo. Le logiciel essentiel à l'objectif de votre poste est coûteux et gourmand en ressources, vous disposez donc d'une machine créée par l'entreprise avec une suite logicielle Adobe, Blender, etc. à utiliser lorsque vous êtes au bureau. Votre chef d'équipe semble laisser entendre qu'il en sait beaucoup sur les détails du projet sur lequel vous travaillez, alors vous décidez d'étudier le logiciel installé sur l'ordinateur. Heureusement, la fenêtre "désinstaller un programme" à l'intérieur du Panneau de configuration de Windows ne montre rien de suspect.
Ensuite, vous vous souvenez de cet article sur comment les programmes peuvent être cachés du panneau de configuration . Le seul moyen est alors d'afficher le registre, ce qui n'est pas possible lorsque vous n'avez pas le compte administrateur (vous n'en avez pas). Aucun compte administrateur, aucune assurance.
Quiconque a déjà utilisé Kali Linux peut vous dire que les réseaux peuvent être vulnérables (et le sont généralement). Mais surveiller/manipuler avec Kali et surveiller/manipuler votre réseau local sont deux jeux de balle complètement différents. Le contrôle du réseau vous donne accès à tout le trafic à partir de toutes les adresses MAC. Parfois, le trafic sera brouillé (crypté), parfois ce sera du texte brut (non crypté). Cependant, tout le trafic est limité à la surveillance. Seules les choses que vous faites sur le réseau sont visibles; s'il n'est pas en réseau, vous êtes en sécurité *.
Le trafic non crypté est dangereux. Quiconque écoute peut voir ce qui entre et sort de votre carte Ethernet/sans fil et où exactement cela va. Ce n'est pas bon si vous voulez masquer exactement ce que vous envoyez à travers les fils (un commentaire sur un article de blog, un fichier envoyé à un serveur FTP ou un e-mail envoyé sur un serveur SMTP n'utilisant pas SSL). Pour être sûr ici, utiliser TLS/SSL vous gardera en sécurité. Cela cryptera les informations envoyées sur la ligne, en gardant le contenu à l'intérieur du paquet entre vous et le serveur.
Cependant, vous devez également considérer que même avec TLS/SSL, la possibilité de surveillance est toujours présente. Les "métadonnées", ou données sur vos données, peuvent toujours être collectées en raison de la façon dont votre ordinateur effectue des requêtes sur le réseau. Vous devez toujours informer le routeur connecté à Internet d'où vous souhaitez obtenir des informations ou où elles doivent aller. Les réseaux privés virtuels ajoutent une protection contre ce niveau d'espionnage ** en chiffrant tout le trafic réseau et en l'envoyant à un routeur ailleurs, se faisant passer pour vous.
Vous décidez d'apporter votre propre poste de travail après le précédent fiasco de la confidentialité. Après l'avoir connecté au réseau, tout se passe bien. Cependant, vous remarquez que votre chef d'équipe a soulevé un sujet de discussion qui vous a beaucoup rappelé le commentaire que vous avez fait sur un babillard. Comme avant, vous décidez d'enquêter. Vous lisez sur security.stackexchange.com et découvrez que vous pourriez avoir eu vos informations espionnées. En défense, vous commencez à crypter tout votre trafic à l'aide d'un VPN. Après de nombreux autres articles de blog, vous remarquez que les conversations ont tendance à se dérouler de manière moins fluide. Succès!
*: Attention ici, car certains logiciels non utilisés sur Internet peuvent toujours envoyer des informations d'utilisation en arrière-plan. Il est recommandé d'en informer l'utilisateur à l'avance (cochez ici pour envoyer des statistiques d'utilisation anonymes à la société X), mais pas toutes.
**: Il est possible de bloquer les VPN par adresse MAC ou en utilisant un DNS alternatif pour empêcher les connexions aux VPN. C'est une pratique courante chez certains FAI.
Pour le dernier point, nous commencerons par notre exemple:
Soudain, votre employeur commence à mentionner des sujets similaires au babillard électronique que vous suivez à nouveau. Vous vous dites: "Mais attendez! Mon matériel est sécurisé et mon trafic est derrière un VPN! Comment est-ce possible?!"
Parfois, le moyen le plus simple de collecter des informations consiste à les rechercher. Regardez littéralement. Des caméras, en regardant par-dessus votre épaule, en utilisant des jumelles pour regarder votre écran à travers la pièce, en regardant votre ordinateur alors qu'il est encore connecté et que vous êtes dans la salle de bain, etc. Ces "méthodes médiévales" de fouiner peuvent être grossières, mais je préfère marcher jusqu'à l'ordinateur de quelqu'un et découvrir ce que je veux savoir par rapport à faire tout le travail acharné de surveillance de réseau/matériel.
En outre, c'est sans doute le plus difficile à défendre sans apporter de changements importants dans votre comportement physique et votre espace, dont certains peuvent ne pas être possibles dans l'enceinte d'un bureau. Je laisse suffisamment d'exemples et de solutions à ceux qui sont paranoïaques pour s'inquiéter et résoudre ces problèmes, car certains sont extrêmement fastidieux (imaginez utiliser une authentification à deux facteurs combinée à une analyse biologique et ... vous obtenez le point).
Oui. Qu'ils le fassent ou à quel niveau ils les contrôlent, c'est une question pour votre entreprise. Habituellement, vous trouverez la politique de surveillance dans le manuel des employés de votre entreprise et généralement, il y a une section d'utilisation acceptable ou un autre document entier dédié à cela.
N'oubliez pas que certaines industries sont réglementées et que votre entreprise a non seulement le droit de surveiller toutes vos activités électroniques auxquelles elles peuvent être tenues par la loi.
Une bonne règle générale est ce que vous envisagez de faire sur Internet, si vous ne le faites pas avec votre patron assis à côté de vous, alors vous ne devriez pas le faire.
En ce qui concerne la partie concernant votre ordinateur privé, si vous le connectez au réseau de votre entreprise, l'activité que vous effectuez sur Internet est soumise aux politiques de votre employeur. C'est une mauvaise idée pour une entreprise de laisser même un appareil hors de son contrôle se connecter à son réseau. De nombreuses entreprises auront une politique qui l'interdit, et cela devient problématique pour vous si vous le faites même si vous n'avez rien fait qui soit une violation de leur politique d'utilisation acceptable.
Très probablement ... Surtout si sur un ordinateur d'entreprise. Cela étant dit, vous devez toujours supposer que vous êtes surveillé. Il existe plusieurs façons principales de vous surveiller.
Rappelez-vous, toujours agissez comme si vous étiez surveillé au travail. Même si vous êtes sur un ordinateur personnel, il peut y avoir une caméra de sécurité pointée sur votre écran, votre patron pourrait entrer de façon inattendue, etc.
Lectures complémentaires:
Dans des cas normaux, votre patron ne serait pas intéressé par ce que vous faites avec le réseau. Cependant, il pourrait décider de vérifier périodiquement. Répondre à votre question, tout réseau peut être surveillé par les propriétaires du réseau.
Que vous utilisiez ou non votre propre appareil n'affectera que le contrôle total dont ils disposent. Par exemple, si vous utilisez un ordinateur de bureau fourni, il est probable qu'il soit surveillé. Cependant, si vous utilisez le vôtre, ce ne sera pas le cas (sauf si vous êtes connecté à leur réseau, bien sûr). Néanmoins, les propriétaires du réseau pourront toujours surveiller le flux de trafic de leur réseau, ce qui signifie qu'ils peuvent surveiller les informations que vous envoyez.
Cela peut être évité en utilisant un proxy ou en cryptant les paquets réseau. Les inconvénients de l'utilisation d'un proxy au travail sont:
De plus, l'utilisation d'un proxy peut être partiellement bloquée (les fonctions de configuration du proxy peuvent être verrouillées) ou le réseau peut ne pas permettre d'y accéder.
L'autre option consiste à crypter les paquets réseau. Le principal inconvénient est que cela peut demander beaucoup de travail (bien que vous puissiez toujours utiliser un programme qui crypte toutes les sorties d'informations de votre ordinateur).
Ces deux dernières options partent de l'hypothèse que vous utilisez vos propres appareils. Vous ne devriez pas faire cela si vous utilisez un ordinateur fourni par l'entreprise, car cela pourrait irriter certaines personnes ...
En résumé, dans un appareil fourni par l'entreprise, ils peuvent surveiller et contrôler tout ce qu'ils veulent, et dans votre propre appareil, ils ne peuvent pas sauf si vous vous connectez à leur réseau.
Si je devais donner un conseil, je dirais que, comme un gestionnaire de système peut ne pas détester tous les sites que vous visitez (par exemple, je doute que cela les met en colère que vous utilisiez Spotify), vous devriez leur parler. Voyez ce qu'ils permettent et ce qui est interdit, et respectez-le. Chaque fois que vous devez utiliser un type de messager, utilisez-le, mais si vous voulez garder votre patron hors de vos conversations privées, utilisez des données mobiles ou une autre connexion.
J'espère que ma réponse a été utile.
Je dirais que cela dépend de l'entreprise. Les plus petits ne le font ou ne peuvent probablement pas. Les plus grands ont les ressources, mais il y a ensuite la question de ce qui est en danger.
Si votre travail vous oblige à accéder à des données personnelles généralement couvertes par les règles HIPAA, la réponse est probablement oui, car les entreprises ne peuvent pas se permettre le procès si vous échouez en téléchargeant des logiciels malveillants.
Si votre entreprise possède de nombreux secrets commerciaux ou brevets, la réponse est probablement oui, car elle ne veut pas les perdre face à ses concurrents.
Si votre travail nécessite d'accéder à des informations vitales pour la survie de l'entreprise - informations sur les investisseurs, conditions du marché, changements de personnel, poursuites en cours, etc., alors la réponse est probablement oui, car les entreprises ne peuvent pas payer les amendes de la SEC ou des tribunaux.
Il existe de nombreux outils couramment utilisés pour espionner l'utilisation d'Internet par les employés. Captures de paquets, serveurs proxy et logiciels intégrés aux serveurs, routeurs et postes de travail.
N'oubliez pas: vous êtes payé pour faire un travail, pas pour surfer sur Internet ni pour vérifier vos enchères eBay. Faites votre travail et justifiez de quitter l'entreprise pour obtenir les informations dont vous avez besoin.
[~ # ~] oui [~ # ~]
Peu importe si vous avez utilisé votre propre Internet sur l'appareil fourni par votre entreprise. Ils peuvent toujours vous suivre.
Par exemple, de nombreux logiciels installés dans le système suivent directement ce qui est ouvert dans le navigateur et où va toute demande Web. Des logiciels comme Activatrak font tout cela sans même que l'utilisateur sache ce qui se passe sur le système.
Si vous utilisez Internet depuis le routeur de l'entreprise, ils peuvent vous suivre en utilisant n'importe quel logiciel de suivi réseau. Par exemple observateur de réseau sans fil
Vous ne pouvez vous désinscrire de ce suivi que si vous avez votre propre appareil sur lequel vous avez utilisé votre propre Internet.
Cela dépendra de la taille de l'entreprise et de la somme investie dans son infrastructure réseau/sécurité.
Avez-vous besoin d'une authentification lorsque vous utilisez Internet? Avez-vous des filtres de contenu vous empêchant d'accéder aux sites de réseaux sociaux ou d'humour? Il est généralement accompagné d'un message Forcepoint ou BlueCoat.
Si vous travaillez pour une institution financière ou le gouvernement, la réponse est probablement oui.
Ils obtiendront une liste des URL et IP que vous avez visitées, sur YouTube, ils pourront voir l'URL et de là voir la vidéo que vous avez regardée.
Les e-mails internes et les services de messagerie instantanée seront visibles.
Est-ce important si j'utilise mon propre ordinateur, ou celui fourni par mon employeur?
Oui. Si vous utilisez un ordinateur/appareil mobile fourni par votre employeur, ils peuvent (même si ce n'est pas nécessairement ) voir tout, y compris tout type d'activité, sur n'importe quel programme. Ils peuvent même voir votre écran lorsque vous faites des choses. Cela est également valable si vous avez installé un programme/une application de votre employeur sur votre propre ordinateur (comme un logiciel VPN), même lorsque vous utilisez votre réseau domestique.
Peu importe les programmes que j'utilise ou les sites Web que je visite?
Oui et non. Si le matériel n'est pas le vôtre, voir ci-dessus. Si c'est le vôtre, vous n'avez installé aucune application depuis votre travail mais vous utilisez leur réseau, ils peuvent toujours voir tout ce qui se fait sur n'importe quel protocole non crypté (HTTP, FTP, DNS, BitTorrent, ...). N'oubliez pas que la plupart des sites et programmes/applications ne se soucient pas vraiment d'exposer ce que vous faites en ligne: ils utilisent simplement HTTP.
Si vous utilisez uniquement des protocoles chiffrés (HTTPS, FTPS, SFTP, SSH, ...), ils ne peuvent voir que les domaines que vous utilisez (quel que soit le programme) et la quantité de données que vous transférez. Cela peut toujours vous causer des ennuis, car les domaines révèlent souvent ce que vous faites.
Cependant, même en utilisant des protocoles sécurisés, ils peuvent toujours voir des données si l'application que vous utilisez ne met pas correctement en œuvre le protocole sécurisé. Par exemple, tout navigateur moderne (non altéré) détectera si l'entreprise essaie d'intercepter vos connexions HTTPS, mais certaines (peut-être la plupart) d'autres applications peuvent simplement utiliser HTTP ou ne pas vérifier la validité du certificat.
Et comme toujours, même en utilisant votre propre mobile, sur les réseaux des opérateurs mobiles, il peut toujours y avoir une caméra ou des regards indiscrets autour.