Ceci est une tentative de question canonique faisant suite à [cette discussion sur Meta] (https://security.meta.stackexchange.com/questions/2531/would-a-canonical-can-x-see-my-data-over-wi-fi-work-internet-question-be-help/2546). Le but est de produire des réponses de base compréhensibles par le grand public. L'objectif est de produire des réponses de base qui peuvent être comprises par le grand public.*
Disons que je navigue sur le web et que j'utilise différentes applications lorsque je suis connecté au réseau au travail. Mon employeur (qui contrôle le réseau) peut-il voir les sites web que je visite, les e-mails que j'envoie, mes messages instantanés, les chansons Spotify que j'écoute, etc. Que peut-il voir ?
Le fait que j'utilise mon propre ordinateur ou un ordinateur fourni par mon employeur a-t-il une importance ? Les programmes que j'utilise ou les sites web que je visite sont-ils importants ?
Même si vous n'êtes pas sûr, supposez toujours que oui. Même si vous en êtes sûr, ils peuvent avoir un contrat avec le FAI, un administrateur véreux qui a installé un packetlogger, une caméra vidéo qui filme votre écran... oui.
Tout ce que vous faites sur votre lieu de travail est visible par tous. Surtout tout ce que vous faites sur des supports numériques. Surtout les choses personnelles. Surtout les choses que vous ne voudriez pas qu'ils voient.
L'une des règles de base de la sécurité de l'information est que quiconque a un accès physique à la machine, possède la machine. Votre employeur a un accès physique à tout : la machine, le réseau, l'infrastructure. Il peut ajouter et modifier des politiques, installer des certificats, jouer à l'homme du milieu. Même les sites web avec 'SSL' ; peuvent être interceptés. Il y a beaucoup de raisons valables pour cela, principalement liées à la sécurité de leur propre réseau (antivirus, journalisation, interdiction d'accès à certains sites ou fonctionnalités).
Même si vous avez de la chance et qu'ils ne peuvent pas voir le contenu de vos messages, ils peuvent quand même voir beaucoup d'autres choses : combien de connexions vous avez faites, vers quels sites, combien de données vous avez envoyées, à quelles heures... même en utilisant votre propre appareil, même en utilisant une connexion sécurisée, les journaux du réseau peuvent être assez révélateurs.
S'il vous plaît, lorsque vous êtes au travail, ou que vous utilisez un ordinateur professionnel, ou même que vous utilisez votre propre ordinateur sur le réseau de l'entreprise : pensez toujours que tout ce que vous faites peut être vu par votre employeur.
Vous pouvez être surveillé de deux façons : soit ce que vous faites sur votre ordinateur est enregistré sur votre ordinateur, soit le trafic Internet qu'il génère est enregistré ailleurs sur le réseau.
Il existe de nombreux moyens d'empêcher l'espionnage du trafic pendant le transport, mais si ce n'est pas votre ordinateur (ou votre smartphone ou votre tablette), il est toujours possible qu'un logiciel d'enregistrement soit installé et puisse potentiellement surveiller tout ce que vous faites sur l'appareil, sans exception. Il en va de même si vous avez autorisé votre employeur à modifier l'appareil, par exemple en installant un logiciel.
Cela n'est peut-être pas aussi probable que l'enregistrement de votre trafic, car de nombreux employeurs qui ne travaillent pas dans une zone de haute sécurité peuvent ne pas trouver que cela en vaut la peine, mais cela reste une possibilité très réelle. Par conséquent, si vous utilisez un appareil fourni par votre employeur, il peut potentiellement voir tout ce que vous faites, quelles que soient les précautions que vous prenez.
Supposons que vous utilisez votre propre appareil et que votre employeur n'a rien installé dessus (vous connectez peut-être votre smartphone privé au Wi-Fi du bureau). Peut-il quand même voir les pages Web que vous visitez en surveillant le trafic réseau ?
Cela dépend si vous utilisez le protocole HTTP ou le protocole HTTPS. Si l'adresse que vous visitez commence par https://
, cela signifie que la communication est cryptée - le S signifie Secure - mais si elle commence par http://
, elle ne l'est pas. Vous pouvez également vérifier la présence d'une icône de cadenas dans la barre d'URL - voir les instructions pour Firefox ici.
Il y a cependant quelques réserves importantes à faire :
https://example.com/secret
, votre employeur pourra voir que vous avez visité example.com
, mais pas que vous avez spécifiquement visité la page secret
, ce qui y a été écrit ou ce que vous avez posté.Sur Internet, nous ne nous contentons pas de visiter des pages Web avec un navigateur. Votre ordinateur et votre téléphone ont probablement installé des dizaines d'applications qui utilisent Internet d'une manière ou d'une autre. Qu'en est-il de ces applications ?
Malheureusement, c'est un peu plus opaque. Par défaut, le propriétaire du réseau peut lire (et modifier) tout ce que vous envoyez ou recevez par ce biais. Pour empêcher cela, il faut utiliser une sorte de cryptage.
Il est difficile de savoir si une application spécifique utilise un cryptage (correctement implémenté) ou non, à moins que les fabricants de l'application n'en fassent activement la publicité (et que vous leur fassiez confiance...). Certaines applications, telles que [WhatsApp] (https://www.whatsapp.com/faq/en/general/28030015), sont connues pour utiliser le cryptage alors que d'autres ne le font pas. Je vous recommande de supposer que le trafic n'est pas crypté, sauf si vous savez qu'il l'est.
Cela dépend. Pour être sûr, il peut être judicieux de supposer que oui, et de faire toutes les affaires sensibles à partir de votre réseau domestique privé.
Cela dépendra de la taille de l'entreprise et des investissements qu'elle a réalisés dans son infrastructure de réseau/sécurité.
Avez-vous besoin d'une authentification lorsque vous utilisez l'internet ? Avez-vous des filtres de contenu qui vous empêchent d'accéder aux médias sociaux ou aux sites d'humour ? Cela s'accompagne généralement d'un message de Forcepoint ou BlueCoat.
Si vous travaillez pour une institution financière ou le gouvernement, la réponse est très probablement oui.
Ils obtiendront une liste des URL et des IP que vous avez visités. Sur YouTube, ils pourront voir l'URL et, à partir de là, la vidéo que vous avez regardée.
Les courriels internes et les services de messagerie instantanée seront visibles.