Bonjour à tous,
 
Nous venons de réaliser un upgrade de nos NetAsq en V8 vers V9 (pour la petite histoire ceux-ci sont en HA et nous avons été impactés par un bug qui nous a forcé à downgrader en V8 il y a un an).
Bref, la migration est OK, nous avons ajusté la configuration à la nouvelle version et tout semble fonctionner comme attendu (et parfois même mieux).
 
Avec l'arrivée de la V9 il est maintenant possible d'utiliser le déchiffrement SSL, permettant d'utiliser le filtrage du NetAsq pour les connexions sécurisées (antivirus, réputation, etc...)
Je me pose donc les questions suivantes (pour une entreprise sur le sol Français) :

• Quel est le cadre légal encadrant ce type de filtrage ?
• Dois-je demander une autorisation ou procéder à une déclaration à la CNIL ?

Merci d'avance pour votre participation.

Bonjour,
 
Je pense qu'une charte indiquant aux utilisateurs que le contenu de leur navigation peut-être récupéré est nécessaire. Après concernant la CNIL, il est normalement obligatoire de faire une déclaration si tu dois faire une analyse sur les logs.
 
À mon avis faudrait les contacter pour leur demander ce qu'ils ont l'habitude de faire dans des situations similaires.
 

euh...
moi qui ai toujours cru que le https était totalement sécurisé, sauf si une partie tierce (ici ton netasq) dispose d'une copie du certificat du site ..
 
pour bluecoat, j'ai un pc qui tourne avec k9, capable de filtrer le 443; mais je pense qu'il ne décrypte pas, mais qu'il regarde en fonction du dns..
 
c'est pas avec ce genre de merde que la syrie a mis ces citoyens sur écoute, et que ms ont été pointés du doigt pour avoir filé des certifs skype/hotmail pour décrypter le https de tout un pays?
 
il m'a toujours semblé que ce protocole ne pouvait pas être déchiffré..
 
et je doute que ce soit légal ..

Salut,
 
pour le HTTPS, c'est légal du moment que tu préviens les utilisateurs (via autorisation + charte + déclaration cnil).
 
Le NetAsq se positionne comme Man In The Middle. Il intercepte le flux HTTPS, propose SON certificat à l'utilisateur au lieu de celui du site distant, et rechiffre le flux derrière.
Tu peux diffuser le certificat SSL du NetAsq sur tes postes clients pour éviter d'avoir les beaux warnings de certifs SSL non valides.
 
De la doc intéressante : http://www.olfeo.com/sites/olfeo/f [...] idique.pdf

Merci pour la précision technique .
 
Donc c'est bien ce que je pensais : c'est une mini PKI qui génère des certificats à la volée au nom des sites web visités.

Tout d'abord, je vous remercie pour vos participations et je m'excuse de ne pas avoir répondu plus tôt !
 
En ce qui concerne le mode de fonctionnement, effectivement il convient d'installer une autorité de certification sur tous les postes du parc afin d'éviter d'avoir des alertes. Par contre il existe une fonction intéressante : il est possible de définir des règles de non-déchiffrage (par exemple pour les établissements bancaires).
 
Pour le côté légal, j'en suis arrivé aux mêmes conclusions : déclaration CNIL + charte informatique (j'ai même pu lire qu'il fallait l'accord du salarié).
SSL c'est bien mais c'est la merde quand ton job c'est de de sécuriser le réseau et que tu peux pas savoir ce que les users échangent avec l'extérieur.
Bref, tout ça me semble bien complexe, je pense que je ne vais pas l'implémenter pour le moment.

 
Si je peux me permettre, savoir ce que les users échangent avec l'extérieur ne sécurisera pas ton réseau.

 
Ah bon ?
 
- un virus téléchargé sur un site en https va être détecté qu'une fois sur le poste client alors que le proxy aurait pu s'en occuper en amont
- un pc infecté qui initie une communication vers le site en https du hackeur pour un reverse shell sera détecté (et si possible arrêté )

 
 
Je sais que ce poste est un peu vieux, mais je souhaitera savoir comment je récupère le certificat  du netask pour le déployer sur mes postes.
Je sais que l'on peu aussi acheter un certificat puis le mettre sur le netasq mais je ne sais pas comment.
Si quelqu'un connait la méthode je suis preneur. Merci

Comment ça récupérer le certificat ?

Le certificat d'AC qui est déployé sur le proxy est généré selon tes besoins :

- autosigné,
- signé par une AC racine ou intermédiaire.

Techniquement, c'est toi qui déploie ce certificat sur ce proxy. Tu peux donc le récupérer aisément.

Concernant l'obtention d'un certificat depuis une société externe (si tu parles de ça quand tu dis "acheter" ). Je ne sais pas s'il existe ce genre de contrat mais ça me paraît utopique qu'une boite te file un certificat d'AC te permettant de signer tout ce que tu veux comme bon te semble en son nom .