Légalité génération certificat SSL à la volée

Le
laurent
Xpost : fr.misc.droit, fr.comp.securite
fu2 : fr.misc.droit

Bonjour à tous,

je me posais une question de droit concernant la génération de
certificats SSL à la volée.

Aujourd'hui, de plus en plus d'entreprises mettent en place des proxies
filtrant qui dans le cas d'une connexion TLS/SSL (https) génèrent à la
volée un certificat ressemblant à celui du site accédé.
Évidemment, la CA ayant émis le certificat n'est pas crue par les
navigateurs qui couinent. Pour contourner ce problème, il suffit à
l'entreprise de mettre le CA du proxy dans les navigateurs des employés.

Well, les employés signent généralement une charte disant que leur
communications seront lues, donc côté employés, à priori c'est légal.

Mais côté site accédé, qu'en est-il ? Exemple, un employé se connecte
sur un site de commerce en ligne et fait un achat. Il conteste par la
suite cet achat. Est-ce que les administrateurs de l'entreprise peuvent
être poursuivi par le site de vente en ligne pour *usurpation
d'identité* ? C'est encore plus grave vu que les administrateurs ont mis
en place sciemment un dispositif pour contourner les sécurités des
navigateurs en insérant le CA dans les navigateurs clients.

Merci de vos avis,

Laurent
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Albert ARIBAUD
Le #26320516
Bonjour laurent,

Le Wed, 05 Nov 2014 10:03:33 +0100, laurent écrit :

Xpost : fr.misc.droit, fr.comp.securite
fu2 : fr.misc.droit

Bonjour à tous,

je me posais une question de droit concernant la génération de
certificats SSL à la volée.

Aujourd'hui, de plus en plus d'entreprises mettent en place des proxies
filtrant qui dans le cas d'une connexion TLS/SSL (https) génère nt à la
volée un certificat ressemblant à celui du site accédà ©.
Évidemment, la CA ayant émis le certificat n'est pas crue par l es
navigateurs qui couinent. Pour contourner ce problème, il suffit à  
l'entreprise de mettre le CA du proxy dans les navigateurs des employà ©s.

Well, les employés signent généralement une charte disant que leur
communications seront lues, donc côté employés, à pri ori c'est légal.

Mais côté site accédé, qu'en est-il ? Exemple, un emp loyé se connecte
sur un site de commerce en ligne et fait un achat. Il conteste par la
suite cet achat. Est-ce que les administrateurs de l'entreprise peuvent
être poursuivi par le site de vente en ligne pour *usurpation
d'identité* ? C'est encore plus grave vu que les administrateurs ont mis
en place sciemment un dispositif pour contourner les sécurités des
navigateurs en insérant le CA dans les navigateurs clients.



Tu as ta réponse dans ta propre description de la situation : les
certificats émis par les sites marchands, et leurs contreparties
produites par les proxies, servent à authentifier le site visité auprès
du visiteur et non pas l'inverse. Le site marchand ne risque donc pas
d'en déduire l'identité du visiteur, et partant, ne risque pas de se
tromper ou d'être trompé sur cette identité.

LEs choses seraient différentes si c'était le visiteur qui prà ©sentait un
certificat d'identité au site marchand ; mais alors le remplacement du
certificat par un proxy ferait que ce n'est plus l'identité du visiteur
qui serait présentée : l'inverse, donc, d'une usurpation.

Du reste, l'usurpation d'identité ne peut constituer une faute que si
elle fait courir un risque pénal à la personne usurpée ou, en
l'absence de risque pénal, si elle se fait de façon répà ©tée et dans
l'intention de nuire à la personne usurpée. En l'espèce, je ne crois
pas que l'on soit dans l'un ou l'autre cas.

Merci de vos avis,



De rien.

Laurent



Amicalement,
--
Albert.
Denis Corbin
Le #26321068
Le 05/11/2014 10:03, laurent a écrit :
Xpost : fr.misc.droit, fr.comp.securite
fu2 : fr.misc.droit

Bonjour à tous,



Bonjour,


je me posais une question de droit concernant la génération de
certificats SSL à la volée.

Aujourd'hui, de plus en plus d'entreprises mettent en place des proxies
filtrant qui dans le cas d'une connexion TLS/SSL (https) génèrent à la
volée un certificat ressemblant à celui du site accédé.


[...]
Mais côté site accédé, qu'en est-il ? Exemple, un employé se connecte
sur un site de commerce en ligne et fait un achat. Il conteste par la
suite cet achat. Est-ce que les administrateurs de l'entreprise peuvent
être poursuivi par le site de vente en ligne pour *usurpation
d'identité* ? C'est encore plus grave vu que les administrateurs ont mis
en place sciemment un dispositif pour contourner les sécurités des
navigateurs en insérant le CA dans les navigateurs clients.



C'est une question fort intéressante !!! (+1) ! :-)


Merci de vos avis,



Je ne suis pas juriste, mon avis ne vaut donc pas plus qu'une discussion
de comptoir ... alors disons que c'est pour faire avancer le schmilblick :)

A mon avis, tout va dépendre du document signé sous forme de charte ou
convenu sous forme de règlement intérieur entre l'entreprise et
l'utilisateur/employé. Si ce "contrat" indique clairement que malgré la
possibilité d'écoute des communications l'entreprise n'est pas
responsable de l'usage qui sera fait de l'accès Internet par l'employé
et que celui-ci est conscient qu'il expose des données privées à un
tiers ,l'entreprise, et que celle-ci ne serait être tenue responsable de
l'utilisation des informations interceptées en cas de vol ou de piratage
du système d'information, la responsabilité devrait rester entièrement
celle de l'utilisateur, car il a été informé et a consenti à utiliser
l'accès Internet avec le mécanisme d'écoute et d'interception et tous
les risques qui en découlent.

En l'absence d'un tel dédouanement de responsabilité de l'entreprise
dans le cadre de la mise en place de cette interception des
communications, il me semble que l'employé doit alors prouver qu'il y a
eu usurpation d'identité c'est-à-dire réutilisation de ses
identifiant/mots de passe du site web à son insu. Par exemple ce serait
le cas d'un employé sorti de l'entreprise tel démontré par les badgeuses
ou vidéo surveillance alors que la session litigieuse a été émise depuis
l'entreprise à cette la même période avec les identifiants/mots de passe
de l'employé sur le site web. L'entreprise doit alors se donner les
moyens de remonter à l'utilisateur responsable de cette session, faute
de quoi elle deviendrait entièrement responsable du litige (c.f.:
affaire altern.org).

L'écoute des communications, si les utilisateurs en sont informés, me
semble difficilement utilisable comme une charge contre l'entreprise.
L'utilisateur ayant eu le choix en toute connaissance de cause
d'utiliser ou non le réseau de l'entreprise pour exposer ses mots de
passe et identifiants utilisés pour s'authentifier auprès de sites web.
La plainte du site web sera alors difficilement transférable par
l'utilisateur/employé à l'entreprise (sauf cas décrit précédemment
d'usurpation d'identité prouvée).


Laurent



Denis.
Albert ARIBAUD
Le #26321113
Bonjour Denis,

Le Thu, 06 Nov 2014 21:36:05 +0100, Denis Corbin

Le 05/11/2014 10:03, laurent a écrit :
> Xpost : fr.misc.droit, fr.comp.securite
> fu2 : fr.misc.droit
>
> Bonjour à tous,

Bonjour,

>
> je me posais une question de droit concernant la génération de
> certificats SSL à la volée.
>
> Aujourd'hui, de plus en plus d'entreprises mettent en place des proxies
> filtrant qui dans le cas d'une connexion TLS/SSL (https) génè rent à la
> volée un certificat ressemblant à celui du site accédà ©.
[...]
> Mais côté site accédé, qu'en est-il ? Exemple, un e mployé se connecte
> sur un site de commerce en ligne et fait un achat. Il conteste par la
> suite cet achat. Est-ce que les administrateurs de l'entreprise peuvent
> être poursuivi par le site de vente en ligne pour *usurpation
> d'identité* ? C'est encore plus grave vu que les administrateurs o nt mis
> en place sciemment un dispositif pour contourner les sécurité s des
> navigateurs en insérant le CA dans les navigateurs clients.

C'est une question fort intéressante !!! (+1) ! :-)

>
> Merci de vos avis,

Je ne suis pas juriste, mon avis ne vaut donc pas plus qu'une discussion
de comptoir ... alors disons que c'est pour faire avancer le schmilblick :)

A mon avis, tout va dépendre du document signé sous forme de ch arte ou
convenu sous forme de règlement intérieur entre l'entreprise et
l'utilisateur/employé. Si ce "contrat" indique clairement que malgr é la
possibilité d'écoute des communications l'entreprise n'est pas
responsable de l'usage qui sera fait de l'accès Internet par l'emplo yé
et que celui-ci est conscient qu'il expose des données privées à un
tiers ,l'entreprise, et que celle-ci ne serait être tenue responsabl e de
l'utilisation des informations interceptées en cas de vol ou de pira tage
du système d'information, la responsabilité devrait rester enti èrement
celle de l'utilisateur, car il a été informé et a consenti à utiliser
l'accès Internet avec le mécanisme d'écoute et d'intercept ion et tous
les risques qui en découlent.



J'ai un gros doute sur la possibilité qu'une partie dégage une au tre
par contrat de *toutes* ses responsabilités, en particulier dans des
situations où les dites responsabilités pourraient être pà ©nal mais pas
seulement : les clauses d'un contrat ne peuvent être contraires à la
loi, même civile quand elle est d'ordre public (en droit français en
tout cas ; le droit des USA, par exemple, permet à un contrat de passer
outre à la loi civile dans une bien plus grande mesure).

En l'absence d'un tel dédouanement de responsabilité de l'entre prise
dans le cadre de la mise en place de cette interception des
communications, il me semble que l'employé doit alors prouver qu'il y a
eu usurpation d'identité c'est-à-dire réutilisation de ses
identifiant/mots de passe du site web à son insu. Par exemple ce ser ait
le cas d'un employé sorti de l'entreprise tel démontré par les badgeuses
ou vidéo surveillance alors que la session litigieuse a étà © émise depuis
l'entreprise à cette la même période avec les identifiants /mots de passe
de l'employé sur le site web. L'entreprise doit alors se donner les
moyens de remonter à l'utilisateur responsable de cette session, fau te
de quoi elle deviendrait entièrement responsable du litige (c.f.:
affaire altern.org).



Là-dessus, globalement d'accord sur la chaîne de responsabilità © mais
pas sûr que l'employé doive apporter une preuve forte des faits ; par
ailleurs je rappelle qu'une entreprise qui fournit un accès Internet à
ses employés est considérée comme fournisseur d'accès e t donc *tenue*
de conserver les données de connexion concourant à identifier les
utilisateurs de cet accès -- mais elle n'est *pas* tenue d'identifier
elle-même la dite personne -- songer par exemple à un accès effectué
depuis une machine en libre-service intentionnellement ou pas.

L'écoute des communications, si les utilisateurs en sont informà ©s, me
semble difficilement utilisable comme une charge contre l'entreprise.
L'utilisateur ayant eu le choix en toute connaissance de cause
d'utiliser ou non le réseau de l'entreprise pour exposer ses mots de
passe et identifiants utilisés pour s'authentifier auprès de si tes web.
La plainte du site web sera alors difficilement transférable par
l'utilisateur/employé à l'entreprise (sauf cas décrit pr écédemment
d'usurpation d'identité prouvée).



Autant l'utilisateur pourrait se plaindre d'une usurpation (dans les
limites qui permettent une plainte avec cet objet), autant je vois moins
de quoi se plaindrait le site, n'étant pas la partie usurpée, à   moins
d'arguer que l'entreprise a usurpé l'identité du site auprès des
clients de celui-ci employés par celle-là ; mais il manquerait al ors
l'intention de nuire.

> Laurent

Denis.



Amicalement,
--
Albert.
Albert ARIBAUD
Le #26321196
Bonjour laurent,

Le Wed, 05 Nov 2014 10:03:33 +0100, laurent écrit :

Xpost : fr.misc.droit, fr.comp.securite
fu2 : fr.misc.droit

Bonjour à tous,

je me posais une question de droit concernant la génération de
certificats SSL à la volée.

Aujourd'hui, de plus en plus d'entreprises mettent en place des proxies
filtrant qui dans le cas d'une connexion TLS/SSL (https) génère nt à la
volée un certificat ressemblant à celui du site accédà ©.
Évidemment, la CA ayant émis le certificat n'est pas crue par l es
navigateurs qui couinent. Pour contourner ce problème, il suffit à  
l'entreprise de mettre le CA du proxy dans les navigateurs des employà ©s.

Well, les employés signent généralement une charte disant que leur
communications seront lues, donc côté employés, à pri ori c'est légal.

Mais côté site accédé, qu'en est-il ? Exemple, un emp loyé se connecte
sur un site de commerce en ligne et fait un achat. Il conteste par la
suite cet achat. Est-ce que les administrateurs de l'entreprise peuvent
être poursuivi par le site de vente en ligne pour *usurpation
d'identité* ? C'est encore plus grave vu que les administrateurs ont mis
en place sciemment un dispositif pour contourner les sécurités des
navigateurs en insérant le CA dans les navigateurs clients.

Merci de vos avis,



Tiens, puisqu'on en parle, un papier de l'ANSSI sur la question (voir
annexe A, "Aspects juridiques", en page numéro 26 (27ème page sur 32)
du PDF :

http://goo.gl/lIC9Xo

Laurent



Amicalement,
--
Albert.
laurent
Le #26321235
On 07/11/2014 17:49, Albert ARIBAUD wrote:
Bonjour laurent,



Bonjour Albert,





(snip)


Tiens, puisqu'on en parle, un papier de l'ANSSI sur la question (voir
annexe A, "Aspects juridiques", en page numéro 26 (27ème page sur 32)
du PDF :

http://goo.gl/lIC9Xo



merci beaucoup de ces informations.

Amicalement,

Laurent
Publicité
Poster une réponse
Anonyme