Xpost : fr.misc.droit, fr.comp.securite
fu2 : fr.misc.droit
Bonjour à tous,
je me posais une question de droit concernant la génération de
certificats SSL à la volée.
Aujourd'hui, de plus en plus d'entreprises mettent en place des proxies
filtrant qui dans le cas d'une connexion TLS/SSL (https) génère nt à la
volée un certificat ressemblant à celui du site accédà ©.
Ãvidemment, la CA ayant émis le certificat n'est pas crue par l es
navigateurs qui couinent. Pour contourner ce problème, il suffit Ã
l'entreprise de mettre le CA du proxy dans les navigateurs des employà ©s.
Well, les employés signent généralement une charte disant que leur
communications seront lues, donc côté employés, à pri ori c'est légal.
Mais côté site accédé, qu'en est-il ? Exemple, un emp loyé se connecte
sur un site de commerce en ligne et fait un achat. Il conteste par la
suite cet achat. Est-ce que les administrateurs de l'entreprise peuvent
être poursuivi par le site de vente en ligne pour *usurpation
d'identité* ? C'est encore plus grave vu que les administrateurs ont mis
en place sciemment un dispositif pour contourner les sécurités des
navigateurs en insérant le CA dans les navigateurs clients.
Merci de vos avis,
Laurent
Xpost : fr.misc.droit, fr.comp.securite
fu2 : fr.misc.droit
Bonjour à tous,
je me posais une question de droit concernant la génération de
certificats SSL à la volée.
Aujourd'hui, de plus en plus d'entreprises mettent en place des proxies
filtrant qui dans le cas d'une connexion TLS/SSL (https) génère nt à la
volée un certificat ressemblant à celui du site accédà ©.
Ãvidemment, la CA ayant émis le certificat n'est pas crue par l es
navigateurs qui couinent. Pour contourner ce problème, il suffit Ã
l'entreprise de mettre le CA du proxy dans les navigateurs des employà ©s.
Well, les employés signent généralement une charte disant que leur
communications seront lues, donc côté employés, à pri ori c'est légal.
Mais côté site accédé, qu'en est-il ? Exemple, un emp loyé se connecte
sur un site de commerce en ligne et fait un achat. Il conteste par la
suite cet achat. Est-ce que les administrateurs de l'entreprise peuvent
être poursuivi par le site de vente en ligne pour *usurpation
d'identité* ? C'est encore plus grave vu que les administrateurs ont mis
en place sciemment un dispositif pour contourner les sécurités des
navigateurs en insérant le CA dans les navigateurs clients.
Merci de vos avis,
Laurent
Xpost : fr.misc.droit, fr.comp.securite
fu2 : fr.misc.droit
Bonjour à tous,
je me posais une question de droit concernant la génération de
certificats SSL à la volée.
Aujourd'hui, de plus en plus d'entreprises mettent en place des proxies
filtrant qui dans le cas d'une connexion TLS/SSL (https) génère nt à la
volée un certificat ressemblant à celui du site accédà ©.
Ãvidemment, la CA ayant émis le certificat n'est pas crue par l es
navigateurs qui couinent. Pour contourner ce problème, il suffit Ã
l'entreprise de mettre le CA du proxy dans les navigateurs des employà ©s.
Well, les employés signent généralement une charte disant que leur
communications seront lues, donc côté employés, à pri ori c'est légal.
Mais côté site accédé, qu'en est-il ? Exemple, un emp loyé se connecte
sur un site de commerce en ligne et fait un achat. Il conteste par la
suite cet achat. Est-ce que les administrateurs de l'entreprise peuvent
être poursuivi par le site de vente en ligne pour *usurpation
d'identité* ? C'est encore plus grave vu que les administrateurs ont mis
en place sciemment un dispositif pour contourner les sécurités des
navigateurs en insérant le CA dans les navigateurs clients.
Merci de vos avis,
Laurent
Xpost : fr.misc.droit, fr.comp.securite
fu2 : fr.misc.droit
Bonjour à tous,
je me posais une question de droit concernant la génération de
certificats SSL à la volée.
Aujourd'hui, de plus en plus d'entreprises mettent en place des proxies
filtrant qui dans le cas d'une connexion TLS/SSL (https) génèrent à la
volée un certificat ressemblant à celui du site accédé.
Mais côté site accédé, qu'en est-il ? Exemple, un employé se connecte
sur un site de commerce en ligne et fait un achat. Il conteste par la
suite cet achat. Est-ce que les administrateurs de l'entreprise peuvent
être poursuivi par le site de vente en ligne pour *usurpation
d'identité* ? C'est encore plus grave vu que les administrateurs ont mis
en place sciemment un dispositif pour contourner les sécurités des
navigateurs en insérant le CA dans les navigateurs clients.
Merci de vos avis,
Laurent
Xpost : fr.misc.droit, fr.comp.securite
fu2 : fr.misc.droit
Bonjour à tous,
je me posais une question de droit concernant la génération de
certificats SSL à la volée.
Aujourd'hui, de plus en plus d'entreprises mettent en place des proxies
filtrant qui dans le cas d'une connexion TLS/SSL (https) génèrent à la
volée un certificat ressemblant à celui du site accédé.
Mais côté site accédé, qu'en est-il ? Exemple, un employé se connecte
sur un site de commerce en ligne et fait un achat. Il conteste par la
suite cet achat. Est-ce que les administrateurs de l'entreprise peuvent
être poursuivi par le site de vente en ligne pour *usurpation
d'identité* ? C'est encore plus grave vu que les administrateurs ont mis
en place sciemment un dispositif pour contourner les sécurités des
navigateurs en insérant le CA dans les navigateurs clients.
Merci de vos avis,
Laurent
Xpost : fr.misc.droit, fr.comp.securite
fu2 : fr.misc.droit
Bonjour à tous,
je me posais une question de droit concernant la génération de
certificats SSL à la volée.
Aujourd'hui, de plus en plus d'entreprises mettent en place des proxies
filtrant qui dans le cas d'une connexion TLS/SSL (https) génèrent à la
volée un certificat ressemblant à celui du site accédé.
Mais côté site accédé, qu'en est-il ? Exemple, un employé se connecte
sur un site de commerce en ligne et fait un achat. Il conteste par la
suite cet achat. Est-ce que les administrateurs de l'entreprise peuvent
être poursuivi par le site de vente en ligne pour *usurpation
d'identité* ? C'est encore plus grave vu que les administrateurs ont mis
en place sciemment un dispositif pour contourner les sécurités des
navigateurs en insérant le CA dans les navigateurs clients.
Merci de vos avis,
Laurent
Le 05/11/2014 10:03, laurent a écrit :
> Xpost : fr.misc.droit, fr.comp.securite
> fu2 : fr.misc.droit
>
> Bonjour à tous,
Bonjour,
>
> je me posais une question de droit concernant la génération de
> certificats SSL à la volée.
>
> Aujourd'hui, de plus en plus d'entreprises mettent en place des proxies
> filtrant qui dans le cas d'une connexion TLS/SSL (https) génè rent à la
> volée un certificat ressemblant à celui du site accédà ©.
[...]
> Mais côté site accédé, qu'en est-il ? Exemple, un e mployé se connecte
> sur un site de commerce en ligne et fait un achat. Il conteste par la
> suite cet achat. Est-ce que les administrateurs de l'entreprise peuvent
> être poursuivi par le site de vente en ligne pour *usurpation
> d'identité* ? C'est encore plus grave vu que les administrateurs o nt mis
> en place sciemment un dispositif pour contourner les sécurité s des
> navigateurs en insérant le CA dans les navigateurs clients.
C'est une question fort intéressante !!! (+1) ! :-)
>
> Merci de vos avis,
Je ne suis pas juriste, mon avis ne vaut donc pas plus qu'une discussion
de comptoir ... alors disons que c'est pour faire avancer le schmilblick :)
A mon avis, tout va dépendre du document signé sous forme de ch arte ou
convenu sous forme de règlement intérieur entre l'entreprise et
l'utilisateur/employé. Si ce "contrat" indique clairement que malgr é la
possibilité d'écoute des communications l'entreprise n'est pas
responsable de l'usage qui sera fait de l'accès Internet par l'emplo yé
et que celui-ci est conscient qu'il expose des données privées à un
tiers ,l'entreprise, et que celle-ci ne serait être tenue responsabl e de
l'utilisation des informations interceptées en cas de vol ou de pira tage
du système d'information, la responsabilité devrait rester enti èrement
celle de l'utilisateur, car il a été informé et a consenti à utiliser
l'accès Internet avec le mécanisme d'écoute et d'intercept ion et tous
les risques qui en découlent.
En l'absence d'un tel dédouanement de responsabilité de l'entre prise
dans le cadre de la mise en place de cette interception des
communications, il me semble que l'employé doit alors prouver qu'il y a
eu usurpation d'identité c'est-à -dire réutilisation de ses
identifiant/mots de passe du site web à son insu. Par exemple ce ser ait
le cas d'un employé sorti de l'entreprise tel démontré par les badgeuses
ou vidéo surveillance alors que la session litigieuse a étà © émise depuis
l'entreprise à cette la même période avec les identifiants /mots de passe
de l'employé sur le site web. L'entreprise doit alors se donner les
moyens de remonter à l'utilisateur responsable de cette session, fau te
de quoi elle deviendrait entièrement responsable du litige (c.f.:
affaire altern.org).
L'écoute des communications, si les utilisateurs en sont informà ©s, me
semble difficilement utilisable comme une charge contre l'entreprise.
L'utilisateur ayant eu le choix en toute connaissance de cause
d'utiliser ou non le réseau de l'entreprise pour exposer ses mots de
passe et identifiants utilisés pour s'authentifier auprès de si tes web.
La plainte du site web sera alors difficilement transférable par
l'utilisateur/employé à l'entreprise (sauf cas décrit pr écédemment
d'usurpation d'identité prouvée).
> Laurent
Denis.
Le 05/11/2014 10:03, laurent a écrit :
> Xpost : fr.misc.droit, fr.comp.securite
> fu2 : fr.misc.droit
>
> Bonjour à tous,
Bonjour,
>
> je me posais une question de droit concernant la génération de
> certificats SSL à la volée.
>
> Aujourd'hui, de plus en plus d'entreprises mettent en place des proxies
> filtrant qui dans le cas d'une connexion TLS/SSL (https) génè rent à la
> volée un certificat ressemblant à celui du site accédà ©.
[...]
> Mais côté site accédé, qu'en est-il ? Exemple, un e mployé se connecte
> sur un site de commerce en ligne et fait un achat. Il conteste par la
> suite cet achat. Est-ce que les administrateurs de l'entreprise peuvent
> être poursuivi par le site de vente en ligne pour *usurpation
> d'identité* ? C'est encore plus grave vu que les administrateurs o nt mis
> en place sciemment un dispositif pour contourner les sécurité s des
> navigateurs en insérant le CA dans les navigateurs clients.
C'est une question fort intéressante !!! (+1) ! :-)
>
> Merci de vos avis,
Je ne suis pas juriste, mon avis ne vaut donc pas plus qu'une discussion
de comptoir ... alors disons que c'est pour faire avancer le schmilblick :)
A mon avis, tout va dépendre du document signé sous forme de ch arte ou
convenu sous forme de règlement intérieur entre l'entreprise et
l'utilisateur/employé. Si ce "contrat" indique clairement que malgr é la
possibilité d'écoute des communications l'entreprise n'est pas
responsable de l'usage qui sera fait de l'accès Internet par l'emplo yé
et que celui-ci est conscient qu'il expose des données privées à un
tiers ,l'entreprise, et que celle-ci ne serait être tenue responsabl e de
l'utilisation des informations interceptées en cas de vol ou de pira tage
du système d'information, la responsabilité devrait rester enti èrement
celle de l'utilisateur, car il a été informé et a consenti à utiliser
l'accès Internet avec le mécanisme d'écoute et d'intercept ion et tous
les risques qui en découlent.
En l'absence d'un tel dédouanement de responsabilité de l'entre prise
dans le cadre de la mise en place de cette interception des
communications, il me semble que l'employé doit alors prouver qu'il y a
eu usurpation d'identité c'est-à -dire réutilisation de ses
identifiant/mots de passe du site web à son insu. Par exemple ce ser ait
le cas d'un employé sorti de l'entreprise tel démontré par les badgeuses
ou vidéo surveillance alors que la session litigieuse a étà © émise depuis
l'entreprise à cette la même période avec les identifiants /mots de passe
de l'employé sur le site web. L'entreprise doit alors se donner les
moyens de remonter à l'utilisateur responsable de cette session, fau te
de quoi elle deviendrait entièrement responsable du litige (c.f.:
affaire altern.org).
L'écoute des communications, si les utilisateurs en sont informà ©s, me
semble difficilement utilisable comme une charge contre l'entreprise.
L'utilisateur ayant eu le choix en toute connaissance de cause
d'utiliser ou non le réseau de l'entreprise pour exposer ses mots de
passe et identifiants utilisés pour s'authentifier auprès de si tes web.
La plainte du site web sera alors difficilement transférable par
l'utilisateur/employé à l'entreprise (sauf cas décrit pr écédemment
d'usurpation d'identité prouvée).
> Laurent
Denis.
Le 05/11/2014 10:03, laurent a écrit :
> Xpost : fr.misc.droit, fr.comp.securite
> fu2 : fr.misc.droit
>
> Bonjour à tous,
Bonjour,
>
> je me posais une question de droit concernant la génération de
> certificats SSL à la volée.
>
> Aujourd'hui, de plus en plus d'entreprises mettent en place des proxies
> filtrant qui dans le cas d'une connexion TLS/SSL (https) génè rent à la
> volée un certificat ressemblant à celui du site accédà ©.
[...]
> Mais côté site accédé, qu'en est-il ? Exemple, un e mployé se connecte
> sur un site de commerce en ligne et fait un achat. Il conteste par la
> suite cet achat. Est-ce que les administrateurs de l'entreprise peuvent
> être poursuivi par le site de vente en ligne pour *usurpation
> d'identité* ? C'est encore plus grave vu que les administrateurs o nt mis
> en place sciemment un dispositif pour contourner les sécurité s des
> navigateurs en insérant le CA dans les navigateurs clients.
C'est une question fort intéressante !!! (+1) ! :-)
>
> Merci de vos avis,
Je ne suis pas juriste, mon avis ne vaut donc pas plus qu'une discussion
de comptoir ... alors disons que c'est pour faire avancer le schmilblick :)
A mon avis, tout va dépendre du document signé sous forme de ch arte ou
convenu sous forme de règlement intérieur entre l'entreprise et
l'utilisateur/employé. Si ce "contrat" indique clairement que malgr é la
possibilité d'écoute des communications l'entreprise n'est pas
responsable de l'usage qui sera fait de l'accès Internet par l'emplo yé
et que celui-ci est conscient qu'il expose des données privées à un
tiers ,l'entreprise, et que celle-ci ne serait être tenue responsabl e de
l'utilisation des informations interceptées en cas de vol ou de pira tage
du système d'information, la responsabilité devrait rester enti èrement
celle de l'utilisateur, car il a été informé et a consenti à utiliser
l'accès Internet avec le mécanisme d'écoute et d'intercept ion et tous
les risques qui en découlent.
En l'absence d'un tel dédouanement de responsabilité de l'entre prise
dans le cadre de la mise en place de cette interception des
communications, il me semble que l'employé doit alors prouver qu'il y a
eu usurpation d'identité c'est-à -dire réutilisation de ses
identifiant/mots de passe du site web à son insu. Par exemple ce ser ait
le cas d'un employé sorti de l'entreprise tel démontré par les badgeuses
ou vidéo surveillance alors que la session litigieuse a étà © émise depuis
l'entreprise à cette la même période avec les identifiants /mots de passe
de l'employé sur le site web. L'entreprise doit alors se donner les
moyens de remonter à l'utilisateur responsable de cette session, fau te
de quoi elle deviendrait entièrement responsable du litige (c.f.:
affaire altern.org).
L'écoute des communications, si les utilisateurs en sont informà ©s, me
semble difficilement utilisable comme une charge contre l'entreprise.
L'utilisateur ayant eu le choix en toute connaissance de cause
d'utiliser ou non le réseau de l'entreprise pour exposer ses mots de
passe et identifiants utilisés pour s'authentifier auprès de si tes web.
La plainte du site web sera alors difficilement transférable par
l'utilisateur/employé à l'entreprise (sauf cas décrit pr écédemment
d'usurpation d'identité prouvée).
> Laurent
Denis.
Xpost : fr.misc.droit, fr.comp.securite
fu2 : fr.misc.droit
Bonjour à tous,
je me posais une question de droit concernant la génération de
certificats SSL à la volée.
Aujourd'hui, de plus en plus d'entreprises mettent en place des proxies
filtrant qui dans le cas d'une connexion TLS/SSL (https) génère nt à la
volée un certificat ressemblant à celui du site accédà ©.
Ãvidemment, la CA ayant émis le certificat n'est pas crue par l es
navigateurs qui couinent. Pour contourner ce problème, il suffit Ã
l'entreprise de mettre le CA du proxy dans les navigateurs des employà ©s.
Well, les employés signent généralement une charte disant que leur
communications seront lues, donc côté employés, à pri ori c'est légal.
Mais côté site accédé, qu'en est-il ? Exemple, un emp loyé se connecte
sur un site de commerce en ligne et fait un achat. Il conteste par la
suite cet achat. Est-ce que les administrateurs de l'entreprise peuvent
être poursuivi par le site de vente en ligne pour *usurpation
d'identité* ? C'est encore plus grave vu que les administrateurs ont mis
en place sciemment un dispositif pour contourner les sécurités des
navigateurs en insérant le CA dans les navigateurs clients.
Merci de vos avis,
Laurent
Xpost : fr.misc.droit, fr.comp.securite
fu2 : fr.misc.droit
Bonjour à tous,
je me posais une question de droit concernant la génération de
certificats SSL à la volée.
Aujourd'hui, de plus en plus d'entreprises mettent en place des proxies
filtrant qui dans le cas d'une connexion TLS/SSL (https) génère nt à la
volée un certificat ressemblant à celui du site accédà ©.
Ãvidemment, la CA ayant émis le certificat n'est pas crue par l es
navigateurs qui couinent. Pour contourner ce problème, il suffit Ã
l'entreprise de mettre le CA du proxy dans les navigateurs des employà ©s.
Well, les employés signent généralement une charte disant que leur
communications seront lues, donc côté employés, à pri ori c'est légal.
Mais côté site accédé, qu'en est-il ? Exemple, un emp loyé se connecte
sur un site de commerce en ligne et fait un achat. Il conteste par la
suite cet achat. Est-ce que les administrateurs de l'entreprise peuvent
être poursuivi par le site de vente en ligne pour *usurpation
d'identité* ? C'est encore plus grave vu que les administrateurs ont mis
en place sciemment un dispositif pour contourner les sécurités des
navigateurs en insérant le CA dans les navigateurs clients.
Merci de vos avis,
Laurent
Xpost : fr.misc.droit, fr.comp.securite
fu2 : fr.misc.droit
Bonjour à tous,
je me posais une question de droit concernant la génération de
certificats SSL à la volée.
Aujourd'hui, de plus en plus d'entreprises mettent en place des proxies
filtrant qui dans le cas d'une connexion TLS/SSL (https) génère nt à la
volée un certificat ressemblant à celui du site accédà ©.
Ãvidemment, la CA ayant émis le certificat n'est pas crue par l es
navigateurs qui couinent. Pour contourner ce problème, il suffit Ã
l'entreprise de mettre le CA du proxy dans les navigateurs des employà ©s.
Well, les employés signent généralement une charte disant que leur
communications seront lues, donc côté employés, à pri ori c'est légal.
Mais côté site accédé, qu'en est-il ? Exemple, un emp loyé se connecte
sur un site de commerce en ligne et fait un achat. Il conteste par la
suite cet achat. Est-ce que les administrateurs de l'entreprise peuvent
être poursuivi par le site de vente en ligne pour *usurpation
d'identité* ? C'est encore plus grave vu que les administrateurs ont mis
en place sciemment un dispositif pour contourner les sécurités des
navigateurs en insérant le CA dans les navigateurs clients.
Merci de vos avis,
Laurent
Bonjour laurent,
Tiens, puisqu'on en parle, un papier de l'ANSSI sur la question (voir
annexe A, "Aspects juridiques", en page numéro 26 (27ème page sur 32)
du PDF :
http://goo.gl/lIC9Xo
Bonjour laurent,
Tiens, puisqu'on en parle, un papier de l'ANSSI sur la question (voir
annexe A, "Aspects juridiques", en page numéro 26 (27ème page sur 32)
du PDF :
http://goo.gl/lIC9Xo
Bonjour laurent,
Tiens, puisqu'on en parle, un papier de l'ANSSI sur la question (voir
annexe A, "Aspects juridiques", en page numéro 26 (27ème page sur 32)
du PDF :
http://goo.gl/lIC9Xo