Les employeurs sont de plus en plus nombreux à déchiffrer de façon systématique les échanges HTTPS de leurs salariés. Il n'y a qu'à constater l'augmentation des licenciements liés aux abus des outils de travail à titre personnel ( et notamment Internet) pour s'en convaincre, avec toutefois encore quelques aléas sur la légitimité et la notion d'abus, chaque cas porté devant la justice trouvant une issue différente.

https  Reste que la CNIL a récemment publié une note indiquant que le déchiffrement des flux HTTPS par les employeurs parait "légitime" afin d'assurer " la sécurité de son système d'information". Il est ainsi question d'éviter non seulement l'entrée de virus et malwares, mais aussi de prévenir les fuites d'informations ( dans le cadre d'un partage par un salarié d'informations sur la société pouvant servir les intérêts d'un concurrent).

Pour déchiffrer les communications, les employeurs disposent d'un "SSL proxy" qui vient se placer entre l'utilisateur et le serveur web. L'outil permet alors de déchiffrer l'ensemble des communications à l'aide d'un faux certificat.

Reste que la mesure ne fait pas forcément que des adeptes du côté des salariés sur lesquels plane la menace d'une surveillance constante. La CNIL indique ainsi que la pratique doit être sérieusement "encadrée", et que le personnel doit être informé de manière "précise" notamment sur la question des raisons, des personnes concernées, de la nature des données espionnées, de la rétention des données...

L'employeur est également obligé d'organiser une " gestion stricte des droits d'accès des administrateurs aux courriers électroniques" pour limiter la diffusion des informations déchiffrées.

Source : 01Net