RE: [FRnOG] [MISC] Proxy + interception SSL = RGPD?

[Florent OLLIVIER]

Dans mon entreprise, on informe les collaborateurs via la charte informatique
On utilises un proxy Olfeo qui ne déchiffre pas les contenus des sites 
catégorisés comme bancaires / santé ...

Accéder à notre télémaintenance 
-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Manuel 
BEGUIER
Envoyé : mercredi 26 juin 2019 15:08
À : Spyou 
Cc : Maxime Jouveaux ; frnog-m...@frnog.org
Objet : Re: [FRnOG] [MISC] Proxy + interception SSL = RGPD?

En effet, c'est autorisé dans certains cas et en respectant certaines 
procédures de sécurité des données, d'information des personnes et de 
déclaration au registre des traitements.



Le mer. 26 juin 2019 à 14:18, Spyou  a écrit :

>
>
> Ola,
>
>
> On 25/01/2019 08:55, Maxime Jouveaux wrote:
> >
> > Le hic de l’interception SSL(HTTPS) est que le proxy trace tout en 
> > clair (exemple : les codes personnels, code carte bancaire etc…).
> >
> > Ce qui est *une violation du RGPD *de l’employé.
>
>
> Je ne vois aucune raison juridique qui ferait que ce serait pas 
> interdit d'intercepter et de stocker ce qui passe en clair mais 
> interdit de faire la même chose avec ce qui passe chiffré.
>
>
> My two centz :)
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Proxy + interception SSL = RGPD?

[Manuel BEGUIER]

En effet, c'est autorisé dans certains cas et en respectant certaines
procédures de sécurité des données, d'information des personnes et de
déclaration au registre des traitements.



Le mer. 26 juin 2019 à 14:18, Spyou  a écrit :

>
>
> Ola,
>
>
> On 25/01/2019 08:55, Maxime Jouveaux wrote:
> >
> > Le hic de l’interception SSL(HTTPS) est que le proxy trace tout en clair
> > (exemple : les codes personnels, code carte bancaire etc…).
> >
> > Ce qui est *une violation du RGPD *de l’employé.
>
>
> Je ne vois aucune raison juridique qui ferait que ce serait pas interdit
> d'intercepter et de stocker ce qui passe en clair mais interdit de faire
> la même chose avec ce qui passe chiffré.
>
>
> My two centz :)
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Proxy + interception SSL = RGPD?

[Spyou]

Ola,


On 25/01/2019 08:55, Maxime Jouveaux wrote:
>
> Le hic de l’interception SSL(HTTPS) est que le proxy trace tout en clair
> (exemple : les codes personnels, code carte bancaire etc…).
>
> Ce qui est *une violation du RGPD *de l’employé.


Je ne vois aucune raison juridique qui ferait que ce serait pas interdit
d'intercepter et de stocker ce qui passe en clair mais interdit de faire
la même chose avec ce qui passe chiffré.


My two centz :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Proxy + interception SSL = RGPD?

[Nicolas Gaudin]

Hello,

L'interception SSL n'est pas illégale dès lors que les employés sont
informés de l'existence du dispositif, et ce préalablement à sa mise en
place, et que certaines mesures sont prises.
En 2015, la CNIL s'était montrée favorable au dispositif mais sous
certaines conditions (cf. article NextINpact

)

L'information faite aux utilisateurs doit être claire, accessible (de
préférence, annexée à la charte informatique) et complète ; elle doit
indiquer:
- les finalités poursuivies par le dispositif ;
- son fondement légal (l'intérêt légitime de l'entreprise, a priori) ;
- la nature des données inspectées
- les durées de conservation (live + archivage, le cas échéant) ;
- la localisation du stockage/traitement (attention ,à ce que ça reste dans
un pays adéquat selon RGPD) ;
- l'éventuel accès par des tiers (si le proxy est infogéré par exemple) ;
- les modalités d'exercice des droits d'accès (onconditionnel), de
rectification, de suppression, etc. (sur motif légitime).
Ne pas omettre de présenter le dispositif aux IRP de votre entreprise, qui
doivent avoir été consultés au préalable.

D'autre part, je dirai qu'il faut aussi s'assurer que les administrateur
feront preuve d'éthique dans l'analyse des données, notamment par le biais
d'un contrôle des opérations d'accès aux données (qui devront donc être
tracées) et d'une charte pour les admin.
C'est moins évident à faire si c'est infogéré (il faut blinder les contrats
de sous-traitance de clauses ad hoc).

Enfin, le dispositif doit être bien sécurisé: accès par des comptes
individuels, authentification robuste, durcissement, patching régulier,
protection physique and so on...
L'ANSSI avait publié une note technique à ce sujet: ici
.

Nicolas


Le lun. 24 juin 2019 à 16:17, Vincent Duvernet 
a écrit :

> Bonjour,
>
> J'ai posé la question à Sophos (car nous avons des XGxxx en production) et
> que la question m'interpellait.
>
> Voici la réponse que j'ai obtenue :
>
> " Deloitte nous certifie SOC1 niveau 2"
>
> Bonne journée,
>
> Vincent
>
>
> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> Maxime Jouveaux
> Envoyé : vendredi 25 janvier 2019 08:55
> À : frnog-m...@frnog.org
> Objet : [FRnOG] [MISC] Proxy + interception SSL = RGPD?
>
> Bonjour la liste,
>
>
> Petite question RGPD, je gère actuellement un proxy squid et pour
> renforcer la sécurité je regardais pour faire de l'interception SSL(HTTPS).
>
> Actuellement, il logue tout le HTTP et que la première demande en HTTPS,
> mais sans collecter de données.
>
>
> Mais je sais que l’interception SSL (HTTPS) peut être illégale vis-à-vis
> des droits et liberté de chacun, car le proxy verra toutes les informations
> HTTPS en clair, ce qui représente une attaque informatique appelée « Man on
> the middle ».
>
> Étant donné que l’accès de chaque utilisateur d’internet n’est pas limité,
> il peut donc aller sur le site de sa banque ou sur un site médical et
> consulter des informations personnelles durant sa pause (Autorisée par le
> code du travail).
>
> Le hic de l’interception SSL(HTTPS) est que le proxy trace tout en clair
> (exemple : les codes personnels, code carte bancaire etc…).
>
> Ce qui est *une violation du RGPD *de l’employé.
>
>
>
> Est-ce que je me trompe?
>
>
> Note: j'ai une charte informatique en place qui informe les employés que
> j'ai un proxy.
>
>
> Merci à vous.
>
>
> Maxime JOUVEAUX
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Proxy + interception SSL = RGPD?

[Vincent Duvernet]

Bonjour,

J'ai posé la question à Sophos (car nous avons des XGxxx en production) et que 
la question m'interpellait.

Voici la réponse que j'ai obtenue :

" Deloitte nous certifie SOC1 niveau 2"

Bonne journée,

Vincent


-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Maxime 
Jouveaux
Envoyé : vendredi 25 janvier 2019 08:55
À : frnog-m...@frnog.org
Objet : [FRnOG] [MISC] Proxy + interception SSL = RGPD?

Bonjour la liste,


Petite question RGPD, je gère actuellement un proxy squid et pour renforcer la 
sécurité je regardais pour faire de l'interception SSL(HTTPS).

Actuellement, il logue tout le HTTP et que la première demande en HTTPS, mais 
sans collecter de données.


Mais je sais que l’interception SSL (HTTPS) peut être illégale vis-à-vis des 
droits et liberté de chacun, car le proxy verra toutes les informations HTTPS 
en clair, ce qui représente une attaque informatique appelée « Man on the 
middle ».

Étant donné que l’accès de chaque utilisateur d’internet n’est pas limité, il 
peut donc aller sur le site de sa banque ou sur un site médical et consulter 
des informations personnelles durant sa pause (Autorisée par le code du 
travail).

Le hic de l’interception SSL(HTTPS) est que le proxy trace tout en clair 
(exemple : les codes personnels, code carte bancaire etc…).

Ce qui est *une violation du RGPD *de l’employé.



Est-ce que je me trompe?


Note: j'ai une charte informatique en place qui informe les employés que j'ai 
un proxy.


Merci à vous.


Maxime JOUVEAUX

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Proxy + interception SSL = RGPD?

[Thierry Chich]

Le 25/01/2019 à 09:26, Maxime Jouveaux a écrit :

Avant de poser cette question déjà consulter les documents de la CNIL et de
l'ANSSI, et aucun ne parle de l'implication RGPD.

C'est pour cela que l'a RGPD rend la situation très ambigu.


Pour moi, la RGPD ne change pas fondamentalement les principes de 
protection de la vie privée, par rapport à la loi informatique et 
liberté. Elle change le montant des sanctions et elle supprime le 
dispositif de déclaration pour le remplacer par le maintien de listes.


Sur ce problème particulier, je serais surpris que la RGPD change 
radicalement les choses.


Thierry


Pour les droits du travail, en tant de pause, un utilisateur accédant a
internet peux l'utiliser a des fin personnelles du moment que c'est "bon
enfant".
L'entreprise se réserve le droit de bloquer en cas d’abus.
Mais je ne suis pas la pour interdire l’accès a l'information, je préfère
juste le contrôler.

MJX

Le ven. 25 janv. 2019 à 09:18, Thierry Chich 
a écrit :


La réponse de la CNIL (qui ne concerne pas la RGPD, mais les principes
n'ont pas tant changé que ça):

https://www.cnil.fr/fr/analyse-de-flux-https-bonnes-pratiques-et-questions

J'adore, à la fin,  la question en suspens. La CNIL ne peut pas
s'engager sur le fait qu'il y ait un risque juridique à le faire.

Cette page pointe aussi sur une doc de l'ANSSI qui indique un bon nombre
de précaution à prendre si on s'y lance. En attendant qu'on ne puisse
plus le faire du tout.

Thierry

Le 25/01/2019 à 08:55, Maxime Jouveaux a écrit :

Bonjour la liste,


Petite question RGPD, je gère actuellement un proxy squid et pour

renforcer

la sécurité je regardais pour faire de l'interception SSL(HTTPS).

Actuellement, il logue tout le HTTP et que la première demande en HTTPS,
mais sans collecter de données.


Mais je sais que l’interception SSL (HTTPS) peut être illégale vis-à-vis
des droits et liberté de chacun, car le proxy verra toutes les

informations

HTTPS en clair, ce qui représente une attaque informatique appelée « Man

on

the middle ».

Étant donné que l’accès de chaque utilisateur d’internet n’est pas

limité,

il peut donc aller sur le site de sa banque ou sur un site médical et
consulter des informations personnelles durant sa pause (Autorisée par le
code du travail).

Le hic de l’interception SSL(HTTPS) est que le proxy trace tout en clair
(exemple : les codes personnels, code carte bancaire etc…).

Ce qui est *une violation du RGPD *de l’employé.



Est-ce que je me trompe?


Note: j'ai une charte informatique en place qui informe les employés que
j'ai un proxy.


Merci à vous.


Maxime JOUVEAUX

---
Liste de diffusion du FRnOG
http://www.frnog.org/

--




---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

--




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Proxy + interception SSL = RGPD?

[Dominique Rousseau]

Le Fri, Jan 25, 2019 at 10:01:19AM +0100, David Ponzone 
[david.ponz...@gmail.com] a écrit:
> Et le moindre site de e-Commerce qui demande un numéro de CB pour payer non ?
> 

Il y a relativement peu de sites de e-commerce où tu donnes ton numéro
de CB directement chez eux (bon, y'a Amazon qui représente 50% du
business ;-), la plupart t'envoient sur un site correspondant à leur
banque.

-- 
Dominique Rousseau 
Neuronnexion, Prestataire Internet & Intranet
6 rue des Hautes cornes - 8 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Proxy + interception SSL = RGPD?

[Kavé Salamatian]

J’aime beaucoup c’est avis envoyé d’un mail ProtonMail :-). 

Kv

> Le 25 janv. 2019 à 10:10, EdenloGey  a écrit :
> 
> Hello,
> 
> Étant en plein projet sur ce type de problématique, l'interception en soi est 
> toléré par la GDPR si tu maintiens une liste de non déchiffrement de 
> certaines catégories "à fort risque de présence de données personnelles" 
> (santé, bancaire, étatique ...)
> 
> C'est assez "facile" si tu as un filtrage proxy fin. Si ton proxy est ouvert 
> de maniere large, c'est assez fastidieux à maintenir.
> 
> Après il y a toujours la proportionnalité difficile à doser d'un usage 
> "correct" et "proportionné" d'un utilisateur de son accès internet 
> professionnel.
> Ça se regule plus ou moins en interne : période blanche (style pause du 
> midi), PC sandbox pour la navigation privée ...
> 
> Envoyé depuis ProtonMail mobile
> 
> Envoyé depuis ProtonMail mobile
> 
>  Message d'origine 
> On 25 janv. 2019 à 08:55, Maxime Jouveaux a écrit :
> 
>> Bonjour la liste,
>> 
>> Petite question RGPD, je gère actuellement un proxy squid et pour renforcer
>> la sécurité je regardais pour faire de l'interception SSL(HTTPS).
>> 
>> Actuellement, il logue tout le HTTP et que la première demande en HTTPS,
>> mais sans collecter de données.
>> 
>> Mais je sais que l’interception SSL (HTTPS) peut être illégale vis-à-vis
>> des droits et liberté de chacun, car le proxy verra toutes les informations
>> HTTPS en clair, ce qui représente une attaque informatique appelée « Man on
>> the middle ».
>> 
>> Étant donné que l’accès de chaque utilisateur d’internet n’est pas limité,
>> il peut donc aller sur le site de sa banque ou sur un site médical et
>> consulter des informations personnelles durant sa pause (Autorisée par le
>> code du travail).
>> 
>> Le hic de l’interception SSL(HTTPS) est que le proxy trace tout en clair
>> (exemple : les codes personnels, code carte bancaire etc…).
>> 
>> Ce qui est *une violation du RGPD *de l’employé.
>> 
>> Est-ce que je me trompe?
>> 
>> Note: j'ai une charte informatique en place qui informe les employés que
>> j'ai un proxy.
>> 
>> Merci à vous.
>> 
>> Maxime JOUVEAUX
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Proxy + interception SSL = RGPD?

[Stéphane Rivière]

Petite question RGPD, je gère actuellement un proxy squid et pour renforcer
la sécurité je regardais pour faire de l'interception SSL(HTTPS).


Pas juriste mais quelque expérience à faire confirmer par un homme de 
l'art. Tout est question de proportionnalité et de justification du procédé.


Si t'es dans le SD, une règle peut être qu'aucun poste n'a internet sauf 
celui qui est dans la pièce contrôlée. C'est proportionnel et inattaquable.


Si t'es dans le CD, une règle peut être que l'internet disponible soit 
surveillé. C'est proportionnel et inattaquable.


Si t'es dans la vente de rouleaux sopalin, ça sera considéré comme 
disproportionné, compte tenu que le seul secret envisageable (et donc 
justifiant la surveillance) serait d'ordre commercial (concurrence 
déloyale interne, etc...). La proportionnalité (entre les moyens et le 
risque) n'est pas respectée, ce n'est donc pas justifié, c'est un abus 
sanctionnable.


Si t'es entre les deux et que ce contrôle est proportionnel et donc 
justifiable, après consultation d'un juriste, ce dernier te conseillera 
peut-être, par exemple, pour lever toute ambiguïté, d'obtenir un accord 
d'entreprise, signé par tous les salariés concernés :


- Informant précisément les salariés des traitements de surveillance 
exercés sur les stations de travail (et les risques encourus en termes 
de divulgation des données personnelles en cas de non respect de 
l'accord) - avec référence cnil, anssi, rgpd, duschmoll et tuttiquanti ;


- Mettant en libre service des stations non surveillées en nombre 
suffisant pour les besoins des salariés en pause ;


- Restreignant de façon stricte (c'est plus joli que interdisant) tout 
usage personnel des stations de travail pour éviter toute divulgation de 
données personnelles ;


- Il devrait même y avoir un article 'sanctions' pour les contrevenants, 
avec aggravation si récidive, histoire de border le truc face à un 
tribunal. Une interdiction sans sanction n'est pas crédible.


L'objectif et le dispositif sont proportionnels et justifiés, le 
personnel est précisément informé des droits, obligations et sanctions, 
il dispose de solutions pour la pause, il a signé. Avec un juriste 
spécialisé, ça devrait prévenir pas mal de risques.


Je serais toi, je regarderais déjà la jurisprudence, ça donne de 
nombreuses idées...


PS

Exercer un contrôle avec non déchiffrement des sites "à données 
personnelles" peut être fastidieux, consommateur de ressources et/ou 
forcément laisser des trous dans le fromage, donc présenter un risque 
juridique. Ca peut (va) craindre financièrement en cas de conflit.


--
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Proxy + interception SSL = RGPD?

[EdenloGey]

Hello,

Étant en plein projet sur ce type de problématique, l'interception en soi est 
toléré par la GDPR si tu maintiens une liste de non déchiffrement de certaines 
catégories "à fort risque de présence de données personnelles" (santé, 
bancaire, étatique ...)

C'est assez "facile" si tu as un filtrage proxy fin. Si ton proxy est ouvert de 
maniere large, c'est assez fastidieux à maintenir.

Après il y a toujours la proportionnalité difficile à doser d'un usage 
"correct" et "proportionné" d'un utilisateur de son accès internet 
professionnel.
Ça se regule plus ou moins en interne : période blanche (style pause du midi), 
PC sandbox pour la navigation privée ...

Envoyé depuis ProtonMail mobile

Envoyé depuis ProtonMail mobile

 Message d'origine 
On 25 janv. 2019 à 08:55, Maxime Jouveaux a écrit :

> Bonjour la liste,
>
> Petite question RGPD, je gère actuellement un proxy squid et pour renforcer
> la sécurité je regardais pour faire de l'interception SSL(HTTPS).
>
> Actuellement, il logue tout le HTTP et que la première demande en HTTPS,
> mais sans collecter de données.
>
> Mais je sais que l’interception SSL (HTTPS) peut être illégale vis-à-vis
> des droits et liberté de chacun, car le proxy verra toutes les informations
> HTTPS en clair, ce qui représente une attaque informatique appelée « Man on
> the middle ».
>
> Étant donné que l’accès de chaque utilisateur d’internet n’est pas limité,
> il peut donc aller sur le site de sa banque ou sur un site médical et
> consulter des informations personnelles durant sa pause (Autorisée par le
> code du travail).
>
> Le hic de l’interception SSL(HTTPS) est que le proxy trace tout en clair
> (exemple : les codes personnels, code carte bancaire etc…).
>
> Ce qui est *une violation du RGPD *de l’employé.
>
> Est-ce que je me trompe?
>
> Note: j'ai une charte informatique en place qui informe les employés que
> j'ai un proxy.
>
> Merci à vous.
>
> Maxime JOUVEAUX
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Proxy + interception SSL = RGPD?

[David Ponzone]

Et le moindre site de e-Commerce qui demande un numéro de CB pour payer non ?

> Le 25 janv. 2019 à 09:57, Dominique Rousseau  a écrit :
> 
> Le Fri, Jan 25, 2019 at 08:55:13AM +0100, Maxime Jouveaux 
> [maxime.jouve...@gmail.com] a écrit:
> [...]
>> 
>> Le hic de l???interception SSL(HTTPS) est que le proxy trace tout en clair
>> (exemple : les codes personnels, code carte bancaire etc???).
> 
> Je ne connais pas precisement les implications au niveau RGPD, mais les
> recommandations de l'ANSSI sont de ne pas déchiffrer certaines
> catégories de contenus ( page 15 ) :
> 
> https://www.ssi.gouv.fr/administration/guide/recommandations-de-securite-concernant-lanalyse-des-flux-https/
> 
> La liste en sera forcément ch*ante à maintenir, mais tout ce qui est
> bancaire, assurance, santé est au minimum à exclure, je pense.
> 
> 
> -- 
> Dominique Rousseau 
> Neuronnexion, Prestataire Internet & Intranet
> 6 rue des Hautes cornes - 8 Amiens
> tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Proxy + interception SSL = RGPD?

[Dominique Rousseau]

Le Fri, Jan 25, 2019 at 08:55:13AM +0100, Maxime Jouveaux 
[maxime.jouve...@gmail.com] a écrit:
[...]
> 
> Le hic de l???interception SSL(HTTPS) est que le proxy trace tout en clair
> (exemple : les codes personnels, code carte bancaire etc???).

Je ne connais pas precisement les implications au niveau RGPD, mais les
recommandations de l'ANSSI sont de ne pas déchiffrer certaines
catégories de contenus ( page 15 ) :

https://www.ssi.gouv.fr/administration/guide/recommandations-de-securite-concernant-lanalyse-des-flux-https/

La liste en sera forcément ch*ante à maintenir, mais tout ce qui est
bancaire, assurance, santé est au minimum à exclure, je pense.


-- 
Dominique Rousseau 
Neuronnexion, Prestataire Internet & Intranet
6 rue des Hautes cornes - 8 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Proxy + interception SSL = RGPD?

[Maxime Jouveaux]

Avant de poser cette question déjà consulter les documents de la CNIL et de
l'ANSSI, et aucun ne parle de l'implication RGPD.

C'est pour cela que l'a RGPD rend la situation très ambigu.

Pour les droits du travail, en tant de pause, un utilisateur accédant a
internet peux l'utiliser a des fin personnelles du moment que c'est "bon
enfant".
L'entreprise se réserve le droit de bloquer en cas d’abus.
Mais je ne suis pas la pour interdire l’accès a l'information, je préfère
juste le contrôler.

MJX

Le ven. 25 janv. 2019 à 09:18, Thierry Chich 
a écrit :

> La réponse de la CNIL (qui ne concerne pas la RGPD, mais les principes
> n'ont pas tant changé que ça):
>
> https://www.cnil.fr/fr/analyse-de-flux-https-bonnes-pratiques-et-questions
>
> J'adore, à la fin,  la question en suspens. La CNIL ne peut pas
> s'engager sur le fait qu'il y ait un risque juridique à le faire.
>
> Cette page pointe aussi sur une doc de l'ANSSI qui indique un bon nombre
> de précaution à prendre si on s'y lance. En attendant qu'on ne puisse
> plus le faire du tout.
>
> Thierry
>
> Le 25/01/2019 à 08:55, Maxime Jouveaux a écrit :
> > Bonjour la liste,
> >
> >
> > Petite question RGPD, je gère actuellement un proxy squid et pour
> renforcer
> > la sécurité je regardais pour faire de l'interception SSL(HTTPS).
> >
> > Actuellement, il logue tout le HTTP et que la première demande en HTTPS,
> > mais sans collecter de données.
> >
> >
> > Mais je sais que l’interception SSL (HTTPS) peut être illégale vis-à-vis
> > des droits et liberté de chacun, car le proxy verra toutes les
> informations
> > HTTPS en clair, ce qui représente une attaque informatique appelée « Man
> on
> > the middle ».
> >
> > Étant donné que l’accès de chaque utilisateur d’internet n’est pas
> limité,
> > il peut donc aller sur le site de sa banque ou sur un site médical et
> > consulter des informations personnelles durant sa pause (Autorisée par le
> > code du travail).
> >
> > Le hic de l’interception SSL(HTTPS) est que le proxy trace tout en clair
> > (exemple : les codes personnels, code carte bancaire etc…).
> >
> > Ce qui est *une violation du RGPD *de l’employé.
> >
> >
> >
> > Est-ce que je me trompe?
> >
> >
> > Note: j'ai une charte informatique en place qui informe les employés que
> > j'ai un proxy.
> >
> >
> > Merci à vous.
> >
> >
> > Maxime JOUVEAUX
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> --
>
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Proxy + interception SSL = RGPD?

[Thierry Chich]

La réponse de la CNIL (qui ne concerne pas la RGPD, mais les principes 
n'ont pas tant changé que ça):


https://www.cnil.fr/fr/analyse-de-flux-https-bonnes-pratiques-et-questions

J'adore, à la fin,  la question en suspens. La CNIL ne peut pas 
s'engager sur le fait qu'il y ait un risque juridique à le faire.


Cette page pointe aussi sur une doc de l'ANSSI qui indique un bon nombre 
de précaution à prendre si on s'y lance. En attendant qu'on ne puisse 
plus le faire du tout.


Thierry

Le 25/01/2019 à 08:55, Maxime Jouveaux a écrit :

Bonjour la liste,


Petite question RGPD, je gère actuellement un proxy squid et pour renforcer
la sécurité je regardais pour faire de l'interception SSL(HTTPS).

Actuellement, il logue tout le HTTP et que la première demande en HTTPS,
mais sans collecter de données.


Mais je sais que l’interception SSL (HTTPS) peut être illégale vis-à-vis
des droits et liberté de chacun, car le proxy verra toutes les informations
HTTPS en clair, ce qui représente une attaque informatique appelée « Man on
the middle ».

Étant donné que l’accès de chaque utilisateur d’internet n’est pas limité,
il peut donc aller sur le site de sa banque ou sur un site médical et
consulter des informations personnelles durant sa pause (Autorisée par le
code du travail).

Le hic de l’interception SSL(HTTPS) est que le proxy trace tout en clair
(exemple : les codes personnels, code carte bancaire etc…).

Ce qui est *une violation du RGPD *de l’employé.



Est-ce que je me trompe?


Note: j'ai une charte informatique en place qui informe les employés que
j'ai un proxy.


Merci à vous.


Maxime JOUVEAUX

---
Liste de diffusion du FRnOG
http://www.frnog.org/

--




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Proxy + interception SSL = RGPD?

[David Ponzone]

A part désactiver ton interception pendant les heures de pause, je ne vois pas 
trop ce que tu peux faire d’autre.

Quand tu dis que l’usage à fin personnel pendant la pause de l’accès Internet 
de l’employeur est autorisé par le Code du Travail, c’est un truc que tu as 
vérifié ou c’est un truc que tu imagines ?
Parce que je vois mal comment le Code du Travail pourrait imposer ça.
L’employeur peut de toute façon très bien s’ en sortir en mettant à disposition 
un PC sur lequel l’usage privé est autorisé pendant les pauses.

Par contre, si tu interceptes avec un proxy, tu as une obligation de 
déclaration CNIL à priori.

https://www.juritravail.com/Actualite/internet-travail/Id/1240 

https://www.journaldunet.fr/management/guide-du-management/1201587-internet-au-travail-ce-qu-il-faut-savoir/
 

Et surtout:
https://www.murielle-cahen.com/publications/internet-travail.asp 


Ca m’a l’air délicat comme problème, mais il y a un juriste de haut niveau sur 
la liste, il aura peut-être un moment pour nous éclairer.


> Le 25 janv. 2019 à 08:55, Maxime Jouveaux  a écrit 
> :
> 
> Bonjour la liste,
> 
> 
> Petite question RGPD, je gère actuellement un proxy squid et pour renforcer
> la sécurité je regardais pour faire de l'interception SSL(HTTPS).
> 
> Actuellement, il logue tout le HTTP et que la première demande en HTTPS,
> mais sans collecter de données.
> 
> 
> Mais je sais que l’interception SSL (HTTPS) peut être illégale vis-à-vis
> des droits et liberté de chacun, car le proxy verra toutes les informations
> HTTPS en clair, ce qui représente une attaque informatique appelée « Man on
> the middle ».
> 
> Étant donné que l’accès de chaque utilisateur d’internet n’est pas limité,
> il peut donc aller sur le site de sa banque ou sur un site médical et
> consulter des informations personnelles durant sa pause (Autorisée par le
> code du travail).
> 
> Le hic de l’interception SSL(HTTPS) est que le proxy trace tout en clair
> (exemple : les codes personnels, code carte bancaire etc…).
> 
> Ce qui est *une violation du RGPD *de l’employé.
> 
> 
> 
> Est-ce que je me trompe?
> 
> 
> Note: j'ai une charte informatique en place qui informe les employés que
> j'ai un proxy.
> 
> 
> Merci à vous.
> 
> 
> Maxime JOUVEAUX
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/