Le 12/04/2016 12:38, Jonathan Leroy a écrit : > Le 12 avril 2016 à 12:17, Stephane Bortzmeyer <[email protected]> a écrit : >> Avec ces critères, si une telle solution existait, ce serait une >> énorme faille de sécurité dans TLS, et il faudrait la publier dans une >> conf' fameuse (avec nom qui déchire et logo, bien sûr, comme toutes >> les failles de sécurité). > J'abonde avec cette petite infographie, qui explique quand intercepter > ou pas le trafic HTTPS : > https://twitter.com/__apf__/status/719577428058890240 > "on doit jamais MITM une session ssl (web ou non)" c'est un beau principe mais ça va être dur a vendre aux entreprises. que les ISPs aient pas a toucher aux paquets qu'on les paye a transbahuter c'est une chose, mais si j'essaye de dire aux clients "oui mais non, ça c'est dans du ssl, donc même si c'est un c&c zeus sur un site compromis on peut pas le savoir et/ou pas y toucher", ça va mal passer.
le matos de la boite c'est le matos de la boite, et en dehors de quelques communications protégées (contactez votre juriste le plus proche pour une réponse faisant autorité) personne ne peut s'attendre a la confidentialité des échanges avec des serveurs distants. apres vu le prix du DPI au pps, j'ai tendance a encourager a ne l'utiliser qu'en dernier ressort et/ou sur des périmètres sensibles. dans l'immense majorité des cas, les métadonnées sont largement suffisante pour prendre une décision.
signature.asc
Description: OpenPGP digital signature
