Ce qui est FAISABLE en surveillance info reseaux ? [serieux] - Windows & Software
Marsh Posté le 29-12-2003 à 11:40:56
va sur le site de la cnil, y'a tout un chapitre la dessus
Marsh Posté le 29-12-2003 à 11:44:28
rogntudjuuuuuuuuu a écrit : va sur le site de la cnil, y'a tout un chapitre la dessus |
je ne cherche pas de documents juridique, je cherche un conseil technique. mais merci quand meme.
Marsh Posté le 29-12-2003 à 11:50:04
Au niveau de la surveillance, tu ne peux rien faire contre. S'il y a un mec qui sait le faire, il pourra de toutes façon regarder ce que tu fais.
Par contre, légallement, ton patron n'a
- pas le droit de surveiller le contenu de tes mails privés
- pas le droit de toucher aux documents que tu as mis dans un emplacement privé nominatif (autrement dit un dossier à ton nom)
et dans tous les cas, s'il surveille le trafic internet, il ne peut pas utiliser ce fait contre toi sous aucun motif, à moins qu'il ne te prévienne explicitement qu'il trace l'utilisation internet. Et s'il te prévient qu'il trace les accès, il ne peut le faire qu'a postériori (autrement dit il ne peut pas se plaindre de choses faites avant qu'il n'ai prévenu officiellement le traçage.)
Vas tout de même voir le site de la CNIL je pense, ça précisera tes questions
Marsh Posté le 29-12-2003 à 11:52:11
Time Devourer a écrit : |
Bah franchement, elle peut tout faire si elle le desire (je parle donc d'un point de vue technique hein ?)
Je ne pense pas que tu puisses y echapper parce qu'en entreprise, tu as une ip fixe et nom de machine bien définis, donc tu es facilement tracable.
Maintenant, ta boite n'a pas forcement l'envie ni le besoin de le faire (surtout pour les mails, mais là on donne dans le juridique)
Marsh Posté le 29-12-2003 à 11:52:47
Niveau surveillance absolument tout est bien sur tracable, les infos récupérables de base avec les outils de 2000 sont deja nombreuses, surtout si tu es en domaine, et il existe des tas de solutions encore plus efficace pour les big brother en herbe.
La "protection" contre ce genre de chose ca depend completment de comment est organisé ton réseau et des moyens mis en place pour cette "surveillance", le meilleur moyen pour etre tranquille est deja bien sur de ne rien faire qui soit contraire a la charte info de la boite
Dans tous les cas, jouer au Zorro des LAN et essayer de court-circuiter par soi-même ce genre de chose est le meilleur moyen de s'attirer des emmerdes et de se mettre le service info et/ou la direction a dos, si les choses sont bien faites tu ne pourras de toutes facon par faire grand chose. Si tu penses qu'effectivement tu es surveillé au dela de ce qui est permis par la loi (cf le site de la cnil) mieux vaut régler de maniere administrative et voir ca avec tes representants du personnels.
Marsh Posté le 29-12-2003 à 11:55:21
Si tu veux te protéger d'un collègue un peu envahissant, déjà s'il a les droits d'admi du réseau tu ne peux pas blinder ta machine, il y aura accès tout de même.
La solution, c'est de mettre un mot de passe dans tes documents, vider ton cache internet explorer (dans les options tu peux vider le cache à chaque fermeture du navigateur), vider l'historique.
Sans le câble réseau personne ne peut voir ce que tu as à l'écran (ormis en visuel direct), et par la suite une fois rebranché on ne peut accéder qu'à ce qui est enregistré sur le disque
La sécurité réseau ne peut rien faire face à quelqu'un qui a les droits d'admin, la seule façon de se protéger c'est de mettre un mot de passe aux documetns, genre excel et word le permettent, ou de les laisser uniquement dans un .zip codé également. Attention, pour le mot de passe choisir un mot pas courant, ou mieux concaténer 2 mots, et dépasser 8 ou 10 caractères, ca rallonge les tentatives de crackage du code. (ex : chienchat, ca marche bien comme mot de passe, personne y pense...)
Marsh Posté le 29-12-2003 à 12:01:15
Il existe de nombreux logiciels de surveillance, les plus efficaces sont en général installé à meme la machine de sorte de pouvoir surveiller tout ce que l'utilisateur entreprend et réduire à néant tout effort de cryptage.
Il va de soit que le logiciel peut poster ses rapports ulterieurement, une connexion réseau n'est que le moyen de remettre les rapports (tu peux tout à fait imaginer que la personne se connecte utlréieurement a la machine pour les consulter).
Après pour ce qui est de ce qui transite sur un réseau tout est surveillable (c'est principalement une question de moyens mis en oeuvre et du gain obtenu en surveillant les données par rapport au cout nécessaire à cette surveillance), reste l'utilisation de protocoles cryptés considérés comme sur qui peuvent rendre un peu plus difficile la surveillance.
En général tu définis des zones concentrique depuis un ordinateur. L'ordinateur meme, le réseau local, les connexions sécurisées avec d'autres réseaux, le wifi, la dmz et les serveurs publiques, les autres réseaux publiques.
Marsh Posté le 29-12-2003 à 12:04:38
Tu peux tout faire techniquement niveau surveillance.
Tu peux toujours essayé de tout passer en ssl, la personne ne vera pas les données mais saura tout de meme ou tu te connecte ...
Marsh Posté le 29-12-2003 à 12:12:09
bill.fr -> Pour les droits d'admin c'est clair
Pour ce qui est du navigateur il suffit d'un simple proxy pour obtenir ces infos et tracer l'utilisation d'internet par un utilisateur.
Pour ce qui est de l'écran certains logiciels de surveillance prennent à intervalles réguliers une capture d'écran et l'enregistre sur le disque.
Poru les mots de passe je suis assez d'accord, toutefois certains logiciels sont assez faiblards (suite Office par exemple), quant au ZIP il tient la route pour autant que le mot de passe soit assez long et complexe... ajouter quelques chiffres / caractères spéciaux ne feraient pas de mal, poru utiliser l'ensemble de l'espace des clefs. Je reprends ton exemple :
1) chien -> ch1en
2) chat -> ch@t
3) ch1en!ch@t
Ca reste assez simple à mémoriser.
Marsh Posté le 29-12-2003 à 12:20:38
merci pour toutes vos reponses, je vais tacher de vous repondre individuellement :
bill.fr > effectivement, juridiquement on est assez bien protegés, et tu sembles le confirmer. cependant je voulais savoir ce qu'il est techniquement possible de faire, etant donné que ça peut etre de l'info quand meme, qui pourrait alors etre le debut de recherches plus approfondies, et legales cette fois ci.
mettre un mot de passe dans tes documents ? en fait j'ai crée un dossier, et dans les propriétés, rayon security, j'ai viré tous les utilisateurs sauf moi. de facto, seul moi y ait acces, non ? historique et cache c'est bon.
jkley > oui elle peut faire beaucoup, mais jsuqu'à quel point ? par exemple, savoir que tu utilise l'imprimante lundi a 12h13 est une chose, savoir precisemment ce que tu as imprimé en est une autre.... tu vois ce que je veux dire ?
El Pollo Diablo > je ne cherche pas à jouer au Zorro, loin de là. je ne cherche meme pas à detourner le systeme. non, je souhaite simplement etre au courant des moyens et des limites de ces moyens mis à disposition pour la surveillance
requin > j'ai peur de deviner la reponse, mais, ya moyen de savoir si on a un logiciel de surveillance installé sur son PC ?
ah ouais pour le coup du proxy ça fait mal au cul : on en a effectivement un, et a priori c'est le seul moyen de se connecter à internet
sinon ouais, c'est pas mal le coup des mots de passe winrar
gug > ssl... c'est du cryptage ça, non ? (newbie inside )
merci à tous en tous ca, ça commence à devenir plus clair
mais j'aimerai vraiment savoir si quand on dit "tout est faisable" on entend qu'absolument tout est "surveillable" (jusqu'au nom des pages imprimées par exemple) ou y-a-t-il des limites tout de meme ?
Marsh Posté le 29-12-2003 à 12:24:18
ssl : oui c'est la version la plus courante trouve sur le net.
Donc si t'es un brun parano :
utilisation de ssl pour toutes les connections reseaux
utilisation de gpg + ssl pour les mails
cryptage des partitions du disque dur en 1024 bit, faire attention car le point faible d'un cryptage des partitions ne vient pas du cryptage
Marsh Posté le 29-12-2003 à 12:26:20
>mais j'aimerai vraiment savoir si quand on dit "tout est faisable" on entend qu'absolument tout est "surveillable" (jusqu'au nom des pages imprimées par exemple) ou y-a-t-il des limites tout de meme ?
tout est surveilable techniquement oui (sauf decrypter du 2056 bit quoique avec les bonnes machines ...) mais meme si tu utilises des flux crypter il est toujours facile de voir ou vont c'est flux. cela est du à la conception de tcp/ip ...
et si en france une entreprise le fait, un mail a la cnil et ca chauffe donc ...
Marsh Posté le 29-12-2003 à 14:11:37
Tout est faisable, un admin réseau de ton entreprise peut avoir accès à tout s'il a prévu ce cas. L'impression, si ça passe par un serveur d'impression, peut avoir des copies de sauvegarde ou des traces.
Avoir viré les droits de ton dossier empechera un autre utilisateur d'y accéder, mais un administrateur pourra tout de même y accéder, c'est le principe de l'administrateur.
En gros, si l'administrateur de ton réseau informatique a décidé de surveiller, tu ne peux rien faire contre.
Si tu veux vérifier s'il y a un pisteur sur ton poste, le plus simple c'est de vérifier un par un les process qui tournent (gestionnaire des tâches). Mais certains process peuvent avoir été nommés avec un nom de camouflage pour ne pas qu'on les identifie....
Donc, en théorie, on peut tout surveiller, si on s'en donne les moyens. Maintenat savoir si c'est légal, il y a es limites qu'il ne faut normallement pas franchir... mais savoir si elles sont respectées....
Marsh Posté le 29-12-2003 à 14:42:06
GUG a écrit : et si en france une entreprise le fait, un mail a la cnil et ca chauffe donc ... |
C'est quand meme plus subtil que ca, si (pour le moment en tout cas...) la jurisprudence est largement en faveur des employés "espionnés", la CNIL n'est pas la non plus pour proteger le gars qui passe la moitié de ces journées a chatter sur le net et l'autre a jouer au solitaire sous prétexte que son boss a du regarder les logs du proxy de la boite pour s'en rendre compte. Le probleme actuel c'est qu'il n'y a pas encore vraiment de lois claires et précises sur la question, y'a des jurisprudence, y'a les recommendations de la CNIL, mais ca reste relativement flou.
Le site kivabien sur la question : http://www.droitdunet.fr/
Marsh Posté le 29-12-2003 à 15:44:33
l'admin reseau choisira entre : -la surveillance ou paralyser lutilisateur avec des droits restreint .
il est evident que ladmin a un control total de son reseau , mais imaginez la tache de travail sur 100 postes , il faudrais une ou plusieur personne a temp plein .....
la surveillance peu reelement exister mais ladmin le fera pas par pure "vice" c quil aura des soupson sur lutilisateur par exemple : utilisation de p2p ( moi meme dans ce cas je blok completement lutilisateur il ne poura faire que ce kil a a faire apres mon passage) ou autre anerie du genre comme abus de messagerie instantanée etc ....
la surveillance est necessaire au bien de lentreprise et rarement au "bien-etre" des utilisateurs.
bah oui zete la pour bosser pas pour serrer la bonnasse de letage du dessou par msn ....
pour vous proteger de la surveillance c different dans chaque cas , il ny a pas de remede miracle.
si tu me dis il recup tes mails : ok tu crypt
si tu me dis il log tes accés au net : ok tunnel vers une machine proxy a lexterieur , de ce fait la seule connexion visible sera cette machine poxy.
etc ... etc ...
les password pour word ou exel , zip : OK mais ca fera que ralentir , si je dois absolument decouvrir ce que traffic un utilisateur , je le decouvrirais de toute facon ,
si tu as besoin dune aide paarticuliere , ecris ici je te repondrais
Marsh Posté le 29-12-2003 à 16:58:53
ChienDePoche -> Je suis assez d'accord avec toi... le type qui fout en l'air plusieures fois sa config et créé des ennuis pourrait attrirer l'attention. En général je me refuse à surveiller... c'est des anomalies (genre espace disque qui devient limite, bande passante du net saturée, ...) au focntionnement normal qui font réagir et chercher la cause du problème. En général un avertissement suffit.
Dans les anomalies j'ai eu une fois des employés qui ont trouvé mali nde virer l'administrateur de leur répertoire perso (j'avais été un peu trop gentil avec les droits)... conclusion la sauvegarde avec ArcServe coincait sur leur répertoire et il va de soit qu'ils ont attiré mon attention.
Sinon j'ai eu le cas d'une directrice qui voulait fliquer ses employés... conclusion je lui ai dit que ca coûtait cher de fliquer efficacement
Marsh Posté le 29-12-2003 à 17:42:02
ben javou que largument monaitaire est souvent assez convainquant !
je me refuse aussi de fliquer mes utilisateurs , mais me fair engeuller car la "bande passante" est saturée alors que ca ne devrais pas etre le cas , et quavec une investigation de 3à seconde je mapercois que 7 employers telecharge comme des porcs ...
le p2p est vraiments un probleme , pour ces utilisateurs peu scrupuleu ils ont desormais besoin de mon intervention pour instamller quelconque logiciels sur leur machine , en sachant que je les avais averti , jais tenter de bloquer les port mais se croyant malin de me contourner ... ils sont maintenant ficeler a leur travail a ne meme plu pouvoir changer leur fond decran ni lheure.
jsuis pas chiant mais je deteste prendre a la place d autres
Marsh Posté le 29-12-2003 à 17:44:10
bref le combat eternel admin / user pour qui on est les emerdeur de service.
bref ca finira jamais faut tjr quil y ais des limites ou ton reseaux se retrouve pouri par linterieur !
Marsh Posté le 29-12-2003 à 18:00:26
ChienDePoche a écrit : bref le combat eternel admin / user pour qui on est les emerdeur de service. |
Ca depend franchement des boites et des gens, j'ai des client chez qui je vais tous les 36 de l'an, sans restriction particuliere et chez qui y'a aucun soucis. Y'en a d'autre si tu leur laisse le champ libre tu reviend 1 semaine apres les becannes sont remplies de conneries, y'a kazaa & co sur la moitié des postes et les serveurs de fichiers sont saturés par les DivX...
Marsh Posté le 30-12-2003 à 09:23:08
oui c sur dans une boite de 10 personnes tu peu tomber sur 10 personnes qui ne poseront pas de prob ou 10 cons , mais sur 200 postes , c impossible que les 200 soit tous daussi bonne foi que tes 10 personnes cool
Marsh Posté le 30-12-2003 à 09:49:04
Le meilleur moyen pour un admin de ne pas être obligé de surveiller les utilisateurs et donc de perdre un temps fou, c'est de restreindre les droits au minimum.
Bon nombres d'utilisateus bidouillent leur PC au boulot. Ils y installent des tas de logiciels qui poluent la bande passante (P2P). Mais c'est là le moindre mal. Le plus grave c'est que c'est la porte ouverte aux virus trojans et autres...
En limitant les droits des utilisateurs et en bloquant les ports inutiles sur le routeur, l'admin se prémuni de bien des soucis !
Marsh Posté le 30-12-2003 à 10:00:17
ChienDePoche a écrit : bref le combat eternel admin / user pour qui on est les emerdeur de service. |
bref le combat eternel user / admin pour qui on est les emerdeurs de service.
ça marche aussi dans l'autre sens
nan de toutes façons ma question n'avait rien à voir avec une guerre avec des admins mechant
en tous cas merci à tous pour vos reponses, ça m'a beaucoup aidé à mieux comprendre le systeme
Marsh Posté le 30-12-2003 à 13:38:15
mams a écrit : Le meilleur moyen pour un admin de ne pas être obligé de surveiller les utilisateurs et donc de perdre un temps fou, c'est de restreindre les droits au minimum. |
restreindre les droit au minimum : ca veut dire que le pti malin dla boite va tout faire pour te contourner , et lastuce va direct se savoir , je prefere ne pas faire la police car ce nest pas mon role , je dois maintenir la qualitée du park informatique . je prefere frapper un uilisateur abusif que tout le monde.
empecher linstalation de logiciel : je laplique sur les utilisateurs abusif aussi ce qui leur fait tres mal
Marsh Posté le 01-01-2004 à 22:29:26
ChienDePoche a écrit : |
moi je cherche a faire du tunnelling en HTTP ou SHTTP (ports 80 et ou 443 je crois)
mais bon le proxy j'aimerais le monter sur mon compte 100Mo free si c possible: comme ca gère le sql et le php faire genre un serveur qui décapsulerais mes paquets encapsulés dans une connexion uniquement sur port 80 et les rerouterais...
mais bon j'étudie encore la question et je cherche peut etre une solution plus simple
Marsh Posté le 29-12-2003 à 11:40:10
Bonjour,
alors ma question s'adresse aux admins reseau, et toute personne s'y connaissant dans ce domaine, etant donné que moi je n'y connais rien du tout.
en laissant de côté l'aspect juridique, qu'est ce qu'une entreprise peut savoir sur un utilisateur Windows 2000 qui se trouve sur un reseau d'entreprise, notamment dans les cas suivants :
-mail
-sites internet
-trafic sur le reseau
-impression
-tout ce à quoi je n'ai pas pu penser
la veritable question est bien sur, que peut-on savoir exactement sur ces sujets ?
comment se proteger de ce genre de choses ? (à part en ne faisant rien... ça c'est un peu la solution de dernier recours).
La surveillance, si elle existe réellement, est-elle inactive lorsque le cable reseau est debranché, ou il est possible que le client envoie les infos a posteriori ?
merci de m'avoir lu jusqu'au bout, merci de prendre ma requete au serieux malgré l'absences de raisons (que je ne donnerai de toutes façons pas), et merci à ceux qui me repondront.
---------------
Look past the flesh, look through the soft gelatin of these dull cow eyes and see your enemy...