Dans cet article, je voudrais reprendre le commentaire qu'à fait Morgan, un des co-animateurs de l'excellent podast le Comptoir Sécu, commentaire qu'il a fait en réponse à un commentaire publié par un des auditeurs. Plutôt que de réécrire ces propos en les paraphrasant, je les recite, tel quel :

Afin de détecter des tentatives d'exfiltration de donnée ou d'accès frauduleux, l'entreprise réalise un man in the middle sur la connexion HTTPS.

En entreprise tu es derrière un proxy pour ton surf, tu ne te connectes pas directement à youtube.com, tu te connectes à ton proxy d'entreprise qui lui se connecte à youtube.com et youtube.com répond au proxy qui redirige la réponse vers toi. Ça permet de faire plein de choses comme regarder ou tu surfes, vérifier que le contenu de la page n'est pas vérolé, vérifier que tu ne tentes pas d'envoyer des documents sensibles via une interface web, etc.

Le problème c'est qu'en HTTPS, disons sur gmail.com, ça ne marche pas, car il y a un chiffrement d'effectué entre toi et youtube.com. Donc pour pouvoir faire la même chose qu'en HTTP, il faut, faire deux chiffrements. Un chiffrement entre gmail.com et le proxy, et un chiffrement entre le proxy et toi (oui il n'a pas la clé pour le certificat de gmail.com ton proxy il ne peut pas simplement regarder et re-chiffrer derrière, encore heureux).

Le seul problème avec ça, c'est que du coup le chiffrement entre le proxy et toi n'est pas fait avec le certificat gmail.com, et du coup de base tu n'as plus le cadenas vert à gauche de l'URL dans le navigateur, voir tu as un bon gros message d'erreur qui fait peur. Ce que font les entreprises c'est qu'elles publient sur ton poste de travail un certificat créé spécifiquement pour l'entreprise, le définit comme « certificat de confiance », et là, comme par magie, le cadenas redevient vert dans le navigateur.

La seule façon de voir qu'il y a une interception est d'inspecter scrupuleusement le certificat du site web consulté, et de regarder sa chaine de confiance pour voir si c'est bien le certificat officiel.

Tu peux aussi plus simplement utiliser des addons comme Certificate Patrol ou Convergence. Le premier te prévient quand un certificat change, le second regarde si les gens ailleurs sur le globe ont bien le même certificat que toi en consultant le site.

A lire sur ce sujet et en complément Votre patron espionne-t-il vos communications cryptées ? Faites le test ! et Des mots de passe que l'on utilise au quotidien où j'indiquais que le proxy connaissait les mots de passe que j'utilise...

Remarque : ce billet contient beaucoup de liens et références faire des anciens billets de ce blog.

Nombreux sont les articles sur les extensions Firefox que j'ai fait et que j'utilise dans le cadre de la protection de la vie privée dans mon usage du Web et le problème est que la multiplication des extensions, le cumul de ces extensions pour protéger ma provenance, masquer qui je suis, conduisent à avoir un navigateur unique (l'OS, associé à la version du navigateur et la liste des extensions sont fournies lors de l'envoi des requêtes HTTP, quand on consulte une site web). J'avais d'ailleurs abordé le point dans mon article sur Panopticlick, à quel point votre navigateur est-il unique ?.

Pour savoir quelles sont les extensions minimales et indispensables, on peut donc regarder du côté du Tor Browser (voir également l'article Tor et le Tor Browser bundle) fournit par le projet Tor.

Dans les extensions qui sont installées, on le strict minimum. A savoir :

On voit que c'est NoScript qui est choisit et non Ghostery (je vous invite sur ce sujet à lire Ghostery ou NoScript et le billet invité Critique de Ghostery).

Le Tor Browser étant fourni par le projet TOR, est déjà configuré et prêt à l'emploi et on peut avoir une confiance assez forte dans le choix des extensions et la configuration qui est en faite.

On remarquera par exemple que dans la liste des plugins, comme je le conseille dans mon Petit guide d'hygiène numérique, les plugins sont désactivés (moi je conseille de l'autoriser au cas par cas) car les plugins permettent de dévoiler la véritable adresse IP, même si on passe par un proxy (voir Voir sa véritable IP même derrière un proxy).

Enfin, je le redis. On évitera d'utiliser TOR via le Firefox que l'on utilise au quotidien. Les cookies, les extensions, la configuration de Firefox par défaut sont autant de possible faille de sécurité et rien ne vaut le Tor Browser Bundle qui est déjà tout prêt à l'emploi. Il faut différencier le surf que l'on fait par TOR du surf que l'on peut faire au quotidien, à moins de constamment utiliser TOR. Et pour télécharger le TOR Browser, une seule et unique adresse (ou éventuellement les miroirs officiels, si le site est bloqué) : https://www.torproject.org/projects/torbrowser.html.

Afin de contribuer à la réponse à cette question, je reprendrais d'abord deux commentaires :

Avantages d'un VPN

Le premier commentaire a été fait par lehollandaisvolant

Si on utilise le VPN sur toutes ses machines, alors on aura toujours une sortie (IP publique) identique. Pratique si on travaille sur une plateforme qui n'autorise que des connexions depuis un certain nombre d'IP à la fois. Je sais que pour mon blog j'injecte l'IP dans le jeton de connexion : si l'IP change, l'utilisateur est déconnecté (et c'est assez chiant sur TOR, ou avec une IP dynamique, mais c'est une bonne chose je pense). Ça empêche aussi aux trackers de lier toute une liste d'IP à un utilisateur, puis de croiser toutes les informations (si mon frère vient chez moi ou moi chez lui, par exemple : avec un VPN on ne voit pas que je me déplace physique dans le monde, je suis toujours au même endroit).

Le deuxième par Sebsauvage

Rendre le tracking plus difficile
Certains VPN ont une adresse IP de sortie unique, cCette adresse IP est partagée par *tous* les utilisateurs du VPN. Et c'est en fait un avantage : Cela brouille complètement les pistes. Plus possible de tracer le comportement d'un utilisateur unique par son IP, puisque derrière une IP il peut y avoir des centaines d'utilisateurs.
YouTube en 720p sans problème (chez Free)
Surfer plus vite Si vous avez une connexion avec un débit merdique, le VPN peut améliorer votre vitesse de surf. (La plupart des VPN sont configurés pour faire de la compression)

Ces deux commentaires montrent bien les avantages d'un VPN et se suffisent à eux mêmes.

Problèmes des VPN

Plus rapide que Tor, les VPN sont pour un usage différent. Car le gros problème est dans le fait qu'ils tracent tout ce que l'on fait. Le serveur a les logs de tout ce que l'on fait. On déporte donc la surveillance de tous un tas de site en un seul endroit. Un peu comme Cloudfare, Akamai et autres CDN qui servent de proxy à de nombreux sites, d'une certaine façon.

Personnellement, je recommanderai donc d'utiliser TOR si on veut être sûr que l'on a une vie privée quand on surfe sur le web. Et vous avez donc une réponse rapide et simple à la question, non ? ;-)

Cette présentation explique comment sécuriser sa messagerie mail.

Plan de la présentation
Par défaut les mots de passe sont visibles.
Serveur de réception d'eMail IMAP.
Serveur d'envoi eMail (SMTP) authentifié.
Et pour le webmail ? Connexion en https.
Et pour le contenu des mails ? Chiffrement des mails avec PGP.
Et pour aller BEAUCOUP plus loin ? SSL de bout en bout.

Ce que cette présentation est : un petit guide sur comment installer et utiliser Cryptocat Date de mise à jour : le 01 avril 2014

Qu'est ce que Cryptocat ? Cryptocat est une application web open source destinée à permettre des communications sûres et chiffrées. Cryptocat chiffre les chat côté client ; la confiance au serveur se limite à des données déjà chiffrées. Cryptocat est une extension pour Mozilla Firefox, Google Chrome et Safari, ainsi qu'une application Mac OSX native.

Les sources sont disponibles ici : Source sur Github