Déchiffrage SSL- L’employeur peut t’il surveiller vos connexion internet ?
Nos habitudes de connexion nous suivent partout et cela même sur notre lieu de travail. Cependant, une décision de la Cour européenne des droits de l’homme autorise la surveillance des connexions Web des collaborateurs. Voici comment détecter si votre employeur déchiffre vos connexions.
Vous vous connectez à Internet depuis votre lieu de travail pour consulter vos réseaux sociaux, lire vos mails ou consulter vos comptes bancaires. Le petit cadenas situé dans la barre d’adresse de votre navigateur vous renseigne lorsque votre navigation est protégée et chiffrée grâce à SSL et HTTPS. Grâce à ce cryptage, aucun tiers ne peut récupérer ou espionner vos actions en ligne. Pourtant, depuis un arrêté de la CEDH votre employeur a la possibilité de contourner cette protection à l’aide de proxys capables de déchiffrer le flux SSL.
Pour pouvoir déchiffrer votre flux de navigation, votre entreprise, comme beaucoup d’autres organisations, va utiliser un proxy SSL. Le proxy SSL se positionne en homme du milieu sur le trafic SSL entre le client et le serveur Web. C’est lui qui déchiffre les flux SSL de votre réseau d’entreprise. Cela a pour effet de faire passer en clair l’ensemble des données de vos navigations. Elles seront chiffrés avec un nouveau certificat avant de sortir du réseau. Pour vous, ce « petit » contournement passera presque inaperçu, mais vos données de navigation ainsi que vos mots de passe, numéros de carte bancaire et mails confidentiels pourront être stockés sur un serveur d’entreprise dédié.
Renseignez-vous avec le bouton d’identité du site
Si vous voulez vérifier si votre réseau d’entreprise dispose d’un proxy SSL, cliquez sur le bouton d’identité du site (celui avec un cadenas). Une fenêtre pop-up s’ouvrira dans votre barre d’adresse pour vous délivrer les informations de sécurité du site que vous visitez. Pour savoir si votre connexion est chiffrée, voici la marche à suivre selon votre navigateur :
Internet Explorer : Afficher les certificats
Chrome : Certificat > Chemin d’accès des certifications
Firefox : Plus d’informations > Afficher le certificat
Vous n’aurez plus qu’à vérifier qui a émis le certificat en question. Si jamais vous reconnaissez le nom de votre entreprise, c’est que le certificat en question est délivré en interne. Cela prouve que vos connexions sont surveillées par votre employeur. Néanmoins, il est possible que vous ne trouviez rien de suspect pour approfondir vos recherches. Vérifiez que la structure émettrice du certificat est bien existante et que ce n’est pas une façade pour votre entreprise.
Ce déchiffrage des flux sécurisés des salariés est légal à certaines conditions
L’outil de déchiffrage proxy SSL doit être déclaré à la CNIL. Les différents collaborateurs de la structure doivent être informés de son utilisation,via le règlement intérieur ou une charte informatique. Et au moins un administrateur doit être dédié au contrôle des flux. Si votre employeur respecte ces critères, il peut déchiffrer et stocker vos flux SSL. Pour accéder aux données stockées, il devra faire appel à un tiers assermenté. Par contre, il n’a pas le droit d’accéder à vos données personnelles car celles-ci relèvent du droit à la correspondance privée, même si la nuance est subtile. En cas de doute sur le respect de ces procédures, un salarié pourra toujours saisir la CNIL pour vérifier si son entreprise respecte bien la loi. Le secret des correspondances privées est protégé par la loi n° 91-646 du 10 juillet 1991. Le non respect de cette loi peut entraîner jusqu’à 45 000 euros d’amende et un an d’emprisonnement.