Le 05/06/2016 à 10:18, Guillaume Tournat a écrit : > Le déchiffrement SSL permet d'analyser ce qui passe en chiffré. > > Le but n'est pas forcément de bloquer les sites "loisirs" qui nuiraient à la > productivité (ca peut) > > Mais surtout de bloquer les malwares, les protocoles "suspects" (peer to > peer, tor), les botnets. > > Voire de faire du shaping sur ce qui tue la bande passante (streaming), pour > permettre aux applications métiers d'être "responsive". > Si tu arrives à détectes une attaque en analysant le contenu d’une session SSL tu m’appelles, parce que j’ai souvent entendu l’argument mais je ne l’ai jamais vu à l’œuvre. A fortiori du contenu vers un site authentique comme Google (des légendes racontent que HTTPS sert aussi à authentifier les sites, mais les vendeurs de MiTM m’ont assuré que c’était du folklore).
De manière générale je n’ai jamais vu une attaque qui ait été déjouée par du MiTM et qui n’aurait pas pu l’être par une blacklist, un Firewall ou un IDS. Le seul argument valable pour le MiTM c’est que ça permet d’espionner les employés pour éviter les fuites de données (whistleblower). Et encore, je pense que le gars qui voudra faire fuiter des données ne passera pas par le proxy de la boite. Bref, sacrifier l’authentification des sites, et mettre ainsi mes utilisateurs et ma boite sont un prix trop lourd à payer pour l’échanger contre du MiTM. Surveillez les sessions sur un bon vieux proxy CONNECT et vous serez tranquille. Solarus --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
