Captation mot de passe par routeur/box

Fermé
Rocky92 Messages postés 177 Date d'inscription mardi 21 février 2012 Statut Membre Dernière intervention 7 août 2021 - Modifié le 3 janv. 2020 à 10:23
DoctorAngry Messages postés 158 Date d'inscription samedi 16 mars 2019 Statut Membre Dernière intervention 9 mars 2022 - 3 janv. 2020 à 16:00
Bonjour,

Désolé si ma question est naïve, mais je n'y connais vraiment pas grand-chose en réseau.
Je me pose la question de savoir si une personne mal intentionnée pourrait récupérer mon mot de passe d'accès à un site par son routeur?

Je pense par exemple à mon employeur. Sur le réseau au bureau, il m'arrive d'aller sur des sites "perso" comme Facebook par exemple, et je suis donc amené à entrer le mot de passe de mon compte Facebook. Est-ce que mon employeur pourrait en profiter pour le capter?
De la même façon, il m'arrive de me connecter sur des réseaux sociaux quand je ne suis pas chez moi. Imaginons que la personne en charge du routeur, ou de la box, ait l'intention de me piquer mon mot de passe, pourrait-il le faire en configurant sa box avant que j'arrive?
Puis il me demanderait innocemment de me connecter, sans regarder bien sûr, juste pour chopper mon mot de passe. Serait-ce possible?

Merci de votre aide,
Eric
A voir également:

3 réponses

brupala Messages postés 110584 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 3 décembre 2024 13 841
3 janv. 2020 à 11:11
Salut,
oui, tout à fait.
mais c'est plus compliqué que ça si ça n'est pas en entreprise où l'employeur peut faire ce qu'il veut, du moment qu'il t'informe de ça.
0
Rocky92 Messages postés 177 Date d'inscription mardi 21 février 2012 Statut Membre Dernière intervention 7 août 2021 31
3 janv. 2020 à 11:22
Que mon employeur m'informe ou pas, c'est secondaire... De toute façon la réglementation française et la CNIL l'empêchent d'utiliser ces informations de façon légale.
Ce que je cherche à savoir, c'est si c'est faisable techniquement. Et tu me dis que oui, je trouve ça inquiétant. Ca signifie qu'à partir du moment où on n'est plus sur un réseau privé, chez soi, on peut se faire piquer ses mots de passe. Moi qui voyage beaucoup et qui utilise les wifi des hotels partout dans le monde, c'est pas rassurant...
0
DoctorAngry Messages postés 158 Date d'inscription samedi 16 mars 2019 Statut Membre Dernière intervention 9 mars 2022 128
Modifié le 3 janv. 2020 à 13:00
Bonjour,

Disons qu'il y a certaines bonnes pratiques à adopter, mais dans tous les cas, vous utilisez sûrement un PC du boulot, si c'est le cas, il peut y avoir n'importe quoi d'installer dessus car il n'a pas toujours était entre vos mains, c'est ça le risque surtout.

Après, je pense que d'un point de vu réseau, c'est immédiatement plus complexe, votre mot de passe Facebook transite via le protocole HTTPS, cela chiffre votre mot de passe lorsqu'il transite sur le réseau, alors à moins de trouver une faille dans HTTPS ou dans le protocole de chiffrement qu'utilise HTTPS (généralement TLS), ils ne pourront à priori pas récupérer votre mot de passe en clair mais sous forme chiffré (ex : jeL7z4"Ke!s#zpk4sZk2jd4 / bref un charabia).

Le risque des réseau wi-fi publiques est aussi important, en déplacement, privilégiez un partage de connexion via la 4g (3g, 5g...) de votre téléphone. Si vous n'avez pas le choix, les règles à respecter sont de demander le nom exact du réseau wi-fi à celui qui le distribue, et utiliser un VPN. Si vous vous déplacez régulièrement, l'administrateur réseau de votre entreprise aura sûrement des solutions de sécurité pour vous.

Bref, si vous souhaitez sécuriser d'avantage votre compte Facebook vis à vis de votre employeur, je vous conseille pour commencer, d'activer la 2FA (2 Factors Authentication = authentification à deux facteurs. Voir https://www.youtube.com/watch?v=xpV9Z7shklw&feature=youtu.be) et d'effectuer vos affaires via onglet contextuels (sur Firefox) sinon en navigation privée afin d'effacer une partie des traces en local.
Pour l'activer : https://www.papergeek.fr/facebook-comment-activer-la-double-authentification-pour-plus-de-securite-5500

Je ne connais aucun informaticien qui installerai des logiciels espions sur des ordinateurs clients, ni d'informaticien qui permet à son patron d'avoir des accès d'administrateur sur tous les postes de l'entreprise ou encore sur le réseau... ça n'est pas du tout dans les bonnes pratiques.

Personnellement, si mon employeur me demande d'espionner un collègue ou quelconque accès administrateur sur le réseau dont il n'a pas besoin pour exercer ses activités, je lui dirait tout simplement que c'est hors de question, car cela est d'une part interdit (dans le premier cas) et d'autre part dangereux pour le SI (dans le deuxième cas).


Pour aller plus loin dans la sécurité de vos appareils connectés :
https://www.cybermalveillance.gouv.fr/bonnes-pratiques
https://www.ssi.gouv.fr/particulier/bonnes-pratiques/

Ceci vous concerne directement :
https://www.ssi.gouv.fr/uploads/2014/09/anssi_passeport_2019_1.0.pdf
Si vous voyagez régulièrement, votre administrateur devrait vous l'avoir donné... Ou au moins quelque chose qui y ressemble (en fond).
0
Judge_DT Messages postés 29395 Date d'inscription vendredi 5 février 2010 Statut Modérateur Dernière intervention 23 octobre 2021 9 657 > DoctorAngry Messages postés 158 Date d'inscription samedi 16 mars 2019 Statut Membre Dernière intervention 9 mars 2022
3 janv. 2020 à 14:32
Salut,

Après, je pense que d'un point de vu réseau, c'est immédiatement plus complexe, votre mot de passe Facebook transite via le protocole HTTPS, cela chiffre votre mot de passe lorsqu'il transite sur le réseau, alors à moins de trouver une faille dans HTTPS ou dans le protocole de chiffrement qu'utilise HTTPS (généralement TLS), ils ne pourront à priori pas récupérer votre mot de passe en clair mais sous forme chiffré (ex : jeL7z4"Ke!s#zpk4sZk2jd4 / bref un charabia).

Techniquement, même si cela transite en HTTPS, il n'est pas impossible de récupérer le contenu d'un paquet réseau. C'est plus lourd qu'en HTTP, mais pas impossible et loin de l'être. Surtout sur des réseaux d'entreprises ou autres, qui peuvent être très sécurisés et au sein desquels les outils pouvant intercepter ce type de contenu sont existants. Il suffit d'un simple proxy MITM sur le réseau, qui filtre tout ce qui sort... et l'histoire est faite. ;-)

Cela étant, ce n'est pas parce qu'on intercepte tout le trafic qu'on le lit...

Personnellement, si mon employeur me demande d'espionner un collègue ou quelconque accès administrateur sur le réseau dont il n'a pas besoin pour exercer ses activités, je lui dirait tout simplement que c'est hors de question, car cela est d'une part interdit (dans le premier cas) et d'autre part dangereux pour le SI (dans le deuxième cas).

Interdit, interdit... Pas vraiment ni totalement. Techniquement, l'employeur (ou la société, au sens large) doit être capable, en cas de réquisition de pouvoir déterminer qui a visité X, accédé à Y ou autre et à quel instant. C'est le même principe que pour les opérateurs, qui, sur réquisition doivent pouvoir justifier aux enquêteurs à qui appartient une connexion sur un site X avec les métadonnées Y à un moment Z. En entreprise, c'est pareil, ils doivent pouvoir justifier qui a accédé à quoi en sortant du réseau, normalement. Sinon, c'est l'entreprise au sens large qui pourrait être mise en cause plutôt que la personne fautive précisément. :-)
0
DoctorAngry Messages postés 158 Date d'inscription samedi 16 mars 2019 Statut Membre Dernière intervention 9 mars 2022 128 > Judge_DT Messages postés 29395 Date d'inscription vendredi 5 février 2010 Statut Modérateur Dernière intervention 23 octobre 2021
Modifié le 3 janv. 2020 à 15:06
Bonjour,

Merci pour les précisions.

Pour votre première remarque "même si cela transite en HTTPS, il n'est pas impossible de récupérer le contenu d'un paquet réseau", je l'ai bien compris, d'où le fait que je parle de "charabia". En effet, même si la trame est capturé, elle est chiffrée. Donc potentiellement inexploitable dans la mesure ou il n'y a pas d'autres choses qui rentre en jeu (faille TLS par exemple) "cela chiffre votre mot de passe lorsqu'il transite sur le réseau, alors à moins de trouver une faille dans HTTPS ou dans le protocole de chiffrement qu'utilise HTTPS (généralement TLS), ils ne pourront à priori pas récupérer votre mot de passe en clair".

Concernant la deuxième remarque, je parlais d'implémentation de logiciels espions et d'accès administrateurs à des personnes n'ayant pas l'habilitation requise. Mais comme je l'ai compris, vous dites que l'entreprise doit être en mesure de savoir qui s'est connecté à, Facebook par exemple, et à quelle heure ? ça me semble bien compliqué à réaliser pour les entreprises. En revanche, qu'elle doivent être en mesure de fournir un ENT à chaque employés (compte Windows perso, boîte mail perso etc...), pour ensuite pouvoir retracer certaines actions, me semble plus plausible niveau législation. D'autant plus que les FAI non plus ne peuvent pas savoir quel site nous visitons à partir du moment ou l'on n'utilise pas ses DNS et ou les trames sont chiffrés. En revanche ils peuvent savoir lequel de leur client à envoyé combien de paquets et à quelle heure. Ou lequel de leur client a quelle adresse IP, ce genre de choses.

Veuillez m'excuser si je n'ai pas était clair dans le message précédent, ce que je veux souligner, c'est que dans le cas de Rocky92, il n'y a pas de risque de récupération de mot de passe d'un point de vu réseau, si la connexion qu'il utilise est bien en HTTPS. Êtes vous d'accord avec cela ? Après il doit sûrement exister des stratégies pour corrompre tout ça, je ne suis pas expert en cybersécurité. Mais quoi qu'il en soit, cela m'étonnerai fortement que le département informatique ou le boss de l'entreprise de Rocky92 s'amuse à embaucher un expert pour lui voler son mot de passe Facebook en contournant la sécurité du SI...
0
brupala Messages postés 110584 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 3 décembre 2024 13 841 > Judge_DT Messages postés 29395 Date d'inscription vendredi 5 février 2010 Statut Modérateur Dernière intervention 23 octobre 2021
Modifié le 3 janv. 2020 à 15:04
Interdit, interdit... Pas vraiment ni totalement. Techniquement, l'employeur (ou la société, au sens large) doit être capable, en cas de réquisition de pouvoir déterminer qui a visité X, accédé à Y ou autre et à quel instant. C'est le même principe que pour les opérateurs, qui, sur réquisition doivent pouvoir justifier aux enquêteurs à qui appartient une connexion sur un site X avec les métadonnées Y à un moment Z. En entreprise, c'est pareil, ils doivent pouvoir justifier qui a accédé à quoi en sortant du réseau, normalement. Sinon, c'est l'entreprise au sens large qui pourrait être mise en cause plutôt que la personne fautive précisément. :-)
Tout à fait,
je ne voulais pas entrer dans les détails à ce niveau, parce que ça n'est pas le sujet, je pense, là on est sur le neuneu de base, mais un admin réseau qui dit non à son employeur au nom de l'éthique c'est gentil, mais ça n'arrive jamais, il aurait tort juridiquement justement à partir du moment où l'employeur a informé les utilisateurs de son réseau et de son matériel sur leur utilisation personnelle.
La seule limite que je connaisse est la lecture des mails, ils ne sont pas liés directement à l'utilisation du matériel et le courrier a une vieille tradition vis à vis de la loi à être inviolable.
Mais bon, après, la technique, à partir du moment où l'on maitrise, ça n'est pas un problème, la DPI, ce n'est pas pour les extraterrestres.
Il faut juste éviter de mélanger vie perso et outils professionnels, mélange qui n'a pas lieu d'être.
Il ya quelques années, j'avais un portable professionnel, et 2 disques durs, un pour le boulot, et un pour moi.
De toute façon, pas le choix, avec celui de la boite, je ne pouvais pas faire grand chose d'autre, et c'est bien comme ça.
0
DoctorAngry Messages postés 158 Date d'inscription samedi 16 mars 2019 Statut Membre Dernière intervention 9 mars 2022 128 > brupala Messages postés 110584 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 3 décembre 2024
Modifié le 3 janv. 2020 à 15:29
"à partir du moment où l'employeur a informé les utilisateurs de son réseau et de son matériel sur leur utilisation personnelle"
Dans ce cas oui, comme pour les images des caméras, tant que les utilisateurs et le CSE sont au courant de l'usage qui peut en être fait, tout est clean (et la CNIL dans le cas des caméras).
Après, je ne connais pas la réglementation en vigueur, ni la jurisprudence qui est associé au cas de Rocky92, mais il n'a pas mentionné que son employeur l'a avertit donc je suis partit du principe que ça n'était pas le cas.

Pour la lectures des mails :
https://droit-finances.commentcamarche.com/salaries/guide-salaries/1197-email-personnel-en-entreprise-droit-et-confidentialite/
"Les emails échangés par le biais de la messagerie professionnelle d'un salarié sont présumés avoir un caractère professionnel. Par conséquent, l'employeur peut les consulter même lorsque le salarié est absent. Toutefois, des exceptions à ce principe existent afin de tenir compte du droit au respect de la vie privée du salarié."

Pour aller plus loin :
https://www.justifit.fr/b/guides/droit-travail/conflit/votre-employeur-vous-espionne/
L'historique fait donc effectivement partie des choses que l'employeur peut surveiller, un onglet en navigation privé devrait suffire pour Rocky92 à priori... Après il n'est pas mentionné le fait que l'employeur ai le droit d'installer des logiciels de surveillance (ou captation de mot de passe (keylogger)) donc je ne sais pas. Mais je pense qu'il peut s'il prévient explicitement les salariés. Même combat.
0
Rocky92 Messages postés 177 Date d'inscription mardi 21 février 2012 Statut Membre Dernière intervention 7 août 2021 31
3 janv. 2020 à 15:29
Merci pour cette réponse complète.
Je comprends que le mot de passe transite par une connexion sécurisée HTTPS, donc il se retrouve difficile, voire impossible, à intercepter. C'est bien, même si je ne sais pas ce que mon employeur pourrait avoir à faire de mon mot de passe Facebook...
En revanche, lors des déplacements dans les hôtels, c'est plus délicat. J'ai effectivement un VPN sur mon PC pro mais je ne pense pas toujours à l'utiliser, je devrais.
Quant à l'espionnage des employés, je ne pense pas qu'il soit l'oeuvre d'un informaticien auquel on demande d'espionner quelqu'un d'autre, je pensais plutôt à des logiciels entièrement automatisés qui chopent toutes les informations possibles qui transitent sur le réseau, un "big brother" local en quelques sortes.
0
brupala Messages postés 110584 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 3 décembre 2024 13 841
3 janv. 2020 à 15:43
En revanche, lors des déplacements dans les hôtels, c'est plus délicat. J'ai effectivement un VPN sur mon PC pro mais je ne pense pas toujours à l'utiliser, je devrais.
Oui, tu devrais, c'est indispensable, même si tu ne peux pas te connecter aux ressources de l'entreprise, de cette façon, ton PC reste très vulnérable sur un wifi publix, bien que tu aies certainement un parefeu.

Quant à l'espionnage des employés, je ne pense pas qu'il soit l'oeuvre d'un informaticien auquel on demande d'espionner quelqu'un d'autre, je pensais plutôt à des logiciels entièrement automatisés qui chopent toutes les informations possibles qui transitent sur le réseau, un "big brother" local en quelques sortes.
ça existe oui, qui peuvent capturer le traffic, mais ils ne sont en général utilisés que quand il y a des soupçons ciblés sur quelqu'un, ça coûterait trop cher de tout capter pour rien.
0
DoctorAngry Messages postés 158 Date d'inscription samedi 16 mars 2019 Statut Membre Dernière intervention 9 mars 2022 128
Modifié le 3 janv. 2020 à 16:02
Cher et dangereux

Rocky92 >
https://www.ssi.gouv.fr/uploads/2014/09/anssi_passeport_2019_1.0.pdf
Page 19, grrr

Vraiment, ces deux liens sont vos meilleurs amis pour votre e-sécurité !
https://www.cybermalveillance.gouv.fr/bonnes-pratiques
https://www.ssi.gouv.fr/particulier/bonnes-pratiques/

Il y a même des vidéos (premier lien).
0