Captation mot de passe par routeur/box

Signaler
Messages postés
117
Date d'inscription
mardi 21 février 2012
Statut
Membre
Dernière intervention
3 janvier 2020
-
DoctorAngry
Messages postés
92
Date d'inscription
samedi 16 mars 2019
Statut
Membre
Dernière intervention
10 janvier 2020
-
Bonjour,

Désolé si ma question est naïve, mais je n'y connais vraiment pas grand-chose en réseau.
Je me pose la question de savoir si une personne mal intentionnée pourrait récupérer mon mot de passe d'accès à un site par son routeur?

Je pense par exemple à mon employeur. Sur le réseau au bureau, il m'arrive d'aller sur des sites "perso" comme Facebook par exemple, et je suis donc amené à entrer le mot de passe de mon compte Facebook. Est-ce que mon employeur pourrait en profiter pour le capter?
De la même façon, il m'arrive de me connecter sur des réseaux sociaux quand je ne suis pas chez moi. Imaginons que la personne en charge du routeur, ou de la box, ait l'intention de me piquer mon mot de passe, pourrait-il le faire en configurant sa box avant que j'arrive?
Puis il me demanderait innocemment de me connecter, sans regarder bien sûr, juste pour chopper mon mot de passe. Serait-ce possible?

Merci de votre aide,
Eric

3 réponses

Messages postés
88300
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
23 janvier 2020
8 653
Salut,
oui, tout à fait.
mais c'est plus compliqué que ça si ça n'est pas en entreprise où l'employeur peut faire ce qu'il veut, du moment qu'il t'informe de ça.
Messages postés
117
Date d'inscription
mardi 21 février 2012
Statut
Membre
Dernière intervention
3 janvier 2020
3
Que mon employeur m'informe ou pas, c'est secondaire... De toute façon la réglementation française et la CNIL l'empêchent d'utiliser ces informations de façon légale.
Ce que je cherche à savoir, c'est si c'est faisable techniquement. Et tu me dis que oui, je trouve ça inquiétant. Ca signifie qu'à partir du moment où on n'est plus sur un réseau privé, chez soi, on peut se faire piquer ses mots de passe. Moi qui voyage beaucoup et qui utilise les wifi des hotels partout dans le monde, c'est pas rassurant...
Judge_DT
Messages postés
28329
Date d'inscription
vendredi 5 février 2010
Statut
Modérateur
Dernière intervention
23 janvier 2020
5 105 > DoctorAngry
Messages postés
92
Date d'inscription
samedi 16 mars 2019
Statut
Membre
Dernière intervention
10 janvier 2020

Salut,

Après, je pense que d'un point de vu réseau, c'est immédiatement plus complexe, votre mot de passe Facebook transite via le protocole HTTPS, cela chiffre votre mot de passe lorsqu'il transite sur le réseau, alors à moins de trouver une faille dans HTTPS ou dans le protocole de chiffrement qu'utilise HTTPS (généralement TLS), ils ne pourront à priori pas récupérer votre mot de passe en clair mais sous forme chiffré (ex : jeL7z4"Ke!s#zpk4sZk2jd4 / bref un charabia).

Techniquement, même si cela transite en HTTPS, il n'est pas impossible de récupérer le contenu d'un paquet réseau. C'est plus lourd qu'en HTTP, mais pas impossible et loin de l'être. Surtout sur des réseaux d'entreprises ou autres, qui peuvent être très sécurisés et au sein desquels les outils pouvant intercepter ce type de contenu sont existants. Il suffit d'un simple proxy MITM sur le réseau, qui filtre tout ce qui sort... et l'histoire est faite. ;-)

Cela étant, ce n'est pas parce qu'on intercepte tout le trafic qu'on le lit...

Personnellement, si mon employeur me demande d'espionner un collègue ou quelconque accès administrateur sur le réseau dont il n'a pas besoin pour exercer ses activités, je lui dirait tout simplement que c'est hors de question, car cela est d'une part interdit (dans le premier cas) et d'autre part dangereux pour le SI (dans le deuxième cas).

Interdit, interdit... Pas vraiment ni totalement. Techniquement, l'employeur (ou la société, au sens large) doit être capable, en cas de réquisition de pouvoir déterminer qui a visité X, accédé à Y ou autre et à quel instant. C'est le même principe que pour les opérateurs, qui, sur réquisition doivent pouvoir justifier aux enquêteurs à qui appartient une connexion sur un site X avec les métadonnées Y à un moment Z. En entreprise, c'est pareil, ils doivent pouvoir justifier qui a accédé à quoi en sortant du réseau, normalement. Sinon, c'est l'entreprise au sens large qui pourrait être mise en cause plutôt que la personne fautive précisément. :-)
DoctorAngry
Messages postés
92
Date d'inscription
samedi 16 mars 2019
Statut
Membre
Dernière intervention
10 janvier 2020
39 > Judge_DT
Messages postés
28329
Date d'inscription
vendredi 5 février 2010
Statut
Modérateur
Dernière intervention
23 janvier 2020

Bonjour,

Merci pour les précisions.

Pour votre première remarque "même si cela transite en HTTPS, il n'est pas impossible de récupérer le contenu d'un paquet réseau", je l'ai bien compris, d'où le fait que je parle de "charabia". En effet, même si la trame est capturé, elle est chiffrée. Donc potentiellement inexploitable dans la mesure ou il n'y a pas d'autres choses qui rentre en jeu (faille TLS par exemple) "cela chiffre votre mot de passe lorsqu'il transite sur le réseau, alors à moins de trouver une faille dans HTTPS ou dans le protocole de chiffrement qu'utilise HTTPS (généralement TLS), ils ne pourront à priori pas récupérer votre mot de passe en clair".

Concernant la deuxième remarque, je parlais d'implémentation de logiciels espions et d'accès administrateurs à des personnes n'ayant pas l'habilitation requise. Mais comme je l'ai compris, vous dites que l'entreprise doit être en mesure de savoir qui s'est connecté à, Facebook par exemple, et à quelle heure ? ça me semble bien compliqué à réaliser pour les entreprises. En revanche, qu'elle doivent être en mesure de fournir un ENT à chaque employés (compte Windows perso, boîte mail perso etc...), pour ensuite pouvoir retracer certaines actions, me semble plus plausible niveau législation. D'autant plus que les FAI non plus ne peuvent pas savoir quel site nous visitons à partir du moment ou l'on n'utilise pas ses DNS et ou les trames sont chiffrés. En revanche ils peuvent savoir lequel de leur client à envoyé combien de paquets et à quelle heure. Ou lequel de leur client a quelle adresse IP, ce genre de choses.

Veuillez m'excuser si je n'ai pas était clair dans le message précédent, ce que je veux souligner, c'est que dans le cas de Rocky92, il n'y a pas de risque de récupération de mot de passe d'un point de vu réseau, si la connexion qu'il utilise est bien en HTTPS. Êtes vous d'accord avec cela ? Après il doit sûrement exister des stratégies pour corrompre tout ça, je ne suis pas expert en cybersécurité. Mais quoi qu'il en soit, cela m'étonnerai fortement que le département informatique ou le boss de l'entreprise de Rocky92 s'amuse à embaucher un expert pour lui voler son mot de passe Facebook en contournant la sécurité du SI...
brupala
Messages postés
88300
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
23 janvier 2020
8 653 > Judge_DT
Messages postés
28329
Date d'inscription
vendredi 5 février 2010
Statut
Modérateur
Dernière intervention
23 janvier 2020

Interdit, interdit... Pas vraiment ni totalement. Techniquement, l'employeur (ou la société, au sens large) doit être capable, en cas de réquisition de pouvoir déterminer qui a visité X, accédé à Y ou autre et à quel instant. C'est le même principe que pour les opérateurs, qui, sur réquisition doivent pouvoir justifier aux enquêteurs à qui appartient une connexion sur un site X avec les métadonnées Y à un moment Z. En entreprise, c'est pareil, ils doivent pouvoir justifier qui a accédé à quoi en sortant du réseau, normalement. Sinon, c'est l'entreprise au sens large qui pourrait être mise en cause plutôt que la personne fautive précisément. :-)
Tout à fait,
je ne voulais pas entrer dans les détails à ce niveau, parce que ça n'est pas le sujet, je pense, là on est sur le neuneu de base, mais un admin réseau qui dit non à son employeur au nom de l'éthique c'est gentil, mais ça n'arrive jamais, il aurait tort juridiquement justement à partir du moment où l'employeur a informé les utilisateurs de son réseau et de son matériel sur leur utilisation personnelle.
La seule limite que je connaisse est la lecture des mails, ils ne sont pas liés directement à l'utilisation du matériel et le courrier a une vieille tradition vis à vis de la loi à être inviolable.
Mais bon, après, la technique, à partir du moment où l'on maitrise, ça n'est pas un problème, la DPI, ce n'est pas pour les extraterrestres.
Il faut juste éviter de mélanger vie perso et outils professionnels, mélange qui n'a pas lieu d'être.
Il ya quelques années, j'avais un portable professionnel, et 2 disques durs, un pour le boulot, et un pour moi.
De toute façon, pas le choix, avec celui de la boite, je ne pouvais pas faire grand chose d'autre, et c'est bien comme ça.
DoctorAngry
Messages postés
92
Date d'inscription
samedi 16 mars 2019
Statut
Membre
Dernière intervention
10 janvier 2020
39 > brupala
Messages postés
88300
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
23 janvier 2020

"à partir du moment où l'employeur a informé les utilisateurs de son réseau et de son matériel sur leur utilisation personnelle"
Dans ce cas oui, comme pour les images des caméras, tant que les utilisateurs et le CSE sont au courant de l'usage qui peut en être fait, tout est clean (et la CNIL dans le cas des caméras).
Après, je ne connais pas la réglementation en vigueur, ni la jurisprudence qui est associé au cas de Rocky92, mais il n'a pas mentionné que son employeur l'a avertit donc je suis partit du principe que ça n'était pas le cas.

Pour la lectures des mails :
https://droit-finances.commentcamarche.com/faq/820-surveillance-des-mails-par-l-employeur
"Les emails échangés par le biais de la messagerie professionnelle d'un salarié sont présumés avoir un caractère professionnel. Par conséquent, l'employeur peut les consulter même lorsque le salarié est absent. Toutefois, des exceptions à ce principe existent afin de tenir compte du droit au respect de la vie privée du salarié."

Pour aller plus loin :
https://www.justifit.fr/b/guides/droit-travail/conflit/votre-employeur-vous-espionne/
L'historique fait donc effectivement partie des choses que l'employeur peut surveiller, un onglet en navigation privé devrait suffire pour Rocky92 à priori... Après il n'est pas mentionné le fait que l'employeur ai le droit d'installer des logiciels de surveillance (ou captation de mot de passe (keylogger)) donc je ne sais pas. Mais je pense qu'il peut s'il prévient explicitement les salariés. Même combat.
brupala
Messages postés
88300
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
23 janvier 2020
8 653 > DoctorAngry
Messages postés
92
Date d'inscription
samedi 16 mars 2019
Statut
Membre
Dernière intervention
10 janvier 2020

C'est la base, oui,
mais à partir du moment où notre neuneu rocky de service s'en tape, la discussion est close sur ce sujet, et nous savons tous que c'est techniquement possible avec plus ou moins de moyens, surtout quand on est obligé de passer par un proxy.
on va lui dire que les mots de passe voyagent normalement en https, donc chiffrés, mais dans le cas d'un proxy, c'est un autre métal.
Messages postés
117
Date d'inscription
mardi 21 février 2012
Statut
Membre
Dernière intervention
3 janvier 2020
3
Merci pour cette réponse complète.
Je comprends que le mot de passe transite par une connexion sécurisée HTTPS, donc il se retrouve difficile, voire impossible, à intercepter. C'est bien, même si je ne sais pas ce que mon employeur pourrait avoir à faire de mon mot de passe Facebook...
En revanche, lors des déplacements dans les hôtels, c'est plus délicat. J'ai effectivement un VPN sur mon PC pro mais je ne pense pas toujours à l'utiliser, je devrais.
Quant à l'espionnage des employés, je ne pense pas qu'il soit l'oeuvre d'un informaticien auquel on demande d'espionner quelqu'un d'autre, je pensais plutôt à des logiciels entièrement automatisés qui chopent toutes les informations possibles qui transitent sur le réseau, un "big brother" local en quelques sortes.
brupala
Messages postés
88300
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
23 janvier 2020
8 653
En revanche, lors des déplacements dans les hôtels, c'est plus délicat. J'ai effectivement un VPN sur mon PC pro mais je ne pense pas toujours à l'utiliser, je devrais.
Oui, tu devrais, c'est indispensable, même si tu ne peux pas te connecter aux ressources de l'entreprise, de cette façon, ton PC reste très vulnérable sur un wifi publix, bien que tu aies certainement un parefeu.

Quant à l'espionnage des employés, je ne pense pas qu'il soit l'oeuvre d'un informaticien auquel on demande d'espionner quelqu'un d'autre, je pensais plutôt à des logiciels entièrement automatisés qui chopent toutes les informations possibles qui transitent sur le réseau, un "big brother" local en quelques sortes.
ça existe oui, qui peuvent capturer le traffic, mais ils ne sont en général utilisés que quand il y a des soupçons ciblés sur quelqu'un, ça coûterait trop cher de tout capter pour rien.
DoctorAngry
Messages postés
92
Date d'inscription
samedi 16 mars 2019
Statut
Membre
Dernière intervention
10 janvier 2020
39
Cher et dangereux

Rocky92 >
https://www.ssi.gouv.fr/uploads/2014/09/anssi_passeport_2019_1.0.pdf
Page 19, grrr

Vraiment, ces deux liens sont vos meilleurs amis pour votre e-sécurité !
https://www.cybermalveillance.gouv.fr/tous-nos-contenus/
https://www.ssi.gouv.fr/particulier/bonnes-pratiques/

Il y a même des vidéos (premier lien).