Merci de ta réponse, cela confirme mes soupçons.
Dans les paramètres, c'est un fichier de configuration proxy.pac qui est renseigné si on lit ce fichier, il renseigne une série d'exception avec connexion directe (site locale, localhost, etc.) puis trie selon les protocoles
http => 2 adresses proxy avec un numéro de port
https => les 2 même adresses mais sans numéro de port
ftp => les 2 même adresses avec un autre numéro de port.
Je m'étonne que le protocole https n'ai pas de numéro de port, je ne sais donc pas quoi mettre dans les paramètres de dropbox par exemple.
Oui, bizarre. Dans le doute, tu peux mettre le même port pour https que pour http (certainement le port 8080). Pour ftp je ne me souviens plus, peut être 21 ou 2121, n'hésite pas à tester.
Pour les certificat, je ne suis pas un expert mais cela me semble être des certificat autosigné par eux même. Je pense en avoir eu la confirmation d'une des personnes du service informatique qui m'a dit qu'il demandait depuis plus d'un an l'achat de certificat à une autorité compétente afin d'éviter de devoir ajouter une exception pour chaque site.
Tu peux le vérifier. Lorsque tu accèdes à un site en https (par exemple google) et qu'il te renvoie une exception de sécurité, en principe le navigateur te permet de visionner les détails du certificat. Tu peux poster ces informations ici si tu veux que l'on vérifie.
Si ils achètent des certificats, pourront ils toujours décrypter toutes nos données envoyées sur des sites sécurisés ? Pour donner une métaphore, une connexion https est comme un tunnel entre moi et le serveurs sécurisé, de l’extérieure on ne peut pas voir ce qui transite dedans. Mais si ils arrêtent ce tunnel à leur serveur pour le remplacer par leur propre tunnel il peuvent donc intercepter la totalité des données qui transitent. Est-ce que j'ai bien compris le principe ?
Pour le premier point: pas exactement, ceci dit ta conception de la connexion sécurisée est juste !
La connexion https t'assures la confidentialité et l'authenticité de ta communication, et l'identité de ton pair:
* La confidentialité parce que le trafic est chiffré, personne ne peut voir de l'extérieur le contenu de la communication.
* L'authenticité parce que même si une portion du trafic est altérée ou supprimée, ton navigateur le détectera.
* L'identité de ton pair car le certificat TLS envoyé par le site web est émis pour un nom de domaine précis. Si le certificat est valide, cela signifie que tu parles à un pair dûment autorisé.
On peut donc apparenter cela à un tunnel dans le sens où, si quelqu'un observe de l'extérieur il ne peut rien voir, et si quelqu'un cherche à se mettre en coupure entre toi et le serveur tu le détecteras car le serveur placé en coupure ne peut pas te prouver son identité (certificat autosigné).
Pour tenter d"éclaircir le premier point:
Concrêtement lorsque tu demandes un certificat TLS pour rendre ton site web disponible en https, tu dois prouver que tu détiens le domaine (ou faire l'opération via ton bureau d'enregistrement). Ce certificat est demandé à une autorité de confiance, qui viendra attester que tu détiens bien le domaine. Si cette autorité de confiance est sérieuse et que ses procédures sont suffisamment solides pour assurer que personne ne peut générer un certificat pour un domaine dont il n'est pas titulaire, elle sera ajoutée dans les différents navigateurs et systèmes d'exploitation.
Ton école n'étant pas titulaire des domaines auxquels tu accèdes, elle ne peut pas demander un certificat à une autorité de confiance sérieuse. Elle ne peut générer que des certificats autosignés. Ce faisant ces certificats ne sont pas reconnus comme valides par ton navigateur. Pour cette raison la plupart des entreprises ou structures qui utilisent ce principe de proxy en coupure ajoutent à chaque poste client de leur organisation le certificat autosigné généré par leur appliance de proxy. Dans ce cas tu ne fais plus confiance directement au serveur de ton site web, mais à l'appliance proxy, qui elle est supposée vérifier la confiance de ton site web. Ceci dit c'est un système "boite noire", dans lequel tu n'as aucun contrôle, en tant qu'utilisateur, des règles et autorités de confiance configurées sur cette appliance. La seule chose que tu peux faire est inférer, en testant différents sites web...
Cordialement
[quote="Spols"]Merci de ta réponse, cela confirme mes soupçons.
Dans les paramètres, c'est un fichier de configuration proxy.pac qui est renseigné si on lit ce fichier, il renseigne une série d'exception avec connexion directe (site locale, localhost, etc.) puis trie selon les protocoles
http => 2 adresses proxy avec un numéro de port
https => les 2 même adresses mais sans numéro de port
ftp => les 2 même adresses avec un autre numéro de port.
Je m'étonne que le protocole https n'ai pas de numéro de port, je ne sais donc pas quoi mettre dans les paramètres de dropbox par exemple.
[/quote]
Oui, bizarre. Dans le doute, tu peux mettre le même port pour https que pour http (certainement le port 8080). Pour ftp je ne me souviens plus, peut être 21 ou 2121, n'hésite pas à tester.
[quote="Spols"]
Pour les certificat, je ne suis pas un expert mais cela me semble être des certificat autosigné par eux même. Je pense en avoir eu la confirmation d'une des personnes du service informatique qui m'a dit qu'il demandait depuis plus d'un an l'achat de certificat à une autorité compétente afin d'éviter de devoir ajouter une exception pour chaque site.
[/quote]
Tu peux le vérifier. Lorsque tu accèdes à un site en https (par exemple google) et qu'il te renvoie une exception de sécurité, en principe le navigateur te permet de visionner les détails du certificat. Tu peux poster ces informations ici si tu veux que l'on vérifie.
[quote="Spols"]
Si ils achètent des certificats, pourront ils toujours décrypter toutes nos données envoyées sur des sites sécurisés ? Pour donner une métaphore, une connexion https est comme un tunnel entre moi et le serveurs sécurisé, de l’extérieure on ne peut pas voir ce qui transite dedans. Mais si ils arrêtent ce tunnel à leur serveur pour le remplacer par leur propre tunnel il peuvent donc intercepter la totalité des données qui transitent. Est-ce que j'ai bien compris le principe ?
[/quote]
Pour le premier point: pas exactement, ceci dit ta conception de la connexion sécurisée est juste ! :)
La connexion https t'assures la confidentialité et l'authenticité de ta communication, et l'identité de ton pair:
* La confidentialité parce que le trafic est chiffré, personne ne peut voir de l'extérieur le contenu de la communication.
* L'authenticité parce que même si une portion du trafic est altérée ou supprimée, ton navigateur le détectera.
* L'identité de ton pair car le certificat TLS envoyé par le site web est émis pour un nom de domaine précis. Si le certificat est valide, cela signifie que tu parles à un pair dûment autorisé.
On peut donc apparenter cela à un tunnel dans le sens où, si quelqu'un observe de l'extérieur il ne peut rien voir, et si quelqu'un cherche à se mettre en coupure entre toi et le serveur tu le détecteras car le serveur placé en coupure ne peut pas te prouver son identité (certificat autosigné).
Pour tenter d"éclaircir le premier point:
Concrêtement lorsque tu demandes un certificat TLS pour rendre ton site web disponible en https, tu dois prouver que tu détiens le domaine (ou faire l'opération via ton bureau d'enregistrement). Ce certificat est demandé à une autorité de confiance, qui viendra attester que tu détiens bien le domaine. Si cette autorité de confiance est sérieuse et que ses procédures sont suffisamment solides pour assurer que personne ne peut générer un certificat pour un domaine dont il n'est pas titulaire, elle sera ajoutée dans les différents navigateurs et systèmes d'exploitation.
Ton école n'étant pas titulaire des domaines auxquels tu accèdes, elle ne peut pas demander un certificat à une autorité de confiance sérieuse. Elle ne peut générer que des certificats autosignés. Ce faisant ces certificats ne sont pas reconnus comme valides par ton navigateur. Pour cette raison la plupart des entreprises ou structures qui utilisent ce principe de proxy en coupure ajoutent à chaque poste client de leur organisation le certificat autosigné généré par leur appliance de proxy. Dans ce cas tu ne fais plus confiance directement au serveur de ton site web, mais à l'appliance proxy, qui elle est supposée vérifier la confiance de ton site web. Ceci dit c'est un système "boite noire", dans lequel tu n'as aucun contrôle, en tant qu'utilisateur, des règles et autorités de confiance configurées sur cette appliance. La seule chose que tu peux faire est inférer, en testant différents sites web...
Cordialement
