Dans quelle mesure l'utilisation de Gmail et d'un compte Google personnels au travail est-elle sûre?
Deux questions étroitement liées:
1) Mon patron a dit que c'était ok pour nous d'aller sur notre e-mail personnel pendant nos pauses. Si je le fais, l'entreprise peut-elle voler des informations au-delà de ce qui est visible à l'écran? Cela signifie-t-il que tant que je n'envoie ni ne visualise aucun e-mail privé/confidentiel, cela devrait être correct? Étant donné que Gmail utilise une connexion cryptée, cela signifie-t-il qu'une personne surveillant le réseau peut obtenir mon mot de passe?
2) Les ordinateurs au travail réinitialisent tous les paramètres à chaque déconnexion. J'ai trouvé qu'il était extrêmement bénéfique de se connecter à Chrome avec mon compte Gmail. C'est ainsi que les onglets, les signets et l'historique sont enregistrés. Quelles précautions de sécurité dois-je suivre étant donné que quelqu'un d'autre pourrait potentiellement utiliser le même ordinateur ( mais pas connecté à mon compte Windows) Dois-je me déconnecter de Chrome après chaque utilisation ou dois-je modifier certains paramètres pour ne pas synchroniser des choses spécifiques?
J'ai l'authentification à 2 facteurs activée.
Vous pouvez surveiller n'importe quoi dans un réseau que vous contrôlez. Cela signifie que le webmail privé peut être surveillé par votre employeur.
Légalement (nous), ils sont autorisés à le faire lors de l'utilisation de l'équipement ou des ressources de l'entreprise.
La surveillance est généralement effectuée sur le trafic, donc toutes les informations sur chaque page que vous chargez sont susceptibles d'être interceptées. Cela nécessite un logiciel spécifique et beaucoup de temps, ce n'est donc fait que par les grandes entreprises, ou dans le cas où un employé spécifique est suspect.
Alors, restez prudent et n'utilisez pas de courrier privé si vous avez une raison de croire que votre employeur s'intéresse à vous d'une manière que vous n'aimez pas. Utilisez votre téléphone (pas via WiFi).
Supposons toujours que votre trafic est surveillé si:
- Vous ne possédez pas l'ordinateur/l'appareil que vous utilisez;
- Vous n'êtes pas l'administrateur du réseau auquel vous êtes connecté.
Réponse 1: Habituellement, vous devez supposer que tout que vous faites sur votre lieu de travail est surveillé. Peut-être que cela ne se produit pas vraiment, mais supposons le pire.
Ce n'est pas si difficile de lire le trafic non chiffré sur chaque réseau. Si vous ne possédez ni votre machine ni le réseau auquel vous êtes connecté, votre employeur pourrait lire efficacement même le trafic crypté HTTPS.
Il est facile pour un administrateur réseau qui a accès à votre machine/compte (le fait-il?) De configurer un "faux" certificat dessus et d'effectuer une attaque MITM (Man-in-the-Middle). Cela signifie que, par exemple, lorsque vous visitez gmail.com et que vous saisissez votre mot de passe, celui-ci sera d'abord envoyé à votre administrateur réseau, puis il l'enverra à gmail.com. Ainsi, chaque page Web ou données envoyées/reçues via la page peut être volée.
Juste pour clarifier:
Étant donné que Gmail utilise une connexion cryptée, cela signifie-t-il qu'une personne surveillant le réseau peut obtenir mon mot de passe?
La connexion cryptée n'est pas liée à votre mot de passe! Le cryptage lorsque vous visitez une page Web (ou que vous envoyez des données via celle-ci) est géré via certificats . Votre mot de passe protège "uniquement" l'accès à votre compte.
Réponse 2: Étant donné la réponse à la question 1 et le fait que l'ordinateur se réinitialise après chaque déconnexion, je pense que, en supposant que toutes les informations soient détruites à la déconnexion, vous n'avez pas à faire autre chose. Au cas où, vérifiez votre dossier utilisateur pour voir si certains fichiers Chrome ne sont pas supprimés à la déconnexion. Le chemin devrait être quelque chose comme C:\Users\YOUR_NAME\AppData\Local\Google\Chrome\User Data
La plus grande préoccupation ici est que vous utilisez probablement un ordinateur d'origine, dont le logiciel a été installé par votre service informatique. Puisqu'ils sont capables d'installer tout ce qu'ils veulent sur votre ordinateur d'origine, ils peuvent installer ce qui équivaut à des logiciels espions sur celui-ci. Si vous ne pouvez pas faire confiance à votre ordinateur d'origine pour être sécurisé, vous ne pouvez pas compter sur aucune de ses fonctionnalités de sécurité pour vous protéger contre votre employeur.
Par exemple:
Étant donné que Gmail utilise une connexion cryptée, cela signifie-t-il qu'une personne surveillant le réseau peut obtenir mon mot de passe?
Cela n'est vrai que si vous pouvez faire confiance à votre ordinateur de travail . Si vous avez un adversaire qui peut modifier la configuration de votre ordinateur, comme votre employeur, il peut intercepter votre trafic GMail chiffré. Il existe en fait des produits commerciaux qui sont conçus pour permettre aux entreprises d'inspecter les connexions cryptées de leurs employés . La plupart d'entre eux fonctionnent en utilisant une combinaison de deux composants:
- Installez un proxy transparent sur les connexions réseau sortantes de l'entreprise, qui intercepte tout le trafic sortant et agit comme un "homme au milieu" pour toutes les connexions.
- Configurer les ordinateurs de travail des employés pour faire confiance au proxy sans condition pour toutes les connexions chiffrées (en installant ce qu'on appelle un certificat racine). Cela signifie que l'ordinateur de l'employé permettra au proxy de se faire passer pour le site distant.
Des techniques similaires sont également utilisées par certains éditeurs de logiciels publicitaires, notamment l'infâme logiciel publicitaire Superfish que Lenovo a préinstallé sur ses ordinateurs portables il y a quelques années .
Donc, avant de vous poser des questions sur la déconnexion de Chrome et autres, vous devez d'abord décider de faire confiance à l'ordinateur de votre employeur. Franchement, avec la propagation des smartphones dans le passé décennie, je ne me dérange plus - je lis juste mon courrier personnel sur mon téléphone personnel.
1) Oui, l'entreprise peut surveiller tout ce que vous tapez/visualisez/envoyez sur un ordinateur d'entreprise. Surtout, l'entreprise peut le faire pour se protéger et non pour vous nuire -
Mon entreprise utilise des pare-feu qui "Man-In-The-Middle" toutes les connexions entrantes/sortantes - ce qui signifie que le pare-feu déchiffre tout le trafic chiffré, l'inspecte, puis le recrypte pour qu'il ait toujours l'air chiffré pour l'utilisateur final. Nous ne faisons pas cela parce que nous, les gens d'Infosec, sommes méchants, mais parce que nous voulons savoir si les gens envoient des documents sécurisés par messagerie Web ou téléchargent accidentellement des virus ou d'autres logiciels malveillants. Nous bloquons également l'accès à de nombreux sites et domaines (y compris les publicités) afin de réduire le nombre d'infections sur les systèmes des utilisateurs.
Si vous cherchez des choses sensibles que vous ne voulez pas que votre employeur connaisse (personnelles, soins de santé, emploi, etc.), utilisez un téléphone ou une tablette et votre forfait de données cellulaires pour le garder en sécurité.
2) Si l'ordinateur est configuré pour effacer les paramètres entre chaque utilisation, vous devez être relativement sûr en utilisant l'ordinateur pour vous connecter, utiliser vos signets, puis tout nettoyer à la déconnexion - mais un administrateur malveillant pourrait collecter vos pendant que le système prétend être en train de nettoyer, ou que quelqu'un pourrait attacher un "enregistreur de frappe" matériel qui collecterait les frappes de touches de l'ordinateur.
Vous devez ajouter "Google 2 Factor Authentication" à votre compte Gmail. Cela signifie simplement que lorsque vous vous connectez, vous donnez votre mot de passe et un code PIN qui est envoyé à votre téléphone au moment de la connexion. Cela rend la connexion à votre compte beaucoup plus difficile, même si quelqu'un a saisi votre mot de passe, car vous avez besoin du code généré sur votre téléphone pour vous connecter.