Combien d'informations mon FAI peut-il voir?
Mon fournisseur de services Internet peut-il voir les mots de passe que je saisis sur des sites Web et dans des programmes de chat? Et que dire des sites SSL qui commencent par https, chiffrent-ils mon nom d'utilisateur et mon mot de passe avant d'atteindre le fournisseur d'accès?
Si vous commencez à une adresse https://, tout est crypté entre votre ordinateur et le serveur distant, de sorte que votre fournisseur de services Internet ne peut intercepter aucune de vos données.†*. Cependant, votre FAI pourrait facilement visualiser toutes les connexions non-ssl (http://).
Notez que le plugin firesheep firefox a révélé un trou dans ce mécanisme l’année dernière. De nombreux sites Web utilisent https uniquement pour votre connexion initiale, puis reviennent en http pour le reste du trafic. Dans ce cas, votre FAI pourrait intercepter votre trafic une fois que vous vous êtes connecté. Une autre personne de votre réseau local pourrait également exécuter le plug-in Firesheep et pirater votre session avec say Facebook et vous faire passer pour vous.
La plupart des grands sites Web sont en train de passer à https tout le temps pour corriger ce trou. Vous ne devez pas trop vous inquiéter sur votre réseau domestique, mais vous devez savoir comment cela fonctionne.
† En supposant que vous n'ignoriez pas les avertissements de certificat et que votre ordinateur/navigateur n'a pas été compromis.
* Il peut également voir le nom d’hôte que vous demandez à un hôte éventuellement partagé. Depuis TLS1.0, le nom d’hôte est transmis en texte brut (SNI)
Je pense que vous voudrez peut-être regarder la vidéo suivante du 27th Chaos Communication Congress (CCC):
"Comment Internet vous voit: démonstration des activités que la plupart des FAI vous voient sur Internet"
- page d'information
- Vidéo (intégrer) et mp4 à télécharger
- Pdf du parler
Philiph a raison pour " Si vous commencez à une adresse https://, tout est crypté entre votre ordinateur et le serveur distant " avec Une mise en garde: tout ce que vous savez avec HTTPS, c'est que tout est crypté entre votre ordinateur et quelque part .
Vos communications risquent d’être altérées chez le fournisseur de services Internet en utilisant une attaque attaque au milie - et si vous pensez que cela ne peut pas se produire, voir les nouvelles à propos de la Tunisie qui montre ce qui peut arriver si un agent malveillant a accès au niveau de l’ISP.
Cela ne peut être évité que si:
- Un utilisateur utilise toujours l'URL correcte
https://. - Un utilisateur n'ignore pas les avertissements de certificat.
- L'utilisateur est sûr à 100% que son ordinateur n'a pas été altéré.
Sinon, un fournisseur de services Internet pourrait altérer la connexion de la même manière qu'un utilisateur non averti en matière de technologie pourrait ne pas s'en rendre compte.
Bien sûr, votre fournisseur de services Internet (ou toute autre personne utilisant son équipement sans autorisation, ce qui constitue un risque grave en soi) pourrait lire des données non cryptées transitant par son réseau. En règle générale, le trafic non chiffré inclut le trafic de courrier électronique, Web et FTP, sauf s'il est spécifiquement chiffré à l'aide de SSL ou TLS, comme dans le protocole HTTPS.
De plus, votre fournisseur de services Internet préférera qu'au moins les mots de passe que vous envoyez par Internet (en particulier pour ses comptes de messagerie) soient: crypté, afin d’empêcher les pirates de compromettre un routeur quelque part - comme votre routeur sans fil avec le mot de passe par défaut - et d’avoir accès à leurs serveurs . Bien que le gouvernement puisse forcer un fournisseur de services Internet à écouter votre trafic à ses propres fins, les personnes qui aimeraient voler vos informations personnelles et/ou votre argent constituent une menace bien plus grave.
Ce n'est pas directement une réponse à votre question, mais les mots de passe sont plus souvent volés à l'aide d'un enregistreur de frappe (logiciel installé illégalement sur votre PC qui enregistre toutes vos frappes au clavier) ou d'ingénierie sociale, telle que le phishing. (Le phishing consiste à envoyer un courrier électronique qui vous incite à vous connecter à une "fausse version" de Facebook ou quoi que ce soit, révélant ainsi votre mot de passe aux phishers, puis vous redirigeant vers le vrai. La plupart des victimes ne réalisent même pas au début ce qui est arrivé. .)