Suite du poste précédent où je parlais SSH ici on va parler plus proxy et ce qui tombe à point nommé quand on lit quelques posts de ci, de là, de là bas et d’ailleurs encore. Le soucis c’est que je vais tenter d’informer un peu ces GU (gentils utilisateurs ou usagers). Je vais tenter de ranger un temps les termes techniques même si ça ne va peut être pas durer. D’ailleurs pour les infos plus techniques elles viendront… bientôt.
Bon d’abord qu’est-ce que c’est que ce proxy à la con dont ils parlent. Un proxy dans le contexte des flux web dans une entreprise c’est une boiboite qui filtre ce qui passe. Elle a plusieurs fonctions et entre même dans le classique des mesures de sécurité pour protéger ce cher GU de lui même.
Que ce soit clair j’emploie GU ici avec tout le mépris possible. C’est celui dont on parle tout le temps et qui ne se sent jamais visé. C’est lui le crétin qui va sur astalavista.box.sk pour en revenir avec trent-six trojans ou bien sur le premier lien reçu dans sa boîte perso pour downloader cet utilitaire… ludique certe mais bon counter c’est pas la mort à la pause déjeuner et puis il l’a trouvé en téléchargement gratuit sur un site russe ! Que le premier qui dise que ce crétin n’existe pas se prenne un toucher rectal à la bate de base ball car ils sont légion et en plus ils se relaient.
Bon je m’enflamme un peu sans doute mais vous comprendrez maintenant qu’il faut protéger les GUs de l’entreprise. C’est la vertue première du proxy : ca n’est pas l’utilisateur qui va sur internet avec son navigateur mais le proxy qui surfe à sa place et prend tout les risques. Chaque téléchargement soigneusement réalisé et passer à la moulinette antivirus (si les k€ ont été débloqués).
L’autre grande fonctionnalité du proxy est de rentabiliser le lien Internet. Quand 300 personnes vont sur google toutes les demie-heure, on ne va pas télécharger l’image à chaque fois. Le proxy fait alors un rôle de cache (en anglais, de tampon en français). Quand 5 personnes aiment écouter Europe1 (j’ai vu) dans la société et bien non, on ne va pas télécharger Europe1 cinq fois mais une seule et le flux sera splité par le proxy. Qu’on ne me dise pas qu’il suffit d’augmenter la taille de la liaison Internet pour y arriver.
Car ce tuyau coûte cher ! On factorise donc au maximum les téléchargements mais ça ne fait pas tout et le payeur veut savoir ce qu’on y fait. Allez dire à un cheffaillon qu’il est plus sage pour lui d’apprendre le management plutôt que d’interdire la catégorie ‘jeux’ dans le proxy… Allez justifier le fait que facebook réalise 20% (je ne plaisante pas) des downloads mensuelles d’une entreprise de recherche pétrolière… Au lieu d’interdire site par site le traffic on paie pour ça une catégorisation d’URLs. Et ça se finit par : “Fillez-moi cette liste qu’on ne laisse que ce qui est utile”. Voilà comment on se retrouve avec les meetic, fessebook, myspaces à la trape.
Un soucis est que les fournisseurs de catégories d’URLs sont rarement français, parfois européens et souvent américains. La liste des catégories disponibles est étoffées en général et malgré la granularité, on se retrouve avec des classements parfois surprenant comme des blogs qui passent dans la catégorie ‘X’ et des sites fréquentables dans la catégorie ‘douteuse’. La différence de culture n’aide pas.
Mais voilà. On a commencé à scruter se qui passe sur cette connexion et les moyens de contrôle sont nombreux. Ainsi il faut savoir que si on s’identifie sous windows, chaque log du proxy peut contenir l’identifiant su surfeur. Réaliser un top ten des employers qui téléchargent le plus est un jeu d’enfant. Et de là à pointer les plus gladeurs il n’y a qu’un pas. En plus il n’ a pas que le HTTP qui soit scrutable, par exemple les proxy IM ou mail existent aussi et peuvent logger. Heureusement la CNIL veille et chaque utilisateur doit être au courant de la présence d’un proxy filtrant.
Au final on se retrouve avec un contrôle presque total sur le surfs des employés. Il ne reste qu’à bien réfléchir sur qu’autoriser et à qui. Bien sûr il est facile d’être trop répressif. Mais pour tout soucis de catégorisation veuillez vous rapprocher du chefaillons et du crétin précédemment cités.
NB : Je ne parle pas du cas de Matou qui est tombé sur un bug préhistorique. La corruption du cache d’un proxy est une attaque digne des 90’s. Oui j’ai bien dit attaque car consulter les mails des commerciaux ou du patron c’est pas cool.
NB : Dans certains cas les catégories sont mises à jour toutes les heures pour suivre les sites de malwares ou des contournement de proxy, justement.
6 Comments
Le problème avec cet article c’est qu’il confirme tout le mal que l’on pense des proxys avec en plus l’humour de Joel ou Padawan assez dévastateurs !
Je ne sais pas si c’est fait exprès mais foutez la paix aux GU qui ont surtout besoin d’avoir des postes et un réseau permettant de travailler en ligne et non de garde chiourme.
Il suffit de responsabiliser et faire signer une charte qui engage les GU.
Par contre très bien Sun Tzu mais faudra commenter Miyamato Musashi
C’est clair, on a la confirmation ici que les critiques énoncées sont bel et bien fondées, et que le type qui installe un proxy est parfaitement conscient de ses actes, mais pas conscient de ce que ça signifie.
“Oui oui, on vous prend pour des cons, on vous méprise, on vous flique, on vous limite le surf, parce que ça “nous” coûte cher, on vous filtre, on a un log de toutes les connexions, on ralentit tout - c’est normal. D’ailleurs on voudrait que vous nous aimiez, que vous nous fassiez confiance, que vous nous laissiez penser pour vous, et que vous travailliez pour nous”.
Si vous aviez lu Joël ou Padawan en entier, vous sauriez que c’est contre-productif de brider les gens.
“Le PALC, c’est quoi ? Le Proxy à la con (PALC) est un dispositif astucieux qui sous couvert de préserver la compétitivité de l’entreprise permet d’obtenir le résultat strictement inverse. En voulant empêcher le salarié de digresser sur des sites dévolus aux loisirs et la discutaille, on le prive en général d’une source d’information nécessaire à l’exercice de son travail.” (cup of tea blog)
20% du surf passe sur facebook ? Et vous imaginez réellement que si vous leur interdisez facebook, ils vont aimer travailler pour vous, et passer ce temps dont ils avaient besoin pour se détendre, voire pour travailler leur réseau, à travailler pour votre compagnie ? Vous rêvez, mon ami…
Et ne demandez pas à ces gens que vous méprisez tant de vous comprendre ou d’être de votre côté, vous avez déjà cassé toute communication.
Vous confirmez Padawan :
“Les entreprises où le service informatique décide seul de ce qu’on peut voir ou pas sur internet, de préférence sur le mode « tout ce qui n’est pas expressément autorisé est interdit » sont soit pilotées par des imbéciles soit staffées avec des andouilles (l’un entraînant souvent l’autre). Dans les deux cas, c’est problématique.”
… et Joël :
“Le PALC, à quoi ça sert ? Principalement à renforcer le sentiment de toute puissance du service informatique qui se fait plaisir à mettre en place des solutions technologiques hors de prix et à jouer au caniche de la direction en lui garantissant un degré de moralité de ses ouailles. Accessoirement, cela fait le bonheur d’éditeurs de logiciels et de SSII qui n’en demandaient pas tant. Parfois, on oppose aussi la préservation de la bande passante comme argument valable, sans réfléchir au fait que l’investissement dans un upgrade de tuyaux couterait peut-être moins cher que dans le moyen de bloquer les données qui passent dedans. Mais pour ça, des fois, il faut réflechir.”
Visiblement, vous êtes celui qui n’a pas réfléchi assez, à leurs yeux…
@Vincent: Ben en fait… le concept de responsabilisation… Il y a toujours un crétin qui n’écoute pas, ne lit pas et le revendique haut et fort. Des fois j’ai presque envie d’inscrire ces phénomènes au prix Stella. Ce sont eux qui pourrissent la situation.
Et bien sûr les hautes instances restant politiquement correctes mettent les même limites à tout le monde plutôt que de mettre deux baffes au mouton égaré.
Tain ! Je ne suis en train de faire le blues de l’informatitien.
@ouarf: Haha ça y est j’en tiens un bon. Bon aller c’est vrai je me démasque j’envoie tous les logs à sarko en douce et je fais aussi des statistiques sur ceux qui tentent les sites de fesses pour les faire chanter. Ha oui et j’oubliais le bon sens est de ton côté pardon. En effet je n’ai vu aucune étude pour mettre en place les solutions en question et évidemment l’ensemble des grands groupes font des statistiques pour les renvendres à la redoute. Et puis de toute manière les gains en bande passante sont là pour masquer l’envoie des logs.
OK Chevalier de l’eon ;-)
La régle du jeu pour moi doit être on ne filtre pas les accès à l’internet en revanche on (Services RH appuyé de la DSI) se donne le droit de les analyser et vous demander des comptes pour la visite de site politique, de cul, raciste qui sont interdit dans la charte que vous avez signé…
J’avoue je ne sais pas ce qui est le meilleur car dans ta situation les logs sont nominatifs et peuvent être exploités directement.
En fait la solution la plus efficace que j’ai pu voir est celle où le proxy averti qu’on ne respecte pas la chartre et rapelle qu’on est loggé mais un bouton “Ok” permet de continuer le surf tout de même.