Tous les articles

Une entreprise peut-elle rester dans la course en filtrant son accès web ?

Par Marie Guillaumet

Tout a commencé un lundi matin, alors que je venais de lancer Spotify sur mon ordinateur professionnel : les icônes de mes contacts Facebook avaient toutes été remplacées par un petit carré blanc. Je compris bien vite que ma boîte avait décidé de mettre en place un Proxy à la con (PALC), et de bloquer Facebook, Twitter, Youtube et consorts.

Premier réflexe : forcer le http:// en https://

Pour contourner ce filtrage, l’astuce consistant à remplacer http:// par https:// pour accéder à ces trois sites avait cependant circulé rapidement, permettant au salarié informé de les consulter avec modération en dépit du filtrage.

D’ailleurs, l’extension Firefox HTTPS Everywhere permet d’automatiser tout ça : elle force le https:// sur une sélection de sites web, à la base pour crypter au maximum les échanges de données. A l’usage, cette extension permet, aussi, de passer outre un proxy comme Websense.

Mais cette astuce ne fonctionnait pas dans certaines applications, comme dans Spotify, qui semble appeller les avatars depuis Facebook en http://, ou dans Tweetdeck, qui ne réussit pas à agréger l’activité Facebook à cause de ce même protocole. Au niveau du Web, cela ne fonctionne que pour les sites gérant effectivement le protocole HTTP Secure, ce qui n’est pas toujours le cas.

Contre-attaque

Mais cette accalmie fut de courte durée : ma boîte décida rapidement d’étendre ce filtrage à tout un ensemble de sites et de blogs, selon des critères plus ou moins obscurs. Et ces sites et ces blogs-là n’ont pas forcément d’accès https://, ils devenaient donc définitivement inaccessibles sur notre lieu de travail.

Lorsqu’il s’agit de sites à contenu répréhensible ou illicite, quoi de plus normal que de les filtrer ? Mais lorsque le filtrage touche des blogs ou des réseaux sociaux qui nous permettent de faire de la veille, c’est tout de suite plus problématique.

On pourrait longtemps débattre de la légitimité des catégories établies par un outil comme Websense : ainsi, un article rigolo sur AcidCow qui a buzzé aujourd’hui, a été bloqué parce qu’il serait de mauvais goût (« tasteless »).

Filtrage de AcidCow par Websense

Filtrage de AcidCow par Websense

Bon, après tout, c’est peut-être effectivement très mal de vouloir lire cet article pour se détendre pendant sa pause déjeuner pro. Mais intellectuellement, cela me gêne que mon entreprise décide à ma place de ce qui est convenable ou de ce qui ne l’est pas.

Le filtrage Internet pénalise-t-il l’entreprise ?

Cette bienpensance imposée mise à part, le filtrage d’Internet devient plus problématique lorsqu’il court-circuite la veille et la recherche d’information technique. Par exemple, si j’essaie d’accéder à un lien comme 100% Height and 100% Width Flash Embed with jQuery and swfObject, que Google me suggère en réponse à une recherche intitulé « jquery height bug », je ne peux pas y accéder non plus :

Filtrage de Hubpages par Websense

Filtrage de Hubpages par Websense

C’est quand même plus embêtant que le blocage d’AcidCow. Google est notre ami, nous devrions pouvoir accéder aux ressources qu’il référence comme à une grande bibliothèque géante.

Mettons ça sur le compte des faux positifs. Le filtrage Internet d’un réseau d’entreprise se défend en terme de confidentialité et de productivité. (Après tout, j’en connais certains qui ont suivi tout Secret Story discrètos sur leur ordinateur professionnel l’été dernier.)

De là à bloquer à l’aveugle des ressources qui peuvent s’avérer utiles – regarder les vidéos Paris Web sur Dailymotion, par exemple -, l’angle n’est plus tout à fait le même. Dans une entreprise où tous les efforts sont dirigés vers l’efficacité technique et commerciale d’un site e-commerce, pouvoir accéder aux ressources de première main, qui font l’actualité technologique de nos métiers, est primordial.

Le filtrage par catégorie doit proposer une bonne granularité sans rentrer trop dans les détails, au risque de générer de nombreux faux positifs, comme le montre l’exemple plus haut.

Par ailleurs, le filtrage d’Internet est un non-sens total pour les métiers techniques du web : en effet, on doit pouvoir accéder à tous les codes sources, pour pouvoir décortiquer telle ou telle interface, s’en inspirer, et en assimiler les bonnes pratiques – même de Facebook, même de Youtube.

Enfin, je ne suis pas convaincue du tout que cela fasse gagner du temps à l’entreprise : en effet, le problème des Proxys à la con, c’est que les gens passent leur temps à essayer de les contourner. Et comme tout le monde y va de sa petite solution, au final cela peut poser d’autres problèmes de sécurité sur le réseau de la boîte…

Pour continuer la réflexion

13 commentaires

Flux RSS des commentaires de cet article

Étant utilisateur de longue date d’un PALC, je ne puis qu’adhérer :
– filtrage de sites web licites
– on peut demander à les faire enlever du filtre, au prix de justifications. Et parfois ça n’aboutit pas (ex des vidéos PW sur dailymotion, justement: certaines passent, d’autres non, ce qui signifie que certains serveurs DM seulement sont bloqués…)
– j’ai mis en place un contournement maison qui a aussi des inconvénients (notamment : ne fonctionne pas avec Flash, donc pour les vidéos)

bref : à bas les PALC.

Le 25 Fév. 2011 à 18h58 par JulienW

Un proxy web devrait faire l’affaire non ?
Je suis d’accord avec le contenu de l’article, le problème (je me fais l’avocat du diable) c’est que certains passent 1h à coder et 6h à faire de la « veille technologique » sur facebook… je peux aussi comprendre la position de l’entreprise.

Le 25 Fév. 2011 à 22h38 par rivsc

Tiens, moi j’appelle ça un « lolProxy » :)

Quand on voit des sites comme Markmail bloqués, ou sourceforge (classé en « download »…bah oui, justement!), ou même, fontsquirrel, on se demande si les types qui cochent les croix des règles du proxy sont au courant que des développeurs travaillent dans la boite.

Et là, je ne parle pas de veille technologique (qui est d’autant plus appréciée qu’elle est faite en dehors des heures de boulot hein, soyons lucides…), je parle bien d’outil de travail. J’ai besoin de WinMerge pour faire en 1H ce que j’aurais fait en 4H, mais on m’en empêche. Je passe 2H à configurer le proxy pour que Maven puisse récupérer les dépendances dont j’ai besoin.

Si contrôle il doit y avoir, c’est bien au manager de le faire, de s’assurer que ses développeurs n’ont pas passé 10J à développer une fonctionnalité qui n’en prend que 2, sans justification.

En conclusion, je suis d’accord avec toi, dans une certaine mesure, car Facebook n’est à mon sens pas essentiel à la veille techno. D’ailleurs s’il ne doit y avoir qu’un site à bloquer, c’est bien celui-ci.

Le 26 Fév. 2011 à 00h37 par Baztoune

Mais, mademoiselle Guillaumet, il ne faudrait pas oublier que filtrer l’internet est aussi une bonne manière de s’assurer que ses collègues travaillent tous correctement durant leur 7 heures par jour, ne serait-ce que pour justifier leur salaire.

Car, comprenez, si certaines personnes vont plus vite que d’autres, autant en profiter, elles travailleront plus, pour gagner autant, ce qui est un atout pour une entreprise qui sait bien qu’un employé qui travaille est un employé qui ne se pose pas de questions et par conséquent, un employé qui restera au chaud, heureux, sur son siège et dans la même boite pour longtemps et ça, tous les bons RH l’ont compris n’est-ce pas ? Charmante attention.

D’ailleurs, j’ai cru comprendre que d’ici peu, tous les sites d’offres d’emplois seront bloqués afin qu’on ne commette l’horrible et irrémédiable bêtise de poser sa démission.

Sur ce, cordialement.

ps: vous comprendrez bien qu’étant donné la position dans laquelle je me trouve, je ne peux réellement dire ce que je pense. Vous saurez donc, au moment opportun, lire entre les lignes la seule vérité qui s’imposera à vous dans un élan de lucidité (ou de clairvoyance)

Le 28 Fév. 2011 à 10h51 par le monsieur du kaneel

HAHA

Proxy à la noix !!!!!!
Les entreprises veulent gérer les outils sur lesquels les utilisateurs travaillent.
En tant qu’administrateur réseaux et systémes, je trouve que c’est trop de la connerie de toujours vouloir controler l’utilisateur, car sa nous rajoute du boulot en + (comme s’il n’y en avait pas deja assez).

Ce que je veux dire c’est que tout ce contourne il suffit d’utliser des outils, ou passer par des connexions sécurisés pour passer à travers les proxy mis en place.

Tout ce crack, tout se contourne, il suffit d’aller chercher un peu sur le net, meme les mots de passe se cassent ou se retrouvent.

Enfin bref, je deteste qu’on m’impose des limites.
Bonne continuation

Le 02 Mar. 2011 à 15h06 par mike

Personnellement, je pense que le filtrage est totalement vain dans la mesure où quiconque veut aller sur le Web pendant les heures de travail le peut grace à l’explosion des Smartphones et des forfaits Web.

Le 08 Mar. 2011 à 19h31 par Franck (webdesigner freelance)

Bonjour,
Entièrement d’accord avec ton constat.
Nous utilisons des blogs et sites videos au quotidien pour faire de la veille, car les personnes qui font le même métier publient sur des blogs et sites de vidéos. Nous passons plus de temps à trouver des méthodes pour contourner le proxy qu’a faire de la veille !!

Le 09 Mar. 2011 à 12h59 par PierreH

Dans ma boite, il y a eu pendant un moment des filtres.
Sauf que nos clients couvrent à peu près tous les types de sites internet possible, y compris les sites pornos.
Donc quand les commerciaux ne pouvaient pas accéder au site du client, c’était pas très pratique.

Le filtre a donc été enlevé au bout d’un mois :)

Le 04 Avr. 2011 à 15h38 par Fab

Ça me rappelle une grosse boite ou bossait un ami qui filtrait par liste blanche… extrêmement pratique pour faire du dev et utiliser de super techno comme maven et autres. Ah, et sans oublier qu’il n’était pas admin de son PC, et qu’il n’y avait pas de port USB et de lecteur CD/DVD afin de limiter les « fuites » de données (remarquez dans ce sens la ça se comprend, mais ça empêche aussi de pouvoir mettre sur le poste des documents qui nous seraient utiles).

Dans la boîte où je suis actuellement, il y a aussi un proxy, qui m’empêche de faire de la veille techno, car trop limitatif. Heureusement, le service dans lequel je suis a pu installer un réseau parallèle avec un vrai accès internet qui nous permet l’utilisation de maven (entre autre). Le seul défaut est que pour accéder à ce réseau, il faut se déconnecter du réseau de l’entreprise (inversion des cablesréseau, toujours très drôle) et que l’on a alors plus accès à sa boîte mail pro (consultable seulement depuis le réseau entreprise)…

Dans une précédente société où j’avais fait un stage, le filtrage était fait par la maison mère en Italie, avec un logiciel qui filtrait dynamiquement en fonction du contenu de la page à la première connexion.
Le site web par lequel on commandais nos repas chaque jours a fini par se retrouver bloqué un beau matin, sans raison apparente. Après un bon moi à négocier avec le service IT en Italie, ils ont fini par nous dire que le blocage était dû à « un virus hébergé sur le site web », et ils n’ont jamais débloqué le site. Au final, il s’est trouvé que c’est tout un data-center d’hébergement mutualisé OVH qui avait été black-listé pour cette raison… :D

bref, les filtres internet, ça peu avoir son utilité, mais faut pas en abuser non plus.

Le 21 Oct. 2013 à 17h17 par loclamor

Les commentaires sont fermés sur cet article.