Dans beaucoup de moyennes et de grandes entreprises les employeurs se préoccupent de plus en plus du temps passé sur internet par leurs employés. afin de minimiser la perte de temps de travail l’administrateur réseau à plusieurs solutions qui peuvent être :

  • Empêcher les employés d’installer des programmes sur les ordinateurs avec des comptes d’utilisateurs restrein. Cela n’empêche pas d’accéder au net , mais cela limite l’installation de jeux vidéo et de programmes de messagerie instantanée.

  • l’utilisation d’un firewall ou d’un serveur proxy qui limite l’accès à internet , toutes les communications internet passent par un ordinateur , c’est donc l’emplacement idéal pour surveiller et restreindre l’accès a internet de tous les employés de la société. votre administrateur réseau peut facilement avoir la liste de tous les sites que vous avez consultés , lire vos mails etc…
  • installer un programme directement sur le poste de travail qui surveille les agissements de l’employé. (une technique peu fiable car il suffit de fermer le programme via le gestionnaire de tâches de windows)



    Ce guide va vous expliquer comment contourner les restrictions du firewall mises en place par votre employeur pour pouvoir accéder a internet au grand complet de façon privée , par « privé » je veux dire que votre employeur ne pourra pas voir les sites que vous êtes allés visités et ne pourra pas lire le contenu des pages que vous avez chargées via sa passerelle ( sauf en regardant par dessus votre épaule ).

    Cette méthode ne vous protège pas de logiciels installés sur votre ordinateurs et qui pourraient espionner vos faits et gestes. mais elle pourra vous aider si :
    Vous pouvez accéder à tout internet SAUF quelques sites ( youtube , myspace , dailymotion ) avec cette méthode ils seront accessibles
    Vous pouvez accéder à tout internet mais les logiciels de messagerie instantanée( WLM, AIM, YIM, Google Talk) n’arrivent pas à se connecter, avec cette méthode , cela deviendra possible.
    Si vous ne pouvez accéder qu’a une liste de site internet , ce n’est pas évident que cela fonctionne mais il y a tout de même des chances.


    Bon alors , l’objectif est de crypter le flux internet de façon à ce qu’il ne puisse être lu quand il passe à travers le proxy mis en place par vos employeurs.
    Pour réaliser tout ça , nous allons:

    • installer configurer et lancer un serveur SSH sur votre ordinateur personnel de votre maison


    • lancer un Client SSH sur votre poste de travail pour créer un tunnel sécurisé entre votre ordinateur travail , et votre ordinateur personnel

    • activer le « dynamic forwarding » dans votre client SSH pour simuler un proxy de type SOCKS.

    • régler votre navigateur internet pour qu’il utilise le serveur SOCKS pour se connecter au lieu de la connexion directe.


    Après tous ces réglages , votre navigateur internet se connectera à votre client SSH qui est lancé sur votre ordinateur au bureau , le client SSH se connectera au serveur SSH qui est lancé à votre maison (tunnel), votre navigateur(du boulot) lancera des requêtes qui seront donc transmises au serveur SSH qui se connectera au site internet demandé et renverra la réponse au client SSH qui la fera passer au navigateur , mais rassurez vous , cela ne prend que quelques mili-secondes.

    Le trafic SSH qui sera ainsi généré pourra être vu par le logiciel de monitoring de votre employeur, mais y verra seulement un ramassis de lettres et de chiffres totalement incompréhensible.








    Ce qu’il vous faut pour réaliser ceci


    • un minimum de connaissances en informatique. (savoir installer un programme, savoir utiliser l’explorateur de fichiers , éditer un fichier de configuration, faire un fichier .bat)

    • un ordinateur à votre maison qui reste allumé quand vous êtes au travail.

    • Une connexion internet la plus rapide possible (rapidité en Upload importante)


    • windows 2000/XP (peut être Vista ???) ou linux




    Dans quels cas ça ne fonctionne pas ?

    Cela ne fonctionne pas quand les réglages du firewall de l’entreprise vous bloquent les communications jusqu’à votre ordinateur , c’est souvent le cas lorsque les employés ne peuvent accéder qu’a une liste préétablie de site web.

    vous pouvez toujours essayer de trouver une excuse pour que votre administrateur réseau ajoute l’ip de votre machine personnelle dans la liste autorisée mais il y a peut de chances qu’il soit dupe.



    Pour commencer.
    Vous allez avoir besoin de l’adresse IP de votre ordinateur personnel , vous pouvez obtenir cette information à partir d’une grosse quantité de site web comme par exemple adresseip.com

    notez l’adresse pour la prendre avec vous au travail




    Les logiciels

    Vous n’avez a utiliser que 2 logiciels très simples , un serveur SSH , et un client SSH
    Pour le Serveur SSH , nous allons utiliser OpenSSH car c’est un logiciel libre .
    OpenSSH pour windows est téléchargeable à cette adresse sshwindows.sourceforge.net

    Pour le client SSH , nous allons utiliser Putty qui a la capacitée de se connecter au serveur SSH en créant un tunnel sécurisé.
    Les versions récentes intègrent le Dynamic forwarding ce qui est primordial dans notre cas.
    Plutôt que de télécharger la version la plus connu de Putty , nous allons utiliser PuttyTray qui a la capacité d’être réduit dans le system Tray. Il est téléchargeable à cette adresse : http://www.xs4all.nl/~whaa/putty/

    Installation serveur SSH

    Après téléchargement du serveur SSH , vous devez vous retrouver avec une archive ZIP
    Il vous faut extraire son contenu et exécuter le fichier setupssh.exe

    OpenSSH pour windows utilise les comptes d’utilisateurs de windows pour l’authentification .Il vous faut obligatoirement un compte avec mot de passe pour utiliser avec le serveur SSH.

    Pour créer un nouveau compte allez dans le panneau de configuration puis sur compte d’utilisateur puis sur créer un nouveau compte choisissez le nom de votre compte et donnez lui des droits d’administrateur
    ensuite cliquez sur le compte que vous venez de créer et adjoignez lui un mot de passe.
    Si vous ne voulez pas qu’il vous demande au démarrage de choisir entre vos utilisateurs cliquez sur « Modifier la manière dont les utilisateurs ouvrent et ferment une session » et décocher l’option « utiliser l’écran d’accueil ».


    Configurer le serveur SSH

    Nous allons maintenant configurer le serveur pour que vous puissiez vous y connecter en utilisant le login et le mot de passe que vous venez juste de créer dans windows. Nous allons aussi changer le port d’écoute de 22 vers 443

    Pourquoi le port 443 ?
    Parce que c’est l’un des 2 ports standards utilisés par le serveur web , De plus c’est par ce port la que les informations cryptées circulent habituellement . Votre trafic ressemblera au trafic crée par un site web sécurisé (banques , site de paiement , certain webmail).
    Si ça ne fonctionne pas sur le port 443 essayez avec le port 80
    Si ça ne fonctionne toujours pas , c’est certainement la fin de l’aventure pour vous , il vous faudra essayer une autre méthode.

    port 443
    Nous allons donc éditer un fichier de configuration .
    Ouvrez l’explorateur de fichier et allez dans le dossier c:/Program Files/OpenSSH/etc
    en suite ouvrez sshd_config avec wordpad

    Remplacez la ligne
    #port 22
    par
    port 443
    enregistrez le fichier

    ensuite ouvrez une invite de commande. et allez sur c:/Program Files/OpenSSH/bin (en tapant cd c:/Program Files/OpenSSH/bin ) puis « entrée »
    puis tapez


    mkgroup -l > ../etc/group

    puis

    mkpasswd -l > ../etc/passwd

    cela va avoir pour effet de récupérer vos mots de passe windows et de les placer dans le serveur SSH

    pour démarrer le serveur SSH faites dans une invite de commande :

    net start opensshd


    Pour vous faciliter la tâche , vous pouvez faire un petit programme en .bat qui se démarre automatiquement avec windows pour ne pas avoir à lancer manuellement le serveur tous les matins.


    Si vous utilisez un routeur ( Dlink , netgear , linksys , freebox , livebox, ….) pour accéder a internet , il faut que vous redirigiez le port 443 sur votre ordinateur .
    La manip n’est pas la même selon les routeurs mais il y a en général une interface web sur le routeur pour réaliser cela.
    si vous n’y arrivez pas une recherche google sur Port forwarding nomdevotrerouteur devrait vous donner la marche à suivre

    Configurer Putty ( au boulot )

    copiez Putty.exe a n’importe quel endroit sur votre disque dur, dans n’importe quel dossier .
    créez dans le même repertoire un fichier texte que vous enregistrerez sur le nom shunnel.bat
    Dans ce fichier texte écrivez



    putty -D 8080 -P 443 -ssh     IPmaison


    Ipmaison doit être l’ip que vous avez noté au début du tutoriel en allant sur adresseip.com

    et enregistrez le fichier

    Créer le tunnel
    Double cliquez sur shunnel.bat ça va lancer le processus de connexions. et vous demander le login et le mot de passe du compte d’utilisateur windows créé sur votre ordinateur personnel
    Une fois entrés le tunnel est crée.


    utiliser le tunnel dans votre navigateur

    dans internet explorer :
    cliquez sur outils puis sur option internet , allez sur l’onglet connexions , cliquez sur paramètres réseaux , cochez utiliser un serveur proxy pour ……
    puis cliquez sur avancé
    allez dans la dernière case socks et entrez 127.0.0.1 port 8080