Proxy à la con, l'empire contre-attaque

Un geek paranoïaque qui cherche la reine de la douche (ou un truc dans le genre) tente de nous expliquer pourquoi le proxy à la con serait une bonne idée.

Sans vouloir noyer mes chers lecteurs sous des explications techniques, je précise juste que le monsieur mélange joyeusement des notions complètement différentes : cache (économie de bande passante), sécurité (firewall ou pare-feu, antivirus), filtrage (ce qui est autorisé ou non), lesquelles peuvent être effectuées par un ou plusieurs appareils (dont certains proxys). Or, les problèmes bien réels que nous rencontrons, nous les Gentils Utilisateurs (ou leurs prestataires externes), viennent essentiellement de mauvais réglages (ou de bugs) du cache et, surtout, d'une politique généralement stupide de filtrage, la paresse voulant, exactement comme l'explique ce monsieur en faisant de la pub à Webnonsense, à acheter une liste prédigérée par des anglosaxons qui, comme chacun sait, ont une connaissance très étendue du monde et de la diversité culturelle au-delà des frontières du Texas (ou de la City pour nos amis de la perfide Albion).

Et je vous passe le simple constat sur le terrain qu'une entreprise qui fonctionne sur le mode « tout ce qui n'est pas autorisé est interdit » a toutes les chances de faire partie du bas du classement en matière d'innovation et d'utilisation optimale de son budget informatique (manière polie de dire que ce sont en général des entreprises qui en sont resté à Germinal dans leur culture et leur fonctionnement). Pas facile de voir les évolutions intéressantes à l'extérieur quand on est en prison et que le service informatique n'a qu'un rôle de garde-chiourme. Juste pour vous donner une idée de l'absurdité du rôle de l'informatique, apprenez qu'il existe des médias nationaux dans ce pays qui interdisent à leur journalistes d'accéder à internet (quand ils leur fournissent une adresse email c'est déjà un progrès exceptionnel).

A l'inverse, je connais des grandes entreprises qui vivent très bien en faisant très attention à la sécurité de leur réseau, sans brider leurs collaborateurs avec un filtrage contre-productif et nécessairement toujours obsolète (sans les empêcher de surveiller ce qui se passe et de rappeler à l'ordre les quelques individus qui abusent).

Le monsieur en question a l'air conscient de l'inconfort de sa place, entre le marteau et l'enclume. Mais quand il écrit GU il pense tellement fort à luser (contraction de looser, perdant, et user, utilisateur, terme familier des informaticiens pour désigner le problème entre la chaise et la clavier l'utilisateur) que ça se voit :-). Et après ça ils s'étonnent d'être détestés, les trolls des cavernes du SI... :D

Bref, le proxy à la con reste ce qu'il est, a pain in the ass (avec ça je vais encore me faire filtrer un peu plus, merci Webnonsense).

2 Trackbacks

Le proxy à la con (PALC) depuis François Nonnenmacher (FR) sur 29 mai 2009 12h18

Joël Ronez nous donne une définition d'anthologie qu'on devrait communiquer à tous les DSI de France et de Navarre : le proxy à la con. Je n'y ajouterai que deux choses : Le proxy à la con est une horreur... Lire la suite

L'internet à la con pour tout le monde depuis François Nonnenmacher (FR) sur 29 mai 2009 12h22

Vous aimez le Proxy à la Con™ que les informaticiens de votre entreprise vous imposent pour votre bien ? Alors vous allez adorer le grand filtrage des internautes français. Sur une idée de Nicolas « je veux tout voir et... Lire la suite

12 commentaires

Bonjour, bien sur, j'en ai connu des proxy qui fonctionnent comme ca. generalement ,j'ai pas envie de rester dans la boite. le regime stalinien, tres peu pour moi.

En revanche, le proxy qu'utilisent mes GU a moi, est un proxy qui autorise tout. Mais, tout est logue. C'est officiel, avec signature a l'embauche. On publie des top ten d'un peu tout les genres, regulierement.

Quand la RH a quelqu'un dans le nez, c'est vers ce genre d'information qu'elle se tourne ...

Moi, je sors en live a travers le firewall, sans laisser de traces. Je sais, c'est mal.

oh dur le lien vers ce "skyblog" de bon matin.

"l’absurdité du rôle de l’informatique" ?
mais ce n'est pas vraiment l'informatique qui interdit l'accès à l'information pour les journalistes...

@jpg : historiquement dans le rôle de l'informatique il y avait l'innovation et le soucis d'utiliser au mieux ces nouveaux moyens pour le bénéfice de l'entreprise. Aujourd'hui, le SI est réduit à un rôle de plombier (gérer les tuyaux), de pompier (gérer le parc PC, logiciels et leurs problèmes) ou de policier (empêcher les "lusers" d'utiliser leur ordinateur pour quoi que ce soit qui n'ait pas été prévu des années à l'avance).

Alors, certes, dans la plupart des boites ce n'est pas l'informatique qui décide des interdictions (enfin pas de toutes :p parce qu'elles adorent interdire elles aussi) mais ce n'est que la conséquence de sa perte de pouvoir. En disant ça j'ouvre une autre boite de Pandore, car dans bien des cas c'est le SI qui l'a cherché (par son opacité et son conservatisme entre autres défauts).

Ah je n'ai pas la même expérience que toi François. Dans le monde que 'ai côtoyé, les PAC sont souvent mis par le service informatique, sans demande aucune de la direction à part "il faudrait qu'ils se servent d'Internet pour le boulot, pas pour glander". Simplement beaucoup se sentent une conscience professionnelle exacerbée sur ce genre de question et prennent comme une mission divine d'empêcher tout ce qu'ils sont capables d'empêcher (et je ne parle pas que des PAC).

Ceci dit la plupart du temps les informaticiens compétents ont vite fait de percer tout ça avec un tunnel ssh sur le port https (j'ai été surpris de voir comme c'est pratique courante). Il est difficile de bloquer ou même de repérer ce genre de traffic, et en général ce n'est pas fait. Les autres, non informaticiens, finissent par éviter Internet, surtout par la peur de tomber sur une page "interdit, votre accès a été enregistré et sera étudié" par erreur et qu'on puisse leur reprocher. Bref, à vouloir trop faire le PAC ne sert plus à rien.

@Eric : si si, on dirait qu'on a la même expérience ;-), simplement le PAC est la réponse paresseuse facile du SI à une éventuelle demande de la direction. Cette dernière étant d'ailleurs la première à râler quand elle ne peut pas surfer librement, elle, j'ai déjà vu.

On trouve de tout en fait, du petit chefaillon sauce "internet c'est la glande" qui fait chier des milliers de personnes au DSI éclairé. Mais ce dernier fait espèce en voix de disparition face au premier, prédateur prolifique.

c'est tout de même un peu caricatural.
il y a heureusement quelques nuances entre filtrage de porc et filtrage de ports ou de contenu.
plus qu'un rôle policier, l'IT a aussi un rôle protecteur de l'entreprise en bloquant le p2p par exemple.
enfin l'IT a souvent mieux à faire que le palmarès des logs. comme dépanner l'hôtesse d'accueil. aucun exemple personnel bien entendu.

@jpg : oui, si on voulait faire dans la dentelle on n'aurait pas appelé ça "proxy à la con" ;-). Mais on est parfois obligé de se mettre au même niveau que l'adversaire, assez souvent caricatural lui aussi :D.

@EonKnight : j'ai laissé un commentaire chez toi mais rien n'est apparu. Vérifie si ton anti-spam à la con (Akismet probablement) ne l'a pas bouffé (à moins que tu ne pratiques une modération a priori, auquel cas se serait sympa de prévenir).

Je pense Padawan que t'es mur pour entrer au gvt de Sarkozy avec ton sens de la polémique ;-)

Bon un gars qui parle de sun Tzu ne peut pas être tout à fait mauvais bien que Suntzu est à Miyamato Musashi ce que le panaché est à la biere et non le sel au cacahuétes. Entre un bureaucrate et un guerrier je fait mon choix.

Etrange mon commentaire de GCDU sur le blog en question est bien passé lui....

Mort aux proxy censure mais attention chacun est donc ensuite responsable des sites visités !

Prenons un exemple tout à fait concret :

padawan.info était un site sur lequel je trouvais bon de faire de la veille.

Mais le PAC le bloqua très vite, soit parce que "padawan" dans le nom de domaine c'est un truc de la guerre des étoiles donc hautement improductif, soit parce que le site était sur un site de marque noire/blanche où un clampin avait eu la bonne idée de cocher la case "forums" (ça peut être ça, parce que pour cette petite case "forums" je n'ai pas pu aller sur themaninblue.com pendant longtemps avant de me faire expliquer que "forum"+"hobby"="pas travail").

M'étant déjà suffisamment insurgé pour pouvoir au moins lire les archives des discussions du W3C ("forums", disions-nous) et pour pouvoir lire les très innovantes réflexions de themaninblue.com ("forum"+"hobby", redisons-le), j'ai baissé les bras et cessé de demander.

Ah oui, parce que chaque fois il faut faire une démarche assez laborieuse. Je cite, "Si vous estimez [que ce site] est utile professionnellement, nous vous demandons de faire le nécessaire auprès de votre Délégué à la Sécurité du Système d'information, sur la base d'un argumentaire motivant son classement dans la rubrique des sites présentant un intérêt professionnel."

Balancer à chaque fois le même argumentaire, comment dire ? Ça m'a lassé. Voilà, c'est ça : lassé.

Résultat ? Hé bien je ne viens plus sur ce site et je n'y publie plus de commentaires.

Hein ? vous me dites que je viens d'en poster un ? Ah non, ce n'est pas possible, répond l'autre PAC (politique de l'autruche à la con).

Laisser un commentaire

En laissant un commentaire, vous acceptez la politique des commentaires de ce blog.

Archives mensuelles

Notes récentes