Ce que votre patron peut savoir sur vous – première partie

Le sujet de ce texte m’est venu suite à une soirée avec des amis. Il s’agit d’un sujet généralement bien connu dans le milieu des technologies, mais force est de constater que ce n’est pas nécessairement le cas en ce qui concerne le public général.

C’est lors d’une discussion autour d’une bouteille de vin qu’une question fut posée par l’un de mes amis à savoir pourquoi certaines personnes « bloquaient la webcam de leur ordinateur du travail? ».

Ma réponse fut assez rapide et candide, mais créa pourtant une sérieuse commotion: « Car les gens du département des TI de ton entreprise peuvent t’observer et t’écouter sans que tu le saches. Que tu sois à la maison ou au travail. »

Cela s’applique à tous les dispositifs intelligents que vous utilisez quotidiennement et qui sont payés (détenus) par votre entreprise. Votre téléphone, votre ordinateur, et cela peut même s’appliquer à votre voiture.

Évidemment, certaines conditions s’appliquent pour que cela soit possible:

a) Votre employeur doit avoir préalablement installé un logiciel sur le dispositif. Je donnerai quelques exemples dans le prochain article.

b) Les plus petites entreprises n’ont souvent pas de département TI qui gèrent, maintient, fait de l’optimisation et de la surveillance sur les dispositifs qu’il achète à ses employés, donc des logiciels ne sont pas nécessairement installés.

c) Certaines entreprises ont des politiques de transparence et de protection des données privées très claires, qui obligent l’implication d’acteurs indépendants, ce qui offre une protection à l’utilisateur.

Ceci étant dit, trop fréquemment, ces conditions ne sont pas réunies et des abus sont possibles.

Pourquoi est-ce que mon employeur m’espionnerait?

La raison est assez simple et logique: pour la sécurité et pour l’entretien du dispositif.

N’oubliez pas, cet objet appartient à l’entreprise ainsi que les données qui s’y trouvent. Et vous travaillez pour cette entreprise. Dans beaucoup des grands pays du monde, la surveillance des actions des employés est fréquente, à un point tel qu’un marché existe uniquement pour offrir des services aux corporations de surveillance des activités numériques des employés au département de RH.

Il arrive même que des entreprises demandent carrément aux employés le mot de passe de leur compte Facebook.

La surveillance, ça veut dire quoi?

Alors supposons que vous êtes dans une entreprise suffisament importante pour que celle-ci aille un département TI qui installe des logiciels préalablement sur les dispositifs qu’elle offre à ses employés. Qu’est-ce que cela signifie, en terme concrets?

En fait, la surveillance a généralement deux rythmes: passif et actif.

Surveillance passive:

Soyons honnêtes, même si votre vie est trépidante pour vous, elle ne l’est pas nécessairement pour votre patron, et vous ne représentez pas nécessairement un risque pour votre employeur. C’est pourquoi, plus souvent qu’autrement, votre employeur ne va pas systématiquement toujours regarder ce que vous faites. Il va mettre en place un système qui va systématiquement archiver toutes les données sur votre ordinateur, vos courriels, messages et autres trucs du genre. Aucune action ne sera requise de la part du technicien du département des TI, à moins que certains critères ne soient rencontrés lors de la surveillance passive. Par exemple: un mot-clé est écrit (ou dit, tout dépend du niveau de surveillance passive), un site web en particulier est visité, une adresse courriel en particulier est entrée, etc.

Lorsque certaines de ces règles sont activées, alors la surveillance passe en mode « actif ». À noter que ces règles n’ont pas besoin d’être activées pour qu’une surveillance « active » soit effectuée. Cette demande peut provenir du département des ressources humaines (RH), ou de la sécurité corporative, ou simplement du management supérieur. Parfois, évidemment, des employés décident de le faire par eux-mêmes, sans l’aval de qui que ce soit et sans que cela soit supervisé par un comité quelconque. On arrive donc au prochain niveau, le plus dangereux.

Surveillance active:

Une surveillance active implique que l’employeur archive systématiquement tout, et utilise toutes les ressources à sa portée pour déterminer le status de l’employé. Cela implique non seulement l’utilisation active du GPS, mais également de la caméra (du laptop, du mobile ou du véhicule), ainsi que son microphone, parfois même de tout ce qui est inscrit sur le clavier du téléphone (keylogger). L’utilisation de la surveillance active est effectuée par des logiciels qui sont préalablement installés sur votre dispositif de travail. Donc cette surveillance est techniquement légale, car elle n’implique pas d’avoir accès sans votre consentement à votre dispositif personnel. D’ailleurs, la plupart du temps, vous avez acceptés à ce que votre téléphone ou ordinateur soit contrôlé à distance en signant un document particulier lors de votre embauche ou lors de la première fois que vous avez ouvert votre dispositif, vous pouvez donc maintenant être surveillés activement, si nécessaire.

Évidemment, des abus existent. En fait, des abus sont omniprésents, dans tous les milieux: scolaire, travail, gouvernements, relations amoureuses.

En fait, l’abus de pouvoir dans le milieu du renseignement/technologie est tellement omniprésent que certains termes lui ont été attribués. Par exemple, la raison principale pour laquelle quelqu’un qui a un accès priviligié à vos données personnelles abuserait de son pouvoir est l’amour. Évidemment. Dans le milieu du renseignement, on a attribué le terme « LOVEINT » lorsqu’un agent abuse de son pouvoir pour espionner la personne qui fait (ou faisait) partie de sa vie. Si ce genre de situation peut arriver à la NSA, vous pouvez être certains que ce genre d’abus arrive quotidiennement dans le cadre de votre travail.

Qu’est-ce que mon employeur peut savoir sur moi?

Tout, fondamentalement, ou presque. Tout dépend de l’utilisation que vous faites du dispositif.

Si vous utilisez le dispositif du travail comme un dispositif personnel et que vous y mettez toutes vos informations personnelles (photos, vidéos, conversations, adresses courriels personnelles, vos mots-de-passe sauvegardés dans votre navigateur et j’en passe), alors votre employeur aura accès à tout.

Ce qui veut donc dire que, et je veux être très clair par rapport à ce sujet, si vous échangez des photos, des photos ou des courriels indiscrets à travers votre dispositif du travail, celui-ci pourrait avoir accès à tout cela. À vos contacts, et, dépendant du logiciel préinstallé et des permissions, ainsi que du niveau de surveillance dont vous avez été victime, peut-être même vos mots de passe et plus.

Non seulement cela, mais il pourra également avoir accès à votre caméra et au micro de votre dispositif. Donc, par exemple, si vous êtes chez vous, le soir, nu, et qu’un employé du département des TI active votre webcam ou votre micro, pour des raisons corporatives (vous êtes sous enquête) ou personnelles (il vous a trouvée de son goût), il pourra voir ce que vous faites et ce que vous dites. Légalement, ce genre de pratique est strictement encadré, mais des abus sont possibles, particulièrement s’il n’y a personne pour superviser  ce genre de pouvoir.

Que faire?

Pour l’instant, ce qui doit ressortir de cette lecture est : vous ne devriez JAMAIS utiliser un dispositif du travail pour des raisons personnelles, ou dans un contexte personnel.

Il y existe un nouveau concept dans plusieurs entreprises aux États-Unis, auquel j’ai encore beaucoup de misère à adhérer, mais qui reste tout de mêmetrès intéressant, c’est le concept du BYOD (« Bring Your Own Device ») ou en français : amenez votre propre équipement. À voir si ce concept serait applicable dans votre entreprise, mais je vous invite tout de même à lire sur le sujet et y réfléchir.

Dans tous les cas, si vous êtes actuellement pris avec des appareils qui appartiennent à votre employeur, je vous suggère fortement de faire un nettoyage en profondeur, de vous procurer des dispositifs technologiques (cellulaires, ordinateur, voiture) personnels, dont vous êtes le seul propriétaire.

Dans la seconde partie de ce sujet, j’aborderai les indices pour savoir si vous êtes surveillés, les techniques (logiciels) les plus fréquemment utilisées, ainsi que les méthodes que vous pouvez utiliser pour vous protéger, technique ou structurelles.

À suivre.

FacebooktwitterredditpinterestlinkedintumblrmailFacebooktwitterredditpinterestlinkedintumblrmail

Publié par

Luc Lefebvre

Geek humaniste. Expert en gouvernance de la sécurité de l’information de jour et président-cofondateur de Crypto.Québec de soir. Ses intérêts sont le renseignement, la politique, la sécurité internationale, la technologie, la démocratie, le progrès, les droits humains et l’astronomie.