Vie privée : salariés key-logués

Il y a dix ou quine ans, je me souviens de ces légitimes (et je l’espère salvatrices) râleries quand les salariés étaient pistés et se plaignaient qu’on surveille le temps passé aux toilettes ou devant la machine à café. Les plus angoissés se dépêchaient, marchaient vite pour aller et venir dans les couloirs, répondaient « non, je ne peux pas » à un appel perso, à voix basse, le regard discrètement posé sur deux ou trois collègues susceptibles d’entendre.

Facebooktwitterlinkedinmailby feather

Il y a dix ou quinze ans, je me souviens de ces légitimes (et je l’espère salvatrices) râleries quand les salariés étaient pistés et se plaignaient qu’on surveille le temps passé aux toilettes ou devant la machine à café. Les plus angoissés se dépêchaient, marchaient vite pour aller et venir dans les couloirs, répondaient « non, je ne peux pas » à un appel perso, à voix basse, le regard discrètement posé sur deux ou trois collègues susceptibles d’entendre.

Aujourd’hui, les entreprises innovent et on espionne jusqu’à ce que vous tapez sur votre clavier. Les sites que vous visitez en tapant leur adresse dans l’URL, mais surtout, les codes admin et mots de passe que vous entrez via clavier pour vous connecter à vos boite e-mails ou tout autre site sur lequel vous avez besoin de vous identifier.

Elles procèdent à cette surveillance  via un outil appelé keylogger. Il s’agit d’un logiciel malveillant installé sur un ordinateur à votre insu qui enregistre toute frappe. Par-delà la surveillance inacceptable, donc, c’est aussi des informations confidentielles qui sont récupérées par qui installe un keylogger sur votre machine.

313251851_8529ec8f1d_n

La CNIL précise dans un communiqué que « Des alertes peuvent être automatiquement envoyées à la personne ayant installé le dispositif lorsque le salarié ainsi surveillé saisit sur son clavier un mot prédéterminé. » On peut donc aisément imaginer paramétrer la machine sur les adresses de boites mails, réseaux sociaux et autres sites qui détourneraient, selon l’employeur, son vassal de son travail. On peut aussi imaginer  des termes en rapport avec l’entreprise, permettant de savoir si le petit peuple ne bâche pas la hiérarchie ou sa boite en ligne.

Une entreprise française aurait été prise la main dans le clavier. La CNIL a seulement adressé une mise en demeure à l’entreprise dont elle n’a voulu indiquer ni le nom ni la nature de l’activité. En gros, robinet d’eau tiède : c’est mal et c’est pas bien, faut pas le faire. Rien de plus.

En savoir plus sur les keyloggers (enregistreurs de frappe, d’après les inventeurs de l’expression « mot-dièse »)
L’article du Parisien.

This post has already been read 1561 times!

twitterlinkedinby feather

Auteur : Ju

Manager en sécurité informatique, je travaille sur le secteur depuis plusieurs années après une reconversion réussie suite à 12 annés dans le journalisme. J'adore la recherche, Je suis certifiée Iso/CEI 27001 Lead Auditeur (PECB) – ISLA1006895-2015-09. Parfois, je donne des cours et des conférences, et j’ai eu deux livres publiés par un éditeur… il y a fort longtemps.

2 réflexions sur « Vie privée : salariés key-logués »

  1. Même s’il est triste d’en arriver là et qu’on préconise surtout cette technique pour la saisie d’un mot-de-passe dans un contexte peu sûr (chose à éviter également, mais on y est parfois contraint) : il est possible pour tromper un logiciel d’enregistrement d’événements d’ajouter des comportement inattendus en milieu de frappe.

    Entre autres approches, par efficacité croissante :
    – copier, puis coller certains mots sensibles s’ils ne sont pas secrets ;
    – utiliser les flèches pour se déplacer et compléter un mot sensible par le milieu, etc. ;
    – utiliser la souris (moins souvent enregistrée, plus difficile à interpréter à posteriori) avec la même fin que précédemment, se déplacer et compléter le mot sensible en frappant les lettres dans le désordre ;
    – mélanger les techniques précédentes avec des caractères inutiles, supprimés ensuite ;
    – changer de fenêtre au clavier ou à la souris pour taper certains caractères dans des fenêtres distinctes.

    Bien entendu, ces techniques ont des limites :
    – pratiquement inutiles sur le Web (un employeur ayant installé un keylogger aura également installé un proxy transparent et son certificat racine dans les navigateurs) ;
    – n’empêchent pas l’employeur d’inspecter les connexions réseau ;
    – ne protègent que très peu en termes de réelle sécurité ou face à une atteinte ciblée à sa vie privée (il s’agit pour l’essentiel de tromper des outils automatiques, une inspection manuelle permettra toujours d’épier l’employé).

  2. Tu fais plaisir à lire ! Il faut passer plus souvent par ici.
    Pas bête, comme tactique ce put aussi être intéressant à l’étranger si on va dans un cyber pour checker ses mails.
    Mais cela n’empêchera pas, comme tu le dis, d’épier l’employer, et c’est lale principal PB.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *