Vie privée : salariés key-logués

Il y a dix ou quine ans, je me souviens de ces légitimes (et je l’espère salvatrices) râleries quand les salariés étaient pistés et se plaignaient qu’on surveille le temps passé aux toilettes ou devant la machine à café. Les plus angoissés se dépêchaient, marchaient vite pour aller et venir dans les couloirs, répondaient « non, je ne peux pas » à un appel perso, à voix basse, le regard discrètement posé sur deux ou trois collègues susceptibles d’entendre.

Il y a dix ou quinze ans, je me souviens de ces légitimes (et je l’espère salvatrices) râleries quand les salariés étaient pistés et se plaignaient qu’on surveille le temps passé aux toilettes ou devant la machine à café. Les plus angoissés se dépêchaient, marchaient vite pour aller et venir dans les couloirs, répondaient « non, je ne peux pas » à un appel perso, à voix basse, le regard discrètement posé sur deux ou trois collègues susceptibles d’entendre.

Aujourd’hui, les entreprises innovent et on espionne jusqu’à ce que vous tapez sur votre clavier. Les sites que vous visitez en tapant leur adresse dans l’URL, mais surtout, les codes admin et mots de passe que vous entrez via clavier pour vous connecter à vos boite e-mails ou tout autre site sur lequel vous avez besoin de vous identifier.

Elles procèdent à cette surveillance  via un outil appelé keylogger. Il s’agit d’un logiciel malveillant installé sur un ordinateur à votre insu qui enregistre toute frappe. Par-delà la surveillance inacceptable, donc, c’est aussi des informations confidentielles qui sont récupérées par qui installe un keylogger sur votre machine.

313251851_8529ec8f1d_n

La CNIL précise dans un communiqué que « Des alertes peuvent être automatiquement envoyées à la personne ayant installé le dispositif lorsque le salarié ainsi surveillé saisit sur son clavier un mot prédéterminé. » On peut donc aisément imaginer paramétrer la machine sur les adresses de boites mails, réseaux sociaux et autres sites qui détourneraient, selon l’employeur, son vassal de son travail. On peut aussi imaginer  des termes en rapport avec l’entreprise, permettant de savoir si le petit peuple ne bâche pas la hiérarchie ou sa boite en ligne.

Une entreprise française aurait été prise la main dans le clavier. La CNIL a seulement adressé une mise en demeure à l’entreprise dont elle n’a voulu indiquer ni le nom ni la nature de l’activité. En gros, robinet d’eau tiède : c’est mal et c’est pas bien, faut pas le faire. Rien de plus.

En savoir plus sur les keyloggers (enregistreurs de frappe, d’après les inventeurs de l’expression « mot-dièse »)
L’article du Parisien.

OPSEC et le langage écrit… ou la faille de sécurité entre la chaise et le clavier

J’ai lu, il y a quelques jours, un billet de TomChop qui m’a bien fait cogiter et reprend de manière très simple, certains des principaux risques en terme de sécurité informatique, entre sécu pure et social Engineering. Il m’a permis de le traduire et de vous le poster ici. Bonne lecture.

 J’ai récemment eu le plaisir de parcourir les diapositives d’une présentation de The Grugq(EN) appelé OPSEC pour les hackers(EN). Comme vous l’aurez deviné, le thème principal est la sécurité opérationnelle(EN). La sécurité opérationnelle, la sécurité des opérations, l’OPSEC… c’est tout sur les mesures qu’on prend pour s’assurer que ses actions (ou inactions) ne laissent pas fuiter certaines informations (utiles) à un adversaire éventuel. Certains l’appellent la paranoïa, d’autres l’appellent… OPSEC.

Continuer la lecture de « OPSEC et le langage écrit… ou la faille de sécurité entre la chaise et le clavier »