Une entreprise épinglée pour avoir espionné ses salariés avec un keylogger

Une entreprise épinglée pour avoir espionné ses salariés avec un keylogger

Frappadingue

Avatar de l'auteur
Xavier Berne

Publié dans

Droit

20/03/2013 4 minutes
36

Une entreprise épinglée pour avoir espionné ses salariés avec un keylogger

La Commission nationale pour l’informatique et les libertés (CNIL) a annoncé ce matin qu’elle avait adressé une (simple) mise en demeure à une entreprise ayant surveillé ses salariés à l’appui d’un logiciel permettant d’enregistrer les frappes au clavier. L’autorité administrative indépendante en a profité pour indiquer que l'installation et l'utilisation de ce type de dispositif intrusif n’étaient pas justifiées, hormis en présence d’un « fort impératif de sécurité ».

clavier morguefile

 

Si l’on évoque régulièrement - y compris dans ces colonnes - des situations dans lesquelles des salariés abusent du matériel informatique mis à leur disposition par leur employeur, il est plus rare d’entendre parler de ces patrons qui surveillent par ce biais leurs employés. Pourtant, il est aujourd’hui possible d’espionner les « faits et gestes informatiques » des utilisateurs d’un ordinateur grâce à un « keylogger », c'est-à-dire un logiciel permettant d’enregistrer toutes les actions effectuées depuis un périphérique tel qu’un clavier.

 

Une fois ce programme installé sur l’ordinateur d’un salarié (souvent à l’insu de ce dernier), il est possible de sauvegarder tout ce que frappe l’utilisateur, et d’horodater ces données. À la clé : possibilité de repérer certains mots-clés, d’envoyer des rapports à celui qui a installé le logiciel espion... Autrement dit, un véritable mouchard permettant non seulement de scruter les faits et gestes du salariés mais aussi d’alerter votre supérieur dès que vous tapez des mots prédéfinis, comme par exemple « sieste » ou « le chef est vilain et sent mauvais des pieds »...

 

Mais aujourd’hui, la CNIL a annoncé qu’elle avait mis en demeure une société dans laquelle un dispositif de ce style avait été installé. L’autorité administrative se fait avare de précisions quant à l’entreprise épinglée, puisqu’elle se borne à préciser que suite à un contrôle exercé par ses soins, elle a sommé celle-ci « de cesser le traitement des données avec le logiciel en cause ». Motif de cet avertissement ? « La CNIL a estimé que ce dispositif portait une atteinte excessive à la vie privée des salariés concernés et qu'il était, dès lors, illicite au regard de la loi "informatique et libertés" ». Force est néanmoins de constater que si l’atteinte est bien jugée « excessive », la réponse de la CNIL ne l’est pas puisqu'elle n'a adressé qu'une simple mise en demeurre, en taisant au surplus le nom de l'entreprise.

La surveillance ne doit pas porter une atteinte disproportionnée aux droits des salariés

L’institution rappelle au passage qu’un employeur est libre de fixer des conditions et limites à l'utilisation des outils informatiques qu'il met à disposition de ses salariés. Certaines entreprises font ainsi signer des chartes à leurs employés pour l’utilisation d’Internet et de la messagerie électronique; d’autres mettent en place un filtrage de quelques sites non autorisés, etc. Cependant, « la surveillance exercée sur les salariés ne doit pas porter une atteinte disproportionnée à leurs droits » explique la CNIL.

 

L’autorité administrative fait valoir que ce type de logiciel « conduit celui qui l'utilise à pouvoir exercer une surveillance constante et permanente sur l'activité professionnelle des salariés concernés mais aussi sur leur activité personnelle résiduelle effectuée à partir du poste informatique ». En clair, le patron peut espionner à la fois ce que font ses salariés dans un cadre professionnel, mais aussi dans un cadre personnel, même s'ils sont toujours sur leur lieu de travail. La CNIL fait plus précisément référence aux « courriels émis ou reçus, les conversations de messageries instantanées ou des informations personnelles sensibles telles qu'un numéro de carte bancaire ou les mots de passe des salariés lorsqu'ils accèdent, pendant leur temps de pause, à leur compte d'adresse électronique personnelle ».

 

Dès lors, l’institution estime que l’installation et l'utilisation d'un tel logiciel n’est pas justifiée, hormis en présence d’un « fort impératif de sécurité ». Ce peut par exemple être le cas lorsqu’il s’agit de lutter contre la divulgation de secrets industriels. La CNIL précise avoir reçu depuis l’année dernière « plusieurs plaintes de salariés qui dénoncent l'installation, réelle ou supposée, sur leur poste informatique de dispositifs, du type "keylogger" ». 

Écrit par Xavier Berne

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

La surveillance ne doit pas porter une atteinte disproportionnée aux droits des salariés

Commentaires (36)


Personne n’a encore écrit de détecteur de keylogger ? C’est un malware après tout.








cyrano2 a écrit :



Personne n’a encore écrit de détecteur de keylogger ? C’est un malware après tout.





Si si, les bons antivirus alertent en cas d’installation de keylogger.



Genre de chose qu’on risque de voir de plus en plus, il ne manque plus que le message “au boulot” qui s’affiche quand tu fais autre chose.








Ler van keeg a écrit :



Si si, les bons antivirus alertent en cas d’installation de keylogger.





Si c’est la boite qui installe elle même un keylogger elle va faire gaffe à ce que l’antivirus ne le vire pas <img data-src=" />



Déjà qu’il ont du mal à contenir l’uasge des smartphones en interne, si le flicage augmente les gens vont finir par utiliser leur propre ordinateur.








cyrano2 a écrit :



Déjà qu’il ont du mal à contenir l’uasge des smartphones en interne, si le flicage augmente les gens vont finir par utiliser leur propre ordinateur.





Avec la mode du BYOD, ca arrivera de toutes facons.



Par contre je ne vois pas l’intérêt du keylogger : les boites savent que ce n’est pas autorisé sauf si c’est clairement communiqué aux salariés, et que donc elles ne pourront pas l’utiliser pour virer quelqu’un.

Quel intérêt ? Je ne vois pas….



Sinon, une simple mise en demeure, c’est un peu abusé. Mauvais signal envoyé à tout le monde : “faites comme vous le sentez, vous aurez juste une petite mise en demeure”….



Un bon keylogger n’est pas logiciel, mais matériel. Inséré dans le clavier par exemple et connecté sans fil à son serveur. Même si on le trouve (rarissime), rien dedans à tracer <img data-src=" /> Seul moyen d’y échapper, le clavier visuel sur écran tactile.


Même sans keylogger, ils peuvent aussi surveiller les connexions réseaux. Genre le salarié qui fait du P2P.


Le 20/03/2013 à 14h 39

Comment ils ont détecté le keylogger? En tout cas easy pour un responsable voyou de fabriquer des elements pour ‘justifier’ aupres de sa hierarchie un remerciement… pour stimuler les ventes de machines: les employés amenent leur machine, et gerent leur trafic via un vpn (les expats font ca en chine) ou la mobilité.








Drepanocytose a écrit :



Par contre je ne vois pas l’intérêt du keylogger : les boites savent que ce n’est pas autorisé sauf si c’est clairement communiqué aux salariés, et que donc elles ne pourront pas l’utiliser pour virer quelqu’un.

Quel intérêt ? Je ne vois pas….







Si tu savais à quel point les Directions – même de grosses boites – peuvent ignorer la législation…



À noter que “ l’action ” de la CNIL n’empêche en rien les employés de porter plainte contre leur indélicat employeur, plainte qui serait très justifiée.








Drepanocytose a écrit :



Par contre je ne vois pas l’intérêt du keylogger : les boites savent que ce n’est pas autorisé sauf si c’est clairement communiqué aux salariés, et que donc elles ne pourront pas l’utiliser pour virer quelqu’un.

Quel intérêt ? Je ne vois pas….









Jonathan Livingston a écrit :



Si tu savais à quel point les Directions – même de grosses boites – peuvent ignorer la législation…





ça et le fait que ça puisse indiquer vers où chercher pour trouver un motif “recevable”…







Drepanocytose a écrit :



Sinon, une simple mise en demeure, c’est un peu abusé. Mauvais signal envoyé à tout le monde : “faites comme vous le sentez, vous aurez juste une petite mise en demeure”….





La CNIL est en effet dramatiquement “petits bras” <img data-src=" />









metaphore54 a écrit :



Genre de chose qu’on risque de voir de plus en plus, il ne manque plus que le message “au boulot” qui s’affiche quand tu fais autre chose.







ben si t’es au boulot, pourquoi tu fais autre chose ? <img data-src=" />









daroou a écrit :



ben si t’es au boulot, pourquoi tu fais autre chose ? <img data-src=" />





Parce que c’est pas une machine ?



Question : t’es au boulot là ?









daroou a écrit :



ben si t’es au boulot, pourquoi tu fais autre chose ? <img data-src=" />





Tu vas jamais prendre une pause clope au boulot entre 8h et 12h ou une pause café ou une pause tout court … tu fais 4h non stop de grattage , enfin après ça dépend ton taf









Aloyse57 a écrit :



Un bon keylogger n’est pas logiciel, mais matériel. Inséré dans le clavier par exemple et connecté sans fil à son serveur. Même si on le trouve (rarissime), rien dedans à tracer <img data-src=" /> Seul moyen d’y échapper, le clavier visuel sur écran tactile.







Autre moyen: amener son propre clavier…









Elwyns a écrit :



Tu vas jamais prendre une pause clope au boulot entre 8h et 12h ou une pause café ou une pause tout court … tu fais 4h non stop de grattage , enfin après ça dépend ton taf





xkcd.com/303/









Khalev a écrit :



xkcd.com/303/







Whut ? <img data-src=" />



Pourquoi s’embêter avec un keylogger ? Il suffit d’un petit programme qui signale à l’employé à l’écran qu’il est en train de faire autre chose que ce qu’il est censé faire. Au bout de cinq avertissements : “vous êtes viré, veuillez imprimer et signer cette lettre de licenciement svp. Vous avez 30 minutes pour quitter votre poste. L’entreprise vous remercie de votre collaboration”.



Beaucoup plus dissuasif ! <img data-src=" />








Khalev a écrit :



xkcd.com/303/





Non applicable aux devs sur des langages interprétés xD



Mais plus sérieusement : on peut demander aux dev de ne faire que travailler pendant leurs heures de présences au taf…

Par contre du coup ils feront leurs 7 heures et basta… Si on problème arrive en prod à 18h01 par exemple alors qu’ils finissent à 18h ben ça sera tant pis.

Et ça je crois qu’aucun patron ne le voudrait ;)









Fantassin a écrit :



Pourquoi s’embêter avec un keylogger ? Il suffit d’un petit programme qui signale à l’employé à l’écran qu’il est en train de faire autre chose que ce qu’il est censé faire. Au bout de cinq avertissements : “vous êtes viré, veuillez imprimer et signer cette lettre de licenciement svp. Vous avez 30 minutes pour quitter votre poste. L’entreprise vous remercie de votre collaboration”.



Beaucoup plus dissuasif ! <img data-src=" />





Bof, retour de l’employé :

“Un motif valable est demandé, sinon c’est prud’hommes et on va parler des h sup que j’ai fait gratuitement le jour où la prod est tombée”



Contre les keyloggers software, il y a ça.


Le 20/03/2013 à 17h 56

Et les boites qui jouent avec les certfificats SSL afin de faire du MIM sur le https… La CNIL dit quoi? Car j’ai des noms…








yvan78 a écrit :



Et les boites qui jouent avec les certfificats SSL afin de faire du MIM sur le https… La CNIL dit quoi? Car j’ai des noms…





Bah donne les noms à la CNIL, parce que eux ils les ont peut-être pas hein.









Groumfy a écrit :



Même sans keylogger, ils peuvent aussi surveiller les connexions réseaux. Genre le salarié qui fait du P2P.









Faut être un peu dingue non pour faire du P2P au boulot ? C’est pas le genre de choses qui allume directement 150 diodes rouges chez l’admin réseau ? (noob inside)



et les employés d’usine surveillés à travers une vitre sans tain ?

Pas besoin de logiciel








phos a écrit :



Faut être un peu dingue non pour faire du P2P au boulot ? C’est pas le genre de choses qui allume directement 150 diodes rouges chez l’admin réseau ? (noob inside)







Ca a existé. Jusqu’au licenciement.



Des cas plus discrets existent : l’entreprise possède une 2e ligne comme les particuliers “pour les tests”. Comme la ligne sert peu, il est possible de l’utiliser pour du P2P sans que ça se voit sur le réseau de l’entreprise.










yvan78 a écrit :



Et les boites qui jouent avec les certfificats SSL afin de faire du MIM sur le https…





????

Ca veut dire quoi tout ca ? (vraie question) ?





Une entreprise épinglée pour avoir espionné ses salariés avec un keylogger





Cocorico elle est Française et non Chinoise ou Américaine….<img data-src=" />



Dalleurs on devrait en installer à l’Elysée, Sénat etc……<img data-src=" />








Drepanocytose a écrit :



????

Ca veut dire quoi tout ca ? (vraie question) ?







Les firewall proxy récent intégrent souvent une fonctionnalité de “désencapsulation” https pour pouvoir analyser le trafic (antivirus). Le trafic est ensuite chiffré avec un certificat interne.



MIM: Man in the middle.









CryoGen a écrit :



Les firewall proxy récent intégrent souvent une fonctionnalité de “désencapsulation” https pour pouvoir analyser le trafic (antivirus). Le trafic est ensuite chiffré avec un certificat interne.



MIM: Man in the middle.





Ah merci.

pour moi Man In The Middle c’est plus souvent MITM, d’où la confuse…



Pour le keylogger, si c’est un truc développé maison, aucun antivirus le détectera.








Cacao a écrit :



Pour le keylogger, si c’est un truc développé maison, aucun antivirus le détectera.





Si c’est developpé avec les pieds, un bon AV le détectera : les fonctions d’analyse “comportementales” peuvent facilement repérer une appli qui remplit un fichier avec les mêmes caractères que la frappe clavier









yvan78 a écrit :



Et les boites qui jouent avec les certfificats SSL afin de faire du MIM sur le https… La CNIL dit quoi? Car j’ai des noms…





C’est autorisé, sauf pour les sites bancaires, pour des raisons de confidentialité. L’utilisateur est censé avoir signé une charte d’utilisation des outils informatiques à sa disposition. La charte indique justement les moyens potentiellement intrusifs utilisés pour sécuriser ces outils.



Car, quoi qu’en pensent les utilisateurs, les solutions visent avant tout à protéger les infrastructures (on peut faire passer n’importe quoi dans du HTTPS) des menaces externes, pas à fliquer.



Le 21/03/2013 à 16h 31







CneGroumF a écrit :



C’est autorisé, sauf pour les sites bancaires, pour des raisons de confidentialité.







Vu que certains sites marchands gardent les coordonnées bancaires avec celles du compte (même si a titre perso je les évites comme la peste), cela ne mets nullement à l’abri: Un site de e-commerce ainsi foutu, qui a été oublié de la liste blanche des ceux à ne pas MIMiser, c’est des données bancaires exploitables en clair dans les log proxy… avec des employés adeptes du e-commerce pdt la pause de midi qui risquent un jour une grosse surprise!







CneGroumF a écrit :



les solutions visent avant tout à protéger les infrastructures (on peut faire passer n’importe quoi dans du HTTPS) des menaces externes, pas à fliquer.







Je pense que c’est en effet l’intention première. Quand au fait que d’autres tentations ne soient pas venues de manière secondaire??? Il est fort probable que ce soit utilisé pour fliquer quasiment partout.



De plus, ce n’est en général pas écrit dans les chartes signées (et peu renouvellées) et vu que les certificats sont ajoutés à la liste de confiance de l’OS boulot, il faut utiliser un autre OS (souvent, les machines unix sont oubliées!) que windows et/ou un navigateur alternatif qui gère sa propre liste de certificats pour s’en rendre compte (on a alors des alertes liées à ces certificats liés au MIM du proxy).



Note aussi que pour la fuite d’info par un employé… avec toutes ces clef USB de dizaines de Go dans toutes les poches… le réseau n’est pas forcément le mieux.



Si c’est une vérole sur une machine qui exfiltre, les volumes/heures/répétitions feront tilter rapidement un IDS… il est alors possible de traiter cela a part.



A QUAND UN SEXELOGGGER POUR LES POLITIQUES ET JOUEURS DE FOOT

<img data-src=" />