Le salarié qui refuse de remettre immédiatement une clé USB personnelle n’est pas fautif

Le salarié qui refuse de remettre immédiatement une clé USB personnelle n’est pas fautif

Nouméa culpa

Avatar de l'auteur
Xavier Berne

Publié dans

Droit

18/09/2017 3 minutes
135

Le salarié qui refuse de remettre immédiatement une clé USB personnelle n’est pas fautif

La Cour de cassation vient de confirmer que le fait de ne pas remettre immédiatement à son employeur une clé USB personnelle ne pouvait être considéré comme une faute, même si l’on est suspecté d’avoir copié des fichiers internes à l’entreprise.

Si la clé USB du salarié est présumée être « professionnelle » dès lors qu’elle est connectée à son poste de travail, qu’en est-il du support de stockage clairement personnel ? Il doit être protégé comme tel, selon un arrêt rendu par la Cour de cassation le 5 juillet dernier, et remarqué il y a peu par le site Cyberdroit.

Embauché en 2007 comme responsable logistique d’une société basée en Nouvelle-Calédonie, Monsieur X fut licencié courant 2012 pour faute grave. Son employeur pointait alors différents problèmes caractéristiques selon lui d’une insuffisance professionnelle. Il lui reprochait aussi – et surtout – d’avoir copié des fichiers confidentiels directement depuis les serveurs de l’entreprise.

Le salarié a refusé de remettre sa clé USB

 

Surpris « la main dans le sac » la veille de son entretien préalable de licenciement, Monsieur X a toutefois refusé de remettre sa clé USB à son patron. Il finit néanmoins par céder quinze minutes plus tard, par l’entremise du délégué du personnel.

Le directeur général n’a pas pour autant voulu prendre connaissance du contenu de ce support de stockage, au motif que le salarié avait largement eu le temps d’effacer certains fichiers.

Licenciement invalidé par la justice

L’affaire a ensuite pris un tournant judiciaire, devant les prud’hommes puis en appel. Alors que Monsieur X contestait son licenciement, l’employeur a tenté de prouver que son ancien employé avait dérobé ce jour-là plusieurs centaines de fichiers confidentiels (pour 1,23 Go au total).

La cour d’appel de Nouméa a toutefois estimé en novembre 2015 qu’en dépit des deux captures d’écran rapportées par la société qui employait Monsieur X, rien ne prouvait que l’intéressé avait effectivement copié, des serveurs de l'entreprise jusque sur sa clé USB personnelle, des données confidentielles. Elle considérait par la même occasion que le seul fait que le salarié n'obtempère pas, sur le champ, à l'injonction qui lui avait été faite de remettre sa clé USB personnelle, ne constituait pas en soi un comportement fautif.

C’est cette appréciation souveraine des faits qui a été confirmée le 5 juillet dernier par la Cour de cassation. La haute juridiction a ainsi rejeté le pourvoi interjeté par l’employeur. Cela signifie que le licenciement de Monsieur X est considéré comme dépourvu de « cause réelle et sérieuse », comme l’a jugé la cour d’appel, et que l’entreprise devra payer différentes indemnités à son ancien salarié (indemnités de licenciement, dommages et intérêts en réparation du préjudice subi, etc.).

Protection à géométrie variable du salarié

Cet arrêt vient souligner l’importance de la protection accordée au salarié, qui dispose du droit au respect de sa vie privée – y compris sur son lieu de travail. Comme pour les emails, une clé USB qui est identifiée comme étant « personnelle » ne peut être auscultée sans que l’employé concerné ne soit présent. Pour profiter de ce rempart, il est toutefois indispensable de bien intégrer le terme « personnel » dans les objets des mails, le nom des dossiers, etc.

135

Écrit par Xavier Berne

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Le salarié a refusé de remettre sa clé USB

Licenciement invalidé par la justice

Protection à géométrie variable du salarié

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (135)




Pour profiter de ce rempart, il est toutefois indispensable de bien intégrer le terme « personnel » dans les objets des mails, le nom des dossiers, etc.



Je vous déconseille de mettre “Personnel” mais plutôt “Correspondance privée”. Personnel peut très bien faire référence aux DRH par exemple. Ca c’est déjà vu.<img data-src=" />




Il finit néanmoins par céder quinze minutes plus tard, par l’entremise du délégué du personnel.





Erreur dans l’actu : délégué du patronat <img data-src=" />





Comme pour les emails, une clé USB qui est identifiée comme étant

«&nbsp;personnelle&nbsp;» ne peut être auscultée sans que l’employé concerné ne

soit présent. Pour profiter de ce rempart, il est toutefois

indispensable de bien intégrer le terme «&nbsp;personnel&nbsp;» dans les objets

des mails, le nom des dossiers, etc.





Comment doit-on identifier une clé come personnelle ? Il faut mettre son nom au marqueur dessus ? <img data-src=" />








Jarodd a écrit :



Comment doit-on identifier une clé come personnelle ? Il faut mettre son nom au marqueur dessus ? <img data-src=" />





Bonne question.



N’importe quelle clé non fournie par l’IT est une clé personnelle


Oui, idéalement il faut écrire “Perso”, “Personnel”, ou “Privé” dessus.

Accessoirement ce que dit Network_23 est vrai aussi ,une clé qui n’est visiblement pas fournie par l’entreprise est nécessairement personnelle. D’un autre côté les entreprises ne fournissent pas toujours le même modèle à tout le monde, donc difficile à savoir pour l’employer.


J’ai pas envie de graver sur ma clef USB…



C’est des sales définitions les trucs personnels en entreprise. Si la clef USB n’a pas été fournie par l’entreprise, c’est obligatoirement qu’elle est personnelle, non ?

Pour le mail et tous les services/matériels fournis par l’entreprise, on met des trucs personnels sur des choses fournies par l’entreprise, mais là, on a un objet personnel que l’entreprise veut examiner, non ?


C’est quand même beau l’histoire.



Tu as un gars qui peut se barrer de chez toi en copiant l’intégralité de la documentation client et des fichiers confidentiels, tu peux le prendre en flagrant délit mais tu n’as pas la possibilité de faire plus.

Tu ne peux pas exiger le contenant qui contient vraisemblablement les données confidentielles prises.

Vu que tu peux pas, tu ne peux pas prouver que le mec a bien pris ces documents.



Je suis pour le respect de la vie privée. Mais quand celui-ci empiète sur la liberté économique de ta boite (et sur sa sécurité dans le cas présent), durant tes heures de travail, il y a un problème.


On devrait même te faire un lavage de cerveau au cas ou ! <img data-src=" />


De toute façon, on ne vérifie pas les téléphones et leurs cartes SD (combien passe au travers ?). Il faut que ce soit une boîte importante pour contrôler ainsi ses employés


Bon. Rendre les fichiers du serveur impossibles à copier sans un password admin aurait été pertinent.



Après, pour prendre à un particulier, dans le cas présent, un salarié d’une entreprise un objet personnel pour une procédure judiciaire, il faut être officier de police judiciaire et avoir une commission rogatoire, n’en déplaisent à ceux qui considèrent que les droits du patron sont supérieurs aux principes de base de l’Etat de Droit…


Faut revenir à la source du problème, comment est-il possible qu’une clé USB non contrôlée par la SSI se retrouve au sein de l’entreprise ? Le premier fautif c’est l’employeur qui n’a sans doute pas donner les moyens à son service informatique, et oui la sécurité ça coûte, mais moins cher que le vol d’informations… après il reste le problème des petites structures où l’utilisation des matériels informatiques est assez cool, pour ne pas dire laxiste :) là où l’on se fait confiance <img data-src=" /> un monde de Bisounours quoi xD


Sinon le plus simple reste de chiffrer le contenu de la clé, comme ça perso ou pas, tes données ne peuvent être accédées sans ton consentement.


Quand un de tes employés te vole (que ce soit des données ou des biens matériels), tu as le droit d’appeler les forces de l’ordre, qui eux pourront l’arrêter (après enquête de préférence), et saisir ses moyens informatique si nécessaire.








wpayen a écrit :



C’est quand même beau l’histoire.



Tu as un gars qui peut se barrer de chez toi en copiant l’intégralité de la documentation client et des fichiers confidentiels, tu peux le prendre en flagrant délit mais tu n’as pas la possibilité de faire plus.

Tu ne peux pas exiger le contenant qui contient vraisemblablement les données confidentielles prises.

Vu que tu peux pas, tu ne peux pas prouver que le mec a bien pris ces documents.



Je suis pour le respect de la vie privée. Mais quand celui-ci empiète sur la liberté économique de ta boite (et sur sa sécurité dans le cas présent), durant tes heures de travail, il y a un problème.





Toi, t’es pour la présomption d’innocence et l’état de droit. Ca se voit tout de suite.<img data-src=" />









KzR a écrit :



Faut revenir à la source du problème, comment est-il possible qu’une clé USB non contrôlée par la SSI se retrouve au sein de l’entreprise ? Le premier fautif c’est l’employeur qui n’a sans doute pas donner les moyens à son service informatique, et oui la sécurité ça coûte, mais moins cher que le vol d’informations… après il reste le problème des petites structures où l’utilisation des matériels informatiques est assez cool, pour ne pas dire laxiste :) là où l’on se fait confiance <img data-src=" /> un monde de Bisounours quoi xD





Ouais bon, après c’est p-e une pme de 6 salariés…



Il n’a peut-être pas envie que des gens, même collègues, puissent voir sa “femme” en petite tenue <img data-src=" />








Freeben666 a écrit :



Sinon le plus simple reste de chiffrer le contenu de la clé, comme ça perso ou pas, tes données ne peuvent être accédées sans ton consentement.





+1. En cas de perte ou de vol aussi.<img data-src=" />



Perquisitionner la clef usb personnelle, c’est un pouvoir accordé par un juge, ça n’est pas prévu de le donner à l’employeur, encore heureux.

Si ces données étaient si graves, il aurait dû appeler la police directement, puis qu’il y avait soupçon de vol. Comme d toute façon, ils étaient en train de le virer, dégrader un peu plus les relations, c’était pas grave. Tout en lui demandant de ne s’approcher d’aucun PC (de l’entreprise, donc ça il pouvait lui interdire) pour l’empêcher d’effacer les données.



Au final, ils ont juste voulu se faire justice eux-même en prenant la clef, c’est juste pas comme ça que ça marche.








wpayen a écrit :



la liberté économique de ta boite





Et toutes les entreprises naissent libres et égales économiquement !



Ceci dit, je suis d’accord, il ne faudrait pas que les libertés humaines commencent à empiéter sur les libertés économiques.



J’ai fait ça à une époque, et un manque d’interopérabilité m’a empêché de continuer.

J’utilisais l’appli fournie par kingston et elle ne fonctionnait plus sous windows 7, et ça fonctionnait sous xp, et ne parlons pas de l’ouvrir sur un linux ou un mac.

Vraiment pas pratique.

J’ai pas réessayé depuis, il y a surement eu de bons trucs de faits qui ont été portés partout ou qui suivent proprement un standard.


Si la clé n’est pas inscrit dans l’ordre intérieur de la société. Ce salarié n’est pas obligé d’obtempérer








wpayen a écrit :



C’est quand même beau l’histoire.



Tu as un gars qui peut se barrer de chez toi en copiant l’intégralité de la documentation client et des fichiers confidentiels, tu peux le prendre en flagrant délit mais tu n’as pas la possibilité de faire plus.

Tu ne peux pas exiger le contenant qui contient vraisemblablement les données confidentielles prises.

Vu que tu peux pas, tu ne peux pas prouver que le mec a bien pris ces documents….









Alors il faut bien lire et comprendre un truc tout bête :

“… (le) salarié, .. dispose du droit au respect de sa vie privée… une clé USB … « personnelle » ne peut être auscultée sans que l’employé concerné ne soit présent.”

Donc tu peux tout a fait ausculté les données, mais en présence du salarié, et tant qu’a faire d’un délégué du personnel et d’un autre cadre de l’entreprise histoire d’avoir des témoignages concordant de la bonne tenu de la vérification.




Pour le chiffrement de mes clés USB j’utilise principalement 2 solutions, en fonction des cas.

Pour les clés que j’utilise au boulot, tous les terminaux sur lesquels elles sont susceptibles d’êtrre branchées tournant sous Windows, j’utilise BitLocker. Ca fonctionne parfaitement sous tous les Windows récents (depuis le 7 si je ne dis pas de bêtises).

Sinon pour une solution plus interopérable, j’utilise VeraCrypt, mais ça demande à ce que le logiciel soit installé sur le PC (moins plug&play que BitLocker sur Windows)








ArchangeBlandin a écrit :



J’ai fait ça à une époque, et un manque d’interopérabilité m’a empêché de continuer.

J’utilisais l’appli fournie par kingston et elle ne fonctionnait plus sous windows 7, et ça fonctionnait sous xp, et ne parlons pas de l’ouvrir sur un linux ou un mac.

Vraiment pas pratique.

J’ai pas réessayé depuis, il y a surement eu de bons trucs de faits qui ont été portés partout ou qui suivent proprement un standard.





https://portableapps.com/apps/security/veracrypt-portable <img data-src=" />









VilraleuR a écrit :



Alors il faut bien lire et comprendre un truc tout bête :

“… (le) salarié, .. dispose du droit au respect de sa vie privée… une clé USB … « personnelle » ne peut être auscultée sans que l’employé concerné ne soit présent.”

Donc tu peux tout a fait ausculté les données, mais en présence du salarié, et tant qu’a faire d’un délégué du personnel et d’un autre cadre de l’entreprise histoire d’avoir des témoignages concordant de la bonne tenu de la vérification.





Si c’est personnel, tu as le droit de refuser, présent ou pas. Et heureusement.



Ce serait pas mal que windows intègre une fonction SIMPLE d’admin qui permette de bloquer les stockages USB et que tu puisse donner le droit au cas par cas via des groupes ou associer 1 clé à un user avec sa clé hardware.

Aujourd’hui c’est faisable mais c’est très galère et pour une grosse boite c’est quasi-impossible sans outil tiers.








Ricard a écrit :



Si c’est personnel, tu as le droit de refuser, présent ou pas. Et heureusement.







Ça reste a voir pour le refus car il n’est pas dit que l’employé a ce droit là dans la news.



Pour le blocage des support de stockage USB, c’est facile à mettre en place avec une GPO. C’est un peu plus fastidieux pour la gestion des autorisations au cas par cas, et encore.








Xire a écrit :



On devrait même te faire un lavage de cerveau au cas ou ! <img data-src=" />





Si tu mets sur le même point les connaissances liées à l’expérience dans ta boite et le vol de documents confidentiels, grand bien t’en fasse.

&nbsp;

Et une clause existe déjà pour le premier. Cela s’appelle une clause de non-concurrence. (Avec tous les à côté d’une telle clause, etc.)









Freeben666 a écrit :



Quand un de tes employés te vole (que ce soit des données ou des biens matériels), tu as le droit d’appeler les forces de l’ordre, qui eux pourront l’arrêter (après enquête de préférence), et saisir ses moyens informatique si nécessaire.







Tu n’as pas le droit de le retenir en attendant que les forces de l’ordre viennent. Juridiquement, tu te retrouves dans le même cas.&nbsp;









uzak a écrit :



Et toutes les entreprises naissent libres et égales économiquement !



Ceci dit, je suis d’accord, il ne faudrait pas que les libertés humaines commencent à empiéter sur les libertés économiques.







On peut rentrer dans le grand débat libertarien si tu veux. Je n’oppose pas ces deux libertés, à aucun moment.

Toutes les libertés sont bornées et limitées.



La déclaration des droits de l’homme dit :&nbsp;&nbsp;La « liberté consiste à pouvoir faire tout ce qui ne nuit pas à autrui ».



Tant de commentaires et pas une remarque sur le sous-titre? <img data-src=" />



Sinon en effet, un matériel personnel peut être consulté* en présence du salarié s’il est utilisé à des fins professionnelles. Si c’est un matériel personnel, qui est déconnecté du matériel de l’entreprise au moment où l’employeur veut l’inspecter, ça semble plus délicat. Je pense que ça passe par la case police forcément.



*Edit : correction


C’était pour rigoler :)



Pour info, les clauses de non concurrence sont souvent levés par les boites notamment dans le conseil / ESN (SSII)


Petite remarque à tous, attention à bien prendre en compte le contexte du jugement : ici le jugement indique que l’unique fait de ne pas donner une clé perso n’est pas suffisant pour justifier un licenciement pour faute.

Pas qu’on ne peut être licencié en cas de preuve d’espionnage industriel.











odoc a écrit :



Petite remarque à tous, attention à bien prendre en compte le contexte du jugement : ici le jugement indique que l’unique fait de ne pas donner une clé perso n’est pas suffisant pour justifier un licenciement pour faute.

Pas qu’on ne peut être licencié en cas de preuve d’espionnage industriel.





Sauf qu’ils ont refusé le motif d’espionnage.

La société a refusé que le fait de regarder la clé 15min après. Ce refus a été caractérisé comme un manque de preuve.



“qu’elle ajoute qu’il n’est pas contesté que cette clé a été remise un quart d’heure plus tard par le délégué du personnel au directeur général, mais que celui-ci n’a pas voulu en prendre connaissance au motif que les fichiers copiés avaient pu être effacés ; qu’en statuant ainsi, alors que l’employeur était en droit d’exiger du salarié la vérification du contenu de sa clé USB personnelle au sein de l’entreprise et qu’il a été mis dans l’impossibilité de réellement vérifier si des données appartenant à l’entreprise avaient été ou non transférées,”









Silences a écrit :



Tant de commentaires et pas une remarque sur le sous-titre? <img data-src=" />







Je peux mieux faire, il fallait l’avoir ou la voir, mais pas lavoir <img data-src=" /> <img data-src=" />









VilraleuR a écrit :



Ça reste a voir pour le refus car il n’est pas dit que l’employé a ce droit là dans la news.





Le droit sur le respect de la vie privée dit le contraire. <img data-src=" />



J’avoue dans les petites boîtes c’est affreux des fois, je bosse actuellement dans une boite où j’ai remplacé quelqu’un. Je me sers du PC qu’il utilisait avec sa session, j’ai accès à tous ses docs perso ou pas, à sa session firefox avec son compte google logué donc accès aux mails/photos/etc…

Bon je lui ai envoyé un mail à lui même avec sa propre adresse pour lui dire l’énormité du truc et je l’ai déconnecté. Mais bordel quelqu’un de moins gentil que moi et il se retrouvait dans une sacrée merde


Dans ce genre de cas y a pas un moyen de confisquer sans vouloir regarder la clé?

Ou au pire l’empêcher de l’utiliser à nouveau la clé le temps de contacter la gendarmerie ou autre?


Marki de l’info !! <img data-src=" />


Les gens ont trop tendances à prendre les PC de leur boites pour des PC perso ….








Le Matou a écrit :



Dans ce genre de cas y a pas un moyen de confisquer sans vouloir regarder la clé?

Ou au pire l’empêcher de l’utiliser à nouveau la clé le temps de contacter la gendarmerie ou autre?





Mais si. Il suffit de plaquer le type au sol, et de le ligoter. Fouille au corps, voir torsion de bras pour le faire avouer le temps que la police vienne arrêter ce dangereux terroriste.<img data-src=" />









Ricard a écrit :



https://portableapps.com/apps/security/veracrypt-portable <img data-src=" />





Toi, t’as pas essayé ! Il faut les droits admin pour créer un nouveau lecteur qui pointe sur le contenu crypté. Si tu n’a pas les droits (ou installé l’appli avant, avec les droits), c’est mort. C’est mon principal reproche à truecrypt / veracrypt. En y intégrant un accès via un serveur WebDAV en local pourrait contourner le problème, mais il n’y a pas d’implémentation existante…









Ricard a écrit :



Mais si. Il suffit de plaquer le type au sol, et de le ligoter. Fouille au corps, voir torsion de bras pour le faire avouer le temps que la police vienne arrêter ce dangereux terroriste.<img data-src=" />







Ok je vois le genre…









Le Matou a écrit :



Ok je vois le genre…





Si le mec a copié le fichier excel du cadeau de départ de Jean-Mi, il faut bien ça.









yannickta a écrit :



Toi, t’as pas essayé ! Il faut les droits admin pour créer un nouveau lecteur qui pointe sur le contenu crypté. Si tu n’a pas les droits (ou installé l’appli avant, avec les droits), c’est mort. C’est mon principal reproche à truecrypt / veracrypt. En y intégrant un accès via un serveur WebDAV en local pourrait contourner le problème, mais il n’y a pas d’implémentation existante…





C’est une app portable. Ton conteneur, tu le créés chez toi.









uzak a écrit :



Si le mec a copié le fichier excel du cadeau de départ de Jean-Mi, il faut bien ça.





Voir pire : le supplice du taureau d’airain !!! <img data-src=" />









typhoon006 a écrit :



Les gens ont trop tendances à prendre les PC de leur boites pour des PC perso ….&nbsp;



&nbsp;

C’est un peu la question que je me pose, pourquoi ramener une clef usb perso au travail ?



Sinon je me demande ce qu’il ce passe si c’est pas une clef usb mais un adaptateur de carte sd ou alors directement sur le téléphone via un cable usb.









Vilainkrauko a écrit :



Voir pire : le supplice du taureau d’airain !!! <img data-src=" />





Connaissait pas. C’est sympa ça.

Pas très écolo en chauffage.. Quoique, on peut faire une version solaire



La carte SD, tu peux la bouffer !

C’est plus espion-friendly que la clé USB que tu dois te carrer dans…


Et pourquoi pas?



Je me ballade toujours avec mon PC perso, mon téléphone avec le cable USB et une clef USB dans mon sac.

Je branche mon portable à mon poste pour le recharger; si besoin d’une clef USB, j’utilise la mienne au lieu de perdre 20minutes à en trouver une; il m’arrive aussi d’utiliser mon PC (moins lourd que le pro)


(oups à supprimer)








PtiDidi a écrit :



Et pourquoi pas?



Je me ballade toujours avec mon PC perso, mon téléphone avec le cable USB et une clef USB dans mon sac.

Je branche mon portable à mon poste pour le recharger; si besoin d’une clef USB, j’utilise la mienne au lieu de perdre 20minutes à en trouver une; il m’arrive aussi d’utiliser mon PC (moins lourd que le pro)





Si ton SI (si il y en a un) te dit rien, pourquoi pas.

&nbsp;

J’ai vu des clients où ce type de comportement t’aurait juste amené à être raccompagné à la porte. (Domaine bancaire, etc.)









wpayen a écrit :



C’est quand même beau l’histoire.



Tu as un gars qui peut se barrer de chez toi en copiant l’intégralité de la documentation client et des fichiers confidentiels, tu peux le prendre en flagrant délit mais tu n’as pas la possibilité de faire plus.

Tu ne peux pas exiger le contenant qui contient vraisemblablement les données confidentielles prises.

Vu que tu peux pas, tu ne peux pas prouver que le mec a bien pris ces documents.



Je suis pour le respect de la vie privée. Mais quand celui-ci empiète sur la liberté économique de ta boite (et sur sa sécurité dans le cas présent), durant tes heures de travail, il y a un problème.





il suffit dans ce cas tout simplement a l’entreprise d’interdire aux salarié d’utiliser / d’avoir, sur le lieu de travail, des cle USB personnelles, et de fournir des clé appartenant a l’entreprise selon les besoins.



1- tu peut verifier a volonté le contenu des cles

2- l’usage par un employé d’une le personnelle devient de fait une faute









Le Matou a écrit :



Dans ce genre de cas y a pas un moyen de confisquer sans vouloir regarder la clé?

Ou au pire l’empêcher de l’utiliser à nouveau la clé le temps de contacter la gendarmerie ou autre?





non, c’est la propriété du salarié, tu ne peut pas y toucher sans son consentement.



C’est quand même à double tranchant cette décision…



Un salarié qui a des programmes malicieux dans une clé personnelle pourrait s’en servir impunément sur un réseau d’entreprise? (à son insu ou non)



Je ne saisis certainement pas les nuances juridiques. Mais tout ceci me semble bien compliqué.



On est à une époque où tout le monde ou presque a un accès internet à la maison, un abo data avec un smartphone qui va bien… Quel est l’intérêt de laisser quiconque traiter ses dossiers personnels sur le réseau professionnel?



Surtout quand on voit tout ce qu’il se passe actuellement avec des pans entiers d’industries soumis au chantage de quelques pirates…


Tu n’es pas obligé de le prévenir que tu as appelé la Police.








Ricard a écrit :



Mais si. Il suffit de plaquer le type au sol, et de le ligoter. Fouille au corps, voir torsion de bras pour le faire avouer le temps que la police vienne arrêter ce dangereux terroriste.<img data-src=" />







Sinon, il y a plus simple et plus direct. Approuvé par wpayen.



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



En 2017 voir des entreprises (même petites) qui se foutent complètement de la gestion de leur SI (et qui te rient au nez quand tu leur dis qu’ils ont besoin d’un admin) et&nbsp; les voir pleurer quand il leur arrive des choses de ce genre, ça me fait bien marrer.

&nbsp;Parfois on n’a que ce qu’on mérite, les droits d’accès et les chartes d’utilisation du SI c’est pas fait pour les clebs.


Une règle de base pour un SI sécurisé, c’est d’avoir interdit l’utilisation de périphériques de stockage USB. (je ne parle pas de demander aux utilisateurs de ne pas le faire, je parle de configurer l’OS pour que ce soit impossible)








PtiDidi a écrit :



Et pourquoi pas? Je me ballade toujours avec mon PC perso, mon téléphone avec le cable USB et une clef USB dans mon sac. Je branche mon portable à mon poste pour le recharger; si besoin d’une clef USB, j’utilise la mienne au lieu de perdre 20minutes à en trouver une; il m’arrive aussi d’utiliser mon PC (moins lourd que le pro)





La géométrie variable je pense :/ D’un côté je te donne raison mais d’un autre :

&nbsp;





PtiDidi a écrit :



Je me ballade toujours avec mon PC perso&nbsp;





Pourquoi ?

&nbsp;





&nbsp;PtiDidi a écrit :



Je branche mon portable à mon poste pour le recharger&nbsp;





Pourquoi ton portable est déchargé ? Si tu le met en charge pendant la nuit et que tu à en moyenne 30 minutes de transport tu doit facilement arriver au boulot avec 80% de batterie. Si tu l’utilise pendant 1h de ta pause déjeuné tu arrivera à 70% puis 30 minutes pour rentrer chez toi 60%.

&nbsp;





PtiDidi a écrit :



si besoin d’une clef USB, j’utilise la mienne au lieu de perdre 20minutes à en trouver une





Tu met 20 minutes pour trouver une clef usb que ton employeur t’a “gentiment offert” ?

&nbsp;





coket a écrit :



On est à une époque où tout le monde ou presque a un accès internet à la maison, un abo data avec un smartphone qui va bien…





Le smartphone ne possède pas un vrai os avec un vrai explorateur de fichier à la windows… Si tu part du principe que l’employé peut faire ce qu’il veut pendant sa pause rien ne l’empêche de décharger toute ces photo temporairement sur la machine pour les classer et les renvoyer dans un dossier ‘qui va bien’ sur le téléphone.



Après je pourrais aussi dire que c’est à l’employeur de ce protéger en activant l’usb que pour certains périphérique de la boite.



&nbsp;



En cas de flagrant délit, bien sûr que si :



Dans les cas de crime flagrant ou de délit flagrant puni d’une peine d’emprisonnement, toute personne a qualité pour en appréhender l’auteur et le conduire devant l’officier de police judiciaire le plus proche.





Les faits reprochés sont passibles de prison, donc l’article est applicable.


EDIT: oups, mon mauvais








nikon56 a écrit :



non, c’est la propriété du salarié, tu ne peut pas y toucher sans son consentement.







Ah quelqu’un qui répond sans faire de sarcasme à la con ça fait plaisir.



Pas que dans les entreprises.

J’ai eu en ma possession un smartphone de prêt auprès d’une grande enseigne, la personne qui as eu le téléphone avant moi à tout laisser : comptes, applications, agenda, mails…

Bref les gens ne font pas attention à ce qu’ils font réellement et aux conséquences. Entre de mauvaises mains ça pourrais avoir de grosses conséquences…








KzR a écrit :



Faut revenir à la source du problème, comment est-il possible qu’une clé USB non contrôlée par la SSI se retrouve au sein de l’entreprise ? Le premier fautif c’est l’employeur qui n’a sans doute pas donner les moyens à son service informatique, et oui la sécurité ça coûte, mais moins cher que le vol d’informations… après il reste le problème des petites structures où l’utilisation des matériels informatiques est assez cool, pour ne pas dire laxiste :) là où l’on se fait confiance <img data-src=" /> un monde de Bisounours quoi xD





Le fait de pouvoir utiliser des clés USB n’a rien à voir avec le vol d’information, avec le mail (pas celui de la boîte de préférence) on peut déjà faire fuiter tout ce qu’on veut, et éventuellement avec d’autres méthodes (via un site Web à soi). A une époque on avait même parfois des graveurs sur les PC fixes pro.



Je n’ai vu que dans des banques et dans une caisse de retraite le blocage des ports USB, c’est lourdingue dans certains cas. Je fuis ce genre de boîte à la “sécurité” poussée (oui je mets des guillemets parce que de toutes façons tous les postes sont sous Windows, alors bon, c’est la 1e faille, et je suis sérieux). L’argent des clients n’est pas sur des systèmes Microsoft donc même une clé vérolée ne pourra pas y toucher.







letter a écrit :



Ce serait pas mal que windows intègre une fonction SIMPLE d’admin qui permette de bloquer les stockages USB et que tu puisse donner le droit au cas par cas via des groupes ou associer 1 clé à un user avec sa clé hardware.

Aujourd’hui c’est faisable mais c’est très galère et pour une grosse boite c’est quasi-impossible sans outil tiers.









Freeben666 a écrit :



Pour le blocage des support de stockage USB, c’est facile à mettre en place avec une GPO. C’est un peu plus fastidieux pour la gestion des autorisations au cas par cas, et encore.





C’est lourdingue ces histoires de blocages de ports USB. Dans tous les boîtes où j’ai bossé, la plupart ne font pas ça, et je n’ai jamais vu que ça apporte des problèmes de sécurité. Et l’époque est au “BYOD”, Bring Your Own Device, où on apporte son ordinateur si on veut, mon chef précédent préférait utiliser son MacBook par exemple.







typhoon006 a écrit :



Les gens ont trop tendances à prendre les PC de leur boites pour des PC perso ….





Dans la mesure où certains passent beaucoup de temps au bureau, ils finissent par avoir un peu de leur perso sur l’ordinateur ; tout comme le pro s’invite à la maison parfois, via le portable du bureau ou bien l’accès à distance.







skankhunt42 a écrit :



C’est un peu la question que je me pose, pourquoi ramener une clef usb perso au travail ?





Parce que on ne me donne pas de clé USB dans mes missions ou ma maison mère, et parce que j’ai toujours une voire plusieurs clés avec moi, dont une mini avec mon porte-clé, c’est toujours pratique elle est toujours avec moi du coup. Je m’en suis servi pas plus tard que ce matin en réunion chez le client, pour donner vite fait un document à un collègue.







PtiDidi a écrit :



Et pourquoi pas?

Je me ballade toujours avec mon PC perso, mon téléphone avec le cable USB et une clef USB dans mon sac.





J’apporte rarement mon PC perso, mais sinon oui je recharge parfois mon mobile au bureau (il commence à être vieux).









Freeben666 a écrit :



Une règle de base pour un SI sécurisé, c’est d’avoir interdit l’utilisation de périphériques de stockage USB. (je ne parle pas de demander aux utilisateurs de ne pas le faire, je parle de configurer l’OS pour que ce soit impossible)





C’est tout de même très contraignant de se priver de clé USB. Le seul endroit où j’ai constaté leur interdiction pure et simple, c’était sur un réseau confidentiel défense.









Le Matou a écrit :



Ah quelqu’un qui répond sans faire de sarcasme à la con ça fait plaisir.





<img data-src=" />



Dans les banques un minimum sérieuses niveau SSI c’est aussi le cas.



Et tu peux interdire l’utilisation des périphériques USB en général, tout en en autorisant certains (par exemple des clés USB chiffrées fournies par l’entreprise).








OlivierJ a écrit :



C’est lourdingue ces histoires de blocages de ports USB. Dans tous les boîtes où j’ai bossé, la plupart ne font pas ça, et je n’ai jamais vu que ça apporte des problèmes de sécurité. Et l’époque est au “BYOD”, Bring Your Own Device, où on apporte son ordinateur si on veut, mon chef précédent préférait utiliser son MacBook par exemple.





Ce n’est pas parce que tu n’as jamais vu en quoi ça apporte des problèmes de sécurité, que ça n’en apporte pas.



Les ports USB sont un des principaux vecteurs d’infections sur les ordinateurs pros. Par exemple, Michel qui trouve une clé USB à la cafèt’ et qui, curieux, l’insère dans son PC pour voir ce qu’il y a dessus.



Concernant le vol/fuite de données, c’est vrai qu’il y a d’autres vecteurs possibles, mais tout ce qui passe par le mail ou le web, ta boite est tout à fait capable d’analyser le traffic, détecter la fuite de données, et te virer (j’en ai déjà vu se faire virer alors qu’ils se pensaient en sécurité dans leur tunnel SSH, ils auraient dû vérifier l’empreinte du certificat utilisé). Par contre via clé USB c’est beaucoup plus discret.



Bien sûr, il faut que la boite fournisse des clés USB autorisées aux personnes qui en ont le besoin (pour des raisons pro).









Freeben666 a écrit :



Ce n’est pas parce que tu n’as jamais vu en quoi ça apporte des problèmes de sécurité, que ça n’en apporte pas.



Les ports USB sont un des principaux vecteurs d’infections sur les ordinateurs pros. Par exemple, Michel qui trouve une clé USB à la cafèt’ et qui, curieux, l’insère dans son PC pour voir ce qu’il y a dessus.





Oui je connais ce point, mais comme normalement dans ce genre de boîte il y a déjà un anti-virus bien ch*ant, ça devrait suffire. D’ailleurs dans une société où il n’y a pas de Windows (ça existe et j’en connais, par exemple entièrement sous Linux), ils se fichent de ces histoires de clé USB.







Freeben666 a écrit :



Concernant le vol/fuite de données, c’est vrai qu’il y a d’autres vecteurs possibles, mais tout ce qui passe par le mail ou le web, ta boite est tout à fait capable d’analyser le traffic, détecter la fuite de données, et te virer (j’en ai déjà vu se faire virer alors qu’ils se pensaient en sécurité dans leur tunnel SSH, ils auraient dû vérifier l’empreinte du certificat utilisé).





Dans un tunnel HTTPS ou dans du SSH, les 2 étant chiffrés, je vois mal comment une société peut savoir ce qui transite, sauf à faire du MITM pour le HTTPS par exemple.

Je fais parfois du SSH avec chez moi, il n’y a aucune histoire de certificat en face, tout ce que mon employeur pourrait voir c’est que je me connecte sur une IP d’un FAI.

Et puis si ton ordinateur portable a des documents confidentiels, quand tu vas chez toi avec, tu as forcément moyen de sortir le contenu à l’insu de ta boîte, non ?









Freeben666 a écrit :



Bien sûr, il faut que la boite fournisse des clés USB autorisées aux personnes qui en ont le besoin (pour des raisons pro).





Ça on sait très bien ce que ça donne en pratique : les personnes autorisée sont au niveau hiérarchique N+12, car c’est trop cher pour ton besoin ponctuel :p









OlivierJ a écrit :



Dans un tunnel HTTPS ou dans du SSH, les 2

étant chiffrés, je vois mal comment une société peut savoir ce qui

transite, sauf à faire du MITM pour le HTTPS par exemple.

Je fais

parfois du SSH avec chez moi, il n’y a aucune histoire de certificat en

face, tout ce que mon employeur pourrait voir c’est que je me connecte

sur une IP d’un FAI.

Et puis si ton ordinateur portable a des

documents confidentiels, quand tu vas chez toi avec, tu as forcément

moyen de sortir le contenu à l’insu de ta boîte, non ?





&nbsp;C’est ce qu’il a décrit, généralement le certificat fourni est celui de ton entreprise, dont le proxy s’apparente à du MITM.



1- Les anti-virus sont très loin d’être infaillibles (de nos jours ils fournissent plus un sentiment de sécurité que de la réelle sécurité…)

2- Si tu penses vraiment que seul Windows est concerné par les virus, tu es bien naïf. MacOS est une vraie passoire (j’ai eu des Mac pendant longtemps, je sais de quoi je parle), et côté Linux c’est pas beaucoup mieux. Tous les OS ont des vulnérabilités, ce qui va faire qu’un est supérieur à l’autre va se jouer au niveau de la réactivité (temps mis pour détecter les vulns, développer un patch et le déployer).

3- Tu as pas mal de (grosses)boites qui font du MitM sur le traffic chiffré.

4- En SSH il y a un certificat utilisé pour chiffrer la connexion. Normalement quand tu te connectes pour la première fois à un serveur SSH depuis quelque part, le client SSH te présente l’empreinte du certificat du serveur. Tu es censé vérifier cette empreinte pour t’assurer qu’il n’y a pas de MitM en cours. Par la suite, si l’empreinte change, le client redemande si c’est normal.








OlivierJ a écrit :



Oui je connais ce point, mais comme normalement dans ce genre de boîte il y a déjà un anti-virus bien ch*ant, ça devrait suffire. D’ailleurs dans une société où il n’y a pas de Windows (ça existe et j’en connais, par exemple entièrement sous Linux), ils se fichent de ces histoires de clé USB.





Dans un tunnel HTTPS ou dans du SSH, les 2 étant chiffrés, je vois mal comment une société peut savoir ce qui transite, sauf à faire du MITM pour le HTTPS par exemple.

Je fais parfois du SSH avec chez moi, il n’y a aucune histoire de certificat en face, tout ce que mon employeur pourrait voir c’est que je me connecte sur une IP d’un FAI.

Et puis si ton ordinateur portable a des documents confidentiels, quand tu vas chez toi avec, tu as forcément moyen de sortir le contenu à l’insu de ta boîte, non ?





Quand tu fais du MITM en entreprise, tu intègres un certificat racine de confiance dans chaque PC, et tu utilise ce certificat pour chiffrer/déchiffrer le contenu. Donc potentiellement même si tu montes un tunnel, ton entreprise peut toujours s’interposer au milieu en se faisant passer pour toi auprès du fournisseur VPN.



Après les entreprises que font du MITM c’est rare, et ça pose plein d’autre problème légaux (Interdiction d’espionner une connexion vers ta banque par exemple). En plus de couter une blinde à chiffrer/déchiffrer à la volée.









Ramaloke a écrit :



Quand tu fais du MITM en entreprise, tu intègres un certificat racine de confiance dans chaque PC, et tu utilise ce certificat pour chiffrer/déchiffrer le contenu. Donc potentiellement même si tu montes un tunnel, ton entreprise peut toujours s’interposer au milieu en se faisant passer pour toi auprès du fournisseur VPN.





Si tu montes un tunnel (vers un serveur chez toi par ex.) tu crées toi-même ton certificat, que tu places où tu veux. Bon courage à ton employeur.









Ramaloke a écrit :



Quand tu fais du MITM en entreprise, tu intègres un certificat racine de confiance dans chaque PC, et tu utilise ce certificat pour signer un certificat pour le site visité qui permettra de chiffrer/déchiffrer le contenu.





Voilà.

Un certificat racine ne sert généralement qu’à valider un certificat.









Ricard a écrit :



Si tu montes un tunnel (vers un serveur chez toi par ex.) tu crées toi-même ton certificat, que tu places où tu veux. Bon courage à ton employeur.





Dans ce cas l’anecdote du dessus n’est pas possible. Après si tu as un poste d’entreprise sans droits d’admin, tu m’expliques comment tu le montes ton tunnel ?



Les gens parlent plus vulgairement de flux chiffré (HTTPS) ou de proxy web qui sont concernés par les politiques de sécurité et le MITM en entreprise, du moins à mon sens.









Ricard a écrit :



C’est une app portable. Ton conteneur, tu le créés chez toi.





Ce qui ne résous pas le problème : Comment je fait pour accéder au contenu de ma clef chiffrée sur le PC du boulot, où je n’ai pas les droits admin ?









Ramaloke a écrit :



Dans ce cas l’anecdote du dessus n’est pas possible. Après si tu as un poste d’entreprise sans droits d’admin, tu m’expliques comment tu le montes ton tunnel ?





Avec PuTTY par exemple.



Ton employeur peut très bien intercepter l’établissement de la connexion et te présenter un autre certificat au niveau d’un équipement en sortie du réseau d’entreprise, qui se charge de déchiffrer, puis rechiffrer vers ton serveur. Si tu ne vérifies pas l’empreinte du certificat présenter à l’établissement de la connexion, tu n’y vois que du feu.








Ramaloke a écrit :



Dans ce cas l’anecdote du dessus n’est pas possible. Après si tu as un poste d’entreprise sans droits d’admin, tu m’expliques comment tu le montes ton tunnel ?



Les gens parlent plus vulgairement de flux chiffré (HTTPS) ou de proxy web qui sont concernés par les politiques de sécurité et le MITM en entreprise, du moins à mon sens.





Comment on peut savoir si on se fait man-in-ze-middler par le proxy de son entreprise ?



Le signataire du certif ?

Par exemple le certifcat nextinpcat, signé par cloudflare,empreinte 97:9B:E8:CB:5A:36:EB:4C:7E:FB:0F:71:03:0E:7A:25:18:C0:BD:BB



Bon, pas bon ?









skankhunt42 a écrit :



Pourquoi ?



Parce que je peux avoir envie de bricoler dans les transports et j’en ai pris l’habitude quand j’étais d’astreinte

&nbsp;





skankhunt42 a écrit :



Pourquoi ton portable est déchargé ? Si tu le met en charge pendant la nuit et que tu à en moyenne 30 minutes de transport tu doit facilement arriver au boulot avec 80% de batterie. Si tu l’utilise pendant 1h de ta pause déjeuné tu arrivera à 70% puis 30 minutes pour rentrer chez toi 60%.



J’ai 1h30 de transport







skankhunt42 a écrit :



Tu met 20 minutes pour trouver une clef usb que ton employeur t’a “gentiment offert” ?



Une clef USB, c’est typiquement le genre de truc qui se range dans un tiroir et se perd, mais ya d’autres problèmes :




  • les OS qui ne lise pas tous les FS exotiques UFS par exemple

  • l’imprimante qui n’arrive pas à lire autre chose que NTFS

  • l’espace disque insuffisant

    etc



Méthode pour les nuls : Copie l’empreinte, accède au site depuis chez toi, et vérifie que c’est la même.








Freeben666 a écrit :



Ton employeur peut très bien intercepter l’établissement de la connexion et te présenter un autre certificat au niveau d’un équipement en sortie du réseau d’entreprise, qui se charge de déchiffrer, puis rechiffrer vers ton serveur. Si tu ne vérifies pas l’empreinte du certificat présenter à l’établissement de la connexion, tu n’y vois que du feu.





Tu génères la clé sur ton poste, (ssh-keygen -t rsa par ex.) et tu colles le le certif sur ton serveur. (cat ~/user_rsa.pub &gt;&gt; ~/.ssh/authorized_keys). Pas plus compliqué que ça.<img data-src=" />



Cette clé est utilisée pour l’authentification (ça t’évites d’avoir à saisir ton mot de passe de compte), ça n’empêche pas le MitM.



EDIT : il ne faut pas confondre la HostKey avec les AuthorizedKeys ;)








yannickta a écrit :



Ce qui ne résous pas le problème : Comment je fait pour accéder au contenu de ma clef chiffrée sur le PC du boulot, où je n’ai pas les droits admin ?





Oui donc remonte les fil des commentaires pour voir de quoi on parle dans ce cas précis.<img data-src=" />









Freeben666 a écrit :



Cette clé est utilisée pour l’authentification (ça t’évites d’avoir à saisir ton mot de passe de compte), ça n’empêche pas le MitM.





Oui, ce qui t’authentifie auprès du bon serveur. De plus, normalement (c’est comme ça pour moi en tout cas (Enter passphrase for key ‘/home/ricard/.ssh/id_ecdsa’:)). C’est justement l’intérêt. Une fois la la connexion établie, le MITM…









Freeben666 a écrit :



1- Les anti-virus sont très loin d’être infaillibles (de nos jours ils fournissent plus un sentiment de sécurité que de la réelle sécurité…)

2- Si tu penses vraiment que seul Windows est concerné par les virus, tu es bien naïf. MacOS est une vraie passoire (j’ai eu des Mac pendant longtemps, je sais de quoi je parle), et côté Linux c’est pas beaucoup mieux. Tous les OS ont des vulnérabilités, ce qui va faire qu’un est supérieur à l’autre va se jouer au niveau de la réactivité (temps mis pour détecter les vulns, développer un patch et le déployer).

3- Tu as pas mal de (grosses)boites qui font du MitM sur le traffic chiffré.

4- En SSH il y a un certificat utilisé pour chiffrer la connexion. Normalement quand tu te connectes pour la première fois à un serveur SSH depuis quelque part, le client SSH te présente l’empreinte du certificat du serveur. Tu es censé vérifier cette empreinte pour t’assurer qu’il n’y a pas de MitM en cours. Par la suite, si l’empreinte change, le client redemande si c’est normal.







  1. Oui je sais que ce n’est pas infaillible, après en pratique je ne sais pas comment ils résistent aux attaques courantes (celles qu’on a vu passer).

  2. Linux c’est “pas beaucoup mieux que Windows” en terme de sécurité ? Sérieusement ?

    As-tu déjà vu une boîte, dont les postes de travail fonctionnent sous Linux, se faire avoir par un virus, un cryptolocker, ou tout autre merdouille ?

    Ben non, on peut dormir sur ses 2 oreilles, en comparaison. Enfin je ne connais personne qui a eu des soucis comme on a sous Windows, c’est hallucinant de devoir le rappeler en 2017.

  3. Oui je l’ai découvert pour la 1e fois chez Veolia (qui en plus a confié ses courriels à Google via GMail et ses documents via le Drive), mais c’est détectable si on regarde. Ils ne le font pas avec les banques, heureusement, mais ça m’a scandalisé au départ, apparemment ils ont le droit (ils le font avec NXI par exemple).

  4. Je n’ai pas de certificat pour me connecter chez moi. On peut utiliser un certificat avec SSH mais en option. Enfin, tu parles plutôt de l’empreinte du serveur, ça je connais, effectivement il redemande si ça change.



    PS pour le 1) : vu que les anti-virus ont tendance à être un peu en retard (quelques heures suffisent) sur les infections de masse “0day”, on se demande au final à quoi ils servent. Pour moi sur mes machines de bureau, ça n’a jamais servi, un anti-virus, il me semble, ou alors il y a 15 ans.







    Charly32 a écrit :



    C’est ce qu’il a décrit, généralement le certificat fourni est celui de ton entreprise, dont le proxy s’apparente à du MITM.





    Oui, comme à Veolia.







    Ramaloke a écrit :



    Quand tu fais du MITM en entreprise, tu intègres un certificat racine de confiance dans chaque PC, et tu utilise ce certificat pour chiffrer/déchiffrer le contenu. Donc potentiellement même si tu montes un tunnel, ton entreprise peut toujours s’interposer au milieu en se faisant passer pour toi auprès du fournisseur VPN.





    Tu es sûr de ton histoire ? Autant pour un navigateur Web, oui, autant pour un VPN (si VPN)…







    Ramaloke a écrit :



    Après les entreprises que font du MITM c’est rare, et ça pose plein d’autre problème légaux (Interdiction d’espionner une connexion vers ta banque par exemple). En plus de couter une blinde à chiffrer/déchiffrer à la volée.





    Heureusement que c’est rare, et c’est drôle que Veolia le fasse alors qu’ils ont confié une grosse partie de leurs données à Google. Une employée interne m’a suggéré que depuis cette époque, Veolia ne gagnait plus d’appels d’offre aux US (perso je n’en ai aucune idée, ni si ça aurait un rapport).







    fred42 a écrit :



    Avec PuTTY par exemple.





    Tout à fait.







    uzak a écrit :



    Comment on peut savoir si on se fait man-in-ze-middler par le proxy de son entreprise ?



    Le signataire du certif ?





    Oui si j’ai bonne mémoire.







    PtiDidi a écrit :






  • l’imprimante qui n’arrive pas à lire autre chose que NTFS





    Original, pas le bon vieux FAT, super facile à implémenter vu sa simplicité ?



Cette clé permet de t’authentifier toi auprès du serveur, mais ça ne permet pas d’authentifier le serveur auprès de toi.



Vu que tu penseras dialoguer avec le bon serveur, tu joueras l’authentification sur un tunnel sur lequel le MitM est déjà en place. Le proxy au milieu se fera un plaisir de tout écouter.


2- Je persiste, Linux a lui aussi des vulnérabilités. J’ai vu des boites me dire “c’est sous Linux, c’est safe”, et être tellement convaincu être en sécurité qu’ils ne se souciaient pas de faire la moindre mise à jour…

Des cryptolockers pour Linux ça existe, des trojans aussi. Enfin bref, tout ça pour dire que c’est pas parce que tu es sous Linux que tu es en sécurité.








Freeben666 a écrit :



2- Je persiste, Linux a lui aussi des vulnérabilités. J’ai vu des boites me dire “c’est sous Linux, c’est safe”, et être tellement convaincu être en sécurité qu’ils ne se souciaient pas de faire la moindre mise à jour…

Des cryptolockers pour Linux ça existe, des trojans aussi. Enfin bref, tout ça pour dire que c’est pas parce que tu es sous Linux que tu es en sécurité.







Je te rejoins sur un point : la sécurité est une chaîne dont l’OS n’est qu’un des maillons.



Je rejoins Olivier J sur le point selon lequel Linux est un OS qui, en étant correctement utilisé (suffit de faire les mises à jours, de passer par les dépôts pour installer un logiciel et de ne pas faire l’andouille en root), est intrinsèquement mieux sécurisé que Windows.



Des Win récents avec des merdouilles improbables sous Linux, j’en ai vu pas mal. L’inverse, par contre, j’attends toujours de trouver un exemple…









Freeben666 a écrit :



2- Je persiste, Linux a lui aussi des vulnérabilités. J’ai vu des boites me dire “c’est sous Linux, c’est safe”, et être tellement convaincu être en sécurité qu’ils ne se souciaient pas de faire la moindre mise à jour…





Ça dépend du vecteur d’attaque, en ce qui me concerne j’ai tendance à faire les mises à jour, mais pas forcément tous les jours.







Freeben666 a écrit :



Des cryptolockers pour Linux ça existe, des trojans aussi. Enfin bref, tout ça pour dire que c’est pas parce que tu es sous Linux que tu es en sécurité.





Ça existe, tu as donc des noms à citer, des cas de gens s’étant fait infecter ?

Faudrait m’expliquer par quel porte d’entrée je pourrais me retrouver demain avec un cryptolocker (qui est un cheval de troie d’ailleurs) sur mon Linux.



Je ne parle bien sûr pas ici des machines Linux qui font serveur et qui ont des services en écoute, une porte d’entrée étant théoriquement un moyen de compromission, enfin pour SSH ça fait bien longtemps par exemple qu’il n’y en a pas eu. Les mises à jour sont généralement assez nécessaires, encore que tout dépend de la raison des mises à jour et des vulnérabilités censées être comblées. Par exemple, à l’époque de la faille ShellShock (le coup de l’attaque via le champ User-Agent et l’utilisation de bash par le serveur Web), l’infra Web de mon client n’était pas concernée (aucune utilisation de bash indirectement depuis le navigateur).



Quand ton client t’impose par contrat de contrôle l’information, tu n’as pas le choix, tu dois mettre en place quelque chose pour l’exfiltration de la donnée par USB.


Bloquer complètement oui.

Mais quand tu veux donner des autorisation derrière, c’est à l’unité via la clé matérielle du périphérique et c’est BEAUCOUP moins rigolo, surtout si tu as des milliers d’employés et du coup potentiellement des centaines de clé.


A mon avis, quand on est au contact d’informations confidentielles, quand on travaille sur des fichiers de ce genre, ça me paraît difficile d’empêcher leur fuite (copie) d’une façon ou d’une autre.

Ou alors il faut des systèmes quasiment non connectés, uniquement en interne.

Mais dans une boîte un peu normale, qui a elle aussi quelques infos confidentielles, ça me paraît chaud à faire (et inutile).


J’ai plus les noms en têtes, mais oui il y a des cryptolockers sous Linux. Je n’ai pas de nom d’entreprise ayant subit une infestation massive à te donner, pas sûr qu’il y ait eu des infection de masse sous Linux. (et non un cryptolocker n’est pas un type de trojan).



Si on parle de postes bureautique et non de serveurs, la porte d’entrée est la même que sous Windows : la bêtise humaine. La plupart des cryptolocker sous Windows arrivent par des utilisateurs ouvrant des pièces jointes, et activant les macros sans réfléchir dans des fichiers bureautique. “Si cette facture est illisible, activez les macros pour résoudre le problème !”








nikon56 a écrit :



il suffit dans ce cas tout simplement a l’entreprise d’interdire aux salarié d’utiliser / d’avoir, sur le lieu de travail, des cle USB personnelles, et de fournir des clé appartenant a l’entreprise selon les besoins.



1- tu peut verifier a volonté le contenu des cles

2- l’usage par un employé d’une le personnelle devient de fait une faute







Je suis d’accord. C’est d’ailleurs le cas dans beaucoup d’entreprise par ici.

Je trouve juste dommage que sans règlement de la sorte, la seule réponse soit : “On vous a volé des documents confidentiels ? Bah dommage, puis en plus vous allez payer pour le licenciement du gars”.&nbsp;&nbsp;









fred42 a écrit :



En cas de flagrant délit, bien sûr que si :





Les faits reprochés sont passibles de prison, donc l’article est applicable.





La loi de 2014 m’était inconnu.



Je connaissais la version originale





Sans préjudice des dispositions des articles 73 du code de procédure pénale et 122-7 du code pénal, il est interdit aux personnes physiques ou morales qui exercent l’activité mentionnée à l’article 20 de recourir à quelque forme que ce soit d’entrave au libre usage des biens et de coercition à l’égard des personnes.



&nbsp;









Freeben666 a écrit :



Cette clé permet de t’authentifier toi auprès du serveur, mais ça ne permet pas d’authentifier le serveur auprès de toi.



Vu que tu penseras dialoguer avec le bon serveur, tu joueras l’authentification sur un tunnel sur lequel le MitM est déjà en place. Le proxy au milieu se fera un plaisir de tout écouter.







J’avais pas vu que tu avais édité ton dernier post.<img data-src=" />

Après quand tu montes ton tunnel, tu le fait avec ta clé (authorized_keys) maclef_rsa.pub

Tu peux même la lier avec une ip précise il me semble.

Par exemple chez moi ça me donne:

cat ~/.ssh/authorized_keys

ssh-rsa xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

xxxxxxxxxxxxxxxx…



La phrase de l’article que j’ai citée était déjà dans cet article en 1958. Voir l’historique sur légifrance.





Le second paragraphe de l’article est apparu en 2011.



Ce que tu cites après correspond au métier de détective privé il me semble “agences de recherches privées.”








wpayen a écrit :



Je suis d’accord. C’est d’ailleurs le cas dans beaucoup d’entreprise par ici.

Je trouve juste dommage que sans règlement de la sorte, la seule réponse soit : “On vous a volé des documents confidentiels ? Bah dommage, puis en plus vous allez payer pour le licenciement du gars”.





ben tu peut toujours porter plainte pour vol de documents etc….



a un moment il faut savoir ce que l’on veut, soit on prend le risque parce que l’on considère que si cela arrive, ce n’est pas grave car les documents ne sont pas sensibles, soit on considère les documents sensibles et on prend les mesures appropriées.

c’est comme le mec qui viens se plaindre de se faire piquer sa bagnole après l’avoir laisser ouverte les clé sur le contact, a un moment faut être réaliste et adapter ses méthodes, voir son infrastructure, a l’activité.



comme la fonction d’edit ne fonctionne pas:



suite: et il y a même pire. si jamais les documents en question contiennent des données personnelles de clients par exemple, ces dernier peuvent se retourner contre l’entreprise car cette dernière a failli a les protéger.



il est donc particulièrement dans l’intérêt des entreprises de prendre les devants vis a vis de ce type de situations








PtiDidi a écrit :



Parce que je peux avoir envie de bricoler dans les transports et j’en ai pris l’habitude quand j’étais d’astreinte J’ai 1h30 de transport&nbsp;



&nbsp;

Mes condoléances :/



Là, tu résumes une décision de justice sans avoir lu l’arrêt complet. La justice, c’est un peu plus dense que quelques lignes d’un article de presse (d’autant que l’article comporte des liens vers des sites web qui permettent de comprendre l’arrêt de la Cour de Cassation en question).


D’ailleurs, où as-tu lu que l’employé a volé des données confidentielles dans son entreprise ? Moi, ce n’est pas ce que j’ai lu.








joma74fr a écrit :



D’ailleurs, où as-tu lu que l’employé a volé des données confidentielles dans son entreprise ? Moi, ce n’est pas ce que j’ai lu.







Je cite les griefs présentés par l’employeur en cassation.





l’utilisation de la messagerie professionnelle de la société aux fins de transmettre des renseignements internes à un tiers

&nbsp;





d’écarter l’existence de toute faute commise par le salarié concernant la copie, invoquée par l’employeur, de fichiers du serveur de l’entreprise au moyen de sa clé USB personnelle





C’est certes une interprétation de dire que les données étaient confidentielles. Mais ma réflexion se base sur le fait que quand tu as ces motifs de licenciement, les fichiers en question n’étaient certainement pas les photos du trombinoscope de la boite.



Quant à mon interprétation, elle se base également sur l’arrêt.





Mais attendu, que sous le couvert d’un grief non fondé de défaut de base légale, le moyen ne tend qu’à remettre en cause l’appréciation souveraine de la cour d’appel qui a estimé que le grief imputé au salarié d’appropriation sur sa clef USB personnelle d’informations à caractère confidentiel n’était pas établi ;





Les motifs étant :




  • Que la copie n’est pas vérifiable parce que l’entreprise a refusé de vérifier la clé USB (après le délai de 15min -suite au premier refus de l’employé, alors que celui-ci est tenu de donner accès à sa clé (CF Arrêt)).

  • Que le fait de refuser de fournir la clé alors que tu es tenu de le faire n’est pas un comportement fautif.



    Donc, si tu as copié des documents confidentiels et que tu prends 15min pour fournir ta clé à ton employeur - 15 minutes que tu utilises pour supprimer des preuves -, tu ne risques rien. C’est ça, le résumé de l’arrêt.



    PS : Je passe volontairement le fait qu’au vu des griefs de harcèlement moral invoqué plus bas dans l’arrêt, la relation entre employeur et employé devait vraiment être sympa et que l’employeur a vraiment l’air d’être un parfait idiot. C’est pas ce cas particulier qui m’intéressait plutôt la jurisprudence qui vient d’être émise.



    PS2 : Cette jurisprudence ne me semble pas avoir d’impact en France, la décision cassée est de Nouvelle-Calédonie. (C’est un ancien TOM avec ses lois propres).



Je comprends parfaitement la décision de la cour, la clé USB est un matériel personnel. Ou sinon, pourquoi pas fouiller carrément la personne pour voir si elle n’a pas imprimé de documents compromettants cachés dans ses sous-vêtements ?



Blague à part, rien n’empêche l’entreprise de porter plainte pour vol de propriété intellectuelle par la suite. Ici, ça n’est pas ce qui est critiqué.








revker a écrit :



Je comprends parfaitement la décision de la cour, la clé USB est un matériel personnel. Ou sinon, pourquoi pas fouiller carrément la personne pour voir si elle n’a pas imprimé de documents compromettants cachés dans ses sous-vêtements ?



Blague à part, rien n’empêche l’entreprise de porter plainte pour vol de propriété intellectuelle par la suite. Ici, ça n’est pas ce qui est critiqué.





Sauf que la cour dit aussi que le salarié, si on lui demande en sa présence de contrôler un matériel privé dans l’enceinte de l’entreprise, est tenu de le présenter.



Je crois que tu te trompes, il faut remettre en contexte, et éviter les généralités qui n’aboutissent à rien : l’employeur n’a pas pu prouver l’existence de la copie de données confidentielles, c’est ça le soucis à la base. Il n’a même pas consulté le contenu de la clé USB quand le représentant du personnel lui a remis la clé USB, au motif que le salarié aurait eu largement le temps d’effacer les données confidentielles.



extrait de l’arrêt (j’ai souligné les passages en question) :




 « 1°/ que l'employeur ne peut procéder à la consultation du contenu de la  clé USB personnelle d'un salarié sur le lieu de travail en son absence  ou sans qu'il ait été dûment appelé ; qu'ainsi, dès lors que l'employeur demande au salarié de consulter en sa présence le contenu de sa clé USB personnelle sur le lieu de travail, celui-ci est tenu de lui en assurer l'accès ; qu'en l'espèce, la cour d'appel a décidé, par motifs propres  et adoptés, d'écarter l'existence de toute faute commise par le salarié  concernant la copie, invoquée par l'employeur, de fichiers du serveur de l'entreprise au moyen de sa clé USB personnelle ; qu'elle a notamment relevé que le seul fait que le salarié n'obtempère pas, sur le champ, à l'injonction que lui a fait l'employeur de lui remettre sa clé USB personnelle afin de vérifier son contenu, ne constitue pas en soi un comportement fautif ; qu'elle ajoute qu'il n'est pas contesté que cette  clé a été remise un quart d'heure plus tard par le délégué du personnel  au directeur général, mais que celui-ci n'a pas voulu en prendre connaissance au motif que les fichiers copiés avaient pu être effacés ;  qu'en statuant ainsi, alors que l'employeur était en droit d'exiger du  salarié la vérification du contenu de sa clé USB personnelle au sein de  l'entreprise et qu'il a été mis dans l'impossibilité de réellement vérifier si des données appartenant à l'entreprise avaient été ou non transférées, la cour d'appel a violé les articles 9 du code de procédure civile de Nouvelle-Calédonie, Lp. 121-1 du code du travail de  Nouvelle-Calédonie et 1134 du code civil de Nouvelle-Calédonie ; »







wpayen a écrit :



[…]

PS2 : Cette jurisprudence ne me semble pas avoir d’impact en France, la décision cassée est de Nouvelle-Calédonie. (C’est un ancien TOM avec ses lois propres).





Apparemment, la justice en Nouvelle-Calédonie est du ressort de la République française :



« Depuis sa prise de possession par la France en 1853, l’État dispose d’une représentation en Nouvelle-Calédonie. À partir de 1981, c’est le Haut-commissaire de la République, délégué du gouvernement, qui incarne l’État français dans le pays. […]

Le Haut-commissaire fait publier les lois du pays avec le contreseing du président du gouvernement de la Nouvelle-Calédonie. […] Il est chargé de l’organisation des services relevant des pouvoirs régaliens de l’État comme la sécurité publique et la justice. Il assiste de droit aux Comités des signataires de l’accord de Nouméa, et est le garant de l’application de ce dernier en tant que représentant de l’État. »

&#160https://gouv.nc/letat-en-nouvelle-caledonie



« Cour de cassation

chambre sociale

Audience publique du mercredi 5 juillet 2017

REPUBLIQUE FRANCAISE

AU NOM DU PEUPLE FRANCAIS

LA COUR DE CASSATION, CHAMBRE SOCIALE, a rendu l’arrêt suivant : »

&#160https://www.legifrance.gouv.fr/affichJuriJudi.do?oldAction=rechJuriJudi&idTe…









joma74fr a écrit :



Je crois que tu te trompes, il faut remettre en contexte, et éviter les généralités qui n’aboutissent à rien : l’employeur n’a pas pu prouver l’existence de la copie de données confidentielles, c’est ça le soucis à la base. Il n’a même pas consulté le contenu de la clé USB quand le représentant du personnel lui a remis la clé USB, au motif que le salarié aurait eu largement le temps d’effacer les données confidentielles.




  extrait de l'arrêt (j'ai souligné les passages en question) :        






  « 1°/ que l'employeur ne peut procéder à la consultation du contenu de la  clé USB personnelle d'un salarié sur le lieu de travail en son absence  ou sans qu'il ait été dûment appelé ; qu'ainsi, dès lors que l'employeur demande au salarié de consulter en sa présence le contenu de sa clé USB personnelle sur le lieu de travail, celui-ci est tenu de lui en assurer l'accès ; qu'en l'espèce, la cour d'appel a décidé, par motifs propres  et adoptés, d'écarter l'existence de toute faute commise par le salarié  concernant la copie, invoquée par l'employeur, de fichiers du serveur de l'entreprise au moyen de sa clé USB personnelle ; qu'elle a notamment relevé que le seul fait que le salarié n'obtempère pas, sur le champ, à l'injonction que lui a fait l'employeur de lui remettre sa clé USB personnelle afin de vérifier son contenu, ne constitue pas en soi un comportement fautif ; qu'elle ajoute qu'il n'est pas contesté que cette  clé a été remise un quart d'heure plus tard par le délégué du personnel  au directeur général, mais que celui-ci n'a pas voulu en prendre connaissance au motif que les fichiers copiés avaient pu être effacés ;  qu'en statuant ainsi, alors que l'employeur était en droit d'exiger du  salarié la vérification du contenu de sa clé USB personnelle au sein de  l'entreprise et qu'il a été mis dans l'impossibilité de réellement vérifier si des données appartenant à l'entreprise avaient été ou non transférées, la cour d'appel a violé les articles 9 du code de procédure civile de Nouvelle-Calédonie, Lp. 121-1 du code du travail de  Nouvelle-Calédonie et 1134 du code civil de Nouvelle-Calédonie ; »







On dit la même chose.

L’employé n’est pas fautif de ne pas avoir obtempéré sur le champ alors qu’il est tenu de remettre la clé. Rien ne l’empêche d’avoir supprimé les preuves (c’est long 15min…).



Vu que ce n’est pas considéré comme une faute de prendre suffisamment de temps pour détruire les preuves avant de donner le média, qu’est-ce qui t’empêche de tenter de le faire et de supprimer les preuves si tu te fais prendre ?

Quant au fait que l’employeur n’ait pas pu constater, il a présenté des preuves de copies. Ce qui caractérise la décision c’est le fait qu’il ne puisse pas prouver que la clé USB était la cible de la copie. Mais la preuve en question est restée 15min en possession de l’employé une fois que celui-ci savait qu’il s’était fait prendre.



Le bénéfice du doute a joué en sa faveur (Ce qui est normal) mais je continue de dire que la “morale” de l’histoire est que si tu te trouves dans son cas, tu as légitiment droit de prendre le temps de nettoyer avant de remettre les preuves.



La justice est du ressort de la France, certes.

Mais la cassation se base sur la violation de code de travail, civil et de procédure pénale propre à la Nouvelle-Calédonie.



Je ne suis pas assez juriste pour dire si la portée de la jurisprudence s’appliquerait à la métropole. D’où le “me semble”.

&nbsp;



la cour d’appel a, par refus d’application, violé les dispositions des articles Lp. 122-5 et Lp. 122-6 du code du travail de Nouvelle-Calédonie ;







la cour d’appel a violé les articles 9 du code de procédure civile de Nouvelle-Calédonie, Lp. 121-1 du code du travail de Nouvelle-Calédonie et 1134 du code civil de Nouvelle-Calédonie ;








Commentaire_supprime a écrit :



Bon. Rendre les fichiers du serveur impossibles à copier sans un password admin aurait été pertinent.



Après, pour prendre à un particulier, dans le cas présent, un salarié d’une entreprise un objet personnel pour une procédure judiciaire, il faut être officier de police judiciaire et avoir une commission rogatoire, n’en déplaisent à ceux qui considèrent que les droits du patron sont supérieurs aux principes de base de l’Etat de Droit…





L’histoire de “password admin” ça ne sert a rien dans ce cas, vu qu’il fait partie de l’entreprise et avais accès au donnés.

Par contre t’es sur qu’il faut une commission rogatoire vu qu’on est en “état urgence” ?





ArchangeBlandin a écrit :



Perquisitionner la clef usb personnelle, c’est un pouvoir accordé par un juge, ça n’est pas prévu de le donner à l’employeur, encore heureux.

Si ces données étaient si graves, il aurait dû appeler la police directement, puis qu’il y avait soupçon de vol. Comme d toute façon, ils étaient en train de le virer, dégrader un peu plus les relations, c’était pas grave. Tout en lui demandant de ne s’approcher d’aucun PC (de l’entreprise, donc ça il pouvait lui interdire) pour l’empêcher d’effacer les données.



Au final, ils ont juste voulu se faire justice eux-même en prenant la clef, c’est juste pas comme ça que ça marche.





On peu aussi supposé que au début ils voulais régler l’affaire a l’amiable et c’est partie en sucette vu leur manque de compétence.

Impliquer la police n’est pas forcement le plus évidant comme action.



Je dit ça car on ne sais pas quel est la nature de l’entreprise en question, ça peu aussi bien être une PME qui n’a pas l’habitude de ce genre de situation qu’un grand entreprise qui travail dans la défense.





wpayen a écrit :



Tu n’as pas le droit de le retenir en attendant que les forces de l’ordre viennent. Juridiquement, tu te retrouves dans le même cas.





J’ai un doute.



Si la sécurité d’un super marché a vu quelqu’un mettre un article dans le sec.

Ils n’ont pas le droit de le fouiller eux meme, OK.

Mais la tu me dit qu’ils n’ont pas le droit de le retenir le temps que la police arrive ?





fred42 a écrit :



En cas de flagrant délit, bien sûr que si :



Les faits reprochés sont passibles de prison, donc l’article est applicable.





Ah ben du coup on a le droit de retenir quelqu’un en attendant la police.









DUNplus a écrit :



Par contre t’es sur qu’il faut une commission rogatoire vu qu’on est en “état urgence” ?





Popopop… L’état d’urgence, ça ne marche que dans certains cas précis (terrorisme, atteinte à la sûreté de l’état). Les flics (etc…) ne peuvent pas faire ce qu’ils veulent pour le reste des délits. Et heureusement.



Il y a surement moyen d’invoquer la sûreté de l’état, est-ce que la société en question n’aurait pas des projets de l’état dont certains au moins classés confidentiel défense…



Invoquer la sûreté de l’état si l’on y inclut les chose juste confidentielles, ça rend les choses faciles.

Réellement, il doit y avoir un périmètre de définition quelque part de “sûreté de l’état” pour éviter que ça devienne aussi ridicule que ça et que l’on puisse arrêter toute personne qui pourrait peut-être éventuellement avoir une info confidentielle.


Je pose la question, car “on sais jamais de nos jours”…



Triste époque… Quoi que ça n’a pas vraiment beaucoup changer de l’époque WW2, WW1, guerre froids, autre…



Non rien, au fait c’est assez souvent la merde…








OlivierJ a écrit :



Original, pas le bon vieux FAT, super facile à implémenter vu sa simplicité ?





Peut être, mais FAT ne supporte pas les fichiers de plus de 4Go donc tu l’utilises pas en tant que FS de tous les jours



Tant que je peux recharger mon téléphone tout va bien <img data-src=" />








PtiDidi a écrit :



Peut être, mais FAT ne supporte pas les fichiers de plus de 4Go donc tu l’utilises pas en tant que FS de tous les jours





Vu qu’il était question de l’imprimante, tu imprimes souvent des documents de plus de 2 Go (ou 4) ?

J’ai toujours une clé en FAT pour certains Mac qui ne lisent pas NTFS (ça c’est super naze), parce que mon seul besoin de NTFS, ce sont les enregistrements TNT qui dépassent 2 Go (ou 4).

Ça me paraît absurde une imprimante qui ne supporte pas FAT sur une clé USB (mais NTFS), parce que c’est un support tellement basique…



Non bien sûr

Mais à la base, c’était pour “une clef USB qui sert à tous” et force est de constater que c’est impossible.



Tout le monde lit le FAT mais ca ne supporte pas les fichiers de plus de 4Go

Et tous les autres FS (ayant chacun leur limitations) ne sont pas supportés sur tous les devices








ArchangeBlandin a écrit :



Il y a surement moyen d’invoquer la sûreté de l’état, est-ce que la société en question n’aurait pas des projets de l’état dont certains au moins classés confidentiel défense…





Dans ce cas précis, l’entreprise ne semble pas traiter avec l’état. De plus, cette société n’est pas en France (bien que de droit français apparrement) donc à voir si l’état d’urgence à cours là-bas.



Fausse excuse, c’est à l’admin de configurer l’interdiction d’écriture sur les périphériques amovibles qui ne sont pas dans une liste blanche.


L’arrêt de la Cour de cassation dit seulement que l’employeur ne peut pas licencier pour faute sur une simple suspicion de vol de données confidentielles. À la charge de l’employeur de prouver la faute de l’employé qu’il souhaite licencier pour faute. Rien de plus.



Ceci-dit, on peux toujours se faire un roman de ce qu’a effectivement fait le salarié. On peut aussi penser que le salarié était un espion d’une puissance étrangère, mais c’est de la littérature. Le fait est qu’un employeur ne peut pas licencier un salarié pour faute sans faute clairement établie.


Ceci-dit, qu’il existe des salariés malveillants qui ne se font pas prendre la main dans le sac, ça existe sûrement et c’est dommage pour l’entreprise et pour l’employeur. Mais c’est toujours pareil, il existe des procédures à mettre en place pour éviter des incidents pareils (la vidéosurveillance, les autorisations d’accès à un poste de travail, des accès limités avec identifiants et mots de passe, etc). Et au cas où ça arriverait, il existe parfois des assurances.








Zulgrib a écrit :



Fausse excuse, c’est à l’admin de configurer l’interdiction d’écriture sur les périphériques amovibles qui ne sont pas dans une liste blanche.





Non.

Ce n’est pas parce qu’il n’y a pas de moyen technique pour empêcher le vol de données que le vol est autorisé.

Rentrer dans une maison avec une porte sans serrure n’enlève pas la caractérisation du viol de domicile.









Zulgrib a écrit :



Fausse excuse, c’est à l’admin de configurer l’interdiction d’écriture sur les périphériques amovibles qui ne sont pas dans une liste blanche.





Tu nous expliques comment on fait pour whitelister une clef usb particulière (où un groupe de clefs usb) et blacklister d’autres clefs usb ?









joma74fr a écrit :



Ceci-dit, qu’il existe des salariés malveillants qui ne se font pas prendre la main dans le sac, ça existe sûrement et c’est dommage pour l’entreprise et pour l’employeur. Mais c’est toujours pareil, il existe des procédures à mettre en place pour éviter des incidents pareils (la vidéosurveillance, les autorisations d’accès à un poste de travail, des accès limités avec identifiants et mots de passe, etc). Et au cas où ça arriverait, il existe parfois des assurances.





Je suis d’accord.&nbsp;

Tout comme la société est clairement pas blanche dans l’histoire.&nbsp;Mais ce n’est pas parce qu’il n’y a pas de moyen technique pour empêcher le vol de données que le vol est autorisé.&nbsp;









joma74fr a écrit :



L’arrêt de la Cour de cassation dit seulement que l’employeur ne peut pas licencier pour faute sur une simple suspicion de vol de données confidentielles. À la charge de l’employeur de prouver la faute de l’employé qu’il souhaite licencier pour faute. Rien de plus.



Ceci-dit, on peux toujours se faire un roman de ce qu’a effectivement fait le salarié. On peut aussi penser que le salarié était un espion d’une puissance étrangère, mais c’est de la littérature. Le fait est qu’un employeur ne peut pas licencier un salarié pour faute sans faute clairement établie.





Qu’on ne puisse pas licencier pour faute quand il n’y en a pas, c’est normal, on est d’accord.



Ma problématique c’est qu’on ne puisse pas caractériser la faute parce que l’employé a eu le temps de supprimer des preuves, et que le temps en question alors qu’il était tenu de donner les preuves, ne soit pas retenu contre lui.&nbsp;









wpayen a écrit :



Rentrer dans une maison avec une porte sans serrure n’enlève pas la caractérisation du viol de domicile.





Faux.



Lire ici par exemple :





Ainsi, les juges ne retiennent pas l’existence d’une introduction illicite quand la porte du local violé n’est pas fermée à clés (tribunal correctionnel de Lyon, 16 janvier 1974).





L’article qui définit cette violation est l’article 226-1 du code pénal.









il doit être établi qu’antérieurement à la pénétration dans le domicile, les prévenus ont commis une effraction ou une escalade ou affronté une résistance ou une opposition quelconque





La beauté de la loi.

Une maison pas fermée à clé = pas de violation (Mon exemple était mauvais)

La même maison pas fermée mais avec un portail = Violation



Bref, dommage pour l’exemple&nbsp;<img data-src=" />





&nbsp;








wpayen a écrit :



La beauté de la loi.

Une maison pas fermée à clé = pas de violation (Mon exemple était mauvais)

La même maison pas fermée mais avec un portail fermé à clef = Violation





<img data-src=" />

À moins que nos envahisseurs en herbe ne s’amusent à escalader des portails ouverts. La loi est effectivement claire : si il y a un obstacle que tu contournes, tu es en tort. Une défense, même minimale, d’un site, constitue son aspect privé, et interdit l’intrusion. Contourner les mesures, quelles qu’elles soient, est illégal. Même si c’est facile !

C’est d’ailleurs exactement le même cas pour les serveurs internet, comme on l’a vu dans l’affaire Bluetouff. Si c’est manifestement protégé, il ne faut pas entrer sans autorisation, et sortir au plus vite si on est entré par hasard.



Importante, et peu respectueuse de la légalité, surtout, comme toute boite importante.


Là, ça relève d’une déficience cognitive avérée et sérieuse.


Et en français correct, vous vouliez dire quoi ?








ungars a écrit :



Et en français correct, vous vouliez dire quoi ?







Toutes les sociétés ont des règles d’ordre Intérieur. Si des règles sont manquantes, ils n’ont qu’à les rajouter. Le salarié selon le cas pourrait très bien utiliser des rollers dans sa boite s’il le voulait et que ce n’est pas indiqué parmi les règles. Si ça dérange, on affine les règles, point barre.



Ce n’est qu’une question de confiance. Il aurait bien pu photographier des pages de texte avec son smartphone sans jamais être pris (la clé usb est quand même un poil suspect, pour quelqu’un sensé travailler pour la boîte, même si ce n’était que de la musique ou des photos à zieuter )