Big Brother is watching You.

Posté par  . Modéré par trollhunter.
Étiquettes : aucune
0
29
mar.
2001
Sécurité
Avoir le Net au bureau c'est pratique, on peut surfer, écrire à plein
de gens sans bourse délier. Oui mais, la situation est elle vraiment aussi idylique qu'il y parait ? Certaines rumeurs font état de surveillance des communications électroniques par les employeurs. Si l'on en croit cet article ce sont plus que des rumeurs puique la CNIL a commis un rapport : "cybersurveillance des salariés dans l'entreprise".

Aller plus loin

  • # je confirme ...

    Posté par  . Évalué à 0.

    Je confirme que malheureusement c'est vrai, mon ancien boss mataient nos emails, tous sans exceptions (ainsi que nos connexions webs via son proxy)... vive la confidentialité des employés. Y'a même un employé qu'a été viré pour ça, officieusement bien sur.

    En tout cas, pour éviter de voir mes emails persos lus par mon patron, je les faisaient passer via une interface web, type webmail. C'est quand même très pratique.
    • [^] # Re: je confirme ...

      Posté par  . Évalué à 0.

      Le Nouveau Code Penal prevoit d'ailleurs cette possibilite sous l'appelation "detournement d'energie" ie detournement de temps machine a des fins personnelles. Je me souviens pas exactement des peines mais c'est cher paye :(
  • # C'est illégal

    Posté par  . Évalué à 1.

    C'est illégal de surveiller ses employés de la sorte, à moins qu'ils aient été prévenus. C'est une violation évidente de la vie privée (même si vous n'êtes pas supposé utiliser le web et le mail à des fins perso). Si vous portez plainte et êtes assez convaincants (avec quelques preuves à la clef), la CNIL enverra peut-être la police perquisitionner, et là ça fera TRES MAL pour l'employeur et les admins.
    Si j'étais sysadmin, je refuserais d'être complice en mettant en place ce genre de flicages (ou alors garder juste un log en cas de problème grave de sécutité) et je dissuaderais mon boss en lui expliquant les risques qu'il encourt (et qu'il VOUS fait courir).

    Au pire pour les paranos, il reste la solution d'encrypter les mails (mais les neuneus sauront pas comment décoder), et pour le web de passer par un proxy qui encrypte l'url et vous permet en plus de masquer votre IP.
    • [^] # Re: C'est illégal

      Posté par  . Évalué à 0.

      existe-il une jurisprudence stipulant qu'un employé n'a pas le droit de voir les mails de ses employés ?

      de même, si j'installe, un plugni, un soft, un shareware, suis-je en infraction vis-à-vis de ma boite ou bien ai-je le "droit" de faire ça si aucun règlement interne ne le stipule ?
    • [^] # Re: C'est illégal

      Posté par  . Évalué à 1.

      quelle vie privée???? je te rapelle que dans une entreprise on est scencé travailler et non pas utiliser les ressources de l'entreprises à des fins personnelles.

      Bien sur il faut moderer cela et toutes les entreprises tolèrent que l'on utilise la messagerie interne à des fins privées, du moment que le boulot est fait. Mais bon ca me parait normal qu'une société surveille ce qui rentre et sort de son réseau.

      En ce qui concerne le coté illégal de la chose, je suis loin d'être aussi certain que toi.... Existe t'il des précédents?
      • [^] # Re: C'est illégal

        Posté par  . Évalué à 1.

        Oui, la jurisprudence sur les communications telelphoniques. C'est la même chose pour les mails ou le web: l'employé doit etre prévenu et avoir signé pour que ce soit valable. Par contre la correspondance épistolaire (écrite) reste inviolable (2 ans de prison pour rappel).

        Mais pour une boite internationnale, rien n'empeche de lire les mails sur un serveur à l'étranger (comme pour moi).

        La plus simple précaution est de ne jamais parler de son entreprise depuis sa connexion d'entreprise (sauf pour le boulot!).
      • [^] # Re: C'est illégal

        Posté par  . Évalué à 0.

        ouai enfin un admin qui vient lire tes mails j'appel ça du viol, chu désolée mais dans ce cas que ce soit dit clairement si ils veulent pas qu'on utilise leur matos à des fins privés !

        n'importe nawak!
    • [^] # Re: C'est illégal

      Posté par  . Évalué à 0.

      a ce propos je cherche un serveur http_tunnel crypter ou non crypter :-)
      • [^] # Re: C'est illégal

        Posté par  . Évalué à 1.

        Solution si t'as un PC connecté en permanance chez toi (câble ou ADSL) sous Linux: Tu installes un serveur VPN. Ainsi, tout est crypté entre le boulot et chez toi. La seule difficulté est de passer à travers le firewall éventuel.
    • [^] # Re: C'est illégal

      Posté par  . Évalué à 1.

      C'est en effet tout à fait illégal de surveiller ses employés de la sorte.

      Mais dans la pratique, presque tout les contrats aujourd'hui signés pour des emplois amenés à etre en contact avec internet comprennent une clause spécifiant que l'employeur peut observer le contenu des courriels.

      Donc légal.
      • [^] # Re: C'est illégal

        Posté par  . Évalué à 1.

        Oh ben je ferai plus attention maintenant à ces clauses perverses.

        GPG est notre ami.
  • # Cas pratique

    Posté par  . Évalué à 0.

    Moi j'ai un cas pratique : en regardant les logs du proxy, je sais pertinement que sur les 17000 dernières URL accédées depuis un PC identifié, 16000 sont des sites de c*l et 1000 en rapport avec le boulot, beau score !

    Comment réagir face à cela ?

    Le texte de la CNIL n'est pas forcément très clair à ce sujet.
    • [^] # Re: Cas pratique

      Posté par  . Évalué à 0.

      Joli score ;)
      Si le boulot du gars consiste à voir des sites de culs (surveillance de la concurrence ?), t'as rien à dire.
      Si en revanche le gars est payé pour développer des softs, ça semble être du "détournement d'énergie" (d'après ce que j'ai lu au-dessus) et on pourrais le virer. Seulement t'es censé prévenir le gars que tu logues les urls visitées. Pas simple, tout ça ...
      Il faudra que l'Asssemblée légifère sur la situation. En attendant, mettez en place des règlements intérieurs concernant l'utilisation du Net, ça clarifiera les choses.
      • [^] # Re: Cas pratique

        Posté par  . Évalué à 1.

        bah, suffit de filtrer et bloquer les sites de c*l, il sera bien obligé de travailler du coup !!!

        Et ca, c'est pas illégal !

        A +

        VANHU.
        • [^] # Re: Cas pratique

          Posté par  . Évalué à 1.

          Et ça crée de l'emploi : payer quelqu'un pour remplir le firewall d'adresses à proscrires. A moins de tout interdire en bloc et n'autoriser que certaines ? Un peu génant pour le developpeur...
        • [^] # Re: Cas pratique

          Posté par  . Évalué à 0.

          bloquer les sites de c*l ?

          comment ?
        • [^] # Re: Cas pratique

          Posté par  . Évalué à 0.

          Le problème, c'est qu'il y a presque une infinité de sites de c*l. Pas facile de filtrer par rapport à une liste presque infinie ! Et pas bon pour les perfos !

          De toutes façons, tu peux mettre autant d'URL que tu veux dans ton fichiers, les utilisateurs "motivés" trouveront toujours d'autres sites.
          • [^] # Re: Cas pratique

            Posté par  . Évalué à 0.

            je peux te parler du proxy de ma boite :
            il y a une liste d'ips des sites interdits (qui va en grandissant) et en plus il y a une analyse du contenu par les champs Meta Name.
            je crois qu'il y a des logiciels commerciaux qui font ca tres bien.
            En tout cas c'est salutaire pour la productivité :)

            Tant que "Linux" est pas interdit ca va... ;)
            • [^] # Re: Cas pratique

              Posté par  . Évalué à 0.

              Il y a un logiciel (propriétaire) qui s'appelle websweeper qui fait ce type de filtrage.
              Ca marche de la manière suivante: il analyse le contenu de la page, et calcule son "poids". Les insultes at autres joyeusetés font augmenter ce poids bien sur.
              Passé une certaine limite, la page est considérée comme ne correspondant pas à la charte internet de l'entreprise et n'est pas affichée.

              Ca marche bien. Ca ralentit tout de même.
              Et il y a des effets pervers: il m'est arrivé de ne pas pouvoir lire des pages de commentaires dans /. car il y avait des trolls durant lesquels les intervenants s'envoyaient des noms d'oiseaux :-)
              Enfin, je n'ai pas encore eu ça avec linuxfr, ça viendra peut-être !
        • [^] # Re: Cas pratique

          Posté par  . Évalué à 0.

          Dans mon ecole, on a bien mieux. L'acces au site contenant le mot jeu ou game est interdit.
          Certains s'en foutent totalement, tant qu'ils ont acces au site de cul, ils sont content(hein philipe?).
          Le plus con, c'est que les profs ralent parce que personne n'utilise la connection internet pour rechercher des infos sur les cours(qui irait chercher des infos sur le cobol d'ailleurs?) mais ils ne sont pas capable de creer un bete filtre.
          Ils voient tout ce qui passe par le proxy, mais non, il laissent un acces complet.

          J'ai 2 hypotheses, soit il sont con et ne savent pas utilisé un ordi, soit un des profs ne veut pas etre limite dans ses recherches culturelles.
        • [^] # Re: Cas pratique

          Posté par  . Évalué à -1.

      • [^] # Re: Cas pratique

        Posté par  . Évalué à 0.

        C'est exactement ce qui est dit par la CNIL.

        L'entreprise doit avant tout annoncer la couleur : qu'est-ce qui est autorisé, qu'est-ce qui est interdit et qu'est ce qui est loggué.

        Mais en tant qu'admin avec 10 ans d'expérience, je peux dire que j'en ai vu des vertes et des pas mures ! Je ne lis jamais les mails et je ne regarde pas le contenu des comptes perso en temps normal sauf que quand un disque de ton serveur est plein, il faut bien faire du ménage. En général, je ne m'occuppe pas du username (veux pas le savoir) et je pratique le ménage brutal et sans préavis.

        Par exemple, une fois, j'ai vu le compte d'un mec qui "pesait" 900 Mo. Un fois fait un ls dedans, y'avait un fichier Excel pour le boulot et 899 Mo d'images de c*l !

        Une autre fois, j'ai vu un compte utilisateur qui ne contenait rien à part ses dossiers IMAP (600 Mo). Je n'ai pas regardé le contenu mais le titre des dossiers était suffisant : le mec s'était fait un classement par catégorie X de toutes les images reçues par mail : soft, hard, etc...

        J'ai aussi vu le cas d'un mec qui utilisait un provider d'email anonyme (hotmail ou un truc du genre) pour envoyer des messages de harcèlement sexuel à une de ses collègues pendant les heures de boulot. C'est la nana qui est venue me trouver pour que je découvre qui lui envoyait ça et bien sur, quand tout passe par un proxy, ça n'est pas dur à trouver...)

        Je comprend qu'en tant qu'utilisateur, il n'est pas agréable de se savoir espionné mais quand on voit de telles dérives, qu'est-ce qu'il est juste de faire ?

        Je n'ai pas la réponse...

        Encore une fois, c'est toujours délicat à traiter...
    • [^] # Re: Cas pratique

      Posté par  . Évalué à 0.

      Tu fais en sorte que quand on tape salopes.com, le type arrive sur une page qui lui dit que la consultation des sites de cul est interdite, et qui affiche en plus toutes les infos que tu as sur lui: son IP, le nom de sa machine, la pièce où il se trouve, le département, son username, son nom, et le nombre de fois où il a du se faire rappeler à l'ordre.

      S'il explose le compteur, tu vas voir le type et tu discutes un peu avec lui en lui disant qu'il est temps qu'il arrête.
      • [^] # Re: Cas pratique

        Posté par  . Évalué à 0.

        Encore une fois, ça ne marche pas car on peut considérer qu'il y a une infinité (presque) de sites de c*l et les URL ne sont pas toujours forcément explicites.

        En plus, faire ce genre d'analyse coute des ressources, surtout quand c'est un GROS proxy dans une GROSSE boite avec un GROS débit derrière.
    • [^] # Re: Cas pratique

      Posté par  . Évalué à 0.

      Ma boite (très grosse entreprise US) fait du filtrage, en cas d'accès filtré, un mail est envoyé a ton manager. Après on s'etonne que les proxy rament.

      L'autre jour je voulais récupéré nmap pour tester une linux box, paf! IP bloquée ;-)

      Le mieux, que j'ai vu dans une autre boite, c'est le mail To all en disant que la consultation des sites de culs n'est pas une priorité de travail, et qu'en cas d'abus ca entrainera un système de flicage...

      Sinon vu de la cnil, pas de pb avec les logs tant que tu n'a pas de fichier nominatif (ex une table d'IP et le nom de la personne, par contre le nom de l'ordi est ok).
      • [^] # Re: Cas pratique

        Posté par  . Évalué à 0.

        par contre le nom de l'ordi est ok

        Il y a quand même beaucoup d'entreprises où une machine == une personne... et dans ce cas, la CNIL n'est pas trop d'accord.
  • # pour info

    Posté par  . Évalué à 0.

    la jurisprudence constante en ce sens, considère que le mail est assimilé à du courrier au même titre que le courrier papier. Aussi, même dans le cadre professionnel, l'employeur n'a pas le droit de regarder vos email, sauf stipulations contractuelles contraires mais étant donné que c'est la cour de cassation qui à créé cette jurisprudence, ça reste fragile à défendre. Il faut également dire que le droit est toujours plus favorable à l'emplyé qu'à l'employeur.
    Sachez faire respectez vos droits
    • [^] # Re: pour info

      Posté par  . Évalué à 1.

      Non, le courriel n'est pas du courrier papier!. Personne ne peut regarder ton courrier papier, sauf sur ordre d'un juge. Par contre les mails oui, comme le tel, mais uniquement par accord des deux parties.
  • # Rappel sur la jurisprudence française

    Posté par  (site web personnel) . Évalué à 1.

    Juste un petit rappel dans ce débat où ce problème revient sans cesse : fin 2000, un jugement de la cour correctionnelle de Paris a condamné un laboratoire de recherche de l'ESPCI (Ecole Surérieure de Chimie de Paris), enfin son directeur et son admin-sys, pour avoir lu la correspondance par mail d'un de leur thésard, sans son accord.

    Ils avaient beau avoir beaucoup de choses à lui reprocher (utilisation personnelle du Net assez soutenue, harcèlement d'une collègue, suspicion de malversation vis à vis d'un article de recherche de la dite collègue), les juges ont statué sur le fait que le mail relève de la même loi que la correspondance papier.

    En conséquence, lire les mails d'un employé sans accord des 2 parties auparavant, est condamné.

    Je suis pourtant sysadmin (gestion des FW, des serveurs de mail de ma boite) mais je mets un point d'honneur à ne jamais m'imiscer dans l'utilisation privée que font mes utilisateurs de l'Internet. Mes logs sont là uniquement à des fins de sécurité et de debug...

    Tout sysadmin qui n'explique pas cela à son patron mérite la vindicte populaire ;-) [et ne me dites pas que vous avez la pression de votre patron, à moins qu'il soit sysadmin lui aussi, il devrait plier devant des arguments bien trouvés].

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.