Bonjour à tous,
Comme beaucoup, je suis actuellement en télétravail pour mon employeur.
Je dispose d'un poste professionnel sous Linux, avec une connexion VPN vers les ressources de l'entreprise.
Mais en analysant les connexions, j'ai découvert que le SI de mon employeur faisait des connexions direct via SSH et le VPN sur mon poste, sans que je sois au courant et donc sans savoir ce qu'il y fait.
Hors, se faisant, cela lui permet également d'avoir accès à tout mon réseau interne et le matériel connecté de chez moi sans que je puisse contrôler (mon firewall étant outrepassé).
Afin de conserver ma vie privé, j'ai donc bloqué l'accès entrant SSH sur mon poste, mais celui-ci me demande de le réactiver…
Je n'ai rien trouvé qui encadre ce cas de figure d'un point de vue légal sur le web.
Ma question est donc:
- L'employeur a-t-il le droit de se connecter ainsi à un poste en télétravail, donc en dehors de son réseau ?
- N'a-t-il pas une obligation d'avertir l'employé et/ou de faire une déclaration à la CNIL ?
Merci !
# Dans le doute...
Posté par _kaos_ . Évalué à 5. Dernière modification le 20 juin 2020 à 11:31.
Salut,
…contacte un juriste.
Je peux me tromper, mais je ne suis pas certain qu'on ait la compétence ici pour vraiment te donner de bons conseils.
Mon avis, mais
ÌANAL, hein !Si tu n'as pas de problème particulier avec ton employeur, j'opterai pour faire ce qu'ils demandent. Quite à demander un peu de temps pour séparer le "réseau entreprise" de ton "réseau domestique". Si c'est techniquement possible.
Ensuite, comme tu es en VPN, en télétravail, je crois que si tu fonde le raisonnement sur "c'est ma vie privée", ça ne va pas le faire s'il y a conflit. Ça se finira par : "On vous a autorisé des moyens exceptionnels, vous n'en voulez pas, tant pis".
Enfin, pour la CNIL, je crois qu'ils ont autre chose à faire que de s'occuper de ton petit problème. ;)
Matricule 23415
[^] # Re: Dans le doute...
Posté par Snarky . Évalué à 4. Dernière modification le 20 juin 2020 à 12:14.
Peut être un juriste, oui. Mais c'est plus simple de poser la question de façon général dans un premier temps :).
Je précise que je ne coupe pas le VPN, est ça n'impact absolument pas mon travail. J'interdis uniquement les connexions entrantes sur mon réseau.
"Mon petit problème" semble tout de même cacher une baleine. Comment réagir si demain un employé du service informatique véreux vole et publie des données privés d'une centaine d'employés, car l'entreprise à techniquement posé des proxy chez eux ?
[^] # Re: Dans le doute...
Posté par _kaos_ . Évalué à -8.
Salut,
Pour le coup, je t'ai répondu en dessous.
Si tu n'a pas confiance, pose ta dem'.
Matricule 23415
[^] # Re: Dans le doute...
Posté par Snarky . Évalué à 4.
C'est pas mon cas l'important… J'ai les capacités de me protéger si nécessaire (et changer d'entreprise ça ne change pas le problème - je suis pas une autruche ;) ).
La question se pose une façon plus générale, pour toutes les entreprises et employés en télétravail qui peuvent se faire espionner à leur insu.
Merci quand même !
[^] # Re: Dans le doute...
Posté par _kaos_ . Évalué à -5.
Salut,
De mon côté (je ne me suis pas intéressé à ton cas particulier), la même réponse tient de manière globale.
T'as un doute ? Bouge !
J'ajouterai que pour ceux que j'ai croisé, les "responsables de SI", sans aller jusqu'au Serment d'Hippocrate, je les trouve plutôt consciencieux et très prudents.
C'est à dire que si tu te fais chopper, t'as fini ta carrière. Donc c'est pas très intéressant de déconner.
Matricule 23415
[^] # Re: Dans le doute...
Posté par ted (site web personnel) . Évalué à 8.
Ta réponse n'est pas une solution. Il a peut-être confiance en l'honnêteté son employeur, mais pas forcément en chaque logiciel installé sur la machine, en chaque employé du service informatique (ou autre service), que ce soit au niveau de l'honnêteté ou des compétences.
Dans une de mes anciennes boites, une secrétaire a ouvert un mail de phishing et son ordi a commencé à se connecter aux lecteurs réseau pour tout chiffrer. Si un tel cas se produit lorsque tu es connecté au VPN, tu es sûr qu'il n'y a aucun risque?
Quand je suis passager dans une voiture, je met ma ceinture de sécurité. Ça ne veut pas dire que je ne fais pas confiance au conducteur. Changer de conducteur ou prendre un taxi ne répond pas au problème.
Un LUG en Lorraine : https://enunclic-cappel.fr
[^] # Re: Dans le doute...
Posté par _kaos_ . Évalué à -1.
Salut,
Dans ton exemple, il s'agit d'une erreur humaine, pas d'une volonté de malveillance ;)
Matricule 23415
[^] # Re: Dans le doute...
Posté par Thibault (site web personnel) . Évalué à 5. Dernière modification le 20 juin 2020 à 20:01.
Ce n'est pas une histoire que la DSI soit bienveillante ou pas. Évidemment qu'elle est "bienveillante" (dans le sens où elle n'ira pas à l'encontre des lois) sinon elle va se faire défoncer.
Dans le cas du télétravail c'est une histoire que "je met une machine qui ne m'appartient pas sur mon réseau", what could possibly go wrong? Bah deux choses, ton réseau local peut être pourri et va peut-être essayer d'attaquer ta machine de travail (mais ça c'est la responsabilité de l'entreprise de sécuriser sa machine).
Également la DSI, avec ses responsables SI consciencieux et très prudents, n'est pas infaillible. Ton réseau local peut être attaqué par la machine sur laquelle tu n'a pas la main et donc il faut protéger ton réseau contre les potentielles tentatives d'intrusions de la part ces machines qui se connectent chez toi. C'est des règles cyber de base (là où je travaille en tout cas) et il y a des artifices simples pour le faire (réseaux séparés/réseau invité, isolation WiFi, firewall, etc).
Mettre une machine qu'on ne contrôle pas sur son réseau, c'est un cheval de troie potentiel. J'ai surement confiance en ma DSI pour qu'elle prenne toutes les précautions nécessaires pour qu'une intrusion n'arrive jamais, le risque est toujours là. Le jour où cela arrivera, je n'aurai plus confiance en ma DSI mais au moins mon réseau local personnel aura été protégé contre l'intrusion. C'est préventif.
[^] # Re: Dans le doute...
Posté par LeBouquetin (site web personnel, Mastodon) . Évalué à 2.
C'est donc au télétravailleur de faire le nécessaire pour mettre sa machine professionnelle en DMZ chez lui à mon avis.
La DSI fait ce qu'elle veut (légal) sur son réseau mais n'accède pas à celui du télétravailleur
[^] # Re: Dans le doute...
Posté par Kerro . Évalué à 4.
Je trouve que c'est plutôt à l'entreprise de faire le nécessaire :
- un employé n'est pas tenu d'être compétent en sécurité informatique
- le coût me semble devoir être à la charge de l'entreprise
Après, le pépin est que si l'entreprise est une quiche en sécurité informatique, ou s'il y a malveillance, le télétravailleur est coincé.
--> il faudrait que ce soit une tierce partie qui s'en charge ?
[^] # Re: Dans le doute...
Posté par LeBouquetin (site web personnel, Mastodon) . Évalué à 2.
C'est un cas complexe je trouve, et ça l'est encore plus en ce moment : la majorité des gens en télétravail n'ont pas un contrat en télétravail (auquel cas, en règle générale les choses sont mieux cadrées)…
[^] # Re: Dans le doute...
Posté par Thibault (site web personnel) . Évalué à 4. Dernière modification le 20 juin 2020 à 20:10.
Oui elle a le droit de faire du SSH vers ton poste pro. S'il ne t'appartient pas il est en plus probablement infogéré et peut-être que dans ton cas cela se fait par SSH. De plus je ne suis pas certain que toi tu aies le droit de bloquer ces connexions et cela pourrait se retourner contre toi, surtout si cela est utilisé pour déployer des mises à jour sur le poste.
Par contre elle doit respecter les lois, notamment elle ne peut pas accéder aux données identifiées comme personnelles sur le poste de son initiative. Concernant l'espionnage de l'utilisateur je ne sais pas ce que dit la loi. Si elle n'a pas le droit tu peux te retourner contre la société. Si elle a le droit et que cela est contraire à ton éthique malheureusement la seule solution ça va être de changer de boîte, pour une qui n'espionne pas ses utilisateurs.
# matériel privé réseau privé ?
Posté par papap (site web personnel) . Évalué à 3.
Le matériel est-il privé ? En tout état de cause, il n'a pas à accéder à ton réseau privé,ça me paraît clair.
[^] # Re: matériel privé réseau privé ?
Posté par _kaos_ . Évalué à -1. Dernière modification le 20 juin 2020 à 11:46.
Salut,
T'as lu ?
Plus un accès VPN pour se connecter au réseau de l'entreprise…
Ça risque d'être compliqué de dire que c'est privé ;)
Matricule 23415
[^] # Re: matériel privé réseau privé ?
Posté par Snarky . Évalué à 3.
Oui, c'est bien un poste fourni par l'employeur. Et c'est justement le problème, c'est un cheval de troie, en gros.
Je n'ai aucun soucis quand je suis dans l'entreprise, sur ce point.
Mais chez moi, une fois connecté en SSH, ils peuvent voir et accéder à mon réseau domestique sans contrôles de ma part.
[^] # Re: matériel privé réseau privé ?
Posté par _kaos_ . Évalué à -6.
Salut,
Si tu n'as pas confiance en ton employeur, c'est que le soucis est plus gros.
Pose ta démission. Tu n'aura pas le droit au chômage. Mais au moins, tu aura enlevé un problème.
Si tu vas au conflit, là, ça va être encore plus dur. Et long.
J'ai donné mon avis plus haut :) Je ne suis pas juriste, mais je le répète, je crois que c'est super glissant là. Et que la conclusion pourrait ne pas être celle qui te conviendrait.
Voilà :)
Matricule 23415
[^] # Re: matériel privé réseau privé ?
Posté par cracky . Évalué à 7.
Bonjour,
Je zappe l'aspect légal, j'en ai aucune idée … mais il ne me parait pas aberrant que le SI puisse avoir accès à ton poste pro. qui plus est est relié au réseau de ton entreprise.
Donc il me semble difficile de pouvoir leur refuser de réactiver l'accès SSH.
Maintenant tu peux "isoler"/"protéger" tes postes perso. de ton poste pro.
Ensuite pour ce qui est de la confiance et de la confidentialité je ne sais si c'est obligatoire mais des entreprises ont une charte pour les administrateurs des SI. Ces chartes définissent comment distinguer les données perso./pro. …
Cordialement.
[^] # Re: matériel privé réseau privé ?
Posté par hitmanu . Évalué à 0.
en les redirigeant vers une machine virtuelle pour leur plus grand plaisir de contrôler une vie virtualiser… OH que c'est vilain. :)
Merci aux personnes qui mon aidé a trouvé des solutions pour essayer d’écrire sans faute d’orthographe.
[^] # Re: matériel privé réseau privé ?
Posté par claudex . Évalué à 6.
Tu as l'air de différencier SSH de n'importe quelle autre connexion. Or, il suffit de n'importe quel binaire sur ta machine qui fait une connexion au réseau de ton entreprise pour avoir un canal de communication qui permet de lancer des commandes. Et ce n'est pas parce qu'ils peuvent le faire qu'ils le font.
A partir du moment où il y a le moindre programme que tu ne maîtrise pas qui a accès à ton réseau, il peut avoir accès à tout. Si tu n'as pas plus d'indice qu'une connexion SSH, je ne m'alarmerait pas plus que ça.
Après, il y a des situations de télétravail où l'employé a une connexion et un réseau distinct de son réseau privé (mais là, c'est pour éviter d'une attaque d'un malware sur le réseau domestique, mais ça marche dans les deux sens).
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
# Séparation réseau ?
Posté par Cyril Brulebois (site web personnel) . Évalué à 4.
Je me permets de rebondir sur l'aspect technique plutôt que juridique.
Je vais me retrouver dans une situation similaire très prochainement, avec un poste mis à disposition par un client. Étant pour la toute première fois confronté à ce genre de situation (éventuel contrôle à distance par le client, pour déployer des composants/mises à jour… et donc accès root j'imagine, autant dire que je n'ai aucun contrôle), je me demandais comment limiter les effets de bord en local.
Mes pistes actuelles :
Debian Consultant @ DEBAMAX
[^] # Re: Séparation réseau ?
Posté par _kaos_ . Évalué à -3.
Salut,
Bon, j'ai l'impression de ne pas m'être fait comprendre plus haut. Ou de m'être mal exprimé.
Si tu n'as déjà pas confiance en ton client, sa DSI, c'est peut-être pas la peine.
Enfin, pas grave, si je continue sur mon idée, je vais continuer de me faire enfoncer.
Matricule 23415
[^] # Re: Séparation réseau ?
Posté par Cyril Brulebois (site web personnel) . Évalué à 5.
La séparation que j'envisage, c'est justement pour ne pas avoir besoin de me poser la question de si j'ai confiance ou non.
Debian Consultant @ DEBAMAX
[^] # Re: Séparation réseau ?
Posté par _kaos_ . Évalué à -4.
Salut,
C'est bien le problème dont je parle depuis le début. Mais bon, c'est pas compris. Tant pis.
Quand tu croise quelqu'un dans la rue, qui n'a pas l'air suspect, tu change de trottoir quand-même au cas où ? Ou tu te pose pas de question et t'avance ?
Matricule 23415
[^] # Quelqu’un que tu croises…
Posté par Arthur Accroc . Évalué à 4.
Est-ce qu’il porte un masque ?
Si oui, un masque chirurgical ou autre chose.
Sinon, est-ce qu’il tousse ?
« Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone
[^] # Re: Séparation réseau ?
Posté par Thibault (site web personnel) . Évalué à 3.
À moduler avec la version de la freebox bien entendu, la dernière freebox que j'ai connu c'est la v5 ;)
Le réseau invité de la freebox je ne sais pas comment il fonctionne. Sinon pour le premier point il faudra de toute façon un routeur car la freebox ne gère pas les VLANs sur le LAN (du moins ne permet pas de gérer les VLANs sur le LAN client).
Si tu n'as pas de matériel le plus simple et le moins cher c'est de te procurer un petit routeur avec port WAN et LAN ethernet (qui en sus peut aussi faire AP wifi).
Il suffira de connecter le port WAN sur ton LAN et de t'assurer que le nouveau routeur fait du NAT.
C'est sale car c'est du NAT derrière du NAT mais c'est vraiment le plus simple et rapide à réaliser. Ton poste pro sera dans son LAN à lui avec son plan IP isolé du LAN.
Normalement le poste pro n'aura pas connaissance du réseau entre les 2 NATs (ton réseau local perso) mais le routeur n'interdira pas forcément le poste pro d'aller taper sur une IP du réseau perso. Comment il connaîtrait les IP du réseau perso ? Potentiellement il pourrait y avoir des fuites entre les 2 réseaux lié à des protocole de signalisation (dns multicast, etc).
Donc si le routeur possède un pare-feu (qui permettrait de n'autoriser l'accès qu'à l'IP de la freebox) c'est quand même un plus.
Pour faire un peu moins sale il faudrait de toute façon un routeur (car la freebox ne permet pas de gérer plusieurs réseaux locaux) et configurer la freebox pour que l'"IP DMZ" pointe vers ce routeur. Ensuite mettre les 2 LANs pro et perso sur deux VLANs derrière le routeur (avec du coup un peu plus de matériel, potentiellement). Mais il y a toujours le double NAT.
Pour s'affranchir du double NAT la solution c'est de remplacer la freebox par un autre routeur qui sait faire des VLANs, ou de configurer la freebox en bridge et mettre le routeur derrière, avec toutes les contraintes que cela implique sur la partie TV.
[^] # Re: Séparation réseau ?
Posté par Julien_J06 . Évalué à 5.
Bonjour,
De mon côté j'ai acheté un routeur que j'ai branché sur la box.
Le routeur a une adresse en 192.168.1.1/24 et diffuse des IP en 192.168.50.1/24
Le routeur à un firewall qui refuse toute connexion entrante
Tout mon réseau personnel est connecté sur le routeur et tout matériel en lequel je n'ai pas confiance est connecté sur la freebox pour un accès direct à internet, si il veut 'remonter' dans mon réseau personnel, je comptes sur le firewall du routeur pour bloquer tout accès non autorisé.
Si quelqu'un voit une faille, je suis preneur
Julien_c'est_bien (y'a pas que Seb)
[^] # Re: Séparation réseau ?
Posté par Kerro . Évalué à 4.
J'aurais plutôt mis les équipements douteux derrière le routeur, en s'assurant que le routeur ne permet que l'accès à internet (et pas à la box à part pour le routage, c'est à dire le retour ICMP et via l'adresse MAC, mais pas l'adresse ip).
Également interdire l'accès au routeur depuis le côté douteux (idem, adresse MAC et retour ICMP).
Et mettre un mot de passe WiFi solide, sinon c'est avoir une porte blindée avec des murs en placo :-)
[^] # Re: Séparation réseau ?
Posté par Julien_J06 . Évalué à 1. Dernière modification le 22 juin 2020 à 21:17.
Ok, je vois, à la base j'ai posé ce routeur derrière la box pour avoir du WiFi AC (la box est encore en N) mais quand la box aura fait son temps* je réfléchirais à ce genre de configuration alors
*tant qu'elle fonctionne, pourquoi la changer
Julien_c'est_bien (y'a pas que Seb)
[^] # Re: Séparation réseau ?
Posté par NeoX . Évalué à 3.
ca me semble bien, c'est le principe de DMZ
LAN -> DMZ -> WAN
un PC du LAN peut aller en DMZ ou sur le WAN
une machine de la DMZ peut aller sur le WAN mais ne peut pas remonter sur le LAN
une machine sur internet ne peut pas remonter vers DMZ/LAN sauf renvois de ports, etc
# légalité ou non
Posté par NeoX . Évalué à 4. Dernière modification le 20 juin 2020 à 17:39.
le poste appartient à l'entreprise, elle peut donc utiliser des outils de verification de conformité, pousser des mises à jours, etc.
s'il est avéré que la machine "rebondit" en dehors du VPN, modifier la config du VPN pour TOUT envoyer dans le VPN, cela isole ta machine de ton reseau local, qui n'a alors accès à internet que pour le VPN, le reste passe dans le VPN, un accès montant de l'entreprise vers ton PC, ne peux alors aller nulle part.
autre piste si tu n'as pas la main sur la config VPN, tu peux activer le firewall de la machine pour ne laisser sortir que le flux VPN vers ta box, le reste étant bloqué.
tu as surement signé une charte informatique, un règlement intérieur, ca devrait etre marqué dedans.
# DMZ, fait l'idiot en attendant
Posté par xulops (site web personnel) . Évalué à 2.
C’est une question très intéressante car je pense que ça concerne beaucoup de monde et la réponse n’est pas si évidente.
L’employeur (via son service IT) a bien entendu le droit d’accéder au poste, pour y faire de la maintenance, des backups, vérifier la sécurité…
Que ça se fasse par SSH me laisse un peu perplexe. La grande majorité des opérations sont (devraient) être automatisées via des scripts ad hoc. Pour avoir été responsable informatique des nombreuses années, je sais que les opérations manuelles sont très rares, car chronophages. Tu as capté un gars connecté en SSH, tu as bloqué le SSH et le gars a déjà remarqué le truc, c’est louche. Tu lui as demandé ce qu’il faisait ?
L’intégrité du gars ou la confiance qu’on pourrait lui donner ne rentre pas en ligne de compte, personne de la société ne devrait avoir accès au réseau familial.
D’un point de vue technique, mettre le poste en DMZ est la meilleure solution. Ca nécessite un modem/routeur qui dispose de cette fonctionnalité. Je n’ai jamais eu de freebox, mais si le marketing n’a pas encore fait des siennes, le mode invité semble correspondre.
Dans cette situation, si mettre en place une DMZ demande du temps, je la jouerais temporairement idiot du village : le gars dit qu’il n’arrive pas à se connecter en SSH, tu réponds « ah ? Et donc ? ». Tu ne comprends pas ce qu’il demande, il insiste, tu peux même éventuellement t’énerver en disant que c’est son métier de faire en sorte que ça marche, si ça ne marche pas c’est de sa faute, et vous verrez ça la prochaine fois que tu iras sur site (juste avant, tu redémarres SSH, bien sûr).
En attendant, trouve une solution pour isoler ce poste de ton réseau domestique, car c’est hélas la seule solution.
Comme dit plus haut, SSH n’est qu’un moyen parmi plein d ‘autres, donc uniquement bloquer SSH n’est pas satisfaisant. Modifier le VPN pour que tout passe par le VPN n’est pas non plus une solution, vu que le gars se connecte en root et peut donc modifier les paramètres du VPN à sa guise. Les seules solutions sont une DMZ ou un accès internet séparé, car le télétravail fait gagner en frais de carburant et maintenance du véhicule, ou pass navigo, … bien plus que le coût mensuel d’un accès internet ou l’achat d’un modem/routeur adéquat. A méditer.
[^] # Re: DMZ, fait l'idiot en attendant
Posté par flan (site web personnel) . Évalué à 2.
Sur Linux, SSH est très utilisé pour des tâches automatiques (sauvegardes, application des configurations, etc. )
[^] # Re: DMZ, fait l'idiot en attendant
Posté par xulops (site web personnel) . Évalué à 1.
Oui, j'ai sans doute à tort pensé qu'il avait capté un gars du SI connecté en SSH, un humain à l'autre bout du clavier. Si ce qu'il a capté n'est "que" des scripts nécessaires au SI qui font du SSH, alors c'est moins louche.
Mais si un script se connecte en SSH, alors un humain du SI peut aussi le faire. La séparation de ce poste de son réseau domestique reste la seule solution pour avoir l'esprit tranquille.
# Cadre légal du télétravail
Posté par lgmdmdlsr . Évalué à 1.
Le télétravail est défini dans le code du travail dans une section télétravail, notamment à l'article L1222-9, dont la lecture est fortement conseillée (notamment concernant la nécessité d'un accord formalisé entre l'employeur et le salarié, avec des points bien précis à aborder).
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.