Lancement de la 7eme édition des Big Brother Awards France

Non, vous ne rêvez pas, il ne s’agit pas d’un canular. Les Big Brother Awards existent bel et bien. Comme tout prix qui se respecte, celui-ci est décerné à des entreprises d’une quinzaine de pays au cours d’une cérémonie, comme chaque année depuis 2001. Pour cette 7eme édition, la remise des prix se déroulera en France le 20 janvier 2007 à l’espace Confluences, dans le 20e arrondissement de Paris, sous l’égide de Privacy International. Pas très flatteur, il faut bien l’admettre, ce trophée est destiné aux sociétés averties en matière de cybersurveillance (ironique récompense..). Les derniers lauréats sont, entre autre, le directeur de l’Insee, un député de Val-de-Marne ou encore le patron de Lidl France, qui est d’ailleurs le seul à avoir eu l’honneur de recevoir des mains de ses employés le « trophée d’entreprise la plus intrusive de l’année ».

Le principe est simple : c’est le public qui, à l’aide d’un formulaire, désigne les candidats potentiels. Intervient ensuite le jury, composé d’une dizaine de personnes qualifiées, qui se charge de désigner les gagnants. Selon les organisateurs, « toute institution, entreprise ou personne s’étant distinguée par son mépris du droit à la vie privée et/ou par sa promotion de la surveillance et du contrôle des individus peut être désignée candidat par le comité de sélection ».

A titre d’information, sachez que, dans le cas de la France, 5 catégories principales sont retenues :
- le pire représentant de l’administration ou des pouvoirs publics (« Orwell Etat ») ;
- la pire des entreprises ou des organismes privés (« Orwell Entreprise ») ;
- l’initiative locale la plus intrusive (« Orwell Localités ») ;
- le meilleur interprète de la "double-pensée" visant à normaliser la surveillance (« Orwell Novlang »)
- le Prix spécial pour l’Ensemble de son oeuvre.

Certains trouveront tout cela excessif, d’autres pourront en sourire, toujours est-il que ce prix est pris au sérieux par ses instigateurs et perdure. Privacy International revendique l’idée de "surveiller les surveillants"..

Par ailleurs, le prix Voltaire récompense les meilleurs résistants de la société de surveillance et ceux qui s’élèvent contre les discours sécuritaires.

Sources :
http://bigbrotherawards.eu.org/

Chez nos voisins suisses

A l’heure actuelle, Internet est indéniablement l’outil de travail indispensable pour l’entreprise. Son utilité n’est certes plus à prouver. Mais ne cache-t-il pas un risque sous-jacent, celui de perturber l’équilibre et le rendement de l’entreprise en distrayant ses employés ?
Tel est le constat observé récemment par des entreprises suisses, d’après l’enquête menée par le journal « Virus », dont les rapports sont publiés sur son site Internet (http://www.rsr.ch).

Voici le résumé d’un interview mené par Francesca Argiroffo, journaliste du groupe RSR :

Un informaticien employé dans une grande société de services a expliqué aux journalistes que les employés ont, théoriquement, toujours accès aux contenus diffusés sur la Toile. Un appareil spécifique permet de sortir du réseau interne avec un mot de passe. En 2005, la direction s’est appuyée sur ce dispositif pour tirer des statistiques. Or c’est à cette occasion que les abus commis jusqu’alors ont été dévoilés, suscitant l’effarement des supérieurs. Outre deux licenciements et le redressement du personnel, la société a installé un système de filtrage avec un software. Dès lors sont écartés de toute visite les sites à caractère pornographique, les jeux on-line, les chats, les sites humoristiques ainsi que l’accès aux e-mails privés (webmails).

En règle générale, seuls les sites pornographiques ou à caractère raciste sont filtrés du réseau par l’entreprise. C’est par exemple le cas de la société RSR, parmi tant d'autres. Cette mesure vise donc à dresser une barrière infranchissable entre l'internaute et les sites "blacklistés", comme cela se fait dans la sphère privée, au sein de la famille.

Mais certaines entreprises optent pour des mesures plus drastiques et font parfois preuve de prévoyance (excessive?). Ainsi, cela fait 6 ans que la Banque cantonale bernoise limite l’accès à Internet dans ses locaux à quelques postes mis à disposition des employés dans les couloirs de l’entreprise, aux yeux de tous. Impossible alors de surfer dans son bureau, à l’abris des regards indiscrets.

Désormais, les sociétés suisses, à l’image du monde de l’entreprise en général, sont méfiantes. Mais elles comptent avant tout sur le bon sens de leurs employés. Au même titre que le téléphone, elles rappellent que l’usage d’Internet au bureau dans le cadre privé est autorisé mais qu’il reste un outil à utiliser à bon escient, sous peine de porter préjudice à son employeur. Finalement, Internet au travail, c'est avant tout une affaire de confiance (entre employeur et employés) mais aussi de conscience professionnelle.

Sources :
Francesca Argiroffo — publié le 24/11/2006 17:12
http://www.rsr.ch/les-infos/virus/internet-outil-de-travail-ou-bouffeur-de-temps

Du neuf en matière de cybersurveillance

Avec le temps et les affaires qui se présentent, la jurisprudence avance en matière de cybersurveillance et de droit du travail.

Dans le fameux arrêt Nikon du 2 octobre 2001, la Cour de cassation avait jugé que la lecture d'un message électronique par l'employeur, bien que ne comportant pas la mention « personnel » , violait le secret des correspondances privées. Dans cette affaire, l'employeur avait découvert que son employé entretenait une activité parallèle qu'il développait pendant ses heures de travail et à partir du poste informatique mis à sa disposition par l'entreprise qui l'employait. Les éléments de preuve collectés dans la messagerie de l'employé ont été obtenus, selon les juges, de façon illicite et, à ce titre, ont été écartés des débats.

Par la suite, un autre arrêt de la Cour de cassation du 17 mai 2005 avait ouvert une possibilité pour l'employeur d'avoir accès aux fichiers personnels d'un salarié. En effet, il avait découvert des photos érotiques dans le tiroir du bureau de son employé et avait alors décidé d'investiguer le disque dur de l'ordinateur de celui-ci. Un fichier dénommé "perso" regroupait une série de documents étrangers aux fonctions de l'employé. Mais, la Cour de Cassation avait alors énoncé que : "sauf risque ou évènement particulier, l'employeur ne peut ouvrir les fichiers identifiés par le salarié comme personnels contenus sur le disque dur de l'ordinateur mis à sa disposition qu'en présence de ce dernier ou celui-ci dûment appelé" (Cass. 17 mai 2005).

Dans deux arrêts du 18 octobre 2006, la chambre sociale de la Cour de Cassation a de nouveau affiné la jurisprudence existante. Désormais, tous les documents, informatiques ou pas, présents dans l’ordinateur ou dans le bureau d’un salarié, mis à disposition par l’employeur, sont présumés professionnels sauf s’ils sont clairement identifiés comme personnels.

Source :

18 décembre 2006

http://www.village-justice.com/articles/Cybersurveillance-salaries-Cour,2238.html

On HesPionne chez HP ?

La présidente du conseil d'administration de Hewlett Packard, Patricia Dunn, est accusée « d'espionnage ». Elle devra quitter son poste le 18 janvier 2007.

Revenons sur les faits. Début 2006, Patricia Dunn a chargé une agence de détectives privés d'obtenir des informations sur les membres du conseil et certains journalistes afin d'identifier les fuites « liées à la vie en interne de l'entreprise » et destinées à la presse américaine.
Le mouchard présumé a été vivement invité à démissionner, ce qu’il a fait en septembre, suivi par l’un de ses collègues qui n’a pas manqué de le faire savoir. La presse a donc relayé l’information.

Le 6 septembre dernier, le groupe a publié des explications et une enquête officielle a été ouverte. Patricia Dunn clame son innocence. Elle encourt une peine de plusieurs années de prison et des amendes de plusieurs dizaines de milliers de dollars. Sans compter ce que pourrait lui coûter une inculpation éventuelle par les autorités fédérales qui poursuivent leurs enquêtes.
Elle affirme que « toutes les sociétés font des enquêtes et les enquêtes sont, par leur propre nature, indiscrètes », ce qui est une forme d’aveu… Patricia Dunn avait pour devoir à l'égard de ses actionnaires de mettre un terme aux fuites émanant de son conseil d'administration. Or, il faut savoir que la loi américaine autorise une entreprise à surveiller ses employés, y compris à lire leur courrier électronique et écouter leurs conversations téléphoniques, tant que ces communications se font sur les réseaux propres à la société. Mais, l’enquête effectuée sur des journalistes, personnes extérieures à l’entreprise n’était pas autorisée.

Sources
Le Figaro – 9 octobre 2006
Le Figaro – 8 décembre 2006

Actualité Surfcontrol

Surfcontrol, leader mondial en matière de filtrage et de contrôle des données sur Internet, vient récemment d’intégrer de nouveaux services à ses solutions, déjà nombreuses (filtrage des sites Web, des e-mails..). Après l’acquisition de BlackSpider Technologies, grand fournisseur de services de sécurité à la demande (MailControl, Webdefense..), en juillet dernier*, le groupe propose dorénavant une offre à la demande de même envergure pour les entreprises, « SurfControl Enterprise Protection ». Cette solution couvre des domaines tels que la navigation sur Internet, la messagerie entrante et sortante et l’application des politiques de sécurité sur les postes de travail, connectés ou non au réseau. Selon ses propres calculs, il aurait déjà filtré près de 45 millions de courriers électroniques, via le service hébergé dans les 11 data centres de l’éditeur, répartis dans le monde entier (dont 4 en Europe – France, Royaume-Uni, Allemagne et Suisse). Autre nouveauté, la solution « Webfilter » s’enrichit de nouvelles fonctionnalités. Outre sa capacité à filtrer les sites Internet, elle peut en effet délivrer des rapports avancés sur l’état des sites analysés. 40 types de rapports sont disponibles.

A noter que tous les produits Surfcontrol sont gérés par un laboratoire de veille de sécurité composé de 80 personnes (les Global Threat Experts) qui veillent à la mise à jour de la base de données des vulnérabilités toutes les deux heures environ.

Ajoutons enfin que la société, employant plus de 500 personnes réparties entre l’Europe, les Etats-Unis et l’Asie, connaît une clientèle internationale, comptant plus de 20 000 références, comme par exemple Petrofina (Total), la banque d’affaire Barclays, le Crédit Agricole, AOL…

Pour plus d’informations sur Surfcontrol, consultez le site Internet :
http://www.surfcontrol.com/
*:http://www.blackspider.com/news_and_resources/press_releases/FR_060713_BlackSpider_Communique_de_Presse.pdf
Source : « Infosec 2006 : BlackSpider, la nouvelle brique de SurfControl », 22/11/2006 Eddy DIBAR (http://www.reseaux-telecoms.net/)

Votre ordinateur vous surveille !

Comment les entreprises « cybersurveillent »-elles leurs employés ?

Internet a bouleversé les relations dans l’entreprise. La communication entre les salariés s’est transformée et désormais extrêmement rapide et simple. Le réseau local s’est ouvert sur l’extérieur et cela amène de nouveaux problèmes qu’il faut apprendre à gérer, comme par exemple la visite de sites à contenus illégaux ou l’échange de données appartenant à l’entreprise. Cette dernière doit donc prendre des mesures pour se prémunir de tels agissements.

Deux mesures sont actuellement utilisées par la plupart des entreprises :

• la rédaction d’une charte d’usage d’Internet qui rappelle aux salariés leurs droits et obligations face à cet outil,
• la surveillance pure et simple des salariés dans leur usage d’Internet (l’objet de notre blog). Attention, trois conditions doivent être remplies pour qu’elle soit considérée comme légale par la CNIL et les tribunaux : « l’existence de la cybersurveillance doit avoir été portée à la connaissance des salariés, soit par voie d’affichage soit par note de services : les représentants du personnel doivent avoir été consultés pour simple avis. Enfin, elle doit être justifiée et limitée à une surveillance de flux sans accéder aux contenus des courriers électroniques du salarié sous peine d’être poursuivi pour violation de correspondance privée, ni aux répertoires identifiés comme « personnel » sur le disque dur du poste de travail du salarié ».

En lisant cela, nous nous rendons bien compte du peu de portée de ces mesures. La première n’est qu’une mesure de prévention et la seconde n’inclut pas le principal moyen d’échange de données : le courrier électronique dès lors qu’il porte la mention « personnel ».

Source : bestofmicro.com / article du 09 .11.06

Présentation de quelques logiciels

Comme il a été dit précédemment, des logiciels ont été créé dans le seul but de garantir la surveillance .Si certains se chargent d’analyser les messageries (type Mail-Gear de Symantec ou encore Mail Sweeper 4.1 de Content Technologies) et de contrôler l’accès à Internet (I-Gear de Symantec ; Web Inspector d’Elron), d’autres surveillent le travail effectué sur les PC équipés en conséquence. Citons Websense, Investigator (de Winwhatwhere), Keykey ou encore Keystroke Monitor.

Websense :
Le plus connu des logiciels de cybersurveillance, Websense, permet d´interdire l´accès aux sites considérés comme "incorrects" par l´entreprise. La base de l´application contient près de 2,5 millions d´adresses classées en 75 catégories comme le sexe, la drogue, les loisirs...l’employeur sélectionne les types de sites qu’il juge indésirables et empêche ainsi leur accès à ses employés . Websense permet aussi de garder une trace des sites visités par les utilisateurs. (http://www.indexel.net)

Winwhatwhere investigator :

Ce logiciel surveille et rapporte pratiquement toute l'activité de l’ordinateur. Il enregistre la date, l'heure du démarrage, le temps qui s'est écoulé, les légendes des programmes et des touches utilisés. Il délivre ainsi de multiples informations, qui permettent d’avoir une image précise de l'utilisation de l'ordinateur au sein de l’entreprise. Il peut surveiller toute l'activité ou seulement certains programmes choisis voire même exclure sélectivement des programmes particuliers. Les jours et les temps imposés de surveillance d'activité peuvent également être indiqués. L'information est présentée dans un rapport configurable qui peut être facilement recherché, exporté et imprimé. D'autres fonctions incluent la protection par mot de passe et un mode furtif permet au programme de fonctionner de manière invisible. (01net)

Keykey :

KeyKey enregistre les frappes en fonctionnant à l’arrière-plan avec les applications Windows et avec les fenêtres de DOS sous Windows. Son utilisation est intuitive et le résultat de son enregistrement peut servir à de nombreuses fins. Il s’exécute en mode furtif, c’est-à-dire qu’il n’est détectable ni au niveau de la case système, ni dans le gestionnaire de tâches. Le fichier journal dans lequel les frappes sont enregistrées reflète les activités spécifiées par l’utilisateur via le jeu d’options. Ce fichier peut être protégé par mot de passe. Le programme propose une grande variété d’états qui permettent de surveiller l’activité des divers utilisateurs d’un PC lorsque celui-ci est partagé. KeyKey enregistre la tâche ou le processus en cours d’exécution, ainsi que les heures de début et de fin d’activité. Il capture également les noms des fenêtres, la taille de la mémoire tampon et les définitions du fichier journal. (Zdnet)

Keystroke Monitor : Egalement connu sous le nom de System Monitor, ce logiciel sauvegarde toutes les frappes, quelle que soit l’application où se trouve l'utilisateur. Il peut aussi sauvegarder les heures de travail. Il permet aussi de sauvegarder des travaux, même en cas de plantage informatique. S’exécutant au niveau du système, le programme fonctionne caché. Il ne s'affiche pas dans la boîte de fermeture du programme ou sur la barre des tâches. (01net)

Qu’est-ce que la cybersurveillance ?

Avant de commencer à traiter l’actualité de ce thème et ses problématiques, arrêtons-nous, dans un premier temps, sur sa définition. Qu’entend-on par le terme générique de « cybersurveillance » ?
La cybersurveillance se définit comme « tout moyen de contrôle technique, sur une personne ou un processus, lié aux nouvelles technologies et plus particulièrement aux réseaux numériques de communication. [elle] regroupe les voies et moyens aboutissant à l’accès des données ou signaux transmis par voie électronique ainsi que le contrôle des moyens techniques permettant ces transmissions ». (cf. http://www.netalya.com)

Pour résumer, il s’agit du contrôle de toutes les données diffusées et disponibles sur la Toile. Elle est le fait de l’administrateur réseau, qui gère l’utilisation et la configuration du réseau (nous aurons l’occasion de revenir sur ce sujet dans un prochain billet).

Outre le tracage mis en place pour tenter de venir à bout des réseaux terroristes, pédophiles ou encore xénophobes ( visant à la sécurité de tous) , la cybersurveillance concerne également le monde de l’entreprise, avec le contrôle des salariés et de leur usage d’Internet.

Pour ce faire, des logiciels ont été conçus dans le but d’enregistrer tous les évènements ou messages survenus pendant un temps donné, à un endroit déterminé. Les écoutes téléphoniques, tout comme le traçage d’internautes sur le web ou encore sur un réseau Intranet, font partie intégrante de la cybersurveillance. Ajoutons enfin que le contrôle et l’interception de courriers électroniques appartiennent également à cette catégorie.

La cybersurveillance répond donc à des attentes et à des besoins, tant pour des raisons de sécurité et de bonne gestion d’un système informatique que pour vérifier la bonne transmission de correspondances.

Source : http://www.netalya.com

Rendez-vous des professionnels

Jeudi 23 novembre 2006 aura lieu la première édition de l’Université d’Automne des Correspondants Informatique et Libertés, dans les locaux de l’ESEP (Ecole Supérieure d’Electronique de Paris).

Cette journée est organisée par l’AFCDP (Association Française des Correspondants à la protection des Données à Caractère Personnel).

Monsieur G. Desgens Pasanau, Responsable du contentieux et des sanctions de la CNIL (Comission Nationale de l'Informatique et des Libertés) ouvrira la session sur le thème « Les nouveaux pouvoirs de sanction de la CNIL : comment vous mettre en conformité ».

Cette manifestation est ouverte gratuitement à tout membre de l’AFCDP (adhésion sur place pour les nouveaux membres).

Programme :

• Accueil 14h15
• Session d’ouverture, de 14h30 - 15h25 : « Les nouveaux pouvoirs de sanctions de la CNIL : comment vous mettre en conformité » - Guillaume Desgens Pasanau, Responsable du contentieux et des sanctions (CNIL).L’Université se déroule sous la forme d’une série d’ateliers d’une cinquantaine de minutes chacun. Chaque participant est libre de son « parcours Ateliers »
• Ateliers, de 15h35 à 18h00
• « Du choix de votre CIL à la mise en œuvre de ses missions » - Xavier Leclerc, Délégué Général de l’AFCDP - CIL.
• « Le Correspondant et la conformité juridique de l’entreprise » - Paul-Olivier Gibert, Directeur de la Sécurité - Déontologue - CIL (AG2R).
• « La cybersurveillance à l’épreuve des faits » - Jean-Pierre Remy, Délégué à la protection des données - CIL (Banque de France).
• « Correspondant et Administrateurs techniques ; Ennemis ou Amis ? » - Odile Campserveux, Responsable Juridique des Services Informatiques de la Chambre de Commerce de Paris - CIL, Bruno Rasle, Halte au Spam, co-animateur du groupe de travail Cybersurveillance.

Renseignements :

Xavier Leclerc - Délégué Général de l’AFCDP

Tél. : 06 61 60 25 92 -

Email : x.leclerc@laposte.net

www.afcdp.org

Source : Magsecurs

Bienvenue à tous !

« Un blog sur la cybersurveillance : pourquoi ? », vous demandez-vous peut-être ! Et bien, tout d’abord parce que nous sommes étudiantes en M2 Gestion Editoriale et Communication Internet à Lyon 2 et que nous avons choisi de traiter ce sujet pour un examen.

Ensuite, car nous ne le serons pas éternellement (dommage… !) et que les portes de la vie active vont bientôt s’ouvrir à nous. Il y aura alors de fortes chances que nous nous retrouvions assises à un bureau devant… un écran d’ordinateur équipé d’Internet si l’entreprise est un minimum à la page ! La tentation sera alors grande de consacrer quelques minutes à prendre des nouvelles des uns et des autres en envoyant des mails ou en tchatant. Sur le lieu de travail, Internet est avant tout un outil de travail. Pourtant, l’utilisation d’Internet à des fins personnelles durant les heures de travail constitue une pratique que nul ne saurait ignorer.

Ce constat pose quelques questions : Y a-t-il des limites au contrôle et à la surveillance que les employeurs peuvent exercer sur les salariés ? L'employeur peut-il prendre connaissance des mails émis et reçus par ses employés ? Peut-il avoir accès à leurs fichiers personnels ? Que dit la loi en matière de cybersurveillance ?

En bref : pourquoi ce blog ? Pour tenter de savoir comment atteindre l’équilibre entre la nécessaire sécurisation des actifs de l’entreprise stockés dans son système d’information et le respect de la vie privée du salarié.