Au début de l’année, le PDG d’une maison d’édition chrétienne a réuni ses troupes pour une réunion au cours de laquelle il s’est emporté contre des rumeurs propagées sur l’entreprise par des sources internes — et a ensuite puni les coupables non identifiés en licenciant 25 employés. Au cours de la réunion — qui a fait l’objet d’une couverture médiatique grâce à l’enregistrement secret par l’un des employés — Ryan Tate a révélé qu’il avait surveillé l’activité informatique de ses employés pour essayer de trouver le responsable.
« J’ai détourné le regard… Je t’ai fait confiance. Bon Dieu. Vous voulez regarder Netflix ? Laissez-les regarder Netflix. Laissez-les l’afficher sur un projecteur s’ils veulent. Ils veulent être sur Facebook toute la journée ? Soyez sur Facebook toute la journée. Bien sûr, je vous paie pour faire ça. C’est tout à fait correct », a-t-il dit.
Ryan Tate, président et PDG de Tate Publishing (à ne pas confondre avec Ryan Tate de Gawker/Wired… fame)
Il était d’accord pour que les employés fassent des gaffes, mais pas pour qu’ils disent du mal de l’entreprise. « J’ai pu lire certaines de vos pages Facebook. Ce que je préfère, c’est quand vous publiez quelque chose, puis que vous le retirez et que vous ne pensez pas que nous archivons tout. »
J’ai contacté l’entreprise à l’époque pour savoir comment elle faisait sa surveillance, mais je n’ai jamais eu de réponse. Il est possible que Tate ait eu une politique d’entreprise de surveillance de l’activité des employés sur les réseaux sociaux, ou qu’elle ait capturé leurs sessions Facebook sur leurs ordinateurs de travail (ou peut-être que c’était juste du bluff). Quoi qu’il en soit, Tate est loin d’être le seul employeur à fouiner dans l’activité numérique de ses employés. La FDA se bat actuellement contre un procès intenté par des scientifiques qui affirment avoir été licenciés pour avoir dénoncé des abus, ce dont l’agence fédérale s’est rendu compte grâce à un logiciel espion de SpectorSoft qui capturait leurs e-mails et leur activité informatique. Grâce à un cafouillage d’un contractant chargé de la maintenance des fichiers, les 80 000 ( !) pages du dossier d’espionnage ont été temporairement divulguées en ligne, montrant clairement à quel point la surveillance était étendue.
Il n’est pas rare que les employeurs surveillent les ordinateurs des employés et même leurs smartphones, mais de nombreux employés n’y pensent pas au cours de leur journée de travail, passant leurs pauses à consulter des courriels personnels potentiellement sensibles, à avoir des chats sexy, à faire défiler des albums photos Facebook (pas trop scandaleux, espérons-le) ou peut-être même à consulter des offres d’emploi ailleurs. Avant de faire quoi que ce soit de trop scandaleux sur votre ordinateur professionnel, vous devriez vous demander s’il est surveillé. J’ai parlé à Michael Robinson, expert en informatique légale, et à Ashkan Soltani, chercheur en sécurité, de certains indices qui révèleraient que vous êtes potentiellement surveillé.
Tout d’abord, vous devriez vérifier votre manuel d’employé ou votre accord d’utilisation de l’ordinateur. Si votre employeur y indique que votre activité informatique peut être surveillée – ce qui est plutôt standard – alors il a le droit de regarder. Mais il faut ensuite se demander s’il profite réellement de ce droit.
« La possibilité de le savoir dépend de l’endroit où la surveillance est effectuée », dit Robinson. « Si c’est en amont, au niveau du pare-feu, il est difficile pour l’utilisateur de le savoir. Les employeurs sauront simplement quels sites Web les employés visitent, ce qui leur permettra de vérifier, par exemple, combien d’employés sont allés sur Monster.com ce mois-là. Mais s’ils veulent réellement voir une activité plus granulaire, ils doivent mettre un logiciel de surveillance sur l’ordinateur lui-même. »
Le chercheur en sécurité Ashkan Soltani dit qu’un outil comme netalyzr.icsi.berkeley.edu peut vous dire si vous êtes surveillé au niveau du pare-feu. « Il démontrera qu’il y a quelque chose « en travers » de vos communications sécurisées », dit-il. Ce n’est pas fiable à 100 %, mais il y a souvent des « indices ».
Si vous êtes sur un réseau d’entreprise, toute communication non https est visible pour celui qui contrôle le réseau. Certains employés pensent à tort que s’ils sont sur Gmail ou Facebook — qui offrent une sécurité https — que leurs communications seront cryptées et que personne ne pourra les lire. Cela peut être vrai si la surveillance se fait en amont, mais il existe des méthodes permettant à une entreprise de voir à travers le cryptage puisqu’elle contrôle le réseau et souvent le dispositif par lequel vous accédez à vos informations personnelles. Par exemple, consultez ce guide BlueCoat pour obtenir le contrôle des sessions cryptées. Et si le logiciel est sur votre ordinateur lui-même, https-ssl n’offre définitivement aucune protection.
Un logiciel de surveillance sur un ordinateur capture les frappes au clavier et les captures d’écran. Cela signifie qu’il peut reconstituer votre session Gmail ou Facebook (c’est peut-être ainsi que Tate Publishing disposait des enregistrements de ce que ses employés avaient mis en ligne sur Facebook, et qu’ils ont ensuite retiré). Ces types de programmes n’apparaîtront pas comme des applications, mais ils apparaîtront comme des processus en cours d’exécution.
- Si vous êtes sur un PC, vous pouvez voir un processus en cours d’exécution en appuyant sur « Alt-Ctrl-Del » et en faisant apparaître votre « Gestionnaire des tâches ». Passez à l’onglet « Processus ».
- Sur un Mac, allez dans votre « Launchpad », faites apparaître « Gadgets and Gizmos », puis allez dans « Utilities » et cliquez sur « Activity Monitor ».
Le processus a probablement un nom inoffensif, mais sera assez occupé car il a beaucoup d’activité à capturer. Alors comment savoir si l’un de ces processus est un logiciel espion ? L’une des solutions consiste à comparer vos processus avec ceux qui s’exécutent sur l’ordinateur d’un collègue. Si l’un d’entre vous est surveillé et que l’autre ne l’est pas, vous remarquerez probablement des processus différents. Mais si vous êtes tous les deux surveillés, ce n’est pas très utile (« et vous devriez probablement trouver un nouvel emploi », dit Robinson). Heureusement, il existe une autre option pour effectuer une vérification.
Comme par hasard, beaucoup de ces programmes « espions » sont signalés par les antivirus et les programmes malveillants comme étant malveillants. C’est étonnant. En conséquence, certaines des entreprises qui proposent ces logiciels ont établi des « listes blanches » afin que les services informatiques qui les gèrent puissent s’assurer que Symantec, McAfee et d’autres reconnaissent leurs processus comme non malveillants. Et dans de nombreux cas, ces listes blanches sont publiques, de sorte que vous pouvez voir exactement quels sont les noms des fichiers. Si les consultants de la FDA avaient vérifié leurs processus, ils auraient probablement vu certains de ces exécutables fonctionner sur leurs ordinateurs, via la liste blanche de SpectorSoft.
SpectorSoft propose une liste blanche de ses processus d’espionnage afin que les services informatiques puissent configurer…. logiciels antivirus pour les ignorer
Grâce à cela, si vous cherchez sur Google un processus étrange que vous voyez et qu’il s’agit d’un logiciel espion, cela vous ramènera probablement au site Web du vendeur de logiciels espions.
Malheureusement, certains logiciels espions sont plus savants que d’autres. « Les plus sophistiqués se comportent davantage comme des rootkits en ce sens qu’ils se dissimulent à la vue », explique Soltani.
« Je travaillais dans une entreprise où, lorsque vous donniez votre préavis, les RH demandaient au service informatique de vous surveiller pour s’assurer qu’aucune propriété intellectuelle n’était volée », raconte Robinson. « Le jour où j’ai donné mon préavis, une mise à jour de Windows est apparue. Ils pensaient être sournois. J’ai tapé sur l’écran : ‘Je vous vois me regarder me regarder' »
« Si votre patron ouvre réellement votre courrier électronique et le lit, vous pouvez peut-être intégrer des balises de suivi dans les messages électroniques et surveiller ensuite leur ouverture », dit Soltani. Vous pouvez utiliser un programme comme emailprivacytester.com ou ReadNotify – le programme qu’un fan fou a utilisé pour vérifier si Jay-Z lisait les courriels qu’il lui envoyait.
Les patrons qui font des captures complètes de tout ce que font leurs employés sont probablement une rareté, dit Robinson. « Ils passeraient plus de temps à surveiller qu’à gérer », dit-il.
C’est plus susceptible de se produire si un patron est réellement inquiet au sujet d’un employé particulier, ou s’il craint que des informations sensibles quittent l’entreprise. Dans le cas de la FDA, l’agence fédérale s’inquiétait que les consultants fassent fuir des informations critiques de l’agence aux membres du Congrès (et ils avaient raison).
Compte tenu des nombreuses façons dont votre employeur pourrait vous espionner — et du fait qu’elles ne sont pas toutes détectables — il est probablement plus sage de simplement garder tout ce qui est trop sensible pour votre appareil personnel ou votre ordinateur personnel.
Dans ses remarques finales à ses employés lors de cette réunion révélatrice de l’ensemble du personnel, l’éditeur Ryan Tate a dit : « Soyez intelligents, en particulier dans cette ère numérique. Je comprends si vous êtes à la maison et que vous vous plaignez à un proche, mais qui va en ligne pour faire ça, ou envoyer un e-mail ? »
Um. Tout le monde, je dirais. Mais soyez intelligent quant à l’ordinateur à partir duquel vous le faites. Et bien sûr, si vous choisissez l’option plus sûre de votre ordinateur personnel, croisez les doigts pour qu’un proche ne vous espionne pas à cet endroit.