Je suis représentant du personnel dans ma boite.
Le boss cherche des poux dans la tête d'une secrétaire, l'accusant de
visiter des sites pornos durant ses heures de travail. Il prétend en avoir
la preuve mais ne veut pas en dire plus :(((
Si vous connaissiez la dame, une telle accusation vous paraîtrait un mauvais
gag...
Résumons: Réseau tout simple:
8 machines.
OS : WinXP pro.
Firewall: NIS2004 sur chaque machine.
Connection ADSL partagée, pas de routeur dédié.
Un admin extérieur vient de temps en temps. VNC? Peut-être, je n'ai pas pu
examiner toutes les bécanes, mais sur le poste en question, un serveur VNC,
ça se verrait.
J'ai examiné les fichiers temporaires internet du poste de la dame: à
première vue, rien. Quant aux logs de NIS il sont remis à zero au démarrage
chaque matin, donc rien à voir.
Par contre j'ai trouvé un sextracker vieux d'un mois dans les cookies.
Si c'est tout ce que le soit-disant audit a trouvé...
Je pense pouvoir prouver, quitte, pourquoi pas, à en fabriquer un et
l'expédier au boss :))) qu'en ouvrant un courier du genre spam on peut se
retrouver avec ce genre de chose dans sa bécane et à son insu (NIS bloquant
l'ouverture des fenêtres pop-up originaires d'un autre domaine)
Mes questions :
- Que chercher d'autre et où?
- Un serveur VNC, ça se voit mais un sniffer?
- Où en est la jurisprudence sur le flicage du personnel?
A ma connaissance, celui-ci ne peut pas être clandestin sinon c'est un
délit, et les règles relatives à l'utilisation du matériel informatique
doivent figurer dans le règlement intérieur.
On conçoit tout-à-fait que la sécurité informatique de l'entreprise soit une
priorité. Mais elle passe par la sensibilisation et la formation du
personnel, pas par le flicage clandestin.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Pascal H
Bonjour,
Arty a écrit dans news:ccoqeu$lp$:
<cut> J'ai examiné les fichiers temporaires internet du poste de la dame: à première vue, rien. Quant aux logs de NIS il sont remis à zero au démarrage chaque matin, donc rien à voir. Par contre j'ai trouvé un sextracker vieux d'un mois dans les cookies. Si c'est tout ce que le soit-disant audit a trouvé... Je pense pouvoir prouver, quitte, pourquoi pas, à en fabriquer un et l'expédier au boss :))) qu'en ouvrant un courier du genre spam on peut se retrouver avec ce genre de chose dans sa bécane et à son insu (NIS bloquant l'ouverture des fenêtres pop-up originaires d'un autre domaine)
Mes questions : - Que chercher d'autre et où? - Un serveur VNC, ça se voit mais un sniffer? - Où en est la jurisprudence sur le flicage du personnel?
A ma connaissance, celui-ci ne peut pas être clandestin sinon c'est un délit, et les règles relatives à l'utilisation du matériel informatique doivent figurer dans le règlement intérieur. On conçoit tout-à-fait que la sécurité informatique de l'entreprise soit une priorité. Mais elle passe par la sensibilisation et la formation du personnel, pas par le flicage clandestin.
Il me semble que tout audit doit être au préalable notifié au personnel ou, à défaut, à ses représentants. Dans certains cas de traitement automatisé des données collectées, il faut également en faire une déclaration à la CNIL. D'autre part il est difficile de prouver que les traces proviennent réellement de l'utilisateur connecté lorsque ce sont des machines à fort passage ou que la sécurité est moindre (même identifiant pour plusieurs personnes, absence ou divulgation de mot de passe ...).
Pour le sniffer, difficile à savoir si les données sont collectées de manière simple. Mais une analyse de celles-ci est, à mon avis, difficile de manière brute. On retombe donc dans le cadre d'une exploitation automatisée.
En ce qui concerne le sextracker, une simple visite sur un site 'contaminé' peut effectivement être suffisante, voire la lecture d'un mail en HTML contenant des webbugs. S'il n'y a rien dans le cache d'IE, dans l'historique des liens visités ,ni dans les cookies et que la personne n'est pas un petit génie de l'informatique, je ne vois pas trop quelles autres traces pourrait indiquer un surf 'anormal'.
Pour des infos circonstanciées avec notamment des références aux articles du droit du travail, voir le rapport PDF relatif à la cybersurveillance sur les lieux de travail effectué par la CNIL en mars 2004 : http://www.cnil.fr/fileadmin/documents/approfondir/rapports/Rcybersurve illance-2004-VD.pdf
-- Les passionnés soulèvent le monde, et les sceptiques le laissent retomber. [Albert Guinon]
Pascal
Bonjour,
Arty <nonmercipasdepub@free.fr> a écrit dans
news:ccoqeu$lp$1@news.nordnet.fr:
<cut>
J'ai examiné les fichiers temporaires internet du poste de la
dame: à première vue, rien. Quant aux logs de NIS il sont remis à
zero au démarrage chaque matin, donc rien à voir.
Par contre j'ai trouvé un sextracker vieux d'un mois dans les
cookies. Si c'est tout ce que le soit-disant audit a trouvé...
Je pense pouvoir prouver, quitte, pourquoi pas, à en fabriquer un
et l'expédier au boss :))) qu'en ouvrant un courier du genre spam
on peut se retrouver avec ce genre de chose dans sa bécane et à
son insu (NIS bloquant l'ouverture des fenêtres pop-up originaires
d'un autre domaine)
Mes questions :
- Que chercher d'autre et où?
- Un serveur VNC, ça se voit mais un sniffer?
- Où en est la jurisprudence sur le flicage du personnel?
A ma connaissance, celui-ci ne peut pas être clandestin sinon
c'est un délit, et les règles relatives à l'utilisation du
matériel informatique doivent figurer dans le règlement intérieur.
On conçoit tout-à-fait que la sécurité informatique de
l'entreprise soit une priorité. Mais elle passe par la
sensibilisation et la formation du personnel, pas par le flicage
clandestin.
Il me semble que tout audit doit être au préalable notifié au personnel
ou, à défaut, à ses représentants. Dans certains cas de traitement
automatisé des données collectées, il faut également en faire une
déclaration à la CNIL.
D'autre part il est difficile de prouver que les traces proviennent
réellement de l'utilisateur connecté lorsque ce sont des machines à
fort passage ou que la sécurité est moindre (même identifiant pour
plusieurs personnes, absence ou divulgation de mot de passe ...).
Pour le sniffer, difficile à savoir si les données sont collectées de
manière simple. Mais une analyse de celles-ci est, à mon avis,
difficile de manière brute. On retombe donc dans le cadre d'une
exploitation automatisée.
En ce qui concerne le sextracker, une simple visite sur un site
'contaminé' peut effectivement être suffisante, voire la lecture d'un
mail en HTML contenant des webbugs.
S'il n'y a rien dans le cache d'IE, dans l'historique des liens visités
,ni dans les cookies et que la personne n'est pas un petit génie de
l'informatique, je ne vois pas trop quelles autres traces pourrait
indiquer un surf 'anormal'.
Pour des infos circonstanciées avec notamment des références aux
articles du droit du travail, voir le rapport PDF relatif à la
cybersurveillance sur les lieux de travail effectué par la CNIL en mars
2004 :
http://www.cnil.fr/fileadmin/documents/approfondir/rapports/Rcybersurve
illance-2004-VD.pdf
--
Les passionnés soulèvent le monde, et les sceptiques le laissent
retomber. [Albert Guinon]
<cut> J'ai examiné les fichiers temporaires internet du poste de la dame: à première vue, rien. Quant aux logs de NIS il sont remis à zero au démarrage chaque matin, donc rien à voir. Par contre j'ai trouvé un sextracker vieux d'un mois dans les cookies. Si c'est tout ce que le soit-disant audit a trouvé... Je pense pouvoir prouver, quitte, pourquoi pas, à en fabriquer un et l'expédier au boss :))) qu'en ouvrant un courier du genre spam on peut se retrouver avec ce genre de chose dans sa bécane et à son insu (NIS bloquant l'ouverture des fenêtres pop-up originaires d'un autre domaine)
Mes questions : - Que chercher d'autre et où? - Un serveur VNC, ça se voit mais un sniffer? - Où en est la jurisprudence sur le flicage du personnel?
A ma connaissance, celui-ci ne peut pas être clandestin sinon c'est un délit, et les règles relatives à l'utilisation du matériel informatique doivent figurer dans le règlement intérieur. On conçoit tout-à-fait que la sécurité informatique de l'entreprise soit une priorité. Mais elle passe par la sensibilisation et la formation du personnel, pas par le flicage clandestin.
Il me semble que tout audit doit être au préalable notifié au personnel ou, à défaut, à ses représentants. Dans certains cas de traitement automatisé des données collectées, il faut également en faire une déclaration à la CNIL. D'autre part il est difficile de prouver que les traces proviennent réellement de l'utilisateur connecté lorsque ce sont des machines à fort passage ou que la sécurité est moindre (même identifiant pour plusieurs personnes, absence ou divulgation de mot de passe ...).
Pour le sniffer, difficile à savoir si les données sont collectées de manière simple. Mais une analyse de celles-ci est, à mon avis, difficile de manière brute. On retombe donc dans le cadre d'une exploitation automatisée.
En ce qui concerne le sextracker, une simple visite sur un site 'contaminé' peut effectivement être suffisante, voire la lecture d'un mail en HTML contenant des webbugs. S'il n'y a rien dans le cache d'IE, dans l'historique des liens visités ,ni dans les cookies et que la personne n'est pas un petit génie de l'informatique, je ne vois pas trop quelles autres traces pourrait indiquer un surf 'anormal'.
Pour des infos circonstanciées avec notamment des références aux articles du droit du travail, voir le rapport PDF relatif à la cybersurveillance sur les lieux de travail effectué par la CNIL en mars 2004 : http://www.cnil.fr/fileadmin/documents/approfondir/rapports/Rcybersurve illance-2004-VD.pdf
-- Les passionnés soulèvent le monde, et les sceptiques le laissent retomber. [Albert Guinon]
Pascal
T0t0
"Arty" wrote in message news:ccoqeu$lp$
Je suis représentant du personnel dans ma boite. Le boss cherche des poux dans la tête d'une secrétaire, l'accusant de visiter des sites pornos durant ses heures de travail. Il prétend en avoir la preuve mais ne veut pas en dire plus :(((
Il a raison. Car les données personnelles sont privées et ne peuvent pas être exploitées par un admin ou un directeur, à moins que le mode de fonctionnement soit explicité dans une charte approuvée par la CNIL et signée par les utilisateurs. Donc quand il dit qu'il a la preuve mais ne peut pas en parler, c'est bien possible qu'il l'ait, mais il ne pourra, à priori, rien en faire sans risquer lui aussi d'être en tort.
Mes questions : - Que chercher d'autre et où? - Un serveur VNC, ça se voit mais un sniffer? - Où en est la jurisprudence sur le flicage du personnel?
A mon avis, il faut plutôt demander au dirlo ce qu'il a exactement, ca permettra d'orienter les recherches. Quant à la jurisprudence, je ne m'y connais pas trop, mais je sais qu'on avait creusé le sujet et qu'il fallait qu'on créé une charte signée par les utilisateurs stipulant les rôles et droits de chacun. Et que cette charte soit approuvée par la CNIL. Il fallait aussi déclarer tous les endroits susceptibles d'héberger des données personnelles. Enfin bref, il semblait difficile d'utiliser de quelque façon que ce soit des données nominatives ou personnelles devant la justice.
On conçoit tout-à-fait que la sécurité informatique de l'entreprise soit une priorité. Mais elle passe par la sensibilisation et la formation du personnel, pas par le flicage clandestin.
Tout à fait ! Pour la petite histoire, quand on rebootait les logs du proxy tôt le matin, on voyait vite que les sites les plus visités avant 9h30 étaient des sites de cul, mais bon, ca n'a jamais fait hurler personne...
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Arty" <nonmercipasdepub@free.fr> wrote in message
news:ccoqeu$lp$1@news.nordnet.fr
Je suis représentant du personnel dans ma boite.
Le boss cherche des poux dans la tête d'une secrétaire, l'accusant de
visiter des sites pornos durant ses heures de travail. Il prétend en avoir
la preuve mais ne veut pas en dire plus :(((
Il a raison. Car les données personnelles sont privées et ne peuvent
pas être exploitées par un admin ou un directeur, à moins que le mode
de fonctionnement soit explicité dans une charte approuvée par la CNIL
et signée par les utilisateurs.
Donc quand il dit qu'il a la preuve mais ne peut pas en parler, c'est
bien possible qu'il l'ait, mais il ne pourra, à priori, rien en faire
sans risquer lui aussi d'être en tort.
Mes questions :
- Que chercher d'autre et où?
- Un serveur VNC, ça se voit mais un sniffer?
- Où en est la jurisprudence sur le flicage du personnel?
A mon avis, il faut plutôt demander au dirlo ce qu'il a exactement, ca
permettra d'orienter les recherches.
Quant à la jurisprudence, je ne m'y connais pas trop, mais je sais
qu'on avait creusé le sujet et qu'il fallait qu'on créé une charte
signée par les utilisateurs stipulant les rôles et droits de chacun.
Et que cette charte soit approuvée par la CNIL. Il fallait aussi
déclarer tous les endroits susceptibles d'héberger des données
personnelles.
Enfin bref, il semblait difficile d'utiliser de quelque façon que ce
soit des données nominatives ou personnelles devant la justice.
On conçoit tout-à-fait que la sécurité informatique de l'entreprise soit une
priorité. Mais elle passe par la sensibilisation et la formation du
personnel, pas par le flicage clandestin.
Tout à fait !
Pour la petite histoire, quand on rebootait les logs du proxy tôt le
matin, on voyait vite que les sites les plus visités avant 9h30
étaient des sites de cul, mais bon, ca n'a jamais fait hurler
personne...
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Je suis représentant du personnel dans ma boite. Le boss cherche des poux dans la tête d'une secrétaire, l'accusant de visiter des sites pornos durant ses heures de travail. Il prétend en avoir la preuve mais ne veut pas en dire plus :(((
Il a raison. Car les données personnelles sont privées et ne peuvent pas être exploitées par un admin ou un directeur, à moins que le mode de fonctionnement soit explicité dans une charte approuvée par la CNIL et signée par les utilisateurs. Donc quand il dit qu'il a la preuve mais ne peut pas en parler, c'est bien possible qu'il l'ait, mais il ne pourra, à priori, rien en faire sans risquer lui aussi d'être en tort.
Mes questions : - Que chercher d'autre et où? - Un serveur VNC, ça se voit mais un sniffer? - Où en est la jurisprudence sur le flicage du personnel?
A mon avis, il faut plutôt demander au dirlo ce qu'il a exactement, ca permettra d'orienter les recherches. Quant à la jurisprudence, je ne m'y connais pas trop, mais je sais qu'on avait creusé le sujet et qu'il fallait qu'on créé une charte signée par les utilisateurs stipulant les rôles et droits de chacun. Et que cette charte soit approuvée par la CNIL. Il fallait aussi déclarer tous les endroits susceptibles d'héberger des données personnelles. Enfin bref, il semblait difficile d'utiliser de quelque façon que ce soit des données nominatives ou personnelles devant la justice.
On conçoit tout-à-fait que la sécurité informatique de l'entreprise soit une priorité. Mais elle passe par la sensibilisation et la formation du personnel, pas par le flicage clandestin.
Tout à fait ! Pour la petite histoire, quand on rebootait les logs du proxy tôt le matin, on voyait vite que les sites les plus visités avant 9h30 étaient des sites de cul, mais bon, ca n'a jamais fait hurler personne...
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
