Cyber-travailleurs : surf sous haute surveillance

L'usage d'internet en entreprise se heurte aux lois de protection des personnes sur leur lieu de travail. Un vrai casse-tête pour les DRH et les DSI.

Les services web utilisés pendant les heures travaillées posent des problèmes exponentiels aux DRH/DSI. Pour les salariés, qui sont aussi citoyens et consommateurs, l'emploi du Net est incontournable, avec toutes les répercussions que cela suppose dans leur façon de communiquer et de consommer de l’information de toute nature... de fait, dans l'industriel ou le tertiaire, une info périphérique au job peut s’avérer stratégique pour le salarié et ses collègues environnants : développements industriels, prévisions de restructurations, alertes boursières, blogs syndicaux... le champ est large.

Qu’en est-il d'autres connexions en ligne depuis le poste de travail : opérations bancaires à distance, achats courants et autres téléchargements de fichiers de musique et de VOD, sans omettre l'envie de dégoter le dernier gadget high-tech au moindre prix, d'entretenir des communications avec des tiers, de pratiquer des jeux en ligne "pour se détendre". Mais parfois aussi (à 

l’insu de la hiérarchie), visiter des sites licencieux, révisionnistes, terroristes... par simple curiosité souvent. En bref, il est devenu quasiment inévitable que des collaborateurs utilisent leur connexion internet de façon dite "inappropriée". Des faits très courants en pratique, qui soulèvent de nombreux problèmes, car informatique et sécurité ne font pas toujours bon ménage sur le "lieu de travail". Difficile aussi d’effacer toutes traces ici et là... le surf restant sous haute surveillance.

En matière de sécurité, contrairement à la protection du réseau contre les attaques extérieures, les contrôles effectués sur les "connexions utilisateurs" se limitent en général à de simples vérifications ponctuelles. Sauf instruction express de la DSI, rien n’empêche donc en principe d’installer un navigateur parallèle sur son ordinateur de bureau pour des usages privés. De type "open source", firefox ou thunderbird pour le courrier, assurant un meilleur contrôle des données de traçage.

Vie de bureau versus sécurité informatique

Du point de vue des dirigeants, outre que tout cela occupe de la bande passante, certains téléchargements peuvent déboucher sur des litiges en matière de droits d'auteurs, voire engager l’entreprise au niveau pénal. Sur le plan du droit, en vertu du code pénal, l'entreprise et ses dirigeants, en tant que représentants légaux, peuvent être poursuivis pour complicité ou recel (même si l'utilisation malveillante s'est faite à leur insu). Les sanctions encourues pouvant aller de l'amende lourde, jusqu'à des peines d'emprisonnement. D'où l'intérêt pour les entreprises de se prémunir contre les agissements de collaborateurs étourdis. La précaution consistant à filtrer les sites jugés illicites en s'appuyant sur des applications spécialisées. Ce qui est jugé « illicite » devant (en principe) être discuté entre l’entreprise et le CE.

Techniquement, les solutions existent pour contrôler les flux d’informations échangées par les salariés. Des serveurs d’interception de requêtes internes qui vérifient automatiquement la conformité des échanges avec la politique de sécurité maison. Dans le détail, le filtrage d'adresses (URL) se fait en utilisant des logiciels de sécurisation bien connus (de type websense, secure compu­ting, surfcontrol) ; aussi des contrôles de transferts des flux analysés (tcp, http, https, socks, dns, ftp). De même pour les protocoles de messagerie instantanée (windows messenger, aol, yahoo). Claude A.Frison

Au bout de combien de temps est-on vraiment en retard ?

Dossier paru dans Conversation France

Notre auteur, Américaine installée en France depuis 17 ans, est professeur de management et spécialiste des différences culturelles d’un pays à l’autre. Ses travaux, fondés sur des études d’anthropologues et de psychologues, montrent à quel point un Français, un Allemand et un Brésilien voient, derrière les mots « arriver en retard », des réalités bien différentes. Dans son livre « La carte des différences culturelles : 8 clés pour travailler à l’international » (Editions Diateino), elle explique comment décoder les étranges comportements des étrangers… et ne froisser personne

Erin Meyer, Professeur associé en sciences de gestion, INSEAD

Gestion du temps, dates butoirs, pression du calendrier… nous courons tous après le temps. Cependant, là où telle culture dans le monde considérera qu’on est effroyablement en retard, une autre trouvera que l’on est raisonnablement à l’heure.

Ce matin, vous vous réveillez au son de votre iPhone qui vous rappelle au passage que vous avez rendez-vous avec un fournisseur à 9 heures 15 à l’autre bout de la ville. Mais la journée s’annonce mal… Votre petit dernier casse un pot de confiture dans lequel votre aîné a la bonne idée de marcher. Vous vous retrouvez à perdre encore plus de temps à tout nettoyer. Encore quelques minutes de perdues à chercher vos clés qui se cachaient dans le placard de la cuisine, mais, par chance, vous parvenez à déposer vos enfants à l’école au moment où la sonnerie retentit et où la porte se ferme. C’est alors que votre iPhone sonne 9 heures, ce qui signifie que vous aurez six ou sept minutes de retard pour cette importante réunion – si tant est qu’il n’y ait pas plus de circulation que d’habitude. Que faire dans ce cas ?

Vous avez bien sûr la possibilité d’appeler votre fournisseur pour vous excuser et lui expliquer que vous arriverez à 9 heures 21 précise. Ou 9 heures 22. Mais vous pouvez aussi vous dire qu’un retard de six ou sept minutes n’est pas fondamentalement un retard et décider de vous engager dans la circulation sans prendre la peine de prévenir. Sauf si vous ne vous préoccupez absolument pas de l’heure : que vous arriviez à 9 heures 21, 22 ou même 45, on considérera encore que vous êtes « dans les temps » et personne n’en fera une histoire, ni vous, ni votre fournisseur.

En France, 7 minutes de retard, c’est toujours être à l’heure

Si vous vivez au sein d’une culture qui a une conception rigoureuse de la gestion du temps, comme en Allemagne, en Scandinavie, aux États-Unis ou en Grande-Bretagne, il est probable que vous passiez un coup de fil. Dans le cas contraire, votre fournisseur risquerait de s’agacer à chaque seconde où vous n’apparaissez toujours pas. Inversement, si vous vivez en France ou dans le nord de l’Italie, il y a des chances que vous n’éprouviez pas le besoin de téléphoner, car arriver avec six ou sept minutes de retard, c’est encore être « fondamentalement à l’heure »(après 12 ou 15 minutes, l’histoire aurait été différente).

Et si vous appartenez à une culture qui a une conception souple du temps, comme c’est le cas au Moyen-Orient, en Afrique, en Inde ou en Amérique du Sud, le temps risque d’avoir pour vous une élasticité complètement différente. Dans ces sociétés où il faut se battre contre la circulation et le chaos général de l’existence qui ne cessent de vous mettre des bâtons dans les roues, la probabilité d’un retard est une donnée de base. Dans ce contexte, il n’y a guère de différence entre 9 heures 15 et 9 heures 45, et c’est accepté par tous.

Au tout début de mon installation en France (je suis américaine), j’avais été prévenue par des amis américains que les Français sont toujours en retard. Et cela s’est révélé partiellement exact, même si l’impact de ces retards sur mon travail a été assez faible au quotidien. À titre d’exemple, peu de temps après mon arrivée à Paris, j’avais pris rendez-vous avec un chasseur de têtes spécialisé dans les postes pour expatriés, dans l’une des tours de verre de La Défense. Ayant pris soin d’arriver avec cinq minutes d’avance à mon rendez-vous de 10 heures, j’essayais nerveusement de dérouiller mon français dans ma tête. La femme avec laquelle j’avais rendez-vous, Sandrine Guégan, était une cliente de longue date de mon entreprise et connaissait bien mon patron. Il m’avait assuré qu’elle me réserverait un accueil chaleureux.

Nice Work if you can get out (The Economist)

Pressreview : from The Economist

Overall working hours have fallen over the past century. But the rich have begun to work longer hours than the poor. In 1965 men with a college degree, who tend to be richer, had a bit more leisure time than men who had only completed high school. But by 2005 the college-educated had eight hours less of it a week than the high-school grads. Figures from the American Time Use Survey, released last year, show that Americans with a bachelor’s degree or above work two hours more each day than those without a high-school diploma.

http://www.economist.com/news/finance-and-economics/21600989-why-rich-now-have-less-leisure-poor-nice-work-if-you-can-get-out?fsrc=scn/fb/te/pe/ed/niceworkifyoucangetout

Networking VS sécurité informatique

Comment distinguer l'usage pro du privé dans le cadre du Networking ?


Casse-tête pour les DRH : les réseaux sociaux, outils de travail collaboratif, se heurtent à l'arsenal de lois sur la protection des personnes sur leur lieu de travail. Un lieu dématérialisé avec usage d'informatique mobile. Alors comment distinguer l'usage pro du privé dans le cadre du Networking ? 

Phishing

On appelle cela le filoutage ou au Québec le "hameçonnage". Les opérations de phishing se multiplient. Et ce malgré les alertes émises par les administrateurs gérant les transactions de leurs clients. 

Des internautes même avertis se laissent encore prendre au piège. Les banques ne sont pas les seules concernées par ce phénomène. Dans tous les secteurs, les pays à fort taux de connexions sont touchés par les agissements de circuits mafieux. 

RPS stress

C'est l'arlésienne et la confusion. Stress au travail, jusqu'au burn-out parfois invoqué, voire le suicide. Tout se mélange. Le stress est un de ce que l'on qualifie de "risques psychosociaux" (RPS). Une des manifestations de ces risques. Qualifiés de "psychosociaux", ils sont à l’interface de l’individu (le psycho). Et de sa situation dans le cadre du poste de travail. De la fonction. Une des conséquences sans doute de l'évolution des conditions de travail dans une entreprise au fonctionnement de + en + virtualisé (Denis Ettighoffer en traitait abondamment début 80 au sujet du télétravail qui peine à se développer, si ce n'est par le biais du fumeux statut d'auto-entrepreneur). Avec des rapports au temps et à la hiérarchie transformés. Notamment par le PDA (ndr : personal digital assistant, smartphone) embarqué en toutes circonstances avec toutes ces applis + ou - nécessaires voire aliénantes : twitts, blogs, visios chronophages, etc. Alors, dans de telles conditions. Allons-nous craquer ? Où est la(le) boss ? D'après l'Observatoire de vie au travail (OVAT) dans une enquête menée dès 2009 auprès de 3 028 participants (2 810 questionnaires exploités), 57% des salariés évaluaient défavorablement le climat social dans leur entreprise, 55% jugaient insuffisante la qualité managériale, 64 % se déclaraient mécontents de la gouvernance sociale de leur entreprise. Ces estimations n'auront pas trop évolué dans le contexte actuel. Témoignages...

Enquête OVAT sur la perception des RPS par travail-solidarite

NDR : pour télécharger l'article "Stress et risques psychosociaux : concepts et prévention" (dossier médico-technique de l'INRS)

Cryptage des données numériques

Les processeurs mis en cause

De quoi inquiéter les centraux bancaires et les officines d’e-commerce, des articles publiés dans la presse spécialisée suscitent quelques interrogations sur la fiabilité des processeurs de nos chères (...) bécanes...

Suite aux révélations de l’équipe conduite par le cryptologue allemand Jean-Pierre Seifert (ex-Intel, enseignant dans les universités d'Haïfa et d'Innsbruck), les fabricants de microprocesseurs seraient sur les dents. En cause, une technique d'espionnage au niveau du code machine qui reposerait sur un logiciel capable de récupérer la clé de cryptage SSL au cours même de la phase de calcul… les spécialistes apprécieront. Qu'il s'agisse de crypter, de signer ou de garantir l'intégrité de données numériques, d’après les expériences conduites par l’équipe de JPS, les processeurs de la quasi-totalité du parc informatique mondial seraient vulnérables et le commerce en ligne serait selon lui menacé, ainsi que tout ce qui permet la dématérialisation des échanges, fondée sur des applications faisant appel aux codes asymétriques (procédé utilisant une clé publique codant les données et une clé secrète pour les restituer). Il s’agirait même de la fin des algorithmes RSA et des clefs de chiffrement couramment utilisées (RSA, acronyme formé à partir des noms de ses créateurs : Rivest, Shamir et Adleman). Pour de plus amples détails, nos lecteurs peuvent se reporter au research group ``Mathematical Computer Science'', de la Johann Wolfgang Goethe-University (docs en allemand).

Dans le détail cette menace qui porte le nom d’analyse de prédiction de branche (BPA), nécessitait jusqu’à maintenant de très nombreux essais pour déduire de façon statistique la clé de cryptage (ce qui la rendait de fait impraticable). Dans une étude encore assez confidentielle, JPS décrit la façon dont il a pu (selon lui en une seule tentative) récupérer la quasi-intégralité d'une clé de cryptage de 512 bits (NDR : rappelons que ce type de cryptage consiste en une suite d'autant de 0 ou de 1 permettant de « brouiller » les données transitant par le Net afin de les rendre illisibles ; elle est donc couramment utilisée pour les transactions cryptées ; sachant que la plus grande clé publique faisait 640 bits ; sa décomposition en 2005, avait nécessité pendant trois mois, l’utilisation de 80 microprocesseurs cadencés à 2,2 GHz). Cette découverte fait figure de bombe, puisqu’elle ne ferait appel qu’à une seule lecture de code ; sa force résidant dans le fait que le processus de prédiction, fondamental pour accélérer les performances du processeur, ne serait pas vraiment protégé. Selon lui, le mode de fonctionnement même de la puce, optimisé pour accélérer les calculs, la rendrait vulnérable. « La sécurité a été sacrifiée au bénéfice de la performance », estime le chercheur. Une « taupe » (logiciel) pourrait donc « écouter » la puce en toute discrétion, et renvoyer la clé par exemple à des hackers, voire à des services de renseignement ou à des concurrents potentiels. Sous couvert d'anonymat, des spécialistes de cryptographie confirment le sérieux de la menace sur les systèmes à clé publique : « La solution réelle serait de revoir la conception même de nos microprocesseurs… une solution de court terme serait de ne pas permettre que des applications sensibles tournent en parallèle avec des opérations standards sur un même ordinateur, ce qui est plus facile à dire qu'à faire dans un environnement de travail classique… il reste des remèdes partiels, mais ils impliquent de ralentir considérablement le fonctionnement des PC ».

La polémique avait même fait rage entre observateurs. Selon l’hebdomadaire Le Monde Informatique (LMI, publication d’International Data Group, éditeur de Computer World), le quotidien le Monde « faisait saigner la tomate » à propos d'une technique potentielle qui permet de récupérer les clés de cryptage au cœur des processeurs. Pour cet hebdomadaire spécialisé « il est hautement regrettable que la sécurité des systèmes d'information, qui concerne effectivement l'ensemble des citoyens des pays industrialisés, soit encore traitée sur un ton alarmiste et superficiel, entretenant une défiance diffuse et, plus grave encore, le fatalisme ambiant et l'apathie juridique qui en découle, le tout garantissant l'impunité des responsables des causes réelles et sérieuses des milliards d'euros ou de dollars volés chaque année, en particulier les banques et les détenteurs d'informations personnelles qui ne sont toujours pas tenus, en France, d'alerter les victimes potentielles à la suite d'une effraction de leur système d'information, et l’on ne s’y prendrait pas autrement si l'on voulait, sciemment, désinformer une population tout entière pour lui faire supporter les frais d'une dématérialisation des échanges conduite au seul profit des intermédiaires financiers ». Les résultats des travaux de Jean-Pierre Seifert avaient été publiés lors de la conférence RSA, début 2007. CaF

La méthode de l'épuisette

Trop méconnue des internautes

Ce type de cybercriminalité est maintenant classique. Le procédé est parfaitement connu des spécialistes, enquêteurs et experts en sécurité informatique. Mais il est bien difficile de lutter contre l’ampleur du problème, car le tableau est à entrées multiples.


Les conséquences du phishing n’inquiètent pas que les banques. Le phénomène touche les achats et les jeux en ligne, voire des guichets administratifs. La recette est simple. A l’instar des méthodes de recrutement utilisées en matière de trafic de stupéfiants, les escrocs utilisent des mules pour brouiller les pistes et ne pas indiquer leur propre identité bancaire. L'objectif est d’empêcher la police de remonter toute la filière. Pour les « mules », le travail demandé n'est pas bien compliqué. Il suffit de consulter plusieurs fois par jour sa messagerie électronique. Dès qu'un mail lui signale qu'un virement a été fait sur son compte, il effectue un transfert vers un compte de la société en question. En échange de ce service, selon le Club de la sécurité des systèmes d'information français (Clusif), il toucherait 5 à 10 % des sommes transférées. Malgré tout, les montants unitaires seraient assez faibles, à cause notamment des plafonds instaurés par les banques en matière d’opérations en ligne. Mais selon le Clusif, ce business rapporterait quand même jusqu'à 3 K€ par mois à certains internautes.

L’arnaque repose donc essentiellement sur l’imprudence d’internautes pas toujours aguerris aux pratiques en vogue sur la toile ; on pense notamment aux retraités qui depuis quelques années boursicotent sur le Net pour arrondir leurs pensions, ou bien encore aux ados qui surfent le soir du fond de leur lit sur leurs sites favoris, et achètent en ligne (musique, VOD, vêtements à la mode, gadgets…) accrochés par tel ou tel pop-up les enjoignant de se rendre ici ou là pour vérif. Au bureau, dans le feu de leur journée passée devant la bécane, les internautes peuvent de plus en plus difficilement faire la différence entre le site qu’ils visitent régulièrement et une page d’accueil vers laquelle ils sont redirectionnés à leur insu, dans la plupart des cas par le biais d’un mail anodin. Qui donc peut affirmer examiner chaque mail à la loupe. Même s’ils sont des surfers avertis, une page d’accueil reconstituée quasi à l’identique par des mauvais farceurs (logos, copyright, popups publicitaires, nom du client en en-tête…) peut échapper à leur attention. Surtout en situation de stress au travail. Prudence donc, surtout lorsque l’on reçoit dans sa messagerie un formulaire en apparence tout à fait officiel.

On peut légitimement s’inquiéter de la montée en puissance des cyber-lobbies agissant sur la toile. Les mafias, russes ou autres, qui en tirent souvent les ficelles, notamment par le biais d’anodins messages provenant de pays africains et latino-américains. Des réseaux mafieux chinois aussi, particulièrement par le biais de sites destinés à des parieurs en ligne : bookmakers sportifs, paris sur des championnats de football en Europe, paris hippiques, casinos en ligne. Les plus naïfs se laissent attirer vers d’autres lieux, voire commencent à trop dévoiler leurs penchants, avouables ou non, auprès d’avatars communiquant sur des serveurs de messagerie instantanée intégrés aux sites.La piraterie par phishing ne concerne donc plus seulement le simple quidam consultant son compte en ligne. Ce type d’escroqueries concerne aussi les passionnés de divertissements en ligne. Notamment avec le développement de sites de réalité virtuelle en 3D (type second life) avec la banalisation de la communication par avatars interposés aux comportements réalistes. Rappelons que la source des problèmes ne vient pas des créateurs et animateurs de ces sites, mais des escrocs qui s’y introduisent. Claude A.Frison

Passwords harvesting fishing

Pêche aux mots de passe

Étymologiquement, le terme de « phishing » vient de l'expression anglaise « passwords harvesting fishing » (pêche aux mots de passe), utilisée à l’époque des premières attaques de ce type sur les serveurs d’America Online. En français, il est communément traduit par « hameçonnage ». La technique consiste à faire croire aux internautes qu'ils reçoivent un mail de la part d’un site de confiance qu’ils consultent fréquemment. Une page parfaitement imitée les enjoint à compléter une simple case d’identification par mot de passe, pour authentification. Une fois entré et validé, le tour est joué. A l’insu du particulier, en un éclair, l’attaquant peut se connecter sur la page du client et obtenir des renseignements personnels.

Plus grave est la situation quand le pirate, flanqué de ses cyber-acolytes parvient à installer sur le poste client un virus de type troyen (exemple haxdoor.ki). A noter qu’un simple cookie peut contenir ce type de programme. Il s’ajoutera à la base du registre au démarrage du système d’exploitation, se propageant là où il est sensé aller. Une manip d’autant plus facile que beaucoup d’internautes modifient les paramétrages de leurs pare-feux, voire désactivent les contrôles de cookies et de scripts à l’accès, ceci afin d’accélérer la rapidité de leur système, excédés qu’ils sont par les ralentissements que leur fait subir leur programme antiviral. Claude A.Frison

E-learning : la seconde vie de Big Blue

De l'e-learning à l'échelle planétaire. Depuis que Big Blue s'est recentré sur les services, l'irruption de la firme de White Plains dans Second Life est somme toute logique. IBM voit grand et utilise déjà Second Life comme outil de formation pour un millier de ses salariés éparpillés sur la planète. IBM ne fait pas les choses à la légère en matière de BSD (business system development). La jeune équipe de Philip Rosedale du Linden Lab a d'emblée bénéficié de prestations à forte valeur ajoutée (offertes pour certaines en guise de bons procédés). Notamment un système avancé de traduction en temps réel et des outils de visio-conférence, indispensables pour mettre en relation les internautes du monde entier (IBM France est de l'aventure aussi). Les choses sont allées grand train depuis que The Register annonçait les plans "secrets" de la firme en 2006. Pour info, les bases de déploiement furent lancées sous la houlette du boss des développeurs Ian Hughes, pour la circonstance parachuté Metaverse Evangelist entouré d'une escouade de beta-testeur dans un modeste chalet situé en plein centre du Monde SL. Les ingénieurs maisons s'en sont donnés à coeur joie en matière de modélisation. Des expérimentations dont le Linden Lab devrait continuer à bénéficier pour tenter de maintenir sa croissance. Claude A.Frison

Google Documentary : a look inside the machine

Dunno - 46 mn 57 s - 19 juil. 2006 (english version)