Informaticiens : Un pouvoir démesuré et incontrôlé

En maîtrisant la technologie, les informaticiens détiennent un accès privilégié à des données sensibles, confidentielles, et parfois privées. Conséquences: des dérives qui les conduisent régulièrement à des abus.
PAR ALLAN BOWMAN

--------------------------------------------------------------------------------

«Il est extrêmement difficile d'arrêter un informaticien qui veut vraiment faire du mal.» En une phrase, Claude Chollet, directeur de Lanexpert à Lausanne, résume le problème: en quelques décennies, le pouvoir des ingénieurs informatiques est devenu colossal et incontrôlable. En toute impunité, ceux-ci peuvent contrôler tout ce qui se passe sur les ordinateurs. Parfois pour des raisons légitimes de maintenance, parfois aussi pour satisfaire une curiosité personnelle, voire pour exercer un chantage sur leur hiérarchie.

Pas étonnant dans ce contexte que les affaires impliquant des informaticiens se multiplient. Au-delà de la polémique sur la nature des images téléchargées, le scandale qui secoue depuis quelques mois la Radio suisse romande illustre d'ailleurs le phénomène. Mais ce n'est de loin pas la seule histoire.

Qui est à l'origine du scandale fiscal de ce début d'année au Liechtenstein? Un informaticien: Heinrich Kieber, 42 ans. Employé de la LGT Bank entre avril 2001 et novembre 2002, il a d'abord fait chanter son employeur avant de vendre le CD de données, qu'il avait volé, au plus offrant. Résultat, près de 1'000 personnes et leurs données personnelles révélées et un joli pactole pour Kieber: les services fiscaux allemands ont déboursé 4,2 millions d'euros pour ces informations. Aux dernières nouvelles, l'ingénieur se cache en Australie, d'où il commercialise des données à d'autres autorités fiscales concernées. Dans un autre style, ce sont aussi les manipulations d'un informaticien, Imad Lahoud, qui interviennent dans le serpent de mer Clearstream.

Qu'elles deviennent médiatiques ou pas, les affaires se multiplient. Y compris localement. Le juge d'instruction vaudois Jean Treccani ne compte plus les anecdotes d'abus de pouvoir informatique: «récemment, raconte-t-il par exemple, un informaticien dont l'entreprise interdisait strictement l'utilisation d'Internet à des fins privées, a usurpé le login informatique d'un autre employé pour pouvoir surfer au bureau en toute liberté.»

Si, dans le secteur, les responsables minimisent l'importance de ces pratiques, les chiffres, eux, sont éloquents. Selon une étude, réalisée aux Etats-Unis par l'entreprise Cyber-Ark Software, un tiers des responsables informatiques usent de leurs privilèges d'administrateur pour fureter dans le système de leur société et y consulter des informations confidentielles ou privées. L'un des administrateurs réseau interrogé dans l'étude pose la question: «Si vous disposiez de tous les accès, ne feriez-vous pas la même chose?» La dérive omnipotente des informaticiens s'explique en trois points.

1 – Les machines enregistrent tout

«Aujourd'hui, la moindre de nos actions génère des données qui sont stockées dans des serveurs, rappelle David Billard, professeur à l'Unige et expert judiciaire en informatique. En analysant ces informations, il est possible de suivre une personne à la trace.» Mais le sait-on seulement? Les interactions numériques qui ponctuent nos journées sont devenues si fréquentes et naturelles que nous n'y pensons même plus. En France, chaque habitant figure en moyenne dans 300 à 500 fichiers informatiques différents, selon les chiffres de la Commission nationale de l'informatique et des libertés (CNIL).

Les serveurs des opérateurs téléphoniques stockent les textes des SMS. Ils notent les heures et les destinataires des conversations. Les antennes des réseaux mobiles localisent les usagers. Les opérateurs de carte de crédit suivent les achats et mémorisent lieux, dates et montants. Les fournisseurs d'accès à Internet, ou les gestionnaires du réseau d'une entreprise, voient sur quels sites surfent leurs usagers, combien de temps ils restent sur chaque page, quels images et morceaux de musiques sont téléchargés. Les textes envoyés sur tchat ou e-mail ont la confidentialité d'une carte postale. A chaque nœud du réseau internet (appelé routeur), les responsables informatiques peuvent lire, filtrer et policer tout ce qui circule. «Dans une entreprise, les données, en particulier les courriers électroniques, sont lisibles à n'importe quel endroit du réseau, explique Stéphane Koch, président d'Internet Society Geneva et expert en sécurité de l'information. Le risque qu'une personne malveillante les intercepte est réel.»

2 – Trop d'informaticiens ont accès à trop d'informations

«J'avais à peine 23 ans, je venais de commencer un stage dans le service informatique d'une grande multinationale, se souvient un ingénieur genevois. On m'a confié la maintenance des serveurs de courrier électronique. Après une semaine de travail, je pouvais lire les mails de toute l'entreprise, y compris ceux du directeur général. Personne ne réalisait à quel point cela me donnait une position stratégique d'une importance démesurée par rapport à mon poste. J'aurais pu tout savoir des infidélités de mes patrons ou de la stratégie du groupe. Vertigineux.»

Bref, les techniciens peuvent tout surveiller, sur demande de leur hiérarchie ou pas d'ailleurs. «Lorsque je les interroge, je m'aperçois que la plupart considère qu'il est tout à fait normal qu'ils disposent d'accès privilégiés à des informations confidentielles», note le juge Treccani. Avec les risques que cela implique pour l'entreprise: «J'ai travaillé sur le cas d'un informaticien qui avait dérobé des données concernant les salaires des autres employés. Il a ensuite diffusé le document à une très large échelle pour créer des conflits au sein de l'entreprise.»

«Légalement, comme n'importe quels autres employés d'ailleurs, les informaticiens sont tenus de respecter le secret professionnel, rappelle Pieric Henneberger, juriste auprès de DroitActif, un cabinet spécialisé en droit du travail. En aucun cas ils ne peuvent révéler ou utiliser à l'extérieur les informations qu'ils découvrent dans le cadre de leur travail.» Mais, dès que plusieurs ingénieurs disposent d'accès privilégiés, et non contrôlés, tous les scénarii sont envisageables.

En 2004 dans le canton de Vaud, la copie d'un procès-verbal de la «Cellule de crise» concernant les renvois d'étrangers s'est retrouvée dans la presse. Après une plainte du conseiller d'Etat Jean-Claude Mermoud, la justice a été chargée de retrouver l'auteur de la fuite. «Le document avait été transmis à quatorze destinataires par e-mail, raconte Jean Treccani, juge d'instruction du canton de Vaud. A côté de ces 14 suspects, il est apparu que 25 informaticiens bénéficiaient d'accès privilégiés à toutes les boites aux lettres électroniques! Théoriquement, tous auraient pu accéder à ce mail sans laisser de trace. En les interrogeant, je me suis rendu compte que beaucoup n'avaient pas de raison sérieuse de disposer de ces droits d'accès. Je n'ai jamais pu retrouver l'auteur de la fuite.»

3 – Manque de surveillance

Dans les entreprises, on considère généralement le département informatique comme un service d'entretien. Tant que ça marche, la direction se préoccupe peu de son organisation. Pire, comme personne ou presque ne comprend leur jargon, l'autonomie des informaticiens s'en trouve renforcée.. «Comme il est très facile pour eux de m'embrouiller avec leurs termes techniques, ils se permettent tout, peste un dirigeant haut placé dans une banque romande. L'un d'eux, même pas trente ans, m'a récemment donné un ordre, comme s'il était mon supérieur hiérarchique!»

Comment un employeur peut-il réagir face à cela? Pour le juge d'instruction Jean Treccani, «il y a des lacunes énormes en ce qui concerne l'éthique des informaticiens. Dans leur formation, il n'y a aucun cours sur ce sujet. Par ailleurs, selon le juge, les entreprises ne gèrent pas avec la vigilance nécessaire l'accès aux informations sensibles. «Je suis étonné qu'il n'existe pas de double contrôle pour accéder aux fichiers sensibles, à l'instar de ce qui existe en matière de signatures sociales.»

Une autre solution pour protéger le contenu de son ordinateur consiste à crypter l'intégralité du contenu de son disque dur et ses mails. «Mais, pour que le destinataire les lise, il faut qu'il dispose du même système de codage et qu'il en possède la clé», explique Stéphane Koch. C'est un réel problème pour les entreprises sensibles, comme les banques, qui pour cette raison ne peuvent pas garantir la confidentialité des informations échangées par e-mail avec leurs clients.

«L'erreur que font certaines entreprises vient de l'absence de règles, estime Christophe Andrea, président du Groupement romand de l'informatique (GRI). Les informaticiens devraient signer des clauses de confidentialité qui précisent clairement ce qu'ils ont droit de faire et ce qui est interdit». Une pratique qui ne semble que commencer à se généraliser: «Pour la première fois, je viens de signer une clause de confidentialité», dit Laurent Magne, informaticien du groupe Bedag. Ces chartes ne peuvent cependant pas grand choses face à des malversations intentionnelles. Afin de minimiser les risques, certaines entreprises choisissent de diviser les responsabilités informatiques entre plusieurs personnes ou de surveiller le travail de leurs informaticiens.

Au CHUV, par exemple, un cadre est chargé de surveiller le département informatique. Mais, même avec de tels systèmes, «il est très difficile de se protéger des malveillances internes, reconnaît Claude Chollet de Lanexpert. Car, même si le réseau informatique d'une société est très protégé, avec une gestion des droits d'accès très stricte, au bout de la chaîne, il y a toujours un informaticien qui gère l'ensemble des droits. Celui-là a forcément accès à tout.»

-------
Comment se protéger

PC ou Macintosh?
Moins attaqués par les virus informatiques, les Mac ne présentent pas d'avantages majeurs par rapport aux PC quand il s'agit d'espionnage interne. Le réseau informatique d'une entreprise, qu'il soit sur Mac ou PC, permet aux informaticiens de voir ce qu'il se passe sur les postes des autres salariés.

Fixe ou portable?

Posé sur un bureau, un ordinateur portable présente exactement les mêmes inconvénients qu'un fixe. Mais, en déplacement, les risques sont différents: perte, vol, les données d'un laptop se retrouvent plus facilement entre de mauvaises mains. Pour Cédric Renouard, l'un des trois fondateurs d'Illion Security, «la mobilité exige des mesures spécifiques de sécurité, comme le cryptage des données».

PDA?

Attention! «Aujourd'hui, les gens utilisent leur PDA de la même manière que leur ordinateur: ils envoient des mails, des SMS, des MMS, sauvegardent des fichiers importants, téléphonent... Pourtant, la sécurité de ces appareils est ridicule par rapport à ce que l'on dispose sur un PC, prévient Cédric Renouard. Ils n'ont pas d'antivirus, pas de firewall, rien.»

Mail pro ou mail privé?

Le courrier envoyé et reçu depuis un logiciel comme Outlook, Lotus ou Entourage est visible sans aucune difficulté par le gestionnaire du serveur mail de l'entreprise, mais aussi par n'importe quel technicien qui dispose d'un accès au routeur qui relie l'entreprise au réseau internet. Les mails sont aussi visibles auprès de l'opérateur (fournisseur d'accès) qui gère la connexion de l'entreprise.

Les systèmes de «webmail» comme Hotmail (Microsoft), Gmail (Google) ou Bluemail (Bluewin) offrent une plus grande confidentialité. En effet, le texte des messages est crypté lorsqu'il quitte la machine de l'usager, et ne sera décrypté que sur le serveur du prestataire. Le message circule alors en clair à partir d'un serveur lointain (par exemple, celui de Microsoft se trouve à Redmond), ce qui offre une plus grande sécurité car la curiosité est généralement plutôt locale.

Effectivement à ce jour les informaticiens disposent "suffisemment" de liberté pour accéder aux données sensibles et pouvoir faire du chantage.

Personnellement je pense que les dérives liés à l'informatique sont issues de plusieurs points.

1. l'âge de l'informatique.

Il est vrai que nous pensons que l'informatique a toujours existé car nous sommes né avec mais il ne faut pas oublier que nous sommes la "1ère" génération à être né avec l'informatique.

De ce fait, toutes les entreprises ont du s'ajuster avec cette nouvelle technologie, entrainent pour cela des acquisitions de nouvelles connaissances, nouveaux employés, etc....

Dans ce cadre il est normal que des lacunes surviennent (et pas seulement en terme de sécurité), se mettre à jour en informatique ne se fait pas du jour au lendemain, cela nécessite une logistique conséquente comme :

- mettre en place le système informatique (créer des comptes utilisateurs, prévenir les fournisseurs, gérer la sécurité informatique, panne, etc....)
- former les nouveaux employés à une technologie complètement nouvelle (rappellez-vous nos début en programmation au début de notre formation)
- transferer toute les données scripturale en données numériques (base de données)

2. la législation.

Malgré les avancements qu'on peut constater au niveau légal, l'informatique reste un domaine où les lois ne sont pas encore clairement défini sur tout les points et où il est difficile d'avoir une solution simple et concret.

Effectivement un informaticien est "censé" être tenu au secret de travail, mais jusqu'à quel point peut-il être tenu au secret? Contrairement à d'autres domaines l'informatique soulève des problèmes d'ambiguité, par exemple en chimie, un employé pourrait être tenu de ne pas révéler une composition secrète à l'entreprise, dans ce cas il est assez facile de pouvoir accuser ou non l'employé, soit il le dit soit il le dit pas.

Dans le cas de la RSR, l'informaticien d'après ses dires aurait vu des images de type pédophile, de là il se trouvait dans une situation difficile, devait-il dénoncer ces images et briser le secret dont il était tenu (donc théoriquement condamnable) ou garder le secret dont il était tenu et être complice de pornographie infantile?

3. technologie désuète.

Les entreprises ont du mal à rester à la pointe de la technologie favorisant les nouvelles technologies aux piratages de données.

Ces causes peuvent être dû à plusieurs raison dont le manque de connaissances, les coûts économiques, une logisitique trop importante, etc....

Si une entreprise pouvaient se mettre à jour régulièrement elle diminuerait ses coûts et risque en terme de sécurité, par exemple l'anecdote du vol de compte afin d'envoyer des données sensibles auraient pu être évité grâce à un login de type empreinte digitale.

Pour conclure je pense personnellement, que les risques informatiques ne peuvent évidemment pas être complètement évitée, mais qu'une bonne connaissances de notions informatiques est souhaitable afin de pouvoir surveiller et mettre des limites aux abus informatique.

Allan a écrit:: Mail pro ou mail privé?

Le courrier envoyé et reçu depuis un logiciel comme Outlook, Lotus ou Entourage est visible sans aucune difficulté par le gestionnaire du serveur mail de l'entreprise, mais aussi par n'importe quel technicien qui dispose d'un accès au routeur qui relie l'entreprise au réseau internet. Les mails sont aussi visibles auprès de l'opérateur (fournisseur d'accès) qui gère la connexion de l'entreprise.

On utilise Lotus chez nous, tu crois vraiment qu'il n'est pas crypté? Le "Confidential" et le "Restricted" quand tu envoies le message c'est pour les cleps?
De plus chaque mail sortant et entrant son lu par la sécurité, ce qui est tout à fait normal lorsque tu travailles dans un milieu bancaire/assurance/recherche... On ne demande pas aux collaborateurs d'utiliser leur mail professionnel en poubelle à spam privé aussi.
Bon après si l'utilisateur choisi "Unrestricted"... bah c'est son problème.

Jon a écrit:: Dans le cas de la RSR, l'informaticien d'après ses dires aurait vu des images de type pédophile, de là il se trouvait dans une situation difficile, devait-il dénoncer ces images et briser le secret dont il était tenu (donc théoriquement condamnable) ou garder le secret dont il était tenu et être complice de pornographie infantile?

Il en a parlé à son chef...ça il a droit. Mais son chef a choisi de ne pas remonter le problème... dès lors que ton chef te dit je m'en occupe et non on ne fera rien... Tu te tais.
Le mec a été gueuler à la direction, et maintenant il fait une grève de la faim... pitoyable.
Les photos en questions était de jeune fille difficilement jugeable mineure, d'ailleurs il n'y a que l'informaticien en question qu'il les a jugé ainsi... enfin.
D'ailleurs j'espère que ça marquera les gens, à savoir au boulot on matte pas du Q et on fait attention à ce qu'on fait sur son accompte, car tout est logué.

Sebastien a écrit:

Allan a écrit:: Mail pro ou mail privé?

Le courrier envoyé et reçu depuis un logiciel comme Outlook, Lotus ou Entourage est visible sans aucune difficulté par le gestionnaire du serveur mail de l'entreprise, mais aussi par n'importe quel technicien qui dispose d'un accès au routeur qui relie l'entreprise au réseau internet. Les mails sont aussi visibles auprès de l'opérateur (fournisseur d'accès) qui gère la connexion de l'entreprise.

On utilise Lotus chez nous, tu crois vraiment qu'il n'est pas crypté? Le "Confidential" et le "Restricted" quand tu envoies le message c'est pour les cleps?
De plus chaque mail sortant et entrant son lu par la sécurité, ce qui est tout à fait normal lorsque tu travailles dans un milieu bancaire/assurance/recherche... On ne demande pas aux collaborateurs d'utiliser leur mail professionnel en poubelle à spam privé aussi.
Bon après si l'utilisateur choisi "Unrestricted"... bah c'est son problème.

Oui c'est vrai dans le cas de LODH au niveau des restriction et des sécurité ainsi que la majorité des autre boites manipulant des info secrete ou une somme d argent considérable qui y transite..

Mais sinon au niveau des petite boite et dans des domaines autres que tu as cité, l'exemple que je citai les concerne le plus..

abeH a écrit:

Sebastien a écrit:

Allan a écrit:: Mail pro ou mail privé?

Le courrier envoyé et reçu depuis un logiciel comme Outlook, Lotus ou Entourage est visible sans aucune difficulté par le gestionnaire du serveur mail de l'entreprise, mais aussi par n'importe quel technicien qui dispose d'un accès au routeur qui relie l'entreprise au réseau internet. Les mails sont aussi visibles auprès de l'opérateur (fournisseur d'accès) qui gère la connexion de l'entreprise.

On utilise Lotus chez nous, tu crois vraiment qu'il n'est pas crypté? Le "Confidential" et le "Restricted" quand tu envoies le message c'est pour les cleps?
De plus chaque mail sortant et entrant son lu par la sécurité, ce qui est tout à fait normal lorsque tu travailles dans un milieu bancaire/assurance/recherche... On ne demande pas aux collaborateurs d'utiliser leur mail professionnel en poubelle à spam privé aussi.
Bon après si l'utilisateur choisi "Unrestricted"... bah c'est son problème.

Oui c'est vrai dans le cas de LODH au niveau des restriction et des sécurité ainsi que la majorité des autre boites manipulant des info secrete ou une somme d argent considérable qui y transite..

Mais sinon au niveau des petite boite et dans des domaines autres que tu as cité, l'exemple que je citai les concerne le plus..

Ouais

Sebastien a écrit:

abeH a écrit:

Sebastien a écrit:

Allan a écrit:: Mail pro ou mail privé?

Le courrier envoyé et reçu depuis un logiciel comme Outlook, Lotus ou Entourage est visible sans aucune difficulté par le gestionnaire du serveur mail de l'entreprise, mais aussi par n'importe quel technicien qui dispose d'un accès au routeur qui relie l'entreprise au réseau internet. Les mails sont aussi visibles auprès de l'opérateur (fournisseur d'accès) qui gère la connexion de l'entreprise.

On utilise Lotus chez nous, tu crois vraiment qu'il n'est pas crypté? Le "Confidential" et le "Restricted" quand tu envoies le message c'est pour les cleps?
De plus chaque mail sortant et entrant son lu par la sécurité, ce qui est tout à fait normal lorsque tu travailles dans un milieu bancaire/assurance/recherche... On ne demande pas aux collaborateurs d'utiliser leur mail professionnel en poubelle à spam privé aussi.
Bon après si l'utilisateur choisi "Unrestricted"... bah c'est son problème.

Oui c'est vrai dans le cas de LODH au niveau des restriction et des sécurité ainsi que la majorité des autre boites manipulant des info secrete ou une somme d argent considérable qui y transite..

Mais sinon au niveau des petite boite et dans des domaines autres que tu as cité, l'exemple que je citai les concerne le plus..

Ouais

Quoi "Ouais" ??? Argumente .. !! mort de rire

Bah ouais... j'agree +1 si tu préfères :DD

» Manque d'informaticiens diplomes en vue