Apple accuse la startup Rivos de vol de données, Réactions à la publication du 03/05/2022

[Sethy]

Ouais comme la fois où ma boîte m'a appelé pour céder car le client d'une très grosse entreprise m'a demandé de prêter quelques jours mon PC client à un collègue car son PC n'était pas prêt, ordinateur sous ma responsabilité en communiquant tous mes identifiants et accès a ma messagerie pro, aux outils et environnement de production à mon nom alors que j'avais signé une charte de confidentialité de protection de mes mdp et de mes données clients , je trouve ça très limite et j'ai du accepter de très mauvaise grâce en envoyant un mail pour me dédouaner de toute responsabilité.
Alors oui le PC n'est pas ma propriété mais c'est bien moi qui en ait la charge
Ca ne fait pas très sérieux pour une grosse boîte française...

Pour ma part, cela viole clairement (à tout le moins) le RGPD (et certainement d'autres dispositions antérieures). Il suffit de s'arrêter aux mails que tu aurais (ou pourrait) avoir reçu (ou envoyé) au service du personnel.

Ces mails, sont certes liés au travail (et donc pas illégitime), mais sont couverts par le respect de la vie privée.

Est-ce que le service du personnel était au courant ? Ont-ils validé ?

[iAPX]

+100

Quoique drôle en même temps, de la personne @joe75 se vantant de conserver par devers-lui et sans informer la Propriété Industrielle d'ex-employeurs, et en même temps se plaignant que des données personnelles qui sont elles aussi couvertes (autres raisons, autres lois, mais même finalité) aient pu être accessibles par d'autres, alors que tout échange avec les HR doit évidemment se faire depuis un appareil et un compte personnels, pour en garder la trace et le contrôle.
Et en sachant aussi qu'il n'y a aucun échange protégé entre un employé et d'autres, ces échanges ne sont et doivent jamais être personnels.

Quand à cette société, elle doit être quittée immédiatement: ils sont à la ramasse!!!

Ce message a été modifié par iAPX - 5 May 2022, 21:49.

[zebigbug]

Ouais comme la fois où ma boîte m'a appelé pour céder car le client d'une très grosse entreprise m'a demandé de prêter quelques jours mon PC client à un collègue car son PC n'était pas prêt, ordinateur sous ma responsabilité en communiquant tous mes identifiants et accès a ma messagerie pro, aux outils et environnement de production à mon nom alors que j'avais signé une charte de confidentialité de protection de mes mdp et de mes données clients , je trouve ça très limite et j'ai du accepter de très mauvaise grâce en envoyant un mail pour me dédouaner de toute responsabilité.
Alors oui le PC n'est pas ma propriété mais c'est bien moi qui en ait la charge
Ca ne fait pas très sérieux pour une grosse boîte française...

Pour ma part, cela viole clairement (à tout le moins) le RGPD (et certainement d'autres dispositions antérieures). Il suffit de s'arrêter aux mails que tu aurais (ou pourrait) avoir reçu (ou envoyé) au service du personnel.

Ces mails, sont certes liés au travail (et donc pas illégitime), mais sont couverts par le respect de la vie privée.

Est-ce que le service du personnel était au courant ? Ont-ils validé ?

L'ordinateur et son contenu appartient à l'entreprise.
Tu n'as pas le droit de divulguer les informations a des tiers.
Si ton patron te demande tes codes , tu dois lui donner car il en a besoin pour accéder a ses données car ton travail lui appartient.

une rapide recherche sur google

https://www.fo-cadres.fr/un-salarie-peut-il...-son-employeur/

Je ne suis pas adhèrent de fo cadre , ni lié à eux ...

[Sethy]

L'ordinateur et son contenu appartient à l'entreprise.
Tu n'as pas le droit de divulguer les informations a des tiers.
Si ton patron te demande tes codes , tu dois lui donner car il en a besoin pour accéder a ses données car ton travail lui appartient.

une rapide recherche sur google

https://www.fo-cadres.fr/un-salarie-peut-il...-son-employeur/

Je ne suis pas adhèrent de fo cadre , ni lié à eux ...

Ce n'est pas contradictoire. Oui, cela appartient à l'entreprise - mais - elle ne peut pas en faire ce qu'elle veut.

Ta maison t'appartient, mais il y a certaines choses que tu ne peux pas faire. Exemple : rendre aveugle tout le rez-de-chaussée en murant les fenêtres est quelque chose d'interdit.

Ici, c'est pareil. Ils peuvent te demander tes codes et te demander de rendre le PC. Mais le RGPD est clair dans son esprit : il faut que l'utilisation de ceux-ci soit légitime. Exemple légitime : donner le PC à un collègue qui reprend le travail en cours car tu es malade. Exemple illégitime : le chef qui parcourt la mailbox en lisant tous les mail "juste pour savoir".

Ici, c'est encore pire puisque le PC et les identifiants sont prêtés en dehors de l'entreprise. Je suis sûr que la société serait condamnée pour cela. Et c'est pour cela que je parle du service du personnel.

Il faut aussi savoir que dans ces cas-là, seul le responsable porte la responsabilité (les préposés et mandataires, des préposés et mandataires de l'entreprise, ne sont ni co-auteurs, ni complices). Autrement dit tout subalterne qui reçoit une consigne de la part de quelqu'un qui a un réel pouvoir ou même un pouvoir supposé*, ne peut en aucun cas être vu comme un co-auteur ou un complice. Par pouvoir supposé, il faut comprendre par exemple un(e) collègue qui agirait comme un(e) gérant(e) en acceptant les congés, en transmettant les consignes de la maison-mère, etc. Même si elle n'a pas un contrat de gérant(e), si la personne agit comme telle, cela suffit pour dédouaner le collaborateur.

Je ne suis pas juriste, mais j'ai été en reprise d'étude pendant 2 ans (M1/M2) et j'ai suivi plusieurs cours de droit : droit social, droit du travail, droit des relations individuelles (contrat de travail, licenciement), droit des relations collectives (élections sociales, ...), droit de la réparation (accident de travail et maladie professionnelle, en étudiant libre) et droit pénal social (en gros, ce que les enquêteurs sociaux font quand ils descendent dans une entreprise pour des contrôles, cours trrrès intéressant donné par un Procureur en fonction, en étudiant libre).

Je pense donc avoir une vision assez claire de ce qui est condamnable, interdit, permis, ou pas.

[captaindid]

...

Au pire je passerais pour un vieux con, merci en tout cas

malloc rit parce que tu as mal compris ce que Lionel disais:
"mon fils juste pour son stage de fin d'études travaille dans une société proche de La Défense"
il a dit : proche du quartier de la Défense près de Paris (grand centre d'affaires)
tu as compris : dans le domaine de la défense (l'industrie militaire)
c'est tout ...

[iAPX]

...

Au pire je passerais pour un vieux con, merci en tout cas

malloc rit parce que tu as mal compris ce que Lionel disais:
"mon fils juste pour son stage de fin d'études travaille dans une société proche de La Défense"
il a dit : proche du quartier de la Défense près de Paris (grand centre d'affaires)
tu as compris : dans le domaine de la défense (l'industrie militaire)
c'est tout ...

Oui j'ai compris après, grâce à @malloc que j'ai d'ailleurs remercié en privé, et c'est pour cela que j'ai posté publiquement ce message où je me qualifie moi-même de "vieux con" avec justesse, car il ne faut pas vouloir effacer nos erreurs, mais les comprendre et en rire

Ce message a été modifié par iAPX - 6 May 2022, 18:45.

[zebigbug]

L'ordinateur et son contenu appartient à l'entreprise.
Tu n'as pas le droit de divulguer les informations a des tiers.
Si ton patron te demande tes codes , tu dois lui donner car il en a besoin pour accéder a ses données car ton travail lui appartient.

une rapide recherche sur google

https://www.fo-cadres.fr/un-salarie-peut-il...-son-employeur/

Je ne suis pas adhèrent de fo cadre , ni lié à eux ...

Ce n'est pas contradictoire. Oui, cela appartient à l'entreprise - mais - elle ne peut pas en faire ce qu'elle veut.

Ta maison t'appartient, mais il y a certaines choses que tu ne peux pas faire. Exemple : rendre aveugle tout le rez-de-chaussée en murant les fenêtres est quelque chose d'interdit.

Ici, c'est pareil. Ils peuvent te demander tes codes et te demander de rendre le PC. Mais le RGPD est clair dans son esprit : il faut que l'utilisation de ceux-ci soit légitime. Exemple légitime : donner le PC à un collègue qui reprend le travail en cours car tu es malade. Exemple illégitime : le chef qui parcourt la mailbox en lisant tous les mail "juste pour savoir".

Ici, c'est encore pire puisque le PC et les identifiants sont prêtés en dehors de l'entreprise. Je suis sûr que la société serait condamnée pour cela. Et c'est pour cela que je parle du service du personnel.

Il faut aussi savoir que dans ces cas-là, seul le responsable porte la responsabilité (les préposés et mandataires, des préposés et mandataires de l'entreprise, ne sont ni co-auteurs, ni complices). Autrement dit tout subalterne qui reçoit une consigne de la part de quelqu'un qui a un réel pouvoir ou même un pouvoir supposé*, ne peut en aucun cas être vu comme un co-auteur ou un complice. Par pouvoir supposé, il faut comprendre par exemple un(e) collègue qui agirait comme un(e) gérant(e) en acceptant les congés, en transmettant les consignes de la maison-mère, etc. Même si elle n'a pas un contrat de gérant(e), si la personne agit comme telle, cela suffit pour dédouaner le collaborateur.

Je ne suis pas juriste, mais j'ai été en reprise d'étude pendant 2 ans (M1/M2) et j'ai suivi plusieurs cours de droit : droit social, droit du travail, droit des relations individuelles (contrat de travail, licenciement), droit des relations collectives (élections sociales, ...), droit de la réparation (accident de travail et maladie professionnelle, en étudiant libre) et droit pénal social (en gros, ce que les enquêteurs sociaux font quand ils descendent dans une entreprise pour des contrôles, cours trrrès intéressant donné par un Procureur en fonction, en étudiant libre).

Je pense donc avoir une vision assez claire de ce qui est condamnable, interdit, permis, ou pas.

Je suis désolé mais tu te trompes

la RGPD concerne les données collectées qui identifie une personne .

https://www.cnil.fr/fr/rgpd-de-quoi-parle-t-on

plus clairement
Une donnée personnelle est décrite par la CNIL comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Il existe 2 types d’identifications :

identification directe (nom, prénom etc.)
identification indirecte (identifiant, numéro etc.).
Lorsqu’une opération ou un ensemble d’opérations portant sur des données personnelles sont effectuées, on considère qu’il s’agit de traitement de données personnelles. La CNIL donne les actions suivantes à titre d’exemple du traitement des données :

tenue d’un fichier de ses clients
collecte de coordonnées de prospects via un questionnaire
mise à jour d’un fichier de fournisseurs

https://www.economie.gouv.fr/entreprises/re...es-donnees-rgpd


les données qui sont sur l'ordinateur son le produit de ton travail donc rien à voir. Travailler
-- sur un microprocesseur
-- sur le design
-- le développement d'un logiciel
ne rentre pas dans le domaine de la donnée personnelle.

La cour de cassation a été trés claire ;
source

https://www.senat.fr/questions/base/2016/qSEQ160119576.html

Selon une jurisprudence judiciaire constante, les dossiers et fichiers créés par le salarié grâce à l'outil informatique mis à sa disposition pour l'exécution de ses fonctions, sont présumés, sauf si le salarié les identifie comme personnels, avoir un caractère professionnel, de sorte que l'employeur est libre de les consulter, même en l'absence de l'intéressé (Cass, social, 18 octobre 2006, n°04-48.025).


En clair
[email protected] est une donnée personnelle
[email protected] n'est pas une donnée personnelle

Néanmoins la cnil reste clairelaire sur le sujet

https://www.cnil.fr/fr/cnil-direct/question...ut-il-y-acceder

Messagerie professionnelle : mon employeur peut-il y accéder ?
Oui.

Tout message envoyé ou reçu depuis votre messagerie professionnelle est supposé avoir un caractère professionnel, sauf s'il est clairement identifié comme étant personnel (par exemple, avec l'indication "Personnel" ou "Privé" en objet) ou classé dans un répertoire "Personnel".

Un message identifié comme personnel est considéré comme une correspondance privée et votre employeur doit en respecter le secret. La violation du secret des correspondances est une infraction pénale !

Par contre il peut lire vos messages professionnels.

Cette protection n'existe plus si une enquête judiciaire est en cours (par exemple, si vous êtes accusé de vol de secrets de l'entreprise) ou si votre employeur a obtenu une décision d'un juge l'autorisant à accéder à ces messages. Votre employeur peut ainsi demander au juge de faire appel à un huissier qui pourra prendre connaissance de vos messages.

En cas de litige, il appartient aux tribunaux d'apprécier la régularité et la proportionnalité de l'accès par votre employeur à la messagerie. La CNIL n'est pas compétente sur ce point.


concernant ta phrase

Ta maison t'appartient, mais il y a certaines choses que tu ne peux pas faire. Exemple : rendre aveugle tout le rez-de-chaussée en murant les fenêtres est quelque chose d'interdit.

Perdu , c'est possible !
Quand ta maison est dangereuse, par exemple ou pour lutter contre les intrusions en l'absence d'occupant.

Apres si le service urbanisme considère que la modification est trop importante, il peut te l'interdire car il considère cela comme une modification importante et non mineure.
Mais là , encore cela aucun rapport, car on parle de permis de construire (engagement à construire une maison selon des normes et un cahier des charges ) .

Ce message a été modifié par zebigbug - 7 May 2022, 17:11.

[Sethy]

En cas de litige, il appartient aux tribunaux d'apprécier la régularité et la proportionnalité de l'accès par votre employeur à la messagerie. La CNIL n'est pas compétente sur ce point.

Tout est là.

C'est exactement ce que je disais dans les 2 exemples que j'avais pris. Le collègue en cas de maladie, oui, mais le chef qui veut juste lire tout le mail sans aucune raison, non.

C'est cela qui est entendu par le mot "proportionnalité" dans l'extrait du CNIL. C'est comme dans la légitime défense qui impose que la réponse soit proportionnelle à l'agression. Cette notion est centrale dans les décisions en matière de droit du travail (exemple : fouille à la sortie, caméra sur les caissiers/caissières dans les grandes surfaces, etc.).

Oui, les données appartiennent à l'entreprise, mais non, elle ne peut pas faire ce qu'elle veut. En dernier recours, c'est bien aux tribunaux de se prononcer.

P.S. : Pour les fenêtres, je vais tenter de retrouver l'extrait mais ce n'est qu'un exemple pour montrer qu'un propriétaire ne peut pas faire ce qu'il veut. Il y en a d'autres, à la pelle : exemple : modifier son véhicule au point de mettre en danger son certificat de conformité, etc.

[ades]

pour les maisons c'est possible, mais comme il y a modification de la façade, il faut faire une déclaration préalable de travaux ou dans certains cas demander un permis de construire (MH ou autres servitudes).Maintenant si c'est un logement en RdC, il est bien possible que le Code de la construction et de l'habitation interdise que le local soit habité

[joe75]

Je vous remercie pour tout vos retours...mais je crois que je vous ai perdu, ma crainte ce n'est pas que l employeur (enfin ici mon client puisse accéder aux données sur l ordinateur qu'il a mis à ma disposition ).
C est qu'à sa demande je sois "obligé de fournir à un tiers même si c est un collègue tous les accès avec mes
propres identifiant, messagerie, y compris à des serveurs de production...pour qu il
puisse se familiariser avec les outils de la boîte en mon absence...

Sans être complètement parano, s il avait été mal intentionné ou mème simplement distrait, il aurait pu occasionner des dégâts avec ma signature Informatique.

+100
Et en sachant aussi qu'il n'y a aucun échange protégé entre un employé et d'autres, ces échanges ne sont et doivent jamais être personnels.

Quand à cette société, elle doit être quittée immédiatement: ils sont à la ramasse!!!

Je confirme que ce jour là je me suis écrasé après plusieurs discussions houleuses par téléphone.

j'ai couvert (un peu) mes arrières avec le mail envoyé à la boîte et au client pour me décharger de toute responsabilité suite au prêt du PC portable.

[zebigbug]

En cas de litige, il appartient aux tribunaux d'apprécier la régularité et la proportionnalité de l'accès par votre employeur à la messagerie. La CNIL n'est pas compétente sur ce point.

Tout est là.

C'est exactement ce que je disais dans les 2 exemples que j'avais pris. Le collègue en cas de maladie, oui, mais le chef qui veut juste lire tout le mail sans aucune raison, non.

C'est cela qui est entendu par le mot "proportionnalité" dans l'extrait du CNIL. C'est comme dans la légitime défense qui impose que la réponse soit proportionnelle à l'agression. Cette notion est centrale dans les décisions en matière de droit du travail (exemple : fouille à la sortie, caméra sur les caissiers/caissières dans les grandes surfaces, etc.).

Oui, les données appartiennent à l'entreprise, mais non, elle ne peut pas faire ce qu'elle veut. En dernier recours, c'est bien aux tribunaux de se prononcer.

P.S. : Pour les fenêtres, je vais tenter de retrouver l'extrait mais ce n'est qu'un exemple pour montrer qu'un propriétaire ne peut pas faire ce qu'il veut. Il y en a d'autres, à la pelle : exemple : modifier son véhicule au point de mettre en danger son certificat de conformité, etc.

lis le paragraphe en entier..
Il peut faire ce qu'il veut sauf lire tes mails avec le mot personnel
Sauf s'il y a une enquête alors le secret des correspondances ne tient plus.

[zebigbug]

Je vous remercie pour tout vos retours...mais je crois que je vous ai perdu, ma crainte ce n'est pas que l employeur (enfin ici mon client puisse accéder aux données sur l ordinateur qu'il a mis à ma disposition ).
C est qu'à sa demande je sois "obligé de fournir à un tiers même si c est un collègue tous les accès avec mes
propres identifiant, messagerie, y compris à des serveurs de production...pour qu il
puisse se familiariser avec les outils de la boîte en mon absence...

Sans être complètement parano, s il avait été mal intentionné ou mème simplement distrait, il aurait pu occasionner des dégâts avec ma signature Informatique.

+100
Et en sachant aussi qu'il n'y a aucun échange protégé entre un employé et d'autres, ces échanges ne sont et doivent jamais être personnels.

Quand à cette société, elle doit être quittée immédiatement: ils sont à la ramasse!!!

Je confirme que ce jour là je me suis écrasé après plusieurs discussions houleuses par téléphone.

j'ai couvert (un peu) mes arrières avec le mail envoyé à la boîte et au client pour me décharger de toute responsabilité suite au prêt du PC portable.

Je souhaite connaître exactement ta relation ...
Si on parle d'employeur , je reste sur mon point de vue
si on parle de client , c'est différent.
Si demain , ton ordinateur , tombe en panne , et je t'en prête un , alors tes données restent TA propriété car c'est TON travail.
Si c'est ordinateur n'a servi que ta commande , pas de souci
S'il a servi pour d'autres choses , c'est plus délicat.
Dans tous les cas, je t'invite à effacer tout document personnel ou autre travail non lié à ton client avec un logiciel spécialisé
capable de nettoyage de l'espace libre de manière sécurisée
mais avant
supprimer cookie, historique, cache des navigateurs ou document sans rapport

En étant parano , je peux penser que récupérer un pc me permet de savoir ce qui a été fait avec et ou la personne est allé sur internet ...

Par contre, toujours se couvrir avec un mail d'une personne identifié sur ton adresse perso ou si cela a été fait sur une adresse professionnelle imprimé avec les entêtes ;-)

Cette demande me surprend, elle cache quelque chose ( perte du projet ?) ou tentative de piratage par une personne qui se fait passer pour le client ?

Il existe des logiciels avec des limitations dans le nombre de connections, mais dans ton cas , je ne comprends pourquoi l'admin ne créé pas un profil pour le "nouveau" sachant que ce dernier va potentiellement faire des erreurs, s'il a tous les droits .

Après la sécurité est telle, que mettre un autre ordinateur dans le reseau soit si compliqué ou cher, qu'il a choisi la solution de facilité ....

[iAPX]

....
Dans tous les cas, je t'invite à effacer tout document personnel ou autre travail non lié à ton client avec un logiciel spécialisé
capable de nettoyage de l'espace libre de manière sécurisée
mais avant
supprimer cookie, historique, cache des navigateurs ou document sans rapport
...

Ça n'existe pas, ça n'est plus possible depuis longtemps, plus encore avec les stockages Flash.

La norme NIST SP800-88 préconise deux options: la destruction physique du stockage (et donc de la carte-mère qui va avec chez Apple), ou d'avoir activé du chiffrement avant toute création/copie de fichier pour qu'ils n'aient jamais été présents non-chiffrés, et d'effacer/détruire la clé de chiffrement.
En dehors de ces deux options rien ne fonctionne de manière garantie, on est en 2022 plus en 1992, et les pseudos-logiciels d'effacement ne garantissent aucunement un effacement, même sur un disque dur classique, encore moins si il est SMR.

Ce message a été modifié par iAPX - 8 May 2022, 00:34.

[joe75]

Je souhaite connaître exactement ta relation ...
Si on parle d'employeur , je reste sur mon point de vue
si on parle de client , c'est différent.

Par contre, toujours se couvrir avec un mail d'une personne identifié sur ton adresse perso ou si cela a été fait sur une adresse professionnelle imprimé avec les entêtes ;-)

C
Après la sécurité est telle, que mettre un autre ordinateur dans le reseau soit si compliqué ou cher, qu'il a choisi la solution de facilité ....

Bon je t'ai envoyé un MP pour détailler mais rien à voir avec tes soupçons de perte de projet ou de piratage par un faux client

et puis en général sur un PC client où nous n'avons pas les droits administrateurs, on est très limité sur les outils qu'on peut installer ! En général on ne peut rien installer si ça n'a pas été approuvé par le client. Nettoyage historique de navigation et mdp enregistrés sur mon navigateur fait à la main.

(Cela me fait penser qu'il faut que je m'achète une licence windows 11 Pro pour pouvoir activer Bitlocker et chiffrer le disque dur de mon portable perso )

Ce message a été modifié par joe75 - 8 May 2022, 01:35.

[Sethy]

Bon je t'ai envoyé un MP pour détailler mais rien à voir avec tes soupçons de perte de projet ou de piratage par un faux client

Pas besoin des détails pour s'imaginer qu'ici, évidemment, l'urgence a certainement été mauvaise conseillère. En plus on devait se trouver face soit à un très gros client, soit un client où on était pas tout à fait droit dans ses bottes. Avec en plus, probablement, un chef qui n'a pas de c**illes pour simplement dire "non".

Ceci dit, le mail que tu as envoyé suffisait largement pour te couvrir. Même en son absence, tu aurais été couvert. Evidemment le mail permettait d'éviter qu'on ne prétende que tu avais donné ton PC et tes identifiants, sans en avoir reçu la consigne.

J'ajoute, qu'à titre personnel, si j'avais travaillé chez le client et que c'est à moi qu'on aurait donné le PC et les codes, j'aurais été bien embêté. Je pense que j'aurais demandé qu'un témoin assiste aux opérations que j'aurais eu à effectuer sur le PC.

La seule exception que j'entrevois, aurait été celle où il n'y a aucune donnée partagée entre le client et le fournisseur. Exemple typique : une société qui vend des PCs et qui aurait merdé un délai de livraison. Afin de dépanner le client, cette société prêterait un PC équivalent appartenant à son personnel le temps que le PC arrive. C'est évidemment très différent du cas où le PC prêté appartient (par exemple) à un consultant qui bosse directement sur un projet du client.

Mais je le répète, j'aurais été bien embêté malgré tout car en cas de problème, ça aurait "aussi" été pour ma goule.

[Sethy]

Je vous remercie pour tout vos retours...mais je crois que je vous ai perdu, ma crainte ce n'est pas que l employeur (enfin ici mon client puisse accéder aux données sur l ordinateur qu'il a mis à ma disposition ).
C est qu'à sa demande je sois "obligé de fournir à un tiers même si c est un collègue tous les accès avec mes
propres identifiant, messagerie, y compris à des serveurs de production...pour qu il
puisse se familiariser avec les outils de la boîte en mon absence...

Sans être complètement parano, s il avait été mal intentionné ou mème simplement distrait, il aurait pu occasionner des dégâts avec ma signature Informatique.

J'avais loupé ce passage "avant" discussion.

La "root" cause est clairement un problème en amont.

Il aurait fallu que le client ait un PC pour "tester" (PC prévu par le projet) et surtout que tu ne sois pas obligé de travailler sur les serveurs du client (surtout ceux de production) à partir de ton PC. Il aurait, par exemple, fallut que le client te fournisse un PC, voire la connexion à une VM à eux. Dès ce moment là, les choses ne sont plus blanches ou noires, on rentre dans le gris et c'est plus compliqué.

Sur le fond, je ne trouve pas la demande du client totalement illégitime. Et comme on est dans le gris ...

Si cela avait été pour un collègue de ta société, je dirais que cela aurait du au moins faire l'objet d'une évaluation "a posteriori". Evidemment, si vous êtes en pleine phase de démarrage sur le projet, qu'il est prévu une solution pérenne à terme mais qu'on est en plein déploiement ... là ... je dirais pas de chance. Et oui, dans ce cas, je ne vois pas de problème à te demander tes identifiants et ton PC. Il y a "proportionnalité".

Pour le client externe, c'est quand même un cran plus compliqué. Tu l'as compris, j'aurais fait rentrer les ressources humaines dans la boucle de décision.

[downanotch]

ou d'avoir activé du chiffrement avant toute création/copie de fichier pour qu'ils n'aient jamais été présents non-chiffrés, et d'effacer/détruire la clé de chiffrement.

Quand on active le chiffrage, l'espace libre et donc susceptible de contenir des information "effacées" est également chiffré, sauf erreur.

[iAPX]

ou d'avoir activé du chiffrement avant toute création/copie de fichier pour qu'ils n'aient jamais été présents non-chiffrés, et d'effacer/détruire la clé de chiffrement.

Quand on active le chiffrage, l'espace libre et donc susceptible de contenir des information "effacées" est également chiffré, sauf erreur.

Totalement, rien n'est présent en clair sur le média, ça assure donc un bon niveau de sécurité si la clé est solide, ou le mot-de-passe dont elle est dérivée (ou qui sert à la déchiffrer).

Addenda: sur nos mac et iAppareils, la clé de chiffrement du stockage interne est maintenant stockée dans le Vault qui interdit les attaques par force-brute, ce qui n'est pas le cas des stockages externes qui peuvent être attaqués par force-brute sur le ou les mots-de-passes permettant de déchiffrer la clé de chiffrement, d'une importance capitale donc, un mot-de-passe même relativement faible protège très bien le stockage interne par interdiction d'attaque en force-brute, un mot-de-passe très fort étant nécessaire pour les stockages externes.
Ce niveau de sécurité amené grâce au Vault est une des nombreuses raisons pour lesquelles le stockage Flash est soudé, problème de sécurité apparemment résolu sur le Mac Studio.

Ce message a été modifié par iAPX - 8 May 2022, 22:38.

[Sethy]

Pour en revenir au sujet principal, je pense que les personnes un peu maline, ne font pas ce genre de piratage au moment de quitter l'entreprise, mais des mois à l'avance.

J'ai eu l'occasion de travailler avec un collègue qui était un transfuge d'une autre "très grosse boite". La personne était correcte dans la mesure où elle ne révélait rien de ses informations passées.

Mais là où elle était intéressante, c'est que vis-à-vis d'un cahier des charges émis dans le cadre d'un nouveau projet, il pouvait nous dire (si je transpose au monde Mac) : face à un tel type de cahier des charges, mes anciens collègues devraient proposer un MacBook Pro "léger" et il faut s'attendre à un prix catalogue -12%. Ce qui nous permettait à nous (par exemple) de proposer un MacBook Air "gonflé" avec un prix légèrement inférieur.

Il faut bien se rendre compte que si cette personne commençait à balancer de "vrais" secrets (exemple : chez tel client, il y a ceci d'installé et ils n'en sont pas content, ...), cette personne aurait giclé vite fait car pourquoi n'aurait-elle pas recommencé le même procédé chez un de nos concurrent par la suite ?

Ce message a été modifié par Sethy - 9 May 2022, 16:58.

[Laszlo Lebrun]

Il faut bien se rendre compte que si cette personne commençait à balancer de "vrais" secrets (exemple : chez tel client, il y a ceci d'installé et ils n'en sont pas content, ...), cette personne aurait giclé vite fait car pourquoi n'aurait-elle pas recommencé le même procédé chez un de nos concurrent par la suite ?

Vous ne signez pas de clauses de non-concurrence dans vos contrats de travail?

[Sethy]

Vous ne signez pas de clauses de non-concurrence dans vos contrats de travail?

Non, nous avons une confiance absolue de nos collaborateurs.

[iAPX]

Vous ne signez pas de clauses de non-concurrence dans vos contrats de travail?

Non, nous avons une confiance absolue de nos collaborateurs.

Ça se perd, et pour de bonnes raisons

Le dernier exemple est un ingénieur de Tesla qui est accusé d'avoir volé des documents sur leur supercomputer Dojo.

[joe75]

Vous ne signez pas de clauses de non-concurrence dans vos contrats de travail?

Non, nous avons une confiance absolue de nos collaborateurs.

Ça se perd, et pour de bonnes raisons

Le dernier exemple est un ingénieur de Tesla qui est accusé d'avoir volé des documents sur leur supercomputer Dojo.

Le gars est trop fort!!! Dans l'article ils disent que pour l'inspection du PC quuraiti a servi à récupérer les données, il en a ramené un autre qui n'aurait pas servi depuis 2 ans!!!
Au moins chez nous chaque PC est dument identifié et on ne peux pas se connecter au réseau de l'entreprise avec un PC perso (enfin un PC qui ne fait pas partie de la société)

Ce message a été modifié par joe75 - 10 May 2022, 14:35.

[iAPX]

Vous ne signez pas de clauses de non-concurrence dans vos contrats de travail?

Non, nous avons une confiance absolue de nos collaborateurs.

Ça se perd, et pour de bonnes raisons

Le dernier exemple est un ingénieur de Tesla qui est accusé d'avoir volé des documents sur leur supercomputer Dojo.

Le gars est trop fort!!! Dans l'article ils disent que pour l'inspection du PC quuraiti a servi à récupérer les données, il en a ramené un autre qui n'aurait pas servi depuis 2 ans!!!
Au moins chez nous chaque PC est dument identifié et on ne peux pas se connecter au réseau de l'entreprise avec un PC perso (enfin un PC qui ne fait pas partie de la société)

Il y a tellement de moyens d'exfiltrer PROPREMENT des documents auxquels on a un droit d'accès d'un ordinateur bien bien verrouillé, sans pouvoir être accusé, ce gars-là est vraiment fort, son cas est perdu d'avance...

Si on a le droit de les accéder et de les consulter, pour du document écrit tout le monde peut le faire simplement, s'il y a des visuels très complexes et qu'on a le droit d'utiliser un moniteur extérieur (c'est toujours le cas) c'est encore plus simple et direct avec un petit peu de matériel.
Dans tous les cas de figure les ordinateurs ben ben verrouillés ne le sont pas car ils doivent pouvoir être utilisables, et si ils le sont, alors les documents présents sont exfiltrables.

Ce message a été modifié par iAPX - 10 May 2022, 14:45.

[joe75]

L'ordinateur et son contenu appartient à l'entreprise.
Tu n'as pas le droit de divulguer les informations a des tiers.
Si ton patron te demande tes codes , tu dois lui donner car il en a besoin pour accéder a ses données car ton travail lui appartient.

une rapide recherche sur google

https://www.fo-cadres.fr/un-salarie-peut-il...-son-employeur/

Je ne suis pas adhèrent de fo cadre , ni lié à eux ...

J'ai (enfin) lu l'article...


"Non, même en son absence, le salarié doit communiquer son mot de passe si l’employeur en fait la demande.

Dès lors qu’il s’agit d’un outil professionnel, l’ordinateur doit être accessible à l’employeur, que le salarié soit ou non présent sur le lieu de travail"

Quasi inapplicable expliqué comme tel si la personne a un ordinateur portable qui n'est pas sur site (ça dépend de trop de paramètres comme les congés, déplacements, arrêts maladie, accès à l'ordi,
etc) , on est bien sur autorisé à emmener et garder le PC portable chez soi qui ne reste pas sur site.
Et quand il m'arrive de travailler sur le portable d'un client, je n'ai pas forcément celui de ma boite avec moi.
(A presque 2 kgs par ordinateur, c'est une plaie à trimballer...alors 2 ordis tous les jours non merci.)


Et sinon pour un PC fixe rien de plus facile pour l'entreprise de l'embarquer et de s'y connecter par ses propres moyens...

En plus véridique, mon mot de passe windows pour le PC pro je ne le connais même pas par coeur lol

(Oui avec la politique de sécurité de la boite qui oblige à le changer tous les 2 mois- je trouve cela contre-productif, je l'incrémente avec un numéro à la fin...et je ne le tape pas souvent vu que contrairement au Mac on peut entrer au démarrage une session avec le lecteur d'empreinte ou la caméra Windows Hello )


Je me suis demandé aussi quelle est la législation pour les entreprises qui proposent le Bring your own device (ce n'est pas mon cas)...cela peut nécessiter parfois plus de travail pour l'entreprise.
La nécessité d'avoir un espace compartimenté pour les activités de la société...ce qui peut être un casse tête à administrer je veux bien le reconnaître.

https://www.cnil.fr/fr/byod-quelles-sont-le...onnes-pratiques

Ce message a été modifié par joe75 - 11 May 2022, 21:00.

[Sethy]

Vous ne signez pas de clauses de non-concurrence dans vos contrats de travail?

Non, nous avons une confiance absolue de nos collaborateurs.

Ça se perd, et pour de bonnes raisons

Tout d'abord, ma réponse était bien sûr une boutade.

Ceci dit, je ne crois pas que la situation empire (ni qu'elle s'améliore d'ailleurs). Il y a 30 ans, je bossais dans un labo de recherche en génétique. Un post-doctorant avait volé une boite de pétri contenant une souche prometteuse et deux ans plus tard, il avait publié à son nom seul le résultat de la recherche comme s'il l'avait réalisé dans le labo qui l'employait.

De même, Watson & Crick, les "découvreurs" de la structure de l'ADN se sont bien gardés de dire qu'ils avaient "emprunté" la plaque photo d'une chercheuse Rosalind Franklinqui avait réussi à cristalliser l'ADN et à en faire une étude aux Rayons X (et même proposé un modèle en double hélice ...).

Source : https://fr.wikipedia.org/wiki/Francis_Crick

[Jaguar]

Il faut bien se rendre compte que si cette personne commençait à balancer de "vrais" secrets (exemple : chez tel client, il y a ceci d'installé et ils n'en sont pas content, ...), cette personne aurait giclé vite fait car pourquoi n'aurait-elle pas recommencé le même procédé chez un de nos concurrent par la suite ?

Vous ne signez pas de clauses de non-concurrence dans vos contrats de travail?

Presque tout le monde. Mais en pratique elles ne servent à pas grand chose puisqu'elles prennent fin avec la fin du versement d'une contrepartie financière (salaire puis indemnité après par exemple)...