SSI – Verrouiller sa session

Suite de cet article cette fois on va s’intéresser au verrouillage de sa station de travail (ordinateur, téléphone, tablette).

Chez vous, il est probable que vous ne verrouillez jamais votre session, que ce soit quand vous allez aux toilettes ou quand vous arrêtez de surfer sur Internet.

En entreprise c’est une autre affaire. Trois solutions,
– soit le service informatique laisse la configuration par défaut (ce qui laisse entre 5 et 15 minutes d’inaction avant le verrouillage de votre session)
– soit il le gère (et là ça peut être mieux comme pire)
– soit il laisse chaque personne le gérer sur sa station.

Ici nous verront quelques cas concrets, avec une gravité variable.

Le cas personnel

En toute franchise, si vous vous connectez chez vous, que vous vivez « seul » il n’y a pour ainsi dire aucun risque.

Dans le pire des cas, si un invité arrive il pourrait voir votre onglet « bukkake dwarf shemale » sur Firefox.

Le cas professionnel

Lorsque vous vous authentifiez sur votre poste de travail, des accès/pouvoirs/autorisations vont sont données.

Par exemple vous n’avez accès qu’à certains fichiers du réseau, vous ne pouvez pas installer n’importe quels logiciels venus du premier site internet, d’ailleurs vous n’avez peut-être même pas accès à internet.

Si vous vous absentez de votre bureau (et c’est pire en open-space), le premier quidam venu se voit donc octroyer ces droits.

Cas concret – Viennoiserie et fond d’écran

Comme on l’a vu, à chaque connexion vous avez des droits et pouvoirs qui vous sont octroyés.

Il est très probable que dans ces droits, se trouve une messagerie voire messagerie instantanée. Comme tout le monde, pour gagner du temps vos identifiants et mots de passe sont sauvegardés, pour ne pas avoir aux saisies à chaque envoi de mails ou messages.

Ce que j’aime bien faire, c’est un petit mail groupé (ou message) depuis la session ouverte indiquant que « je » paie le petit déjeuner demain.

En prime, un petit fond d’écran de poisson-blob

Source: https://naturescrusaders.wordpress.com/2008/10/26/blobfish-being-a-blog-has-advantages/

En soi ça ne fait de mal à personne. Maintenant, imaginons que ce soit votre collègue qui ne vous aime pas, rien ne l’empêche d’écrire à votre chef un message bien salé en votre nom.

Rien n’empêche non plus l’accès à des mails qui ne concerne que vous (par exemple votre réponse de la RH concernant la possibilité d’un arrêt pour votre rdv chez le médecin suite à un herpès génital, à une réunion du CE, du CHSCT, etc.)

Enfin, rien n’empêche la destruction de fichiers.

Cas concret – Facebook

Travaillons maintenant sur un cas concret qui, d’après le dernier sondage de l’institut du doigt mouillé (valide ISO-1664 de Rapid Application Conception and Heuristic Extreme-programming)  concerne 95 % des utilisateurs, Facebook.

Vous avez 3 minutes de pause à votre travail, vous passez sur le site Facebook voir la photo du dernier nouveau-né de l’oncle du voisin que vous aviez il y a quatre ans.

Tout d’un coup, un message privé de votre ami qui vous demande comment va le boulot et si votre relation avec le patron s’est apaisée, le tout dans un langage plus fleuri.

Vous répondez que non, puis vous vous absentez pour prendre un café, le tout sans verrouiller votre session (Facebook, comme Windows).

Et là… c’est le drame !

C’est grosso modo ce qu’il s’est passé en 2010 : https://www.nextinpact.com/archive/57068-facebook-licenciement-salarie-vie-privee.htm même si là c’était dans un fil de discussion.

Source: nextinpact.com

Mais c’est ce qu’il s’est passé en début d’année : https://www.nextinpact.com/news/106102-compte-facebook-reste-ouvert-conversations-salarie-peuvent-perdre-leur-caractere-prive.htm

Source: nextinpact.com

Je n’ai pas réussi a mettre la main sur les jugements, mais nul doute que personne ne veux se retrouver dans cette situation

Former les gens a verrouiller la session

J’ai encore confiance dans l’idée qu’on peut avoir une vision pédagogique des risques encourus en informatique. Que ce soit par contamination des mails, lien internet, etc.

Pour éviter le fond d’écran qui fait un écran noir, j’aime bien mettre « Kaspersky screensaver cybermap ».

https://cybermap.kaspersky.com/fr/

Elle permet de voir, par exemple, qu’à l’instant où je rédige cet article la France est le 8e pays le plus attaqué (d’après Kaspersky).

Utilisation du Smartphone pour le verrouillage

Il est possible de faire verrouiller votre ordinateur lorsqu’il n’est plus en mesure de détecter le Bluetooth de votre téléphone.

Soit vous utilisez la fonction disponible par défaut dans Windows 10 soit vous pouvez installez ou demandez l’installation de BtProx .

Le second a l’avantage d’être plus configurable, en ajoutant la possibilité au moment de verrouillage d’exécuter une commande particulière (par exemple la remontée auto de l’inventaire sur le GLPI).

Le mot de la fin

Pensez à verrouiller votre session quand vous vous absentez !

Les risques vont de 15 € de viennoiseries à un licenciement.