Travail en déplacement : tenir compte de l'environnement

Par SwissTengu @SwissTengu @SwissTengu — 16.07.2014
Ahh, les vacances… C'est cool, les vacances, l'occasion de prendre l'avion, le train, le bus. L'occasion de faire des trajets plus longs que d'habitude. L'occasion de voir des gens, enfin, de les croiser. Des inconnus, certains en déplacement pour affaires, d'autres, comme vous, en vacances.

De manière générale, avec les moyens techniques actuels, de plus en plus de personnes travaillent durant leurs temps de transport. Le temps, c'est de l'argent, n'est-ce pas ? Chaque seconde compte.

Seulement, il faut faire attention. Le train n'est pas votre bureau. L'avion non plus. Votre chambre d'hôtel pourrait s'en approcher. Mais là aussi, il y a quelques précautions à prendre.

Durant un de mes trajets, j'ai pu voir en pratique comment les gens se comportent dans les transports : on allume un laptop, on se met dans une position confortable, dossier un peu baissé. L'écran à luminosité maximale, police de caractère confortable pour un myope. Et comme on veut bien voir depuis notre position, on incline l'écran comme il faut.
Tout ceci, sans prêter la moindre attention à ce qu'il se passe derrière soi.

Vous voyez où je veux en venir ? Non ? :)

Ne pas regarder ce qu'il se passe derrière soi, commencer à travailler sur des données professionnelles et s'absorber dans sa tâche vous coupent du monde extérieur; vous êtes dans votre bulle. Confortable et en sécurité. Du coup, vous lisez vos mails, les noms des contacts apparaissent en gros dans votre client Outlook ou IBM Notes. Des noms, des informations, parfois des chiffres, des données marketing. Peut-être des données médicales, qui sait ?
Toujours sans prendre garde à ce qu'il se passe derrière vous.

Est-ce plus clair ? Non, toujours pas ? :)

Absorbé dans votre travail, vous avez besoin de passer un coup de téléphone pour une raison ou une autre. Facile, le mobile est là, à portée de main. Pas d'oreillette, de toutes façons, c'est toujours en panne, ces machins Bluetooth. Ni une ni deux, vous appelez votre secrétaire, à tous hasard. Et vous discutez boulot.
Des noms fusent, des informations. Des chiffres, encore. Pourquoi pas, à nouveau, des données médicales sur un patient. Ou, allez, soyons fou, des données judiciaires sur un client dont vous êtes l'avocat.
Là encore, vous êtes dans votre bulle. Le monde extérieur à votre boulot n'existe pas.

Et pourtant… Des gens sont là. Des particuliers, des employés, des vacanciers, des gens en déplacement d'affaire, tout comme vous.
Même des concurrents, qui sait ? Des personnes engagées pour récolter les bribes de discussions, de noms, de données diverses, tout ce que vous laisserez échapper de votre conversation téléphonique, ou défilant sur votre écran 17", dont la position permet à la personne derrière vous de tout voir, tout suivre.

De ma place, dans un transport, j'ai pu voir, sans aucun effort, quelqu'un préparer une présentation sur les chiffres, opportunités, dangers etc de son entreprise.
Manifestement, un responsable marketing d'une entreprise bossant dans le médical, sans doute proche des banques de sang, proche des maladies graves etc…
Je n'ai pas cherché à en savoir plus que ce que j'ai pu avoir. Ça suffisait largement :
  • nom de la personne
  • nom de ses plus proches collaborateurs
  • nom de l'entreprise
  • chiffres de l'année dernière
  • possibilités et planning de l'année en cours
  • projections diverses sur les ventes
  • mise en perspective des risques (telle ou telle action dans le milieu pourrait mettre en danger les revenus de la société)
  • … et encore pas mal de choses

De quoi mettre en place un peu d'ingénierie sociale1 parfaitement ciblée. Et pourquoi pas, contacter un concurrent direct qui pourrait être intéressé par certains éléments. Pensez, connaître les craintes et faiblesses de son "adversaire", il n'y a pas mieux pour lui couper l'herbe sous le pied !

Le cas que je décris n'a pas impliqué d'appel. En avion, c'est un peu délicat ;).

Qu'est-ce que la personne aurait pu faire pour éviter de dévoiler tout son univers ? Pas mal de choses, en fait, à commencer par éviter de baisser son dossier. Ou baisser celui d'à côté aussi, ce qui aurait passablement gêné ma vue (il était venu exprès devant moi parce que la rangée était libre — à voir il avait pensé au voisin et à la travée. Ou c'était juste par confort).
Ensuite, un truc tout simple : régler la luminosité de l'écran. La baisser permet d'avoir un contraste bloquant la vision lointaine. Aussi, des protections physiques d'écran permettent de réduire passablement la visibilité depuis les côtés : à moins d'être bien en face, on ne verra qu'un carré noir2.

Solutions pas chères, permettant de protéger son environnement de travail ainsi que son employeur. Et donc son job, au final.

Il va sans dire que l'appel à un collègue est à éviter dans la mesure du possible : un mail sera plus sûr. Enfin, s'il est chiffré, évidemment ;).

Concernant la chambre d'hôtel, il y a aussi pas mal à dire. Il est clair qu'il y a peu de chance qu'un voisin indélicat ne vienne lire par-dessus votre épaule. Encore que, parfois, c'est "chambre commune" ;). Ou encore, du "personnel indélicat"3… En fait, ne laissez jamais votre matériel sans surveillance, c'est plus sûr ;).
Non, le problème est plus au niveau de la connexion réseau : les hôtels offrent de plus en plus du wifi gratuit. Certains proposent un câble dans la chambre, offrant un poil plus de sécurité, mais ce n'est même pas l'idéal (on verra pourquoi plus bas).

Commençons par le wifi : vous arrivez dans un hôtel, vous voyez un ESSID genre "mon-hotel-guest", ouvert. Que faites-vous ? 99% des gens vont se connecter. Là, comme ça. Sans demander à l'hôtel s'ils ont un Wifi, son nom etc.
Vous venez de vous connecter à une borne pirate, vos communications sont enregistrées, déchiffrées (après tout, pourquoi ne pas tenter un MitM4 SSL, au bluff)…

Si, par hasard, il s'agit bien du bon réseau (ce qui est, en occident du moins, la majorité des cas), ne vous croyez pas à l'abri pour autant : sniffers, packet interception et autres ont toutes les chances de tourner sur le réseau, surtout autour des grands hôtels, réputés pour une clientèle riche ;). Rien de tel que de tomber par hasard sur des partages Windows (ou MacOS, voire Linux) sans authentification permettant d'accéder à TOUS vos documents.
Parce que vous l'aviez activé une fois, pour dépanner et que vous avez bêtement oublié de désactiver.

Le problème se pose aussi avec les câbles : bien que le risque de tomber sur un réseau pirate est moindre (mais non nul !), les sniffers et autres étant moins présents (mais pas complètement absents !) parce qu'il faut se trouver dans une chambre, votre ordinateur a toutes les chances de se retrouver à poil face aux autres.

On peut se protéger contre ces divers cas. Mais ça demande un peu d'infrastructure, principalement côté "entreprise", d'ailleurs : un VPN, par exemple, vous permettra de naviguer en eau trouble sans trop de problème. Enfin, seulement SI votre appareil est fermé au monde extérieur, en refusant par exemple toutes les connexions entrantes à l'aide d'un firewall.
De manière générale, quand vous devez aller bosser en mode "road warrior"5, il convient d'avoir un ordinateur dédié à cela. Avec le minimum d'informations dessus.
Dans l'idéal, c'est un appareil mis à disposition par votre entreprise, préparé pour votre voyage. Qui est réinitialisé à 100% lors de chaque retour. Qui n'est jamais branché sur le réseau de l'entreprise. Sauf via VPN, en vous faisant arriver dans une zone spéciale du réseau.

À ce niveau, les contraintes sont nettement plus du côté de l'entreprise que de l'employé : ce dernier devrait, au final, simplement réserver une machine, passer la prendre avant de partir, et la rendre en rentrant. Point.

Il est malheureux de constater que, trop souvent, ces élémentaires précautions sont ignorées : pas le temps, pas les moyens financiers d'avoir assez de matériel en réserve, pas le personnel pour gérer correctement cela; pas de procédure en place pour les cas de perte, vol, matériel compromis.

Il faut aussi garder en tête que ces précautions ne concernent pas que les entreprises du CAC406 : des PMEs, startups sont tout aussi susceptibles d'êtres des cibles, surtout si elles sont dans des domaines porteurs. Sans parler des journalistes, dont un vol de données peut mener à des conséquences désastreuses : sources d'informations dévoilées, articles volés, chantage, et j'en passe.

Les particuliers aussi devraient avoir une certaine hygiène numérique : éviter de se promener avec les photos de sa copine en dentelle ou de son copain en string léopard. Ou ses déclarations d'impôt au format numérique. Ou des données relatives à son train de vie, son adresse etc.
M'enfin, dans ce dernier cas, on a de toutes façons tout sur Facebook, vous me direz ;).

Pensez à regarder autour de vous quand vous utilisez du matériel connecté : ça ne coûte rien. Ça ne vous fera pas passer pour un paranoïaque, malgré ce que vous pouvez penser. Un regard circulaire, pas besoin de s'attarder sur le premier quidam passant par là. Demandez les accès Wifi à la réception de l'hôtel. Mettez-vous dans un coin pour travailler. Évitez d'être dos à une fenêtre (en plus, c'est mauvais pour la lisibilité sur l'écran, à cause des reflets).

Prenez conscience de votre environnement et, qui sait, vous ferez peut-être même des rencontres en vous intéressant à ce qui vous entoure ;).

T.


Commentaires (0)

Ajouter un commentaire