Discussion :

[bgateux]

Bonjour à tous,

Je suis administrateur e-mail dans une boîte de 1500 personnes et je suis accusé de mettre en péril la sécurité de l'organisation, parce que j'ai Filezilla sur mon PC. Je m'occupais de la messagerie électronique, je suis mis à pied depuis 18 mois, et ils m'envoient seulement maintenant le rapport final de l'audit interne.
Ca me la coupe tellement que je ne sais pas comment comment expliquer aux pignoufs qui m'entourent que ce logiciel n'est probablement pas plus dangereux que le client FTP qui se trouve sous XP.

Pour ma part je l'ai utilisé pour améliorer le téléchargement en parallèle de gros fichiers (même pas des vidéos, juste des packages de produits chez Novell), vu que les gars de la sécurité nous avaient planté un Websence qui avait terriblement ralentit les téléchargements.

J'ai besoin d'arguments bétons pour leur faire comprendre que c'est pas avec ça qu'on va pirater les systèmes de la boîte (ce qui n'a pas eu lieu, mais d'après eux le "risque" existait à cause de ce programme).

Help ! (Je risque ma place...)

[Invité]

Bonjour

Sur quoi s'appuient-ils pour affirmer cela ?

C'est sûrement un des outils gratuit les plus répandues pour le transfert de fichiers et je n'ai jamais entendu parler de cela.

Philippe

[bgateux]

Je sais bien, mais voici un extrait de l'accusation:
FileZilla is an open-source file transfer protocol (FTP) client that "can be used to send files outside the Organzation or to download files of any type" in such way as to bypass "any file size restriction that may be in place on mailboxes, and also any attachment filtering rules that may be in place on the email server." An individual, if so inclined, could conceivably set up an FTP server at home, install the FTP client on their machine and then connect out to the home server, ransfering large quantities of data and potentially transfering malicious code back in."

Notre expert sécurité n'est pas une lumière et on lui a probablement demandé de me charger avec tout ce qu'il peut imaginer. Donné en pâture aux avocats de l'administration qui ne comprennent rien à la technique, ça peut faire des dégâts.
Je les ai bien envoyé aller voir les log de Fillezilla pour confirmer qu'il n'y a rien de tout ça, mais pas de chance, le log n'était pas actif.

[BiM]

Bonjour,

Déjà, là où ça me choque le plus, c'est 18 mois de mise à pied... (Hum, c'est beaucoup trop long, et ça, au niveau des Prud', je ne vois pas comment ils vont le justifier).

Autre chose, au niveau du FTP, à ce que dit ta société, c'est que tu peux te connecter de chez toi pour récupérer des informations confidentielles, c'est bien ça ? Alors où est le serveur FTP dans ce cas ? Ont-ils trouvé des informations confidentielles sur ton PC ? Ont-ils trouvé des traces d'envoi de fichiers confidentiels entre un de tes ordinateurs personnels et ta société ? etc.

Heureusement que prétendre n'est pas une preuve. Pour prouver, il faut avoir une preuve, et une preuve explicite (traces, fichiers retrouvés à ton domicile, informations clairement divulguées, etc.).

[bgateux]

Oui, c'est long, très long et très bizarre comme situation.
Pas de prud'homme. On est en droit du travail international, parce que je suis dans une organisation du système des nations unies: le no-man's land des droits du travail. Ici tout est orienté protection de l'organisation, pas de l'employé comme en droit français (enfin ça c'est mon avocate qui le dit).
Effectivement, en fin de procédure, si on va au TAOIT, le tribunal administratif de l'Organisation Internationale du Travail, les juges s'assureront qu'il y a des preuves. Mais au stade actuel on est en interne et là, le DG, c'est Dieux le Père. Il fait un peu ce qu'il veut, alors si l'audit dit n'importe quoi mais que ça a l'air sérieux, je suis mal. Et le TAOIT, comme souvent, il est pas super rapide.

Donc, à ce stade ce qu'il me faut c'est un argument technique béton pour contrebalancer ce que dit "l'expert sécurité info" de l'organisation. A mon avis, si j'arrive à démontrer que Filezilla, c'est juste comme le FTP de XP, avec du multi-threading et de la récupération de coupure de session en plus, ça devrait être bon.

[BiM]

Le mieux est de trouver un comparatif sérieux et éventuellement de demander à ce qu'on te retrouve des traces de ces prétendus échanges et montrer que t'y met de la bonne volonté en leur mettant immédiatement à disposition ton matériel personnel pour qu'il puisse être contrôlé.

D'autre part, pour bien contredire l'expert, tu peux demander une contre-expertise faite par un expert de ton choix ET souligner le fait qu'aucun utilisateur n'a porté plainte pour avoir été lésé par exemple.

Après... Le droit international n'est pas une partie de plaisir, je te souhaite bon courage !

J'ai une dernière question, en tant qu'administrateur, je crois que tu ne dois pas avoir accès aux boîtes de tous les salariés à moins de modifier leur mot de passe. Mais pour que cela passe inaperçu, il faudrait remettre leur ancien mot de passe que tu n'as pas. Est-ce le cas ?

[yan]

Ils ne confondraient pas FilleZilla et FileZilla server?

[bgateux]

J'ai une dernière question, en tant qu'administrateur, je crois que tu ne dois pas avoir accès aux boîtes de tous les salariés à moins de modifier leur mot de passe. Mais pour que cela passe inaperçu, il faudrait remettre leur ancien mot de passe que tu n'as pas. Est-ce le cas ?

Je ne suis pas sur de comprendre ta dernière question. Si c'est pour mon cas, c'est bien vu parce qu'effectivement il y avait une accusation d'avoir accédé à la boîte d'un collègue. Mais celle-là c'est bon, elle est partie, ils ont finalement trouvé qu'il suffisait de lui demander s'il était OK. Si c'est en général, ça dépend du système. La plupart des bons systèmes, autorise l'admin à modifier le mot de passe, mais effectivement, l'usager s'en rends compte. Bon, on peut toujours dire qu'il y a eu un problème sur la boîte, mais dans une entreprise sérieuse, les usagers devraient ouvrir un cas de sécurité. Enfin, beaucoup d'usager s'en tape de ce qu'il y a dans leur boîte (c'est d'ailleurs souvent ceux qui travaillent le plus).
Un certains degré de confiance dans l'admin est requis, parce qu'on peut toujours partir à la maison et remonter le système, enfin si on a vraiment rien d'autre à faire.
J'espère que je réponds à ta question.

Il ne confondrais pas FilleZilla et FileZilla server?

Possible, sa déclaration est tellement nase qu'elle ne veut rien dire.
Mon problème c'est qu'un informaticien de base s'en rend compte, mais ceux qui lisent ce dossier sont des juristes et c'est "l'expert" interne qui pond ces âneries.

[BiM]

Possible, sa déclaration est tellement nase qu'elle ne veut rien dire.
Mon problème c'est qu'un informaticien de base s'en rend compte, mais ceux qui lisent ce dossier sont des juristes et c'est "l'expert" interne qui pond ces âneries.

T'as tout dit, demande une expertise "externe"

[shawn12]

Sans compter que comme tu l'a dit, Windows XP intègre un client FTP permettant les mêmes choses que le client Filezilla et qu'il est difficile d'enlever puisqu'il s'agit de l'explorateur Windows lui-même !!

[smyley]

Voir n'importe quel navigateur internet ...

[10_GOTO_10]

FileZilla is an open-source file transfer protocol (FTP) client that "can be used to send files outside the Organzation or to download files of any type" in such way as to bypass "any file size restriction that may be in place on mailboxes, and also any attachment filtering rules that may be in place on the email server." An individual, if so inclined, could conceivably set up an FTP server at home, install the FTP client on their machine and then connect out to the home server, ransfering large quantities of data and potentially transfering malicious code back in."

Perso, je ne vois pas ce qu'il y a de faux dans cet extrait: FileZilla peut être utilisé pour transférer des fichiers (ben oui, il est fait pour ça) et pourrait (could, c'est du conditionnel, non ? ) être utilisé pour transférer des grosses quantités de données et potentiellement importer du code malicieux depuis un FTP externe (situé n'importe où, d'ailleurs. Donner ton ordi perso ne prouvera rien).

Après, je suis d'accord avec ce qui a été dit plus haut, c'est à eux de prouver que ce que tu as fait est répréhensible. Je trouve même étrange qu'ils n'aient pas mis en place un proxy ou des logs si leurs données sont si sensibles.

Ta défense est effectivement de dire que n'importe quel autre outil, open source ou pas, y compris IE, peut transférer des données ou importer des virus.

[bgateux]

T'as tout dit, demande une expertise "externe"

J'essaye d'obtenir ça depuis le début, mais ça doit pas les arranger.
Merci.

Perso, je ne vois pas ce qu'il y a de faux dans cet extrait: FileZilla peut être utilisé pour transférer des fichiers (ben oui, il est fait pour ça) et pourrait (could, c'est du conditionnel, non ? ) être utilisé pour transférer des grosses quantités de données et potentiellement importer du code malicieux depuis un FTP externe (situé n'importe où, d'ailleurs. Donner ton ordi perso ne prouvera rien).

Après, je suis d'accord avec ce qui a été dit plus haut, c'est à eux de prouver que ce que tu as fait est répréhensible. Je trouve même étrange qu'ils n'aient pas mis en place un proxy ou des logs si leurs données sont si sensibles.

Ta défense est effectivement de dire que n'importe quel autre outil, open source ou pas, y compris IE, peut transférer des données ou importer des virus.

Tu as raison, tout est vrai, mais rien ne permet de l'appliquer à mon cas. Il me reste à convaincre l'administration que ces sous-entendus sont déplacés.

Il y a des proxy mais ils ne produisent pas de log. Un audit impartial aurait du le faire, même [surtout!] s'ils sont clean.
Bon point aussi. Merci.

[FrankOVD]

Permettent-il aux employés d'accéder au bureau avec des cartes SD, des clés USB ou des lecteurs MP3? Si j'étais un pirate qui voulait sortir de l'info en douce, je n'utiliserait pas un FTP mais un bon vieux support physique... FileZilla n'est en rien plus menaçant qu'un iPod à mon avis... Après tout on parle de la possibilité de faire sortir des données sensibles ou entrer du code malicieux... Tous les moyens sont bons, tout le monde a un moyen ou un autre de faire ça. On ne peut pas pénaliser quelqu'un qui a les moyens de le faire mais seulement quelqu'un qui a effectivement commis l'acte répréhensible.

Devrait-on suspendre un militaire car son arme est un moyen qu'il pourrait utiliser pour assasiner ses supérieurs? Pas à moins d'avoir de sérieux soupçons... C'est la même chose à mon avis, c'est insensé.

[bgateux]

Oui ces point font partie de mes arguments depuis le début, mais nul n'est plus sourd que celui qui ne peut entendre....

Je vous remercie tous pour vos pistes et vous recommande de souscrire une bonne assistance juridique, si vous êtes dans des postes sensibles. On sent que ça manque en cas de crise...

[tchize_]

je regarderais plusieurs points. Le premier, c'est est-ce que le reglement interne de ta boite t'interdit d'installer quoi que ce soit sans accord sur ta machine. Si oui et que tu n'a pas demandé l'accord, tu est en porte à faux par rapport au règlement de travail, et ça devrais s'arrêter à cet argument. Dans ce cas, ignore le reste de mon message.

Si ce n'est pas le cas, a mon humble avis, je commencerais la réponse comme ceci:

1) préciser que tu ne nie pas avoir installé ce programme.
2) préciser que l'utilisation de ce programme t'était nécessaire pour remplir efficacement et en toute conscience proessionelle les fonctions qui t'incombaient (n'hésite pas à détailler les fonctions pours lesquelles tu en as eu besoin).
3) que tu ne peux pas être tenu responsable des erreurs du firewall si ceux qui le configurent ne filtrent pas le protocole ftp, ce n'est pas de ta responsabilité. Tu ne pouvais pas deviner que celui-ci n'étais pas filtré et pourrais poser un danger à l'entreprise.
4) préciser que ce programme ne pose pas de risque en lui même, mais, comme le dit bien le rapport, il pourrais. Tout dépend de l'utilisation qu'on en fait, au même titre qu'une clé usb ou un téléphone portable. Et qu'au dernière nouvelles, le téléphone portable est autorisé au travail.
5) Qu'as tes yeux donc il apparait que cet argumentation est un prétexte fallacieux pour mettre fin a ton contrat de travail sans en respecter les termes de rupture et que, par conséquent, toute tentative de non respect du préavis ou de versement des indemnités dues sera suivi de poursuites judiciaires.


PS: de toutes facons, vu la situation, ne rêve pas, tu ne gardera pas la place, on a décidé de te foutre dehors. Cependant, ne les laisse pas te mettre dehors pour faute grave.