Areva déchiffre tous les flux Internet échangés depuis les postes de travail Euriware : atteinte à la vie privée
Le 7 mai 2014, Euriware a été racheté au groupe Areva par le groupe Capgemini. Toutefois, la SSII se trouve encore sur le réseau informatique du groupe nucléaire français. La séparation des réseaux étant une affaire complexe, le projet « carve-out » en cours mettra du temps à sortir Euriware du réseau Areva.
Or, nous avons appris que depuis le 25 juin, tous les flux internet échangés depuis les postes de travail Euriware sont déchiffrés, examinés et lus par la sécurité Areva.
Cela signifie que même les flux https le sont également, ce qui veut dire qu'en consultant des données bancaires, en faisant des achats sur internet sur un site sécurisé, en consultant les courriels privés sur gmail ou OVH, les salariés d'Euriware livrent à Areva toute leur vie privée. Les identifiants et mots de passe sont ainsi récupérés, à l'insu des salariés.
Rien de tout cela n’a de secret pour la sécurité d'Areva. Les données sont déchiffrées sur le proxy d'Areva, examinées et lues à partir de mots clefs. Pire, ces données sont conservées, a priori chez un prestataire du groupe nucléaire qui n’est ni plus ni moins que notre client !
Comment font-ils cela ? Avec une technique bien connue des pirates informatiques et appelée vulgairement « man in the middle ». Areva s’arroge tous les droits, même celui de porter atteinte à notre vie privée, à notre liberté d’expression et à la confidentialité de nos données personnelles !
Aucun avis n’a évidemment été fait aux salariés. La CNIL est-elle prévenue ? Nous en doutons également.
Pourtant, les chartes informatiques annexées aux règlements intérieurs autorisent l'usage modéré du réseau à des fins personnelles.
Depuis que nous en avons eu connaissance le 27 juin dernier, nous avons ouvert deux droits d’alerte du délégué du personnel. Depuis, rien ne bouge, l’enquête n’est pas menée sérieusement par la direction d’Euriware.
Qui portera la responsabilité en cas d’usurpation d'identité sur le réseau ? La direction de Capgemini, celle d’Euriware ou celle d’Areva ? N’en doutons pas, ils se retourneront tous vers les salariés d'Euriware.
Qui portera la responsabilité en cas d’utilisation frauduleuse des données personnelles captées par la sécurité d'Areva ?
La DSI d’Areva refuserait de communiquer la liste des sites https ciblés par cette nouvelle politique sécuritaire et la direction d’Euriware et celle de Capgemini ne font rien pour les y forcer. Mieux, cette nouvelle politique serait même exportée sur le réseau définitivement après le « carve-out ».
Nul doute que cette histoire risque de se terminer devant la justice.
- Santé au travail parrainé par Groupe Technologia