Debugger

Beaucoup d’entre nous ont abandonné l’idée de transporter un téléphone professionnel dédié. Après tout, pourquoi s’embêter quand on peut obtenir tout ce dont on a besoin sur son smartphone personnel ?

Voici une raison : votre compte professionnel pourrait vous espionner en arrière-plan.

Lorsque vous ajoutez une adresse e-mail professionnelle à votre téléphone, on vous demandera probablement d’installer quelque chose appelé profil de gestion des appareils mobiles (MDM). Il y a de fortes chances pour que vous l’acceptiez aveuglément. (Quel autre choix avez-vous ?) MDM est configuré par le service informatique de votre entreprise pour accéder à l’intérieur de votre téléphone en arrière-plan, ce qui leur permet de s’assurer que votre appareil est sécurisé, de savoir où il se trouve et d’effacer à distance vos données si le téléphone est volé.

Du point de vue de votre entreprise, il y a des raisons évidentes de sécurité pour installer un MDM sur le téléphone d’un employé. Mais pour les employés, il est difficile de savoir ce que ces profils invisibles collectent en coulisse, car ils fournissent aux personnes de votre entreprise un contrôle invisible sur votre appareil. C’est pourquoi, lorsqu’il s’agit de votre téléphone, quelle que soit la confiance que vous accordez à votre service informatique, il est bon de séparer travail et plaisir.

Les profils MDM, associés à des outils de gestion des appareils, permettent aux entreprises de suivre les téléphones des employés dans un tableau de bord unique. Ils peuvent atténuer les failles de sécurité ou les dommages potentiels d’un employé malhonnête ; si vous travaillez pour un cabinet d’avocats, par exemple, et que votre patron s’inquiète que vous fassiez fuir des courriels sensibles depuis votre smartphone, il pourrait effacer vos données à distance. Les profils MDM peuvent également vous obliger à utiliser un long mot de passe sur votre appareil, plutôt qu’un simple code PIN, entre autres politiques.

Jusqu’à ce que l’iPhone fasse ses débuts il y a plus de dix ans et mette les smartphones à la portée des masses, il était courant pour les entreprises de distribuer un BlackBerry ou un Palm Pilot d’entreprise, ce qui permettait à leurs employés de consulter leur courrier électronique en déplacement et de travailler davantage.

Lorsque l’iPhone est arrivé, les employés ont soudainement voulu utiliser leurs nouveaux téléphones lisses au bureau, et non le gros téléphone fourni par le travail avec le clavier physique. Ils ont ajouté leurs e-mails professionnels à leur smartphone s’ils le pouvaient, ou ont imaginé des solutions de contournement sournoises pour y avoir accès.

La fonctionnalité MDM existait déjà avant ce changement, mais avec le boom des smartphones, elle est devenue un élément central de la politique informatique. Les entreprises étaient heureuses de laisser les employés accéder à leur courrier électronique sur leurs propres appareils, ce qui permettait d’économiser le coût de l’achat de téléphones professionnels et de plans de données distincts, mais cela signifiait également que les personnes qui acceptaient cet arrangement perdaient le contrôle de leurs données sensibles.

Ces outils supposent aveuglément que le service informatique et la direction sont dignes de confiance et infaillibles, et ils ne semblent pas considérer si un abuseur pourrait y avoir un accès direct.

Dans de nombreux cas, le MDM donne aux entreprises la possibilité de suivre votre localisation et d’installer un VPN d’entreprise. Cela signifie qu’ils peuvent acheminer votre trafic à travers un réseau que l’entreprise possède – et s’ils possèdent ce réseau, l’entreprise peut surveiller le trafic sur celui-ci, fournissant un miroir sans tain dans votre vie, sans aucun moyen de regarder en arrière.

Certains outils MDM tiers relient tout cela à la productivité des travailleurs. Hexnode, par exemple, commercialise son outil en disant que « les performances des employés peuvent être évaluées en surveillant le rapport de localisation de ces appareils » et que « la durée du temps passé sur un emplacement particulier donne une idée globale de leurs performances. » Cela vous semble familier ?

Techniquement, iOS et Android ne permettent pas de suivre les données de localisation sans le consentement de l’utilisateur. Mais des solutions tierces peuvent contourner cela en vous obligeant à installer une application qui effectue elle-même le suivi lorsque vous ajoutez une adresse électronique d’entreprise à votre appareil.

Ces outils permettent souvent aux administrateurs de fouiller dans la façon dont le téléphone est utilisé également, en récupérant les journaux d’appels, l’historique des SMS et, dans les cas les plus extrêmes, les journaux complets de la navigation Web. Vous pouvez raisonnablement vous attendre à ce type de surveillance sur un appareil professionnel dédié, mais peut-être pas sur votre téléphone personnel. Cependant, une fois que votre messagerie professionnelle et le MDM sont installés, les deux sont essentiellement la même chose.

Faites-vous confiance à votre administrateur ?

Un mauvais acteur dans le département informatique pourrait abuser de son accès pour suivre la localisation des employés, ou scruter la vie privée des gens sans qu’ils ne sachent jamais que cela se produit. Il n’y a essentiellement aucun moyen pour vous de voir qui a accès à vos données, ou si elles ont été consultées ou non. Seul l’administrateur a accès aux journaux qui le montrent, bien qu’il s’agisse d’informations sur un appareil qui vous appartient.

L’année dernière, le New York Times a écrit sur la façon dont l’internet des objets a permis la violence domestique, et il existe de nombreux parallèles dans le peu de considération que les outils informatiques des entreprises accordent à la sécurité des utilisateurs soumis à leur surveillance. Vous comprenez probablement que votre patron puisse accéder à votre courrier électronique – même si ce n’est que pour une raison valable – mais qu’en est-il de la possibilité de suivre tous vos mouvements, à la demande ?

Ces outils supposent aveuglément que le service informatique et la direction sont dignes de confiance et infaillibles, et ils ne semblent pas se demander si un abuseur pourrait y avoir un accès direct, ou comment ces outils pourraient être utilisés pour harceler quelqu’un au sein de l’entreprise.

Donc, il est bon de faire une pause lorsque vous ajoutez une messagerie professionnelle à votre appareil, et qu’il vous demande l’installation d’un profil MDM. Comment pouvez-vous être sûr qu’il y a des contrôles appropriés en place pour empêcher quelqu’un d’exploiter l’accès à votre appareil ?

Sur Android, il y a des outils qui aident à empêcher l’IT d’atteindre votre téléphone. Si votre administrateur l’autorise, vous pouvez créer un profil « professionnel » distinct qui contient des versions sandboxées de vos apps pour éviter de brouiller la frontière entre personnel et professionnel. Le profil professionnel peut ensuite être désactivé sur demande et réactivé uniquement lorsque vous en avez besoin, ce qui offre un niveau de contrôle qu’iOS ne permet pas encore.

Pour les utilisateurs d’iOS, si une application doit être installée avec votre courriel professionnel, désactivez l’accès à la localisation dans les paramètres pour la couper du GPS, ou envisagez d’ajouter une « restriction » via le contrôle parental qui ne permet pas de la lancer en premier lieu.

Personnellement, je préférerais que le travail ne soit pas du tout sur mon téléphone personnel. La chose la plus puissante que vous puissiez faire pour vous protéger en premier lieu pourrait être de garder votre courriel de travail hors de votre propre téléphone et d’exiger un téléphone fourni par le travail. Au moins, de nos jours, ce ne sera pas un Palm Pilot.