Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Grèves chez Free : le télétravail sacrifié sur l’autel de la cybersécurité

Attendez, quoi ??? Un VPN ne protège pas de tout, tout le temps !!!

Grèves chez Free : le télétravail sacrifié sur l’autel de la cybersécurité

greve

Selon plusieurs syndicats, le télétravail dans les centres d’appels de Free, c'est terminé. Un mouvement de grève s’est tenu hier pour dénoncer ce qu’ils présentent comme une « vaste blague » : la fin du télétravail aurait pour origine la faille de cybersécurité et « l’incapacité du groupe à mettre en place des VPN sécurisés ».

Le 10 décembre à 15h39

Hier, les salariés Free des centres d’appels, Proxi et Free réseau étaient appelés à faire grève « après l’annonce la semaine dernière de la fin du télétravail », explique France 3. Nos confrères ont récolté le message de plusieurs délégués syndicaux. On trouve également des témoignages et photos sur les réseaux sociaux.

Fin du télétravail « pour des raisons de cybersécurité »

« La direction nous a enlevé le télétravail pour des raisons de cybersécurité apparemment, alors que c'était quand même un acquis social qui a apporté beaucoup de conforts aux collaborateurs dans leur vie privée comme professionnelle », explique ainsi Mohamed Ennourine (CFTC).

« Ils nous suppriment tous les avantages petit à petit », surenchérit Nadia Boudjadit (Certicall). Elle dénonce aussi des « objectifs inatteignables » de la part de la direction. Pour la syndicaliste, tout cela « est une forme de pression, de chantage » sur les employés pour qu’ils quittent « le navire de leur propre chef ».

Quelques jours auparavant, sur X, Katia Yakoubi, une des responsables de l’Apres 13 (Association pour une République écologique et sociale, créée par des dissidents de La France Insoumise), partageait le tract de la CGT ainsi qu’un communiqué de soutien de l’Apres.

« Incapacité du groupe à mettre en place des VPN sécurisés »

Le syndicat revient sur des baisses drastiques d’effectifs, une stagnation des salaires et d’une pression à la productivité. Mais, la semaine dernière, c’était « le coup de trop » : « Ce jeudi, nous avons assisté à une vaste blague, pour cause de cybersécurité, et l’incapacité du groupe à mettre en place des VPN sécurisés, ils arrêtent le télétravail pour tous les salariés des centres d’appels, des proxi et Free réseau ».

Un comble pour la CGT alors que le groupe est un « fournisseur d’Internet et mobile, au cinquième rang européen, cela fait plutôt rire… jaune ». Lors de la publication de ses résultats fin août, Iliad revendiquait en effet la place de cinquième opérateur européen sur le mobile (derrière Deutsche Telekom, Vodafone, Telefónica et le numéro un français Orange) et sur le haut débit fixe.

Télétravail et Free Proxi : un pas en avant, un autre en arrière ?

Auprès de France Bleu, Annabel Ros (CGT) se demande « pourquoi les salariés devraient-ils payer le prix d’une faille de sécurité qui relève de la direction ? ». Il s’agirait en fait d’un moyen de réduire les effectifs, selon nos confrères. Depuis la pandémie de Covid, Free était passé au télétravail, mais les cartes ont été rebattues il y a deux ans avec le lancement de Free Proxi, des équipes installées dans des appartements ou des maisons.

« On nous a annoncé il y a dix jours l'arrêt de toute forme de télétravail. Tous les accès à distance sont coupés à compter de ce matin », expliquait hier Christophe Risal (CGT) à La Tribune.

Un complice interne aurait donné ses identifiants OpenVPN

Quel rapport entre les VPN sécurisés (non, on n’est pas dans une publicité pour les VPN, rassurez-vous), les questions de cybersécurité et la fin du télétravail ?

Fin octobre, quand Free communiquait sur la fuite de données personnelles de ses clients. Le FAI expliquait, sans entrer dans les détails, que la cyberattaque ciblait « un outil de gestion », avec comme conséquence « un accès non autorisé à une partie des données personnelles ». Rebelote quelques jours plus tard, avec des IBAN en prime dans la nature pour des clients mobiles.

Selon SaaX sur X, cette affaire de piratage partirait « d'un agent (complice) qui a donné ses identifiants [OpenVPN] au cybercriminel ». Après « investigations et recoupement », l’expert en cybersécurité ajoute que « après le partage du compte de l'agent 0, plusieurs autres agents Free ont reçu des appels du cybercriminel et des ses complices en se faisant passer pour le service IT… Hélas certains se sont fait avoir et ont a leur tour donné leurs identifiants… ». Et, toujours selon SaaX, « depuis la cyberattaque, plus de télétravail pour accéder aux données ».

Cette piste n’a pour le moment pas été confirmée. La CNIL pour rappel enquête sur la fuite de Free et annonce déjà un triste bilan (provisoire) sur le nombre de plaintes : « plus de 2 000 à ce stade. C’est le record s’agissant d’une série de plaintes ».

Commentaires (19)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Le FAI expliquait, sans entrer dans les détails, que la cyberattaque ciblait « un outil de gestion », avec comme conséquence « un accès non autorisé à une partie des données personnelles ».
Selon SaaX sur X, cette affaire de piratage partirait « d'un agent (complice) qui a donné ses identifiants [OpenVPN] au cybercriminel ».
Si cela est vrai, les responsables de la sécurité de Free ne sont pas au niveau : il faut que les accès aux bases de données des utilisateurs (ou toute autre donnée critique) soient sécurisés eux-mêmes par une authentification de l'utilisateur (double facteur me semble nécessaire). Le seul fait d'être sur le réseau interne de Free (dans leur locaux ou par VPN) ne doit pas donner accès à tout. Seuls les personnes ayant besoin d'accéder aux données doivent y avoir accès.

J'espère que la CNIL sera à la hauteur pour la sanction si leur authentification est bien aussi faible que dit par SaaX.
votre avatar
Je plussois

INdépendepement

Je pense que le syndicat peut aussi le principe d'exemplarité : Si le VPN n'est pas sur pour les centre d'appels et n'est sur pour personnes cadres et diregeant inclus... donc TOUT les télétravails devraient sautés...
votre avatar
Le télétravail c'est une plaie pour la cyber et les SI en général, je rejoins Free sur ce point, un VPN n'est pas forcément super sécurisé, il y a d'autres solutions type Zscaler (ZPA), mais pareil, ça reste des ouvertures de flux qui affaiblissent la sécurité...
votre avatar
En temps normal, un accès réseau est fermé sauf quand celui-ci est nécessaire et que cette nécessité est justifiée. Et pour les outils d'administration, une solution de type bastion est indispensable pour ajouter une couche de sécurité à son SI (de préférence avec un MFA pour valider les accès).

Le TT n'a rien changé pour le coup avec ces règles. Le risque d'un attaquant interne ne doit pas être négligé. Perso quand je tombe sur des contextes où des API d'admin d'un composant chez un CSP sont dispo en public, j'ai envie de fuir le plus loin possible.

Mais bon, avec la mode des teams de barbouze à qui ont file tous les droits pour qu'ils puissent délivrer rapidement parce qu'on a toujours pas compris comment marche l'IAM, on a pas le cul sorti des ronces.
votre avatar
Zscaler on parle bien du truc qui log toutes les données – y compris les plus sensibles – aux États Unis au prix d’un certificat racine modifié, et qui a déjà lui même était piraté ?

Je pense qu’en terme de « sécurisation » on a déjà fait mieux. Faire un man in the middle qui envoie toutes les données en clair aux US n’est pas vraiment ma définition de la sécurité.

Dans ma boîte ils ont mis ça. Les données bancaires des salariés, leurs mots de passes, tout est stocké déchiffré par cette boîte. Et j’ai bien vérifié les « exceptions » annoncées sont juste du vent, très peu de sites se voient laisser leur certificat d’origine.
votre avatar
pff... un parefeu open-office, de la poudre verte, et la sécurité est totale :3
votre avatar
Il y a eu, il y a quelques temps, plusieurs enquêtes montrant que 80% des fuites de données ou autres anomalies étaient dues à des erreurs humaines (ou malveillances) . Il me semble que ce genre d'actions peut s'effectuer aussi bien en local qu'au travers d'un VPN (pour le télétravail) et… pour moi, si cela se produit lors de sessions de télétravail, j'aurai tendance à mettre en doute les qualités du responsable de la sécurité !
votre avatar
je ne comprend pas comment Free peux justifier cela.
Il existe plusieurs façon de faire du télétravail, mais avec l’expérience, une se dégage par rapport a d'autres.

la base, c'est de mettre en place une MFA, pour éviter justement ce problème d'identifiant donné

Ensuite, et le plus important.... il ne faut ouvrir le VPN à rien d'autre qu'un accès TSE ou RDP.
Interdire les transferts de fichiers, ou tout autre chose que de voir l'écran de travail.
aucun fichier ne doit pouvoir être reçu sur les machines perso du salarié.

et si on veux éviter le "vol de portable" avec des données dessus.
le portable ne doit servir qu'a se connecter au RDP, rien d'autre.
même pas pouvoir se brancher en filaire au réseau de la boite.

j'ai vu des "VPN" ou la machine accède aux partages windows et autres services...
je ne comprend pas...
votre avatar
La sécurité ce n'est pas que du blocage de capacités (ça en fait partie avec le least privilege, least knowledge, etc), c'est aussi de la détection, de l'alerting et de l'audit permettant d'enquêter à posteriori.

Typiquement, un SOC est là pour aider à prévenir ou alerter de comportements suspects, comme un poste qui se met soudainement à récupérer beaucoup de données, un dev qui reclone tous les repositories de la boîtes, etc. Ou encore de l'alerte quand une action de modification est lancée sur le SI par des profils à privilège pour s'assurer que c'était bien la personne concernée.

Pour les PC portables, les disques ils doivent de toute façon être chiffrés, c'est le minimum syndical de nos jours. Et idéalement, la clé de chiffrement doit être une carte à puce ou une clé et pas un simple mot de passe.
votre avatar
On est sûr pour le RDP à la maison? Entre le cout, l'impact sur les réseau et l'empreinte écologique d'un tel streaming, on n'a rien d'autre pour sécuriser un appareil d'entreprise connecté depuis un domicile ?
votre avatar
L’impact environnemental du rdp est tout relatif, on parle d’un millième de radiateur sur la partie transport réseau.
Sur la partie serveur il y a pas mal de variables mais c’est pas non plus délirant si c’est de la bureautique.
Il n’y a pas beaucoup de scenarii où l’empreinte environnementale du présentiel (en incluant le transport) est inférieure à celle du télétravail, même en rdp toutes options.
votre avatar
Perso, plutôt qu'un vieux TSE de l'enfer (qui représente en plus un SPOF) j'aurais une préférence pour du poste de travail virtualisé à choisir. Un truc comme du Azure Virtual Desktop par exemple, ou du Citrix pour les vieux.

Les solutions de virtualisation de ce genre ont même réussi avec le temps à devenir plutôt transparentes pour les utilisateurs. Rappelez-vous le mode XP de Windows 7 qui faisait de l'affichage déporté depuis une VM de l'application.
votre avatar
Tu peux faire du VDI avec Proxmox, ça marche plutôt bien, et y a des clients VDI (ou tu peux créer le tiens)
votre avatar
Il existe plein de solutions, oui. Tout dépend à quel niveau l'entreprise désire la manager et les moyens qui y sont alloués. Si c'est pour mettre un produit on-premise et ne pas le maintenir, autant ne rien faire car il cela ne fera qu'ajouter une passoire au SI.
votre avatar
Un autre article qui met plus en avant un des "avantages" de la fin du télétravail : faire un plan social déguisé
https://www.igen.fr/telecoms/2024/12/free-met-fin-au-teletravail-des-employes-de-centre-dappel-en-greve-147459

C'est très utilisé aux USA (le "RTO" return to the office) vu que la protection des travailleurs est très faible là-bas (en fonction des États), et la présence des syndicats est également faible, mais en progression justement.
votre avatar
Pourquoi il reste du télétravail ?
Nous ne sommes plus en confinement.
Alors, les poules, au poulailler si vous voulez gagner votre grain.
Avec les 35h, les RTT, la semaine de 4 jours, les grèves, les jours fériés, les congés parentaux, on fait comment pour faire tourner le bouzin quand on est patron en France ?
votre avatar
Un gars qui fait rien chez lui n'en fera pas beaucoup plus sur site (au mieux il fera semblant quand il ne sera pas en pause café).
Pour ma part, ma productivité est bien plus importante en TT que sur site (et pourtant sur site j'ai pas le temps de commenter sur next...).
votre avatar
Les commentaires semblent oublier une chose importante, à savoir le temps d'implémentation des changements que vous évoquez.
Je suis dans la gouvernance cyber et je peux vous dire qu'apporter une modification à un logiciel utilisé par autant de personnes n'est pas un souhait qui se réalise en 2 semaines et pour l'utilisation des VDI ou autres postes virtuels, c'est pareil.
Je ne cautionne pas du tout le retour aussi brutal au présentiel mais il n'est pas aussi simple que ça d'ajouter des couches de sécurité dans le SI. Peut être que la direction a voulu agir rapidement étant donné que les auditeurs de la CNIL vont surement venir fouetter quelques peaux de fesses tombantes.
votre avatar
il n'est pas aussi simple que ça d'ajouter des couches de sécurité dans le SI. Peut être que la direction a voulu agir rapidement étant donné que les auditeurs de la CNIL vont surement venir fouetter quelques peaux de fesses tombantes.
Si l'accès aux données est mal géré par le SI (trop permissif, ce qui semble être le cas puisque juste un accès au VPN aurait permis la fuite), la CNIL doit sanctionner de la même façon un accès trop permissif local ou via un VPN. Donc couper le VPN ne sert à rien pour se protéger de la CNIL.

De plus, la fuite ayant déjà eu lieu, la CNIL va regarder l'état du SI au moment de la fuite. Les mesures de correction peuvent être présentées par Free, mais la suppression du télétravail n'est pas une correction valable si n'importe qui en interne peut accéder aux données personnelles.

Le RGPD était applicable depuis 2018 et connu 2 ans auparavant. Son article 25 est très clair au sujet de l'accessibilité aux données qui doit être minimisée.

Grèves chez Free : le télétravail sacrifié sur l’autel de la cybersécurité

  • Fin du télétravail « pour des raisons de cybersécurité »

  • « Incapacité du groupe à mettre en place des VPN sécurisés »

  • Télétravail et Free Proxi : un pas en avant, un autre en arrière ?

  • Un complice interne aurait donné ses identifiants OpenVPN

Fermer