es logiciels que votre employeur utilise pour vous surveiller envoient vos données à Google et Meta. Aucun des neuf outils testés n’y échappe. Le marché du « bossware » (ces logiciels qui permettent aux employeurs de suivre l’activité de leurs salariés à distance) est en pleine expansion depuis la généralisation du télétravail. Une étude publiée tou récemment vient de documenter ce que ces outils font réellement des données qu’ils collectent. Les chercheurs ont intercepté le trafic réseau de neuf plateformes de surveillance parmi les plus répandues. Le résultat est net : les neuf transmettent des données personnelles de salariés à des tiers. Les neuf plateformes passées au crible sont Apploye, Buddy Punch, Deputy, Desklong, Hubstaff, Monitask, Time Doctor 2, Vericlock et When I Work. Toutes sont disponibles en France et commercialisées auprès d’entreprises européennes. Les données transmises comprennent noms, adresses email et données d’activité des salariés. Au total, plus de 145 domaines tiers reçoivent ces informations, parmi lesquels Google, Meta, Microsoft, LinkedIn, Yandex et AppLovin. Un tiers des outils testés transmet également la géolocalisation précise du salarié, y compris en arrière-plan (c’est-à-dire quand l’application tourne sans que l’utilisateur en soit conscient). Les chercheurs ont contacté les neuf éditeurs pour leur demander des explications. Quatre ont répondu. L’un d’entre eux, Time Doctor, a répondu par chatbot automatique (un logiciel de surveillance qui délègue sa propre transparence à un robot, la boucle est bouclée). En droit français, cette transmission de données à des régies publicitaires tierces entre en collision frontale avec plusieurs textes. Le RGPD impose la minimisation des données collectées (article 5) et exige une base légale explicite pour chaque traitement (article 6). Le Code du travail, lui, pose le principe de proportionnalité des restrictions aux libertés individuelles des salariés (L.1121-1) et l’obligation d’informer préalablement de tout dispositif de collecte (L.1222-4). La CNIL a par ailleurs jugé que les captures d’écran continues et la géolocalisation permanente sans possibilité de désactivation sont « ni pertinentes ni proportionnées ». Le précédent le plus parlant est celui d’Amazon France Logistique. La CNIL lui a infligé 32 millions d’euros d’amende en décembre 2023 pour surveillance « excessivement intrusive » de ses salariés en entrepôt (indicateurs de productivité à la seconde, temps d’inactivité, latence entre deux scans de colis). Le Conseil d’État a réduit cette amende à 15 millions d’euros en décembre 2025, mais a confirmé le manquement au principe de minimisation des données. Les neuf outils documentés dans cette étude reproduisent exactement le mécanisme sanctionné chez Amazon, à une différence près : ils ajoutent la transmission à des tiers publicitaires, ce qu’Amazon ne faisait même pas. Pour les salariés français concernés, le droit d’accès prévu par le RGPD permet d’exiger de son employeur la liste des outils de surveillance déployés et le registre des traitements associés. Le genre de demande qui refroidit sensiblement l’enthousiasme pour le bossware. Quelques jours plus tard, l’éditeur américain a décidé de mettre en avant deux solutions pour se protéger, faute de pouvoir proposer un véritable correctif. Tout d’abord, Microsoft consiste à supprimer une entrée dans le registre Windows liée au programme « autofstx.exe ». Cette manipulation empêche le composant vulnérable de se lancer automatiquement au démarrage de WinRE. Il s’agit d’une opération plutôt technique, qu’on réservera aux administrateurs système. Par ailleurs, la vulnérabilité ne fonctionne pas sur des systèmes équipés d’une puce TPM (Trusted Platform Module) avec code PIN. C’est ce qu’a découvert le chercheur en sécurité Will Dormann, de la société Tharros, démentant les conclusions de Nightmare-Eclipse. Cela ajoute un code PIN que vous devrez saisir à chaque démarrage pour déchiffrer le disque. Il est impératif de configurer un code PIN pour se protéger. L’utilisation d’une puce TPM ne suffit pas. Dans la foulée, Microsoft a fustigé les pratiques de Nightmare-Eclipse. L’éditeur regrette que le chercheur ait divulgué la faille sur Internet avant de le prévenir, tout en publiant un code d’exploitation fonctionnel pour YellowKey. C’est une « violation des bonnes pratiques de gestion des vulnérabilités », estime Microsoft. Pour mettre la pression sur Microsoft, le chercheur a aussi mis en ligne un proof-of-concept (PoC), qui démontre concrètement comment il est possible d’exploiter la faille. Ce document risque évidemment de donner des idées aux cybercriminels. Notez que Nightmare-Eclipse n’en est pas à son coup d’essai. Le chercheur a déjà divulgué plusieurs failles de sécurité Windows de la même manière, dont MiniPlasma, BlueHammer ou encore GreenPlasma. Il accompagne à chaque fois ses découvertes d’une démonstration technique visant à provoquer une réaction rapide de la part de Microsoft.
Copyright © 2026 | Thème WordPress par MH Themes
Poster un Commentaire