(Help!) Un collègue prend le contrôle des PC de son équipe. Que faire ?

Répondre
 
Partager Rechercher
Je vous fait un bref topo:

Je travaille dans une grande entreprise.

Nos PC sont bien entendus reliés en réseau et nous avons une équipe informatique qui dispose d'accès pour prendre le contrôle à distance de nos PC.

Il y a quelques semaines , un mec a été transféré de l'équipe informatique vers une de nos équipes administratives.

Depuis ce jour, plusieurs incidents "bizarres" se sont produits, notamment que cette personne semble être au courant d'informations "confidentielle" que seule certaines personnes peuvent connaitre.

On est à peu près sûr qu'il n'y a pas eu de fuites et que cette personne n'a pu avoir accès à ces infos qu'en prenant le contrôle des PC à notre insu. On pense qu'il a garder ses codes et méthodes d'accés qu'il avait du temps de l'équipe informatique et qu'il les utilise maintenant à son profit.

Certains collègues voudraient se plaindre à la hiérarchie mais voilà: il n'y a pas de preuves pour l'accuser.

Donc j'aimerais savoir, comment on pourrais prouver ca sachant que :
- notre hiérarchie ne nous soutiendra qu'avec une preuve formelle
- on ne peut pas demander à l'équipe informatique car ce sont ses potes et ils risquent de l'avertir et d'effacer ses traces.
- qu'il surveille probablement les membres de l'équipes dont il a fouiller les PC.
- je suis nul en informatique et mes collegues aussi.

Voilà mon impasse assez grave comme vous pouvez le constater.

Autre chose: comment sécuriser nos documents en attendant ? Un password suffit ou il peut aussi les contourner facilement ?
Lien direct vers le message - Vieux 15/10/2009, 21h13
Sais-tu si un soft est utilisé pour accéder aux postes (du style VNC) ? Si c'est le cas, il doit sûrement y avoir un mot de passe commun affecté à l'ensemble des PC de l'entreprise pour faciliter la gestion de l'équipe technique. Le mieux serait de demander à la hiérarchie de modifier ce mot de passe afin que cette personne n'y ait plus accès.

Si tu en as la possibilité, tu peux aussi essayer de changer le mot de passe pour se connecter au domaine de l'entreprise. Si par exemple tu utilises windows, c'est le mot de passe qui t'est sûrement demandé au lancement de ton ordinateur.

Sinon il y aurait bien d'autres manips à faire, mais ça pourrait être mal perçu par la hiérarchie


_
Lien direct vers le message - Vieux 15/10/2009, 21h27
Un analyseur de trames serait un premier pas pour déceler un trafic anormal sur le réseau. Et avec la collaboration de tes collègues, il est assez aisé de collecter l'ensemble des IP ( ou MAC si les IP ne sont pas fixes ) de vos postes. Partant de là, tout intrus est vite repéré. Et les protocoles mis en oeuvre dans la transaction intrus-poste cible peuvent mettre le doigt sur ce qui est fait.
Lien direct vers le message - Vieux 15/10/2009, 21h35
Citation :
Publié par Bleys d'Ambre
Sais-tu si un soft est utilisé pour accéder aux postes (du style VNC) ? Si c'est le cas, il doit sûrement y avoir un mot de passe commun affecté à l'ensemble des PC de l'entreprise pour faciliter la gestion de l'équipe technique. Le mieux serait de demander à la hiérarchie de modifier ce mot de passe afin que cette personne n'y ait plus accès.
Aucune idée si ce type de programme existe. Quand a demander de changer de mot de passe à la hiérarchie, celle-ci va demander pourquoi et on ne souhaite pas tant qu'on a pas de preuve formelle (pour éiter qu'on nous traite de paranos)
Lien direct vers le message - Vieux 15/10/2009, 21h40
sinon, tu peux mettre de fausses informations bien provocante de facon à (suivant son niveau de perspicacité) ce qu'il passe pour un crétin apres l'avoir répéter, soit comprenne qu'on l'a griller.

le plus dur étant de le planquer suffisamment pour que ce soit crédible (mais pas trop pour qu'il les trouve...)


sinon, informatiquement, sans intervention de l'équipe réseau, je vois pas de solution...

PS : suivant l'equipe qui est "espionner", l'information comme quoi il va etre viré sous peu, pourrai etre une bonne idee
Lien direct vers le message - Vieux 15/10/2009, 21h41
Citation :
Publié par Drys Kaine
Un analyseur de trames serait un premier pas pour déceler un trafic anormal sur le réseau. Et avec la collaboration de tes collègues, il est assez aisé de collecter l'ensemble des IP ( ou MAC si les IP ne sont pas fixes ) de vos postes. Partant de là, tout intrus est vite repéré. Et les protocoles mis en oeuvre dans la transaction intrus-poste cible peuvent mettre le doigt sur ce qui est fait.
Un utilisateur de trame , qu'est ce donc ? où je peux m'en procurer un ?
Pour les IP, oui je devrais pouvoir rassembler ca.

Pour les protocoles, je dois plutot chercher quoi ? (je pense pas qu'il modifie des choses, je pense qu'il lit juste les PDF et les words de mes collègues. (mon PC reste à mon avis safe jusqu'a présent.)



Sinon je sais pas si ca a de l'importance mais certains de mes collègues ont recu un mail vide, on dirait automatique, avec un texte genre "controle administration" et on pense que c'est émis par l'ordinateur de ce mec quand il fait une opération sur nos PC.
Lien direct vers le message - Vieux 15/10/2009, 21h45
Citation :
Publié par Drys Kaine
Un analyseur de trames serait un premier pas pour déceler un trafic anormal sur le réseau. Et avec la collaboration de tes collègues, il est assez aisé de collecter l'ensemble des IP ( ou MAC si les IP ne sont pas fixes ) de vos postes. Partant de là, tout intrus est vite repéré. Et les protocoles mis en oeuvre dans la transaction intrus-poste cible peuvent mettre le doigt sur ce qui est fait.
Le truc c'est qu'à mon avis, il a plutôt accès aux credentials pour se connecter sur les boîtes mails ou autre. L'accès direct à la machine je n'y crois pas trop, ce serait vraiment flagrant. Ou alors c'est carrément un trojan mais bon...
Lien direct vers le message - Vieux 15/10/2009, 21h46
Citation :
Publié par Gardien
sinon, tu peux mettre de fausses informations bien provocante de facon à (suivant son niveau de perspicacité) ce qu'il passe pour un crétin apres l'avoir répéter, soit comprenne qu'on l'a griller.

le plus dur étant de le planquer suffisamment pour que ce soit crédible (mais pas trop pour qu'il les trouve...)


sinon, informatiquement, sans intervention de l'équipe réseau, je vois pas de solution...

PS : suivant l'equipe qui est "espionner", l'information comme quoi il va etre viré sous peu, pourrai etre une bonne idee
On y a pensé mais ca l'empecherait pas de nuire s'il s'attaque à une autre équipe et on a pas envie de tout ébruiter à toute l'entreprise.
Lien direct vers le message - Vieux 15/10/2009, 21h48
Citation :
Publié par Bleys d'Ambre
Le truc c'est qu'à mon avis, il a plutôt accès aux credentials pour se connecter sur les boîtes mails ou autre. L'accès direct à la machine je n'y crois pas trop, ce serait vraiment flagrant. Ou alors c'est carrément un trojan mais bon...
Il a occupé un assez haut niveau dans la team informatique donc il doit avoir connaissance et accès a a peu près tout ce qui a pu être installé.
Lien direct vers le message - Vieux 15/10/2009, 21h50
Citation :
Publié par Parki
Sinon simplement allez parler a plusieurs avec la personne concerné ? Ça peu fonctionner...
C'est le genre hypocrite, ouinouin hiérarchie. Si on va l'intimider, on peut être sur de se prendre la cellule harcelement sur le dos.
Lien direct vers le message - Vieux 15/10/2009, 21h52
Moi je parie qu'il a juste accès à vos boîtes mails. Par exemple, avec Exchange et le compte admin qui va bien, il peut très bien se connecter à n'importe quelle boîte.
Lien direct vers le message - Vieux 15/10/2009, 21h56
Citation :
Publié par Bleys d'Ambre
Moi je parie qu'il a juste accès à vos boîtes mails. Par exemple, avec Exchange et le compte admin qui va bien, il peut très bien se connecter à n'importe quelle boîte.
Je pense que c'est plus étendu mais tu as peut-être raison. Je peux démontrer ca comment qu'il consulte nos boites ?
Lien direct vers le message - Vieux 15/10/2009, 22h00
Citation :
Publié par Lothar
Je pense que c'est plus étendu mais tu as peut-être raison. Je peux démontrer ca comment qu'il consulte nos boites ?
Comme vient de dire Drys, ça me semble difficile sans l'aide des personnes de l'équipe technique. En attendant vous pouvez toujours utiliser un webmail (yahoo, gmail, etc.) pour vos mails privés
Lien direct vers le message - Vieux 15/10/2009, 22h02
Cf ma réponse plus haut, tu ne peux pas techniquement sans accès au serveur. Partant de là, t'as plus 36 solutions si c'est bien son mode opératoire :

- soit vous le piégez
- soit vous le confrontez
- soit vous en référez à la hiérarchie ou au service informatique à tout le moins

Edit : owned.
Lien direct vers le message - Vieux 15/10/2009, 22h03
Citation :
Publié par Drys Kaine
Cf ma réponse plus haut, tu ne peux pas techniquement sans accès au serveur. Partant de là, t'as plus 36 solutions si c'est bien son mode opératoire :

- soit vous le piégez

Edit : owned.
on en revient à la solution du petit mail envoyé à quelqu'un de ton equipe "Eh au faite, t'es au courrant que XXX va virer YYY en janvier, il cherche juste une faute pour lui mettre sur le dos" et tu fait tourner entre personne au courrant du piege

YYY etant le méchant spy, et XXX etant le big boss de la boite.

si ca marche, il ira voir le big boss, qui demandera des explications... et ca solutionnera le problème...
Lien direct vers le message - Vieux 16/10/2009, 09h46
Ouais et si il a ces accès il a peut être aussi ces accès au serveur de fichiers, aux comptes exchanges donc à tout ce qui est liés aux profiles ...

Pour le griller effectivement comme dit plus haut faut le griller. Après pour le reste je vons conseil fortement de commencer à crypter vos fichiers sensibles et à les protéger par mot de passe.

Malheureusement pour vous, les IT haut placés sont quasiment intouchable si ils ont les bons accès aux bonnes ressources, et si il est pas trop gland et qu'il a les accès il a même effacé les traces que pourraient retrouver les autres membres de l'equipe IT ...

sinon un petit coup de keylogger ou autre sur son pc ?
Lien direct vers le message - Vieux 16/10/2009, 10h15
Avant toute chose, je pense qu'il est de bon ton d'être vraiment sûr qu'il y a une fuite.

Pour ça, rien de tel qu'une fausse info qu'il aura plaisir à répéter (pas forcément sur des questions de boulot, mais par exemple sur Georges qui s'est tapé Michelle dans le local photocopieuse), et en étant sûr que personne d'autre n'en parle.

Une fois que c'est attesté et vérifié, je pense qu'il faut mieux aller à la confrontation et lui demander d'arrêter ses conneries.

D'un point de vue pratique, la preuve est difficile mais on doit pouvoir convaincre le service IT d'effectuer un changement du mot de passe admin quand plusieurs employés ont l'impression d'être sous écoute. Y'a pas plus pénible qu'un responsable ayant ce genre d'accès et qui en abuse.
Lien direct vers le message - Vieux 16/10/2009, 10h27
Et au passage tu contact votre RRSI.

Tu lui dis que le controle des identités et des d'accès c'est pas pour les chiens (bon la tu fais un peu plus diplomatique) et qu'embaucher des vrais personnes compétentes c'est bien.
Lien direct vers le message - Vieux 16/10/2009, 11h01
Si vous bossez à France Telecom ou Renault vous pouvez le "suicider" ....

Edit: Sérieusement, il doit encore avoir un mot de passe admin et pouvoir ouvrir les partages sur le SAN et les PC et regarder tout ce qu'il veut. Si il fait ça, c'est une faute grave motif de licenciement.
Lien direct vers le message - Vieux 17/10/2009, 08h50
Répondre

Connectés sur ce fil

 
1 connecté (0 membre et 1 invité) Afficher la liste détaillée des connectés
Thème visuel : Fuseau horaire GMT +2. Il est actuellement 14h03.
^^ Haut de page ^^