The firm vs. damages : compte mail pro hacké

[Royco Munist Soup]

Hello all,

Une amie à moi a un grave souci. Elle soupçonne son boss d'utiliser son ordinateur (dépôt de fichiers) et sa boite mail pour faire des transactions illégales, de manière à ce qu'elle endosse la responsabilité pénale. Très classe et pas du tout flippant. Elle veut se constituer une défense si jamais ça dégénère et niquer le boss, bref ne pas prendre pour lui ; elle aime pas oranges.

Le problème est que :
1. le service informatique est de mèche avec le boss
2. ils ne veulent pas lui donner les codes
3. quand bien même ils pourront avoir accès aux codes

Elle travaille sur imac 24, mac os X, avec outlook (elle a pas su me dire le numéro)

Donc j'ai plusieurs questions :
1. l'envoi de fichiers via son adresse, hors de son poste de travail laisse-t-il des traces ?
2. outlook a-t-il une mémoire des connexions à distance ? Et surtout est-il possible de les localiser géographiquement (via les headers?)?
3. comment locker son mac alors qu'elle n'est pas admin ?
4. comment locker son mail pro si des codes d'accès à distance ont déjà été donnés?

Je ne pense pas qu'elle se fasse un film, il y a eu des précédents dans la boite, et de nombreux événements corroborent cette idée.

Voilà, si un hacker fou a des réponses et des idées, je prends.
Merci de votre aide,

Royco

[Baryton]

Alors:

1/ Normalement oui, sur le mac (mais ça peut être effacé), et sur les serveurs.
2/ Les macs peuvent être contrôlés à distance, via "partage d'écran", directement intégré à mac OSX. Il n'y a qu'a taper le nom d'user et le mot de passe, et roule ma poule. Par contre on sait que l'ordi est contrôllé par une icône en forme une petite paire de jumelles insérée dans un écran, sur la barre de finder.
Mail ou Entourage utilisent sûrement des headers. Mais ils se peut que les messages parent directement de sa machine, à des moments où elle ne l'utilise pas. Vaut donc mieux qu'elle éteigne et rallume sa machine à chaque fois qu'elle part, voire même en la débranchant physiquement.
3/ On peut créer un compte admin au moment de la phase de boot sur un mac. Pour cela, il faut démarrer en mode verbose. Mais la solution devient caduque si il y a un mot de passe protégeant l'efi. Mais cette "contre-sape" peut être considéré comme du piratage, donc faire gaffe.
4/ Je sais pas...

[getcha]

Toutes les traces des mails envoyés son sur le serveur de messagerie, auxquels seuls les admins ont accés. Je vois pas trop ce qu'elle peut faire, n'importe quel admin peut utiliser son mail pour faire ce qu'il veut... Non le seulm moyen est législatif : il faut qu'elle en parle à un syndicat.

[Royco Munist Soup]

Merci pour vos réponses... les syndicats il n'y en a pas dans sa branche, malheureusement... le monitoring des usages est la solution, histoire qu'elle se constitue un dossier... arf arf c'est compliqué cette histoire

[Scorbut]

Et un keylogger sur sa machine ? A condition que les mails soient écrits de son mac.

[xheyther]

J'ai presque envie de dire que la meilleurs défense c'est l'attaque.
Il suffit qu'elle trouve 1 message envoyé par via son adresse et qu'elle n'a pas envoyé (ce qu'elle peut prouver d'une manière quelconque) et elle peut déposer plainte (sans désigner nominativement qui que ce soit), elle devrait être couverte.

Si elle peut prouver que c'est son chef, pas besoin de prouver qu'il s'en sert pour des trucs illégaux, il est interdit d'accéder à la boite mail d'un employé hors de sa présence et éventuellement de celle d'un huissier, et il est possible de refusé. Et elle peut le coincé la dessus (et il peut prendre trés cher, ainsi que les guignols du service info).

[Baryton]

Sauf que se procurer des preuves d'un moyen cavalier ne permet pas de les utiliser dans le cadre d'un procès.
Vaudrait mieux en parler à GMB.

[Royco Munist Soup]

@ xheyther / Baryton : oui, c'est le problème... pour l'instant elle fait celle qui ne sait pas, mais la situation lui est insupportable.

Ya bien des témoins de l'usage de son PC en son absence, mais ils vont sûrement se coucher si ça part en eau de boudin...

J'invoque GMB! En plus elle fait la même chose que lui niveau taff... ce qui rend d'autant difficile à établir les liens de subordination quand on est libéral...

[Ekko]

Et un keylogger sur sa machine ? A condition que les mails soient écrits de son mac.

Surtout pas, malheureux! C'est le meilleur moyen de se prendre un coup de boomerang du type "interdiction d'enregistrer des conversations sans l'autorisation des parties qui y participent" en pleine poire.

Il faut que ton amie aille voir un avocat, ne surtout pas laisser traîner cette situation en l'état. UN AVOCAT. Je le redis? Un avocat.
Rentrer sur la messagerie d'un employé, dans son dos et pour s'enrichir illégitimement est un délit pénal en Suisse et c'est certainement la même chose en France.

[Royco Munist Soup]

Le problème est de prouver tout ça, le gars s'est bien blindé...

[Royco Munist Soup]

Et elle pourrait modifier ses codes d'accès à distance de outlook?

Elle a une autre idée... faire cramer son DD? le boss l'a déjà fait 3 fois... arf arf.. mais ça éveillerait les soupçons...

---------- Post ajouté à 12h25 ----------

Pour l'instant, ce qu'elle fait c'est d'envoyer des mails au boss pour lui demander ce qu'elle fait de ce fichier déposé...

[Biskuit]

Y vend de la drogue dure son boss ??!!

[xheyther]

Nan mais, si elle est raisonnablement sûre d'elle, elle va voir un avocat (je crois qu'il y a des consultations gratuites dans les centre d'assistance au victime dans les tribunaux).

Par conter quand je parle de preuve, je pense pas forcement à un moyen cavalier, l'utilisation d'un ordinateur laisse forcement des traces, et compiler ces indices je pense pas que ce soit limite et ça me parait même complétement légitime.

Edit : et je répète, ce qu'ekko dit, UN AVOCAT.

[Ekko]

Je pense que la police scientifique peut prouver sans trop de difficultés ce genre d'intrusions, de plus, la production du planning détaillé de ton amie pourrait déjà permettre de la disculper.
Dans tous les cas, aller voir un avocat et ne rien toucher qui pourrait entraver une enquête.

[dObinet]

Appelle Julien Courbet !

Sinon truc con, mais si les mails sont envoyés en son absence, elle peut utiliser son planning et/ou la pointeuse pour prouver son absence du lieu de travail.

[Royco Munist Soup]

Oui, ne rien faire me semble opportun, sauf accumuler des actes... et pour le pénaliste, elle va tenter de voir ça.

@Biskuit : don't know, à mon avis plus du côté montage financier, mais vu qu'elle ose pas ouvrir les fichiers pour ne pas laisser de trace...

D'ailleurs j'y pense, elle peut copier les fichiers louches sur une clef USB sans laisser de trace?

[Ekko]

Qu'elle ne touche surtout à rien! En regardant les propriétés on peut voir le dernier accès à un fichier, et je pense que la copie laisse des traces.

[getcha]

Oui, ne rien faire me semble opportun, sauf accumuler des actes... et pour le pénaliste, elle va tenter de voir ça.

@Biskuit : don't know, à mon avis plus du côté montage financier, mais vu qu'elle ose pas ouvrir les fichiers pour ne pas laisser de trace...

D'ailleurs j'y pense, elle peut copier les fichiers louches sur une clef USB sans laisser de trace?

Si elle arrive à booter sur un live cd, oui. Mais sur Mac je sais pas trop si c'est possible.

[xheyther]

Le mieux restant quand même de ne rien faire. Ou alors, quitte à ouvrir les machins, elle les lit les colle sur une clé usb et prend rendez vous avec la brigade financière (accompagné d'un avocat !).

[Yasko]

Si les admins sont de mèche, elle ne va pas pouvoir faire grand chose.
L'accès physique a son ordinateur n'est pas une nécessité sur un réseau d'entreprise, ce qui compte, c'est son compte, et le mot de passe (ou autre moyen d'authentification, dongle usb, empreinte, etc.) qui y est associé. Celui qui permet de s'authentifier auprès du serveur de messagerie, d'accéder à ses fichiers privés, de signer ses mails, etc. Sachant que les admins peuvent en général outrepasser ces restrictions.

Elle peut essayer de modifier son mot de passe, ca devrait se répercuter coté serveur de messagerie (SSO, LDAP, ...). Après, les admins ont les moyens de modifier un mot de passe, mais normalement pas le moyen de le lire en clair (enfin, on va dire que ca dépend des outils utilisés).

[LaVaBo]

Va poser la question ici
http://forum.canardpc.com/showthread...=29266&page=39
pour avoir une réponse de GMB.

[Royco Munist Soup]

Réponse de GMB -> voir les autorités compétentes de sa branche!
Merci à tous de votre aide. Au moins nous savons qu'il ne faut rien faire! Je vais lui dire de lurker.