COVID-19 a poussé des millions de personnes à travailler depuis leur domicile, et un troupeau de sociétés proposant des logiciels de suivi des travailleurs s'est lancé pour présenter leurs produits aux employeurs de tout le pays.
Les services semblent souvent relativement inoffensifs. Certains fournisseurs facturent leurs outils comme des logiciels de «suivi automatique du temps» ou «d'analyse du lieu de travail». D'autres s'adressent aux entreprises concernées par les violations de données ou le vol de propriété intellectuelle. Nous appellerons ces outils, collectivement, «logiciels malveillants». Tout en visant à aider les employeurs, bossware met la vie privée et la sécurité des travailleurs en danger en enregistrant chaque clic et chaque frappe, en collectant secrètement des informations pour les poursuites et en utilisant d'autres fonctionnalités d'espionnage qui vont bien au-delà de ce qui est nécessaire et proportionné pour gérer une main-d'œuvre.
Ce n'est pas OK. Quand une maison devient un bureau, elle reste une maison. Les travailleurs ne devraient pas être soumis à une surveillance non consensuelle ni se sentir obligés d'être examinés à domicile pour conserver leur emploi.
Que peuvent-ils faire?
Bossware vit généralement sur un ordinateur ou un smartphone et a des privilèges pour accéder aux données sur tout ce qui se passe sur cet appareil. La plupart des bossware collectent, plus ou moins, tout ce que l'utilisateur fait. Nous avons examiné les supports marketing, les démos et les avis clients pour avoir une idée du fonctionnement de ces outils. Il existe trop de types de surveillance individuels pour les énumérer ici, mais nous essaierons de répartir les façons dont ces produits peuvent être classés en catégories générales.
Le type de surveillance le plus large et le plus courant est le «suivi des activités». Cela inclut généralement un journal des applications et des sites Web utilisés par les employés. Il peut s'agir des personnes auxquelles il envoie un e-mail ou un message, y compris les lignes d'objet et les autres métadonnées, ainsi que tous les messages qu'il publie sur les réseaux sociaux. La plupart des logiciels malveillants enregistrent également des niveaux de saisie à partir du clavier et de la souris. Par exemple, de nombreux outils donnent une ventilation minute par minute du nombre de clics et de clics d'un utilisateur, en l'utilisant comme proxy pour la productivité. Le logiciel de surveillance de la productivité tentera de rassembler toutes ces données dans de simples tableaux ou graphiques qui donnent aux gestionnaires une vue d'ensemble de ce que font les travailleurs.
Chaque produit que nous avons examiné a la possibilité de prendre des captures d'écran fréquentes de l'appareil de chaque travailleur, et certains fournissent des flux vidéo directs et en direct de leurs écrans. Ces données d'image brutes sont souvent réparties dans une chronologie, afin que les patrons puissent revenir sur la journée d'un travailleur et voir ce qu'ils faisaient à un moment donné. Plusieurs produits agissent également comme un enregistreur de frappe , enregistrant chaque frappe d'un travailleur, y compris les e-mails non envoyés et les mots de passe privés. Un couple a même laissé les administrateurs intervenir et prendre le contrôle à distance du bureau d'un utilisateur. Ces produits ne font généralement pas de distinction entre l'activité liée au travail et les informations d'identification de compte personnel, les données bancaires ou les informations médicales.
InterGuard annonce que son logiciel «peut être installé en silence et à distance, de sorte que vous pouvez mener des enquêtes secrètes [sur vos employés] et recueillir des preuves à l'épreuve des balles sans alarmer le malfaiteur présumé».
Certains logiciels malveillants vont encore plus loin, atteignant le monde physique autour de l'appareil d'un travailleur. Les entreprises qui proposent des logiciels pour appareils mobiles incluent presque toujours le suivi de la position à l'aide des données GPS . Au moins deux services – StaffCop Enterprise et CleverControl – permettent aux employeurs d' activer secrètement des webcams et des microphones sur les appareils des travailleurs .
Il existe généralement deux façons de déployer un bossware: en tant qu'application visible (et peut-être même contrôlable par) le travailleur, ou en tant que processus d'arrière-plan secret que les travailleurs ne peuvent pas voir. La plupart des entreprises que nous avons examinées offrent aux employeurs la possibilité d'installer leur logiciel dans les deux cas.
Surveillance visible
Parfois, les travailleurs peuvent voir le logiciel qui les surveille. Ils peuvent avoir la possibilité d'activer ou de désactiver la surveillance, souvent définie comme «pointage entrant» et «pointage sortant». Bien sûr, le fait qu'un travailleur ait désactivé la surveillance sera visible pour son employeur. Par exemple, avec Time Doctor, les travailleurs peuvent avoir la possibilité de supprimer des captures d' écran particulières de leur session de travail. Cependant, la suppression d'une capture d'écran entraînera également la suppression du temps de travail associé, de sorte que les employés ne reçoivent de crédit que pour le temps pendant lequel ils sont surveillés.
Les travailleurs peuvent avoir accès à tout ou partie des informations collectées à leur sujet. Crossover, la société derrière WorkSmart, compare son produit à un tracker de fitness pour le travail informatique. Son interface permet aux travailleurs de voir les conclusions du système sur leur propre activité présentées dans un tableau de graphiques et de tableaux.
Différentes entreprises de bossware offrent différents niveaux de transparence aux travailleurs. Certains donnent aux travailleurs l'accès à la totalité ou à la plupart des informations dont disposent leurs managers. D'autres, comme Teramind , indiquent qu'ils sont activés et collectent des données, mais ne révèlent pas tout ce qu'ils collectent. Dans les deux cas, il est souvent difficile pour l'utilisateur de savoir exactement quelles données sont collectées, sans demande spécifique à leur employeur ni examen minutieux du logiciel lui-même.
Surveillance invisible
La majorité des entreprises qui construisent des logiciels de surveillance visibles fabriquent également des produits qui tentent de se cacher des personnes qu'elles surveillent. Teramind, Time Doctor, StaffCop et d'autres rendent les logiciels malveillants conçus pour être aussi difficiles à détecter et à supprimer que possible. Sur le plan technique, ces produits ne se distinguent pas du stalkerware . En fait, certaines entreprises demandent aux employeurs de configurer spécifiquement un logiciel antivirus avant d'installer leurs produits, afin que l'antivirus du travailleur ne détecte pas et ne bloque pas l'activité du logiciel de surveillance.
Une capture d'écran du flux d'inscription de TimeDoctor, qui permet aux employeurs de choisir entre une surveillance visible et invisible.
Ce type de logiciel est commercialisé dans un but précis: surveiller les travailleurs. Cependant, la plupart de ces produits ne sont en réalité que des outils de surveillance à usage général. StaffCop propose une version de leur produit spécialement conçue pour surveiller l'utilisation d'Internet par les enfants à la maison, et ActivTrak déclare que leur logiciel peut également être utilisé par les parents ou les responsables de l'école pour surveiller l'activité des enfants. Les commentaires des clients pour certains logiciels indiquent que de nombreux clients utilisent effectivement ces outils en dehors du bureau.
La plupart des entreprises qui offrent une surveillance invisible recommandent de ne l'utiliser que pour les appareils dont l'employeur est propriétaire. Cependant, beaucoup offrent également des fonctionnalités telles que l'installation à distance et «silencieuse» qui peuvent charger des logiciels de surveillance sur les ordinateurs des travailleurs, à leur insu, tandis que leurs appareils sont en dehors du bureau . Cela fonctionne car de nombreux employeurs disposent de privilèges administratifs sur les ordinateurs qu'ils distribuent. Mais pour certains travailleurs, l'ordinateur portable de l'entreprise qu'ils utilisent est leur seul ordinateur, de sorte que la surveillance de l'entreprise est omniprésente. Il existe un grand potentiel d'utilisation abusive de ce logiciel par les employeurs, les responsables des écoles et les partenaires intimes. Et les victimes peuvent ne jamais savoir qu'elles sont soumises à un tel contrôle.
Le tableau ci-dessous présente les fonctionnalités de surveillance et de contrôle disponibles auprès d'un petit échantillon de fournisseurs de bossware. Ce n'est pas une liste complète et peut ne pas être représentative de l'industrie dans son ensemble; nous avons examiné les entreprises mentionnées dans les guides de l'industrie et les résultats de recherche contenant du matériel de marketing informatif accessible au public.
Tableau: Fonctions de surveillance courantes des produits bossware
|
Surveillance d'activité (applications, sites Web) |
Captures d'écran ou enregistrements d'écran |
Keylogging |
Activation webcam / microphone |
Peut être rendu "invisible" |
|
|
ActivTrak |
|||||
|
CleverControl |
confirmé |
||||
|
DeskTime |
|||||
|
Hubstaff |
|||||
|
Interguard |
|||||
|
StaffCop |
confirmé |
||||
|
Teramind |
|||||
|
TimeDoctor |
|||||
|
Examinateur de travail |
|||||
|
WorkPuls |
Caractéristiques de plusieurs produits de surveillance des travailleurs, basés sur le matériel marketing des entreprises. 9 des 10 entreprises que nous avons examinées offraient un logiciel de surveillance «silencieux» ou «invisible», qui peut collecter des données à l'insu des travailleurs.
Quelle est la fréquence des bossware?
L'activité de surveillance des travailleurs n'est pas nouvelle et elle était déjà assez importante avant le déclenchement d'une pandémie mondiale. Bien qu'il soit difficile d'évaluer à quel point les logiciels malveillants sont courants, ils sont sans aucun doute devenus beaucoup plus courants car les travailleurs sont obligés de travailler à domicile en raison de COVID-19. Awareness Technologies, propriétaire d'InterGuard, a déclaré avoir augmenté sa base de clients de plus de 300% au cours des premières semaines suivant l'épidémie. Beaucoup de fournisseurs que nous avons examinés exploitent COVID-19 dans leurs présentations marketing aux entreprises.
Certaines des plus grandes entreprises du monde utilisent des logiciels malveillants. Les clients Hubstaff incluent Instacart, Groupon et Ring. Time Doctor revendique 83 000 utilisateurs; ses clients sont Allstate, Ericsson, Verizon et Re / Max. ActivTrak est utilisé par plus de 6 500 organisations, dont l'Arizona State University, Emory University et les villes de Denver et Malibu. Des entreprises comme StaffCop et Teramind ne divulguent pas d'informations sur leurs clients, mais prétendent servir des clients dans des secteurs tels que les soins de santé, la banque, la mode, la fabrication et les centres d'appels. Les commentaires des clients sur les logiciels de surveillance donnent plus d'exemples de la façon dont ces outils sont utilisés.
Soyons clairs: ce logiciel est spécialement conçu pour aider les employeurs à lire les messages privés des travailleurs à leur insu ou sans leur consentement. À tous égards, cela est inutile et contraire à l'éthique.
Nous ne savons pas combien de ces organisations choisissent d'utiliser la surveillance invisible, car les employeurs eux-mêmes n'ont pas tendance à en faire la publicité. De plus, il n'y a pas de moyen fiable pour les travailleurs eux-mêmes de le savoir, car tant de logiciels invisibles sont explicitement conçus pour échapper à la détection. Certains travailleurs ont des contrats qui autorisent certains types de surveillance ou en empêchent d'autres. Mais pour de nombreux travailleurs, il peut être impossible de dire s'ils sont surveillés. Les travailleurs qui sont préoccupés par la possibilité d'une surveillance peuvent être plus sûrs de supposer que tout appareil fourni par l'employeur les suit.
À quoi servent les données?
Les fournisseurs de Bossware commercialisent leurs produits pour une grande variété d'utilisations. Certains des plus courants sont le suivi du temps, le suivi de la productivité, la conformité aux lois sur la protection des données et la prévention du vol IP. Certains cas d'utilisation peuvent être valides: par exemple, les entreprises qui traitent des données sensibles ont souvent des obligations légales de s'assurer que les données ne sont pas divulguées ou volées sur les ordinateurs de l'entreprise. Pour les travailleurs hors site, cela peut nécessiter un certain niveau de surveillance sur l'appareil. Mais un employeur ne devrait pas entreprendre de surveillance à de telles fins de sécurité à moins qu'il ne puisse démontrer que cela est nécessaire, proportionné et spécifique aux problèmes qu'il essaie de résoudre.
Malheureusement, de nombreux cas d'utilisation impliquent des employeurs exerçant un pouvoir excessif sur les travailleurs. Peut-être que la plus grande classe de produits que nous avons examinés est conçue pour la «surveillance de la productivité» ou le suivi du temps amélioré, c'est-à-dire enregistrer tout ce que les travailleurs font pour s'assurer qu'ils travaillent suffisamment dur. Certaines entreprises définissent leurs outils comme des avantages potentiels pour les gestionnaires et les travailleurs . Collecter des informations sur chaque seconde de la journée d'un travailleur n'est pas seulement bon pour les patrons, affirment-ils, cela aiderait également le travailleur. D'autres fournisseurs, comme Work Examiner et StaffCop , se vendent directement aux managers qui ne font pas confiance à leur personnel. Ces entreprises recommandent souvent de lier les licenciements ou les primes aux indicateurs de performance dérivés de leurs produits.
Matériel marketing de la page d'accueil de Work Examiner, https://www.workexaminer.com/
Certaines entreprises commercialisent également leurs produits comme des outils punitifs ou comme des moyens de recueillir des preuves de poursuites potentielles contre les travailleurs. InterGuard annonce que son logiciel «peut être installé en silence et à distance, de sorte que vous pouvez mener des enquêtes secrètes [sur vos employés] et recueillir des preuves à l'épreuve des balles sans alarmer le malfaiteur présumé». Ces preuves, poursuit-il, peuvent être utilisées pour lutter contre les «poursuites pour licenciement abusif». En d'autres termes, InterGuard peut fournir aux employeurs une quantité astronomique d'informations privées, secrètement recueillies pour tenter d'annuler les recours légaux des travailleurs contre les traitements injustes.
Aucun de ces cas d'utilisation, même les moins dérangeants discutés ci-dessus, ne garantit la quantité d'informations que les logiciels collectés collectent habituellement. Et rien ne justifie de cacher le fait que la surveillance a lieu du tout.
La plupart des produits prennent des captures d'écran périodiques, et peu d'entre eux permettent aux travailleurs de choisir ceux à partager. Cela signifie que les informations médicales, bancaires ou autres informations personnelles sensibles sont capturées aux côtés de captures d'écran d'e-mails professionnels et de médias sociaux. Les produits qui incluent des enregistreurs de frappe sont encore plus invasifs et finissent souvent par capturer des mots de passe sur les comptes personnels des employés.
Description de Work Examiner de sa fonction d'enregistrement de frappe, soulignant spécifiquement sa capacité à capturer des mots de passe privés.
Malheureusement, une collecte excessive d'informations n'est souvent pas un accident, c'est une fonctionnalité. Work Examiner annonce spécifiquement la capacité de son produit à capturer des mots de passe privés. Une autre société, Teramind, rend compte de chaque élément d'information saisi dans un client de messagerie, même si ces informations sont supprimées par la suite. Plusieurs produits analysent également des chaînes de texte à partir de messages privés sur les réseaux sociaux afin que les employeurs puissent connaître les détails les plus intimes des conversations personnelles des travailleurs.
Soyons clairs: ce logiciel est spécialement conçu pour aider les employeurs à lire les messages privés des travailleurs à leur insu ou sans leur consentement. À tous égards, cela est inutile et contraire à l'éthique.
Que pouvez-vous faire?
En vertu de la loi américaine actuelle, les employeurs ont trop de latitude pour installer un logiciel de surveillance sur les appareils dont ils sont propriétaires. De plus, rien ne les empêche de contraindre les travailleurs à installer des logiciels sur leurs propres appareils (tant que la surveillance peut être désactivée en dehors des heures de travail). Différents États ont des règles différentes sur ce que les employeurs peuvent et ne peuvent pas faire. Mais les travailleurs ont souvent un recours juridique limité contre les logiciels de surveillance intrusifs.
Cela peut et doit changer. Alors que les législatures nationales et nationales continuent d'adopter des lois sur la confidentialité des données des consommateurs , elles doivent également établir des protections pour les travailleurs vis-à-vis de leurs employeurs. Commencer:
- La surveillance des travailleurs – même sur des appareils appartenant à l'employeur – devrait être nécessaire et proportionnée.
- Les outils doivent minimiser les informations qu'ils collectent et éviter de vider les données personnelles comme les messages privés et les mots de passe.
- Les travailleurs devraient avoir le droit de savoir exactement ce que leurs managers collectent.
- Et les travailleurs ont besoin d'un droit d'action privé pour pouvoir poursuivre les employeurs qui violent ces protections légales de la vie privée.
Dans l'intervalle, les travailleurs qui savent qu'ils font l'objet d'une surveillance – et qui se sentent à l'aise de le faire – devraient engager des conversations avec leurs employeurs. Les entreprises qui ont adopté le bossware doivent considérer quels sont leurs objectifs et devraient essayer de les atteindre de manière moins intrusive. Bossware encourage souvent les mauvais types de productivité, par exemple en forçant les gens à bouger leur souris et à taper toutes les quelques minutes au lieu de lire ou de s'arrêter pour réfléchir. Une surveillance constante peut étouffer la créativité, diminuer la confiance et contribuer à l'épuisement professionnel. Si les employeurs sont préoccupés par la sécurité des données, ils devraient envisager des outils spécifiquement adaptés aux menaces réelles et qui minimisent les données personnelles capturées dans le processus.
De nombreux travailleurs ne se sentiront pas à l'aise de parler, ou peuvent soupçonner que leurs employeurs les surveillent en secret. S'ils ne connaissent pas l'étendue de la surveillance, ils doivent considérer que les appareils de travail peuvent tout collecter, de l'historique Web aux messages privés en passant par les mots de passe. Si possible, ils devraient éviter d'utiliser des appareils de travail pour quelque chose de personnel. Et si les travailleurs sont invités à installer un logiciel de surveillance sur leurs appareils personnels, ils peuvent être en mesure de demander à leurs employeurs un appareil distinct, spécifique au travail, à partir duquel les informations privées peuvent être plus facilement supprimées.
Enfin, les travailleurs peuvent ne pas se sentir à l'aise de parler d'être surveillés par souci de conserver leur emploi à une époque où le chômage est record . Le choix entre une surveillance invasive et excessive et le chômage n'est pas vraiment un choix du tout.
COVID-19 nous a tous mis à rude épreuve, et il est également susceptible de changer fondamentalement nos méthodes de travail. Cependant, nous ne devons pas le laisser ouvrir une nouvelle ère de surveillance encore plus omniprésente. Nous vivons plus de nos vies à travers nos appareils que jamais auparavant. Il est donc plus important que jamais que nous ayons le droit de garder nos vies numériques privées – des gouvernements, des entreprises technologiques et de nos employeurs.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2020/06/inside-invasive-secretive-bossware-tracking-workers le Tue, 30 Jun 2020 23:38:59 +0000.