Hydro-Québec a détecté une série d’incidents liés à l’installation de logiciels de mouvement de souris par des employés en télétravail, a appris La Presse. La société d’État dit prendre cette situation « très au sérieux » et pourrait appliquer des mesures disciplinaires.
Ces logiciels ont connu une explosion de popularité depuis le début de la pandémie de COVID-19. Ils permettent aux employés qui travaillent de la maison de simuler leur présence devant leur ordinateur pendant qu’ils vaquent à d’autres activités, échappant ainsi à la surveillance potentielle de leurs patrons.
Dans un courriel envoyé à des salariés, obtenu par La Presse, Hydro souligne que le téléchargement de tels programmes « contrevient à deux règles de cybersécurité ». La société d’État interdit à ses employés d’installer des logiciels non autorisés afin de limiter les risques d’intrusion de virus ou de cyberattaques, une politique adoptée par bon nombre d’entreprises.
De plus, l’utilisation de simulateurs de présence, tels qu’un outil de mouvement de souris, n’est pas conforme au devoir d’agir professionnellement en tout temps et de s’appliquer à donner la prestation de travail attendue.
Direction des services informatiques d’Hydro-Québec
Philippe Archambault, chef, médias et affaires gouvernementales, confirme l’utilisation de ces logiciels par certains employés d’Hydro-Québec, mais ajoute « qu’aucun enjeu de cybersécurité ou de code malveillant » n’a été relevé.
La société d’État — dont la moitié des 22 000 employés sont encore en télétravail — poursuit néanmoins son enquête dans ce dossier. « Si ce sont des usages de mauvaise foi, il va y avoir des mesures disciplinaires », dit M. Archambault.
10 $ pour un « agitateur » de souris
Les dispositifs visant à simuler sa présence au clavier pullulent sur le web. Ils tombent dans deux catégories : les logiciels à télécharger — comme ceux détectés chez Hydro — et les appareils physiques, qui permettent de faire bouger manuellement la souris.
Ces deux méthodes sont utilisées depuis plusieurs années par les adeptes de jeux vidéo ou les férus d’informatique qui veulent garder leur écran allumé pendant le téléchargement de gros fichiers, par exemple. Mais la pandémie de COVID-19 a fait émerger un nouveau marché gigantesque : les télétravailleurs qui cherchent à duper leurs employeurs.
Dans une vidéo diffusée sur YouTube en septembre 2020, un jeune informaticien explique sa méthode de programmation pour permettre aux employés « paresseux » de simuler leur présence derrière leur écran. Le seul objectif de l’exercice : déjouer les employeurs « ennuyeux » qui veulent que « vous soyez actifs à votre ordinateur toute la journée », dit-il sans ambages.
Une recherche rapide sur le web a permis de dénicher plusieurs logiciels gratuits ou très abordables. On trouve aussi près de 200 machines différentes sur le site Amazon, des gadgets souvent vendus pour moins de 10 $. Plusieurs se vantent d’être « indétectables ».
Certains internautes ont également trouvé des moyens artisanaux — et parfois loufoques — pour simuler le mouvement. Par exemple en accrochant la souris à une ficelle… reliée à un ventilateur au plafond !
Risques bien réels
Au-delà des enjeux éthiques liés au vol de temps, l’utilisation de logiciels de simulation présente des risques de cybersécurité bien réels pour les entreprises, font valoir plusieurs experts.
C’est très, très commun pour des logiciels malveillants, ou des rançongiciels, d’être cryptés dans des logiciels en apparence légitimes.
Brett Callow, analyste des cybermenaces pour la firme d’antivirus Emsisoft
Le téléchargement de tout logiciel non autorisé peut créer différentes brèches de sécurité, comme la pénétration d’un virus ou l’extraction illégale de données, dit pour sa part Guillaume Caron, président de VARS, la division de cybersécurité de Raymond Chabot Grant Thornton.
« Il y a des droits d’administrateur qui doivent être donnés à certaines personnes dans l’entreprise, qui peuvent installer des logiciels, indique-t-il. L’employé ne devrait même pas avoir la capacité technique d’installer un logiciel sur son poste. »
Il est tout à fait normal, voire essentiel, que les sociétés de toutes les tailles monitorent en continu leurs réseaux informatiques, ajoute M. Caron. Cette surveillance est encore plus importante depuis l’adoption de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels par Québec en 2021, ajoute-t-il.
Cette loi obligera les sociétés d’État et les entreprises privées à déployer encore plus d’efforts pour protéger les renseignements personnels de leurs clients au sein de leurs réseaux informatiques, sous peine d’amendes salées.
Un logiciel approuvé
Chez Hydro-Québec, le porte-parole souligne qu’un logiciel de mouvement de souris est déjà préapprouvé par les services de cybersécurité du groupe. Il permet d’éviter que l’écran se mette en veille dans certaines situations très précises, par exemple lors de formations.
Les experts en cybersécurité d’Hydro-Québec ont cependant détecté « l’utilisation de logiciels qui ne figurent pas dans [son] catalogue de logiciels approuvés » sur un nombre « limité » d’appareils, ajoute-t-il.
Ce ne sont pas nos employés qui sont surveillés, mais notre réseau informatique. On fait toujours une vigie pour voir s’il n’y a pas des tentatives d’hameçonnage, par exemple.
Philippe Archambault
Aucun autre incident lié à ces logiciels n’a été rapporté ailleurs au gouvernement du Québec, selon une porte-parole du ministère de la Cybersécurité et du Numérique. « Par ailleurs, dans le contexte du mode de travail hybride, l’évaluation du rendement des employés n’est pas uniquement basée sur leur présence derrière l’écran. Les gestionnaires sont tenus de réaliser des suivis avec leurs employés sur une base régulière pour s’assurer qu’ils livrent ce qui est attendu en fonction des échéanciers convenus. »
La surveillance, « sujet tabou »
La ligne peut parfois être mince entre le monitorage des activités informatiques des employés et l’espionnage pur et simple, souligne Philippe Chevalier, président et cofondateur de l’agence d’enquête privée SARX, spécialisée dans la cybercriminalité. Il explique avoir été chargé par diverses entreprises depuis le début de la pandémie d’enquêter sur des cas de vol de temps présumé. « L’espionnage est une activité criminelle : l’employé a un droit raisonnable de consulter à l’occasion ses courriels personnels et ses réseaux sociaux personnels et il a droit à des pauses raisonnables. Si l’employé est informé qu’il existe un dispositif d’appréciation du rendement (terme plus neutre que logiciel espion) sur le laptop professionnel qu’il utilise à la maison, alors il n’y a pas d’abus. Tout est dans le mot “raisonnable”. » Plusieurs logiciels, comme webwork-tracker.com, permettent aux employeurs de monitorer à distance le rendement de leurs employés, souligne M. Chevalier.