Il y a une tradition que j’aime bien et que je retrouve sous une forme ou sous une autre dans toutes les entreprises dans lesquelles je suis intervenu et qui illumine le quotidien des responsables cybersécurité.
Mais avant, je dois rappeler le contexte : vous pouvez mettre en place tous les systèmes de sécurité possibles, il faut bien qu’à un moment ou à un autre, l’utilisateur puisse travailler… Car, après avoir vérifié son badge à l’entrée de l’entreprise, après lui avoir autorisé l’accès à la porte de son bureau, après lui avoir demandé son (dernier) mot de passe valide, puis un deuxième facteur d’authentification par un moyen alternatif, et enfin après un redémarrage pour l’installation des mises à jour de sécurité qui l’oblige à ressaisir son mot de passe (s’il n’a pas expiré entre temps) et son deuxième facteur d’authentification, vous êtes bien obligé de le laisser accéder à son ordinateur de travail.
Sauf que, l’utilisateur est une personne qui a la bougeotte : il lui prend parfois l’envie de s’éloigner de son ordinateur pour un temps supérieur à la seconde, en le laissant sans surveillance ou pire, sous la surveillance de ces collègues de l’openspace.
Et là, je me permets une courte citation d’un sonnet de Pierre de Ronsard :
De soupirs et de pleurs il convient de me repaistre,
Te voyant au cercueil, hélas ! trois fois hélas !
Source BNF
Car le responsable cyber est fourbe par nature et par construction, il sait profiter de la faiblesse humaine, comme les assaillants contre lesquels il lutte souvent seul. Et il est gourmand.
La règle est donc : toute personne laissant son ordinateur sans surveillance avec sa session ouverte se verra croissanté.
Car, une personne malveillante (un collègue) ou le responsable cyber (forcément malveillant) se fera un malin plaisir de s’installer devant l’ordinateur laissé seul avec une session ouverte, afin d’envoyer sous l’identité de l’utilisateur imprudent un email à tous ses collègues de travail, les informant qu’il amènera des croissants pour tout le monde dans la matinée du prochain jour ouvré…
Variante : envoyer un email à toute l’entreprise pour informer qu’une souris à boule à port ps/2 est à vendre, faire proposition.
Variante 2 : proposer d’amener des petits pains, mais attention à la polémique avec les collègues qui utilisent (à tord) l’expression « pains au chocolat » ou « chocolatines ». Mais les polémiques, c’est bien aussi, cela permet de sensibiliser l’utilisateur imprudent.
Conseils : quand vous vous faites croissanter, ne vous vexez pas. Prenez le comme une incitation à être plus vigilant. Si vous êtes « croissanteur », ne piégez pas « méchamment » un collègue en envoyant un email à toute la Direction, restez soft, car un jour aussi, vous serez croissanté 🙂
Pour finir, je précise que je ne me suis pas encore fait croissanter, mais que cela arrivera forcément un jour. Et ce jour là, vous sentirez une faiblesse dans La Force.
Source Bing image creator
Je ne sais pas s’il avait amené des croissants, mais le responsable sécurité US de la multinationale ou je bosse, de passage à Paris, avait vu son pc portable « disparaitre » pendant 1h. Il était pourtant cadenassé avec un cordon de sécurité, cordon qui faisait bêtement juste le tour du pied du bureau…
Les règles se trouvent ici : https://www.chocoblast.fr/
C’est fou ce que j’apprends ici 🙂
Un grand classique… je ne me suis jamais fait « croissanté » (j’avoue que je ne connaissais pas cette expression!)
Je suis plutôt du genre à prendre appuie sur les touches Windows + L en me levant de mon bureau! 😁
Cela fait 20 ans que je tiens! Mais je me ferai avoir un jour… probablement!
La tradition existait aussi chez Google. Elle a fini par être bannie par les RH (je dirais vers 2015), en raison de débordements et sensibilités blessées.
Variante perverse : en tant que responsable cyber (donc méchant mais aussi pervers), mettre comme « écran de veille de son PC » une « capture de son bureau déverrouillé ».
Ainsi, quand on s’absentera pour un café bien mérité, (PC verrouillé, forcément),
les méchants non pervers croiront que l’on a oublié notre session ouverte, et tenteront un croissantage, pour se retrouver au moindre bougeage de souris sur le célèbre prompt invitant à s’identifier (2 fois)
🙂
Il y a 10 types de personnes :
– ceux qui se sont fait croissanter…
– ceux qui se feront croissanter…
Chez nous, cela s’appelle le ChocoBast, en référence au site officiel: https://www.chocoblast.fr/
Chez nous, comme nous travaillons dans le secteur médical, donc avec plein de normes à appliquer, nous en avons même fait une « procédure qualité ». Bon, elle n’a jamais été visée par nos responsables qualité, mais elle contient la liste non exhaustive des « croissants obligatoires ». Car il y a bien sur l’oubli de verrouillage de son ordinateur, mais aussi l’oubli du badge permettant d’accéder à son bureau, le déclenchement intempestif de l’alarme, etc.
Malheureusement les traditionnels se perdent. Et nous avons maintenant plein de collègues qui « oublient » de l’appliquer. En même temps nous sommes presque 100 personnes. Et même si, et de loin, tout le monde ne mange pas son croissant, il faut quand même en prévoir une bonne trentaine quand on se fait prendre. Résultat, il arrive certains matins que nous soyons privés de croissants.
C’est pour ce type ‘d’incidents’ que l’on m’a appris ce proverbe durant mon premier emploi : ‘Si tu te grattes les c******s, ta session tu verrouilles’
Pas très classe, mais efficace 🙂
J’ignorais cette coutume et je la capture aussitôt !
Merci.
Moi aussi, j’ai un mal fou à faire comprendre les bonnes pratiques. Vous avez raison, nous sommes perçus comme « psychorigides » contre le « pragmatisme ».
D’un autre côté, l’informatique étant immatérielle par nature, c’est difficile de représenter la copie d’un fichier clients, l’intrusion dans un réseau, un clic malheureux dans un email.
Au contraire, la réalité tangible d’une porte fracturée, d’objets manquants, d’un véhicule vandalisé mobilisent davantage les esprits.
J’y ai eu droit!
Et les « anciens » m’ont expliqués que j’avais eu droit à la version « light », les bonus incluant:
le clavier reprogrammé en mongol, idem pour l’OS
le fond d’écran avec des organes masculins
la souris transformée en organe masculin émettant une substance à chaque déplacement
les sons du pc modifiés en gémissements
liste non exhaustive.
Notez que je me suis adapté: mon siège était parsemé de punaises et le clavier relié à une M18 Claymore. Au cas où.
Dans les entreprises, il serait bon que les non-informaticiens s’y mettent aussi, pour sensibiliser leurs collègues. Quand je vois, là où je travaille, des sessions non verrouillées avec l’outil métier ouvert sur les postes présents dans des zones accessibles au public, ça me fume. Les utilisateurs ne comprennent pas 1. que pendant qu’ils vont s’en griller une, ils laissent en libre accès leur outil métier contenant des données sensibles et 2. que le blâme leur retombera violemment dessus (avant que de tomber sur l’intrus et d’autres collègues, plus haut dans la hiérarchie). Je tente parfois bien un peu de pédagogie mais elle est souvent accueillie par de l’indifférence ou des railleries.
Je plussois.
Très bon moyen de sensibiliser aux bases de sécurité. Ma vieille maman les a compris (78ans), donc ça doit être possible pour des plus jeunes.
De mon temps on changeait le PS1 pour une phrase du genre « la prochaine fois je la fermerai » [la session].
La version méchante consistant à ajouter un exit au .bashrc.