Une grave faille de confidentialité a révélé plus de 21 millions de captures d’écran d’employés, exposant des données sensibles telles que mots de passe, emails et documents internes, soulevant des questions cruciales sur la surveillance numérique au travail et ses risques pour la sécurité et la vie privée.
Une importante faille de confidentialité a été mise au jour après qu’une application populaire de surveillance des employés ait exposé par inadvertance plus de 21 millions de captures d’écran des activités informatiques des travailleurs sur internet. Cet incident soulève des interrogations urgentes sur la sécurité et l’éthique de la surveillance numérique dans les environnements professionnels modernes.
Plus de 200 000 employés de milliers d’organisations utilisent WorkComposer pour suivre la productivité via la saisie de frappe, le contrôle de l’utilisation des applications, et la prise régulière de captures d’écran toutes les quelques minutes. Des chercheurs de Cybernews ont découvert un stockage Amazon S3 mal configuré qui a rendu ces captures d’écran accessibles publiquement, offrant un enregistrement presque complet des routines de travail quotidiennes.
Les images découvertes contenaient une multitude d’informations sensibles. De nombreuses captures montraient des vues plein écran d’emails, de discussions internes, de documents professionnels ou de pages de connexion affichant noms d’utilisateur, mots de passe, clés API et autres identifiants. Cybernews a immédiatement alerté WorkComposer, qui a rapidement sécurisé le stockage exposé. À ce jour, WorkComposer n’a pas publié de communiqué officiel sur l’incident.
Des cybercriminels auraient pu exploiter ces données exposées pour le vol d’identité, l’hameçonnage ou l’espionnage industriel, accédant illégalement à des systèmes confidentiels d’entreprises. Puisque les captures étaient diffusées en temps réel, des acteurs malveillants ont pu suivre les opérations commerciales au moment même où elles se déroulaient.
Les conséquences en matière de confidentialité dépassent les seuls risques pour les entreprises. Les employés ne contrôlaient pas ce que montraient les images capturées, qui pouvaient inclure des messages personnels, des rendez-vous médicaux ou d’autres informations privées. Le débat éthique autour des outils de surveillance au travail reste très vif, les salariés ayant souvent peu de contrôle sur ce qui est enregistré par ces logiciels pendant leur journée de travail.
L’ampleur et la nature des données exposées pourraient déclencher des enquêtes réglementaires et entraîner des sanctions importantes, aggravant la gravité de cet incident. Les entreprises utilisant WorkComposer risquent désormais un contrôle strict sous les législations sur la protection des données personnelles, comme le Règlement Général sur la Protection des Données (RGPD) de l’Union Européenne ou la California Consumer Privacy Act, qui imposent des règles sévères sur la gestion de ces informations sensibles.
Ce qui rend cette faille particulièrement inquiétante, c’est la facilité avec laquelle des organisations peuvent commettre des erreurs similaires. Une mauvaise configuration des buckets Amazon S3 – notamment en ouvrant leur accès au public par erreur – demeure un problème fréquent et persistant. Les études montrent que jusqu’à 31 % des buckets S3 restent accessibles publiquement, exposant ainsi de nombreuses entreprises à des risques considérables. L’incident WorkComposer n’est pas isolé ; des fuites comparables ont touché d’autres applications de suivi temps ou de surveillance, révélant une problématique plus large quant aux pratiques de sécurité employées dans ce secteur.