Maladroitement, Envoyé Spécial dévoile les identités et les évaluations falsifiées de dizaines de salariés
Si vous étiez parmi les 2 millions de téléspectateurs ayant assisté jeudi 8 mars à la diffusion d'Envoyé Spécial sur France 2, vous avez probablement été, comme moi, abasourdi par le témoignage cynique de Didier Bille, ancien directeur des ressources humaines, passé par de nombreuses entreprises multinationales, qui a dévoilé à cette occasion ses méthodes pour licencier, souvent sans aucun motif, des milliers de salariés.
En s'appuyant sur un fichier Excel détaillé et anonymisé, M Bille explique notamment une technique qui consiste à mal noter des employés, parfois irreprochables, afin de créer, ex nihilo, un motif de licenciement. France 2 s'est évidemment bien gardé de ne pas nommer l'ancien employeur de Didier Bille, l'entreprise qui a exigé de lui ces manipulations malhonnêtes, voir illégales.
Si, comme moi, vous êtes passionné de données et de leur sécurisation, vous avez dû remarquer que les noms des salariés en question avaient été soigneusement cryptés, de manière à éviter toute identification, qui, bien entendu, aurait des conséquences désastreuses sur l'image de la société employeur et les salariés concernés.
Curieux que je suis, je me suis intéressé de plus près à la technique d'encryptage utilisée. On ne sait jamais, il y a toujours des choses à apprendre chez les pros...
J'ai alors fait un arrêt sur image et zoomé sur la colonne contenant les noms des salariés...
Même les moins aguerris parmis vous reconnaîtront que nous nous trouvons devant un cryptage pour le moins léger. Il s'agit en effet d'un simple changement de police dans Microsoft Excel, qui propose depuis la sortie de Windows 3.1 une série de polices composées de pictogrammes. Dans notre cas, M Bille a substitué la police Wingdings 2 à la police d'origine. Or, avec une simple table de transcription cette police devient aussi facilement lisible qu'Arial.
Surpris par un tel amateurisme, j'ai partagé ma stupéfaction en direct sur Twitter, quelques secondes seulement après la diffusion de ces images. Mais, étrangement, mon Tweet est resté sans réponse :-)
J'ai alors décidé de pousser mon enquête un peu plus loin. En m'appuyant sur la capture d'écran que j'ai réalisée à partir de la rédiffusion de l'émission Envoyé Spécial, sera-t-il possible de trouver plus d'informations, comme les noms et fonctions des salariés ou l'identité de l'entreprise en question ?
Grâce à la table de transcription de Wingdings, il m'était relativement simple de transcrire les noms de salariés dans une police lisible :
En quelques minutes, j'ai ainsi obtenu une première liste de quelques prénoms. Même si certains prénoms n'étaint que partiellement visibles dans l'émission, il était relativement aisé de les compléter (Marga --> Margaret, Antoni --> Antonio, Nicol --> Nicole)
Cette liste étant toujours relativement peu intéressante, j'ai creusé un peu plus loin. Comment faire pour trouver les noms de famille des salariés ?
Je suis parti du constat que, étant donné que M Bille était en possession du fichier diffusé, il était probable qu'il s'agisse d'une liste d'anciens collaborateurs du DRH. Pour connaître le parcours de Didier Bille, il n'a pas non plus été nécessaire de chercher très loin. Le déroulement de sa carrière professionnelle est publiquement accessible sur Viadeo.
M Bille est passé par au moins 9 sociétés différentes et Envoyé Spécial laisse entendre dans son reportage que les faits, auxquels l'émission fait attrait, se seraient déroulés il y a quelques années déjà. J'ai alors essayé d'utiliser LinkedIn pour rechercher méthodiquement toutes les combinaisons entre les sociétés employant M Bille et les prénoms extraits de la capture d'écran, en commençant par la société FMC Technologies, employeur de Didier Bille entre 1997 et 1999.
J'ai initié ma recherche en me basant sur la seule personne dont je connaissais aussi le début du nom de famille : Liz (probablement Elizabeth) Bu[?].
Seulement quelques minutes plus tard j'ai à nouveau eu du succès : tous les prénoms de ma liste pouvaient être associés à la société Nortel Networks, second employeur de Didier Bille. Les périodes où les différentes personnes étaient employées par Nortel coincident toutes avec celle où Didier Bille était sous contrat au sein de cette même société :
En moins d'une demi heure, j'ai alors pu réconstituer la liste exhaustive des salariés du fichier de M Bille, liste qui dévoile, rappelons-le, les notes techniques et de comportement (!) de ces personnes devant de millions de téléspectateurs. Toutes ces personnes étant toujours en activité professionnelle, pour certains dans des postes à forte responsabilité, nous imaginons qu'elles ne seront que peu enchantées d'apprendre que leur notation ait potentiellement été truquée et, de surcroît, divulguée publiquement.
Voici la liste dans l'ordre (j'ai retiré de cette liste les noms de famille ainsi que les fonctions actuelles, afin de respecter la vie privée des personnes dont des données ultra-confidentielles ont été divulguées) :
Carol G., VP Human Resources chez Nortel Networks entre 1997 et 2001
Quinn W., Director HR Canada chez Nortel Networks entre 1997 et 2006
Liz (Elizabeth) B., Human Resource Business Partner chez Nortel Networks entre 1998 et 2002
Odile L., Human Ressources Manager chez Nortel Networks entre 1979 et 1999
Margaret B., Sr. International HR Mgr chez Nortel Networks entre 1994 et 2001
Nancy G.-S., HR Manager chez Nortel Networks entre 1993 et 1999
Donna C., Human Resources Associate chez Nortel Networks entre 1998 et 2002
Lucie C., Human Resources Senior Associate chez Nortel Networks entre 1999 et 2001
Alice H., Human Resources Associate chez Nortel Networks entre 1998 et 2002
Epilogue
A l'issue de cette étude de cas rapide qui consistait simplement, soulignons-le, à assembler des données publiques mises à disposition par France 2 et des réseaux sociaux, je me suis tout de même posé plusieurs questions :
Comment est-il possible que M Bille soit toujours en possession de données confidentielles appartenant, très probablement, à son ancien employeur Nortel Networks ? Pourquoi France 2 a-t-il pu penser qu'un simple changement de police d'écriture pouvait suffir pour cacher des données au lieu de flouter les noms des salariés ? Les personnes dont les évaluations ont été divulguées ont-elles été prévenues avant diffusion de l'émission ?
Quoiqu'il en soit, gageons que les solutions de cryptage et de sécurisation des données ont de très beaux jours devant elles...
Manager-Conseil Ville Durable
5yFrance 2 a-t-elle fait évoluer sa technique de cryptage depuis ce signalement très instructif ?
…
5yIntéressante démonstration, et article bienvenu pour expliquer cela à des novices. Et encore une preuve de l'incompétente IT générale et trop fréquente des médias... TV (concurrent de la "culture web") ou d'état (ORTF).
Multi catalyst servant
6yRGPD : voilà un bien joli sigle "Règlement Général de Protection des Données". Dans un monde de communication hypertrophiée, n'est-ce pas là justement précisément d'abord un concept de communiquant ?
Expert Sûreté
6yVoilà du travail pour les futurs DPO qui ne vont pas s'ennuyer avec l'application de la RGPD!!!!
Senior Analyst @ KeriusFinance
6yContent de voir que la feuille excel que j'ai créé il y a plus de 10ans est toujours utilisé