La Cour de cassation a confirmé, début septembre, la condamnation d’un administrateur réseau, qui était accusé d’avoir illégalement espionné la messagerie professionnelle des salariés de son entreprise. Voilà qui fait jurisprudence sur limite entre l’accès technique et le droit de regard.
« même si celui-ci détient les codes d’accès à toutes les messageries de son entreprise »
Pour que ce soit clair, en aucun cas un admin réseau n’a accès ou ne connais les mots de passe des salariés ! Oui il peut les modifier, les réinitialiser, mais tout est chiffré quand un utilisateur défini son mot de passe, il n’appartient qu’à lui, aucun moyen de le retrouver !
Alors oui l’admin dispose d’un compte avec des privilèges pour pouvoir ouvrir tous les accès et potentiellement toutes les messageries, mais il n’utilise pas les codes de l’utilisateur.
Le nombre de fois où on entend « de toutes façons vous avez accès à tous les mots de passe »…
Ce serait intéressant de savoir comment l’entreprise s’en est rendue compte. Il aurait dit ou écrit des choses auxquelles il n’est pas censé savoir ? Un audit par une personne tierce ?
S’il gérait le serveur mail, théoriquement il pouvait aussi consulter tous les mails. C’est même une fonctionnalité sur certains Hosting Control Panels. Se baser sur la seule confiance ne suffit plus.
« Il a pris connaissance des échanges que le dirigeait avait avec des tiers, sans que cela ait le moindre rapport avec ses missions. »
Une petite coquille à « … des échanges que le dirigeait avait des tiers… ». Cela n’a pas trop de sens.
Edit modo : @AlexLex14 ?
Oups, ayé, je corrige, thanks @nicgrover 
1 « J'aime »
Alors ok l’admin n’a pas les mots de passe, mais il peut se connecter « en tant que » n’importe qui. Je l’ai vu faire sur un serveur, à plusieurs reprises. Si une action répréhensible peut être réalisée sous la fausse identité d’un autre compte, un admin un peu malin peut effacer ses traces. Et donc faire ce qu’il veut sans se faire attraper.
L’admin condamné aurait dû être interdit d’exercer à nouveau, la faute est trop grave et jette l’opprobre sur toute la profession.
Cela dépend du système employé pour la messagerie. Ton raisonnement est tout à fait valable avec un Active Directory et Microsoft Exchange mais dans une petite entreprise avec un serveur Linux, il arrive que l’administrateur soit obligé de créer manuellement des mots de passe et de les rappeler aux utilisateurs noobs qui ne les notent même pas quelque part et qui changent de smartphone ou d’ordinateur.
Il avait bien raison : qui controle l’information controle tout.
En lisant vos commentaires je voyais comment faire techniquement sur un exchange. Il suffit d’avoir créé un utilisateur lambda auquel nous avons facilement accès. Ensuite dans exchange l’on peut mettre un copie/transfère vers cette boite mail et tout cela reste transparent… Et sans laisser de trace personnelle.