Il est effrayant de voir la quantité de données personnelles laissées par les utilisateurs sur les ordinateurs et téléphones usagés

Rapporte Rapid7

À n’en point douter, les appareils technologiques constituent des équipements incontournables dans la vie des utilisateurs. Que ce soit les ordinateurs (fixes, portables, hybrides), les clés USB, les téléphones intelligents, etc. chaque ménage possède en général au moins un de ces équipements. Et pour diverses raisons (évolution technologique, obsolescence programmée, défauts de matériels), les utilisateurs sont amenés à renouveler ces équipements de manière périodique.

Pour ce qui concerne le matériel remplacé, chacun y va de sa solution. Certaines personnes préféreront ne pas s’encombrer avec des équipements dont ils n’ont plus besoin et s’en débarrasseront en les vendant au prix le plus bas. D’autres par contre choisiront de les offrir comme dons à des amis ou à des agences qui pourront les remettre à neuf afin de les utiliser à nouveau. Dans tous les cas si vous avez choisi de vous débarrasser de votre équipement en le donnant à une tierce personne, il faut savoir que ces équipements électroniques recèlent de données très précieuses qui peuvent être à nouveau récupérées et réutilisées.

Pour montrer les risques de fuite de données qui peuvent survenir lorsque vous cédez des appareils à des tiers sans effacer les données correctement, Josh Frantz, un consultant en sécurité de l’entreprise Rapid7, s’est livré à une étude en collectant des appareils pêle-mêle auprès de plusieurs entreprises qui vendaient des appareils remis à neuf ou les mettaient sur le marché après les avoir prétendument nettoyés. Pour parvenir à ses fins, Frantz a parcouru un total de 31 entreprises et est parvenu à se procurer 85 appareils composés de 41 ordinateurs (portables et de bureau), 27 supports amovibles (tels que les lecteurs flash et cartes mémoire), 11 disques durs et 6 téléphones pour la somme de 600 dollars.


Armé de tous ces appareils, Frantz a investi son centre de commandement (le nom sexy qu’il a trouvé pour parler de son sous-sol) et a commencé l’extraction des données. Pour se faire, le consultant en sécurité a écrit un script PowerShell qui parcourait les systèmes Windows installés sur les ordinateurs et indexait toutes les images, documents, e-mails enregistrés et historiques de conversations à travers les messageries instantanées. Après avoir identifié les différents types de données, le script les archivait et les rangeait sur le bureau. Et au consultant de les récupérer avec une clé USB. Par ailleurs, pour aller encore plus vite dans la collecte des données des ordinateurs de bureau qui étaient pour la plupart d’entre eux équipés de disques durs IDE, Frantz a inséré plusieurs disques dans une station d’accueil à plusieurs baies afin de lire simultanément les données des différents périphériques de stockage. Pour parcourir les données en utilisant ce procédé, Frantz a utilisé un script écrit avec Python.

Pour ce qui est de l’extraction des données des téléphones, Frantz a noté qu’ils ne nécessitaient pas de code PIN pour accéder aux informations contenues dans les appareils. Aussi a-t-il simplement branché des lecteurs flash et des cartes mémoire et utilisé à nouveau le script Python pour organiser les données des téléphones auxquelles il a pu accéder.

Après avoir parcouru tous les appareils qu’il a achetés, Frantz a constaté que seuls deux appareils (un ordinateur Dell et un disque dur Hitachi) ont été correctement effacés. En outre, seuls trois des périphériques étaient cryptés.

Après avoir collecté toutes ces données, Frantz a utilisé un outil de reconnaissance optique de caractères (ROC) conçu avec Python pour identifier les numéros de sécurité sociale, les dates de naissance, les numéros de carte de crédit, les numéros de téléphone dans les images et les fichiers PDF sur les systèmes GNU/Linux analysés. Avec les appareils tournant sous Windows, le consultant a utilisé PowerShell pour rechercher les mêmes informations. Au soir de l’analyse des données collectées, Frantz rapporte qu’il a pu trouver de nombreux fichiers sur ces appareils. En tout, le chercheur en sécurité déclare avoir pu obtenir les informations suivantes :

• 611 adresses électroniques
• 50 dates de naissance
• 19 numéros de carte de crédit
• 6 numéros de permis de conduire
• 2 numéros de passeport

À l’issue de cette étude, il paraît évident qu’effacer correctement son appareil avant de le vendre ou de le donner s’avère plus que nécessaire. Pour les disques durs Frantz suggère l’outil DBAN qui pourra effacer les emplacements des données sans risque de récupération. Et pour les mémoires SSD ou les disques RAID, PartedMagic est l’outil qu’il préconise. Par contre, si votre souci c’est de rendre votre matériel irrécupérable, le chercheur suggère quelques méthodes plutôt atypiques pour certaines d'ente elles en tout cas. Ce sont notamment :

• l’usage du marteau pour détruire votre disque dur ;;
• procéder à l’incinération de votre matériel ;;
• faire usage d'un broyeur industriel ;;
• recourir à une perceuse pour détruire son matériel ;;
• utiliser de l’acide ou encore mettre son appareil dans un micro-ondes ;;
• enfin utiliser de la thermite (un mélange d’aluminium métallique et d’oxyde d’un autre métal) pour faire fondre votre matériel.

Source : Blog Rapid7

Et vous ?

Comment procédez-vous lorsque vous vendez ou donnez vos appareils usagés ?

Effacez-vous vos données avec des outils sécurisés ?

Ou supprimez-vous simplement les données sans utiliser d'outils spécialisés ?

Avez-vous déjà détruit physiquement votre matériel pour éviter que les données soient récupérées par des tiers ?

Pour quels types de données préconisez-vous une telle solution radicale ?