L’équipe d’analyse et de recherche mondiale de Kaspersky (GReAT) s’est intéressée à la sécurité des appareils d’occasion. Marco Preuss et Christian Funk, directeur et responsable de l’équipe de recherche en Allemagne, Autriche et Suisse, ont minutieusement étudié ces dispositifs pendant deux mois fin 2020. Il s’agissait d’ordinateurs portables mais aussi de différents dispositifs de stockage, comme des disques durs ou des cartes mémoire.
L’objectif n’était pas de déterminer les différences selon le type d’appareil mais plutôt d’analyser les données qu’ils contenaient pour savoir comment les données électroniques relient une personne à l’autre, ou aux autres ventes faites sur le marché secondaire. En tant que vendeur, quelles traces pouvez-vous laisser ? En tant qu’acheteur, que pouvez-vous faire pour que cet appareil d’occasion fonctionne comme un neuf ? D’ailleurs, pouvez-vous utiliser ce dispositif neuf à vos yeux en toute sécurité ?
Découvertes
La grande majorité des dispositifs analysés par les chercheurs avait encore des traces de données (certaines personnelles et d’autres professionnelles), et plus de 16 % des appareils ont tout simplement autorisé l’accès aux chercheurs. 74 % d’entre eux ont tout divulgué après que les chercheurs ont eu recours à des méthodes de file carving (recherche par rapport au type de fichiers). Enfin, seulement 11 % ont été correctement effacés.
Parmi les données découvertes par Preuss et Funk, il y avait des objets probablement inoffensifs alors que d’autres étaient terriblement révélateurs voire dangereux : notes d’agenda, comptes-rendus de réunions, données d’accès aux ressources de l’entreprise, documents internes, photos personnelles, dossier médical, documents financiers, etc. De plus, comme Funk l’a souligné, les données personnelles ne perdent pas de la valeur au cours du temps. Vous ne pouvez pas prendre le risque et croire que vous n’êtes pas en danger après qu’un certain temps se soit écoulé. Ce sentiment de sécurité ne réduit en aucun cas les risques.
En plus des informations directement utilisables (répertoire, documents financiers, dossier médical ou informations accessibles grâce aux mots de passe sauvegardés), les dispositifs électroniques contiennent aussi des informations qui peuvent engendrer des dégâts secondaires. Pensez à la façon dont les cybercriminels exploitent les renseignements qu’ils trouvent sur les profils et les publications des réseaux sociaux. Le contenu d’un appareil numérique est bien plus instructif.
Nous n’avons pas encore parlé des malwares, n’est-ce pas ?
On peut dire sans trop s’avancer que personne ne se préoccupe autant que vous de la sécurité des dispositifs numériques. Certains font peut-être très attention mais en achetant un article d’occasion il n’est pas impossible que vous receviez un malware en plus des données de l’ancien propriétaire. 17 % des appareils analysés par Preuss et Funk ont déclenché des alertes de virus.
Préquelle : une étude plus large
Les recherches mentionnées dans cet article remontent en réalité à une étude que Kaspersky a confié à Arlington Research. L’entreprise a interrogé plusieurs milliers de consommateurs adultes au Royaume-Uni, en Allemagne et en Autriche. L’étude initiale a confirmé ce que nous pensions puisqu’il a été constaté que les ventes de dispositifs numériques d’occasion sont une réalité confirmée et une source importante de divulgation des données. Plus de la moitié des centaines d’acheteurs ont trouvé des photos, des » contenus explicites « , des coordonnées de personnes, des documents sensibles (comme des copies de passeport) ou encore des identifiants de connexion dans les appareils achetés.
Avis aux vendeurs
Même si près de 10 % des personnes interrogées ont reçu des dispositifs sur lesquels elles ont trouvé des renseignements sur le vendeur, peu d’entre elles vont ignorer, immédiatement supprimer ou le signaler à l’ancien propriétaire ou aux autorités. Après y avoir jeté un coup d’œil, ce que 74 % des participants ont reconnu qu’ils essaieraient de faire, plus d’une personne sur dix a dit qu’elle vendrait les données trouvées si elle pensait qu’elle pourrait en tirer un quelconque bénéfice.
Trucs et astuces
Le National Cyber Security Centre du Royaume-Uni donne quelques conseils pratiques aux acheteurs et aux vendeurs d’appareils électroniques d’occasion, qu’il s’agisse de bien sauvegarder les données personnelles ou de vérifier que le dispositif est aussi vide qu’un neuf.
Pour les vendeurs
En tant que vendeur votre priorité est d’éliminer toutes les informations sauvegardées sur le dispositif pour que vous puissiez les conserver en lieu sûr et confidentiel. Oui, il est aussi important de vérifier que l’appareil est sans danger, même si j’espère que c’est quelques chose que vous avez toujours fait. Dans ce cas, il est primordial que vous soyez la seule personne capable de consulter vos données.
- Sauvegardez vos données. Que ce soit sur un téléphone, sur un ordinateur, sur une carte mémoire ou sur n’importe quelle autre solution de stockage, vous devez faire une copie sécurisée de toutes les informations avant de les supprimer du dispositif en vente.
- Retirez la carte SIM et la carte mémoire de vos téléphones. Effacez l’eSIM si l’appareil en a une.
- Activez l’authentification à deux facteurs pour tous les comptes qui en disposent et, sur le dispositif en vente, déconnectez-vous de tous les services que vous utilisez (banque, adresse e-mail, réseaux sociaux, etc.).
- Selon l’appareil en question, vous pouvez rétablir les paramètres d’usine ou le formatter.
- N’oubliez pas que bien souvent les données peuvent être récupérées même après que vous avez rétabli les paramètres d’usine ou formattez l’appareil. Pour vérifier que vous ne laissez aucune trace, vous devez prendre d’autres mesures qui changent selon le type, le modèle et la configuration du dispositif. Recherchez certaines informations pour être certain de supprimer toutes les données vous concernant.
Pour les acheteurs
Les conseils donnés aux acheteurs d’appareils électroniques d’occasion sont presque les mêmes que ceux que l’on donne habituellement aux propriétaires d’objets électroniques, même s’ils sont un peu plus stricts puisque nous devons partir du principe qu’un objet d’occasion est dangereux. Mieux vaut prévenir que guérir.
- Selon l’appareil acheté, rétablissez les paramètres d’usine ou formattez-le.
- Installez et activez immédiatement une solution de sécurité fiable, si possible avant d’acheter l’appareil pour ne pas prendre le risque de trouver un malware qui serait déjà dans l’appareil. Lancez une analyse avant de vous en servir pour la première fois.