La nouvelle économie circulaire a remis au goût du jour une pratique qui avait fini par être annihilée par la production de masse et l’obsolescence programmée : la revente des appareils d’occasion. Cependant, le réemploi de ces appareils, qui ont durant leur première vie contenu des informations à caractère personnel et privé, présente le risque de rendre ces données accessibles aux nouveaux propriétaires. Ceci est d’autant plus dangereux lorsque les données sont à caractère professionnel, car elles peuvent fournir des vecteurs d’attaques possibles à des personnes mal intentionnées.
D’après une étude de Kaspersky, chaque fois qu’un appareil est vendu d’occasion, les données initialement stockées restent dans la majorité des cas accessibles, soit directement, les données n’avaient pas été effacées dans 16 % des cas en moyenne, soit que les données ont été mal effacées ou de manière incomplète dans 74 % des cas en moyenne. Pour arriver à ces conclusions les chercheurs du GReAT de Kaspersky, ont analysé 185 supports de stockage différents (cartes SD et microSD, disques durs internes, supports de stockage M2, lecteurs USB externes, clés USB…). Des supports qui ont été vérifiés pour d’éventuelles traces de données entre octobre et novembre 2020.
Des données professionnelles dans 6,7 % des appareils
Au cours de ce processus, tous les médias ont été consultés en lecture seule, leur contenu a été analysé et un enregistrement de l’état du contenu récupérable a été créé. Résultat, une proportion hallucinante (90 %) des appareils d’occasion sont susceptibles de mettre les données de leurs anciens propriétaires entre les mains de futurs utilisateurs potentiellement malveillants. Parmi ces appareils, 6,7 % contenaient des données professionnelles, tel que des notes de réunions, des entrées de calendrier, voire même des données d’accès aux ressources de l’entreprise et un accord de confidentialité interne d’un constructeur automobile.
Ces données résiduelles peuvent également représenter un danger pour les nouveaux utilisateurs. Les curieux qui auraient l’imprudence de scanner les supports de stockage à la recherche de données résiduelles, peuvent du même coup ressusciter des applications malveillantes. Les chercheurs de Kaspersky ont découvert que 16,6 % des supports de stockage analysés comportaient au moins un programme malveillant, détecté par l’installation d’un antivirus lors de l’analyse.
Des données qui parlent dans votre dos
L’éventail des données privées découvertes au cours de l’analyse était assez varié, allant de fichiers peu critiques (musique, vidéo ou applications diverses), à des informations personnelles sensibles qui devraient rester inaccessibles à des tiers inconnus. En voici une liste non exhaustive :
- photos privées y compris des photos ou des scans de permis de conduire,
- cartes de crédit (recto et verso),
- vidéos privées,
- contenu pornographique,
- photos de fêtes avec alcool et drogues,
- photos de nu des partenaires,
- documents bancaires (y compris les données complètes d’un compte bancaire à domicile et le mot de passe),
- données et conversations via l’accès à de nombreuses plateformes en ligne tels que les médias sociaux et les sites d’achat,
- correspondance intime,
- rapports médicaux,
- fiches de paie et contrats de travail,
- avis et documents d’imposition,
- factures.