Des chercheurs de l’universit canadienne de Guelph ont publi une tude selon laquelle les services de rparation de matriel lectronique ne disposent pas de protocoles de confidentialit efficaces pour protger les donnes sensibles des clients. Elle ajoute que les techniciens fouinent souvent dans les donnes des clients. Mais encore, l’tude a rvl que les violations de la vie prive se produisaient dans au moins 50 % des cas et, sans surprise, que les femmes en taient les principales victimes. L’quipe de recherche a galement dclar que les prestataires de services de rparation dignes de confiance sont difficiles trouver.
Si vous vous tes dj inquit de la confidentialit de vos donnes sensibles lors de la rparation de votre ordinateur ou de votre tlphone, l’tude suggre que vous avez de bonnes raisons. Dans l’tude publie sur Arxiv et intitule « No Privacy in the Electronics Repair Industry », les chercheurs Jason Ceci, Jonah Stegman et Hassan Khan de l’universit de Guelph dcrivent comment ils ont test les politiques et pratiques de confidentialit des ateliers de rparation d’appareils lectroniques. Selon le rapport de l’tude, l’enqute a consist en une tude sur le terrain auprs de 18 prestataires de services de rparation en Amrique du Nord.
Cela comprend trois prestataires nationaux, trois rgionaux et cinq locaux, ainsi que deux prestataires nationaux de services de rparation de smartphones et cinq fabricants d’appareils. Les reprsentants de ces 18 entreprises – non identifies dans l’tude en raison des exigences d’examen thique de l’universit canadienne – ont t interrogs pour dterminer s’ils disposent de politiques de confidentialit et comment ils traitent les donnes des clients. Aucun des fournisseurs de services de rparation n’a affich un avis informant les clients de leur politique en matire de confidentialit , indique le document de recherche.
En plus de cela, jusqu’ la remise des appareils, aucun chercheur n’a t inform d’une politique de confidentialit, de ses droits en tant que client ou de la manire de protger ses donnes , lit-on dans le document. Ensuite, les chercheurs ont demand aux fournisseurs de services de rparation de procder au remplacement de la batterie d’ordinateurs portables Asus UX330U fonctionnant sous Microsoft Windows 10. priori, l’intervention ne devrait pas ncessiter d’identifiants de connexion ou d’accs au systme d’exploitation. Aprs le remplacement, il suffisait d’accder au BIOS de l’appareil (pour vrifier l’tat de la batterie).
Malgr cela,les chercheurs ont rapport que tous les prestataires de services de rparation soumis au test, sauf un, ont demand les informations d’identification pour pouvoir avoir accs au systme d’exploitation de l’appareil. Lorsque le client a demand s’il pouvait obtenir la rparation sans fournir le mot de passe, trois ont refus de prendre l’appareil sans celui-ci, quatre ont accept de le prendre, mais ces derniers ont prvenu qu’ils ne seraient pas en mesure de vrifier leur travail ou d’en tre responsables, un a demand au client de retirer le mot de passe, et un a dit qu’il rinitialiserait l’appareil si cela tait ncessaire.
Dans un autre test, une fois les ordinateurs portables fournis, seuls les trois prestataires nationaux et les trois prestataires rgionaux ont fourni un document de conditions gnrales signer. Pire encore, le rapport note que ces contrats rejetaient toute responsabilit en cas de perte de donnes. Les ordinateurs taient exempts de logiciels malveillants et d’autres dfauts et en parfait tat de fonctionnement, une exception prs : le pilote audio tait dsactiv. Les chercheurs ont choisi cette anomalie, car elle ne ncessitait qu’une rparation simple et peu coteuse, tait facile crer et ne ncessitait pas d’accs aux fichiers personnels des utilisateurs.
La moiti des ordinateurs portables taient configurs de manire apparatre comme s’ils appartenaient un homme et l’autre moiti une femme. En outre, tous les ordinateurs portables ont t configurs avec des comptes de messagerie lectronique et de jeux et ont t remplis d’historique de navigation sur plusieurs semaines. Pour les besoins de l’enqute, les chercheurs ont indiqu avoir ajout des donnes factices, notamment des documents, des photos sexuellement rvlatrices et non sexuellement rvlatrices, ainsi qu’un portefeuille de cryptomonnaies avec des informations d’identification.
Ils ont galement configur les ordinateurs portables pour qu’ils excutent une application de journalisation personnalise qui utilise l’utilitaire Windows Steps Recorder en arrire-plan. L’utilitaire capturait l’cran chaque clic de souris et enregistrait chaque touche presse par l’utilisateur. Les chercheurs ont activ la stratgie d’audit de Windows pour enregistrer l’accs tout fichier sur le priphrique. Les rsultats ne sont pas encourageants : six prestataires de services de rparation sur seize ont fouin dans les donnes des clients et, dans deux tests sur seize, ont copi les donnes des clients sur des appareils externes.
Parmi ces six fouineurs, un prestataire l’a fait de manire viter de gnrer des preuves, tandis que trois autres ont pris des mesures pour dissimuler leurs activits. Selon le rapport, les journaux des appareils montrent que les rparateurs incrimins ont tent de masquer leurs traces en supprimant des lments dans l' »Accs rapide » ou les « Fichiers rcemment accds » de Microsoft Windows. Au total, les conclusions de l’tude sont les suivantes :
- les politiques de confidentialit et la pratique de communication des protocoles et des contrles pour protger les donnes des clients n’existent pas chez les fournisseurs de services de toutes tailles ;
- les fournisseurs de services exigent en grande partie (10/11) un « accs total » l’appareil, mme lorsque cela n’est pas ncessaire ;
- les techniciens fouillent souvent les donnes des clients (6/16) et les copient parfois sur des appareils externes (2/16) ;
- les techniciens qui violent la vie prive le font souvent avec prcaution pour ne pas gnrer de preuves (1/6) ou pour supprimer ces preuves (3/6) ;
- une proportion importante des appareils casss (26/79, 33 %) n’est pas rpare en raison de problmes de confidentialit ;
- pour les appareils qui sont rpars, les propritaires sont proccups par les menaces sur leur vie prive, mais n’utilisent pas les contrles appropris pour protger leurs donnes.
Jason Ceci, chercheur en scurit et co-auteur de l’tude, a dclar que les violations de la vie prive mentionnes dans l’article consistaient principalement fouiller dans les photos des clients. Certaines d’entre elles consistaient simplement parcourir l’historique de navigation de quelqu’un. Et puis dans deux des cas, ils copiaient rellement les donnes de l’appareil. Dans l’un de ces deux cas, je crois, ils parcouraient des donnes financires , a dclar Ceci. Il a ajout que les ateliers de rparation valus n’taient pas identifis dans l’tude et qu’ils n’taient pas non plus informs des conclusions des chercheurs.
Les rsultats confirment probablement ce que de nombreux utilisateurs d’ordinateurs plus expriments savent dj : leurs donnes sont vulnrables l’espionnage ou la copie chaque fois qu’ils confient leur appareil une personne non fiable ou inconnue, en particulier lorsque cette personne dispose de leur mot de passe de connexion. L’tude soutient qu’il est ncessaire d’valuer les politiques et pratiques de protection de la vie prive dans le secteur de la rparation, qui gnre 19 milliards de dollars par an. Les chercheurs citent des rapports sur des violations passes de la vie prive.
Selon certaines allgations, les techniciens du Geek Squad de Best Buy ont servi d’informateurs pour le FBI. L’tude mentionne galement des rapports selon lesquels des techniciens d’Apple et du Geek Squad ont t accuss de voler des photos de nus trouves sur des appareils apports en rparation. Ceci a dclar que les rgulateurs devraient se pencher sur le secteur de la rparation et envisager de clarifier les rgles de confidentialit pour la rparation des appareils.
Notre enqute montre une absence de politiques et de contrles pour protger les donnes des clients dans tous les types de fournisseurs de services de rparation. Notre travail appelle l’action les fabricants d’appareils, les dveloppeurs de systmes d’exploitation, les prestataires de services de rparation et les organismes de rglementation afin qu’ils prennent des mesures appropries pour protger la vie prive des clients dans le secteur de la rparation , ont conclu les chercheurs.
Source : Rapport de l’tude (PDF)
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous des atteintes la vie prive rvles par l’tude ?
Selon vous, comment peut-on lutter contre ce type de violation de donnes ?
Selon vous, quelles sont les prcautions prendre avant d’envoyer un appareil chez un rparateur ?
Voir aussi
Une femme sur dix dans la cyberscurit : un biais incroyable , selon l’Anssi