Selon une étude menée par des informaticiens canadiens, les techniciens des ateliers de réparation d’appareils électroniques jettent souvent un coup d’œil furtif aux données privées des clients et les copient parfois.
Alors que de nombreux propriétaires de PC et de smartphones s’inquiètent de la vulnérabilité de leurs données lorsqu’ils confient leur appareil à un réparateur, cette étude visait à découvrir à quel point l’espionnage est courant chez les petits et grands prestataires de services de réparation.
Comme l’indique Ars Technica, des chercheurs de l’école d’informatique de l’université de Guelph, au Canada, ont présenté leurs conclusions dans un nouveau document, suggérant qu’il est assez courant pour les techniciens de réparation de fouiner dans les données privées des clients.
Les chercheurs ont également constaté que la plupart des fournisseurs de services de réparation d’appareils électroniques n’ont pas de politique ou de protocoles de protection de la vie privée pour empêcher les techniciens de fouiner dans les données de leurs appareils, et qu’ils demandent par défaut les informations d’identification du système d’exploitation, même lorsqu’elles ne sont pas nécessaires aux réparations.
Expérience en conditions réelles
Pour les besoins de l’enquête, les chercheurs ont déposé six ordinateurs portables équipés de Windows 10 récemment achetés pour réparation. Le lecteur audio avait auparavant été désactivé, pour donner l’impression qu’il y avait un problème à régler. Puis, une fois les appareils réparés et retournés, les chercheurs ont analysé les journaux des appareils pour vérifier si des violations de la vie privée avaient pu se produire pendant la réparation.
Les six ordinateurs portables ont été emmenés chez 16 petits prestataires de services de réparation régionaux et nationaux entre octobre et décembre 2021. Trois appareils ont été configurés avec un personnage masculin et trois avec un personnage féminin. Les chercheurs ont ainsi recruté trois expérimentateurs masculins et trois expérimentateurs féminins pour déposer les appareils en réparation.
Après analyse des appareils retournés, ils ont constaté que les techniciens de six des 16 prestataires ont fouiné dans les données de ces « clients ». Les techniciens de deux prestataires ont même copié des données sur des appareils externes.
Sur les six sites où l’espionnage a eu lieu, trois ont supprimé les preuves, tandis que le dernier l’a fait de manière à éviter de générer des preuves.
Protéger la vie privée des clients
Les chercheurs ont choisi d’inventer un problème audio car il implique une facilité de réparation, et surtout parce que cette dernière ne nécessite pas d’accéder aux fichiers des utilisateurs – contrairement à un problème lié à la suppression de logiciels malveillants par exemple.
Au final, plusieurs techniciens ont consulté les photos sensibles stockées sur les PC, tant pour les profils masculins que féminins. Certains techniciens ont également consulté d’autres documents. L’un d’eux a même récupéré des photos sensibles pour les transférer sur un dispositif de stockage externe.
Pour ne pas laisser de trace, les techniciens de trois fournisseurs de services ont effacé des éléments dans la liste « Accès rapide » ou « Fichiers récemment consultés » de Windows. Dans un autre cas, le technicien a zoomé sur les vignettes pour qu’on ne puisse pas déterminer qu’il a accédé au fichier.
Faire réparer ses appareils électroniques présente des avantages économiques et environnementaux, soulignent les chercheurs dans leur article. « Cependant, il est absolument nécessaire de mesurer les pratiques actuelles de protection de la vie privée dans le secteur, de comprendre le point de vue des clients et de mettre en place des contrôles efficaces qui protègent leur vie privée. »
Source : ZDNet.com