Discussion :

[Stan Adkens]

65 % des cartes mémoire d'occasion contiennent toujours des données personnelles
Des précédents propriétaires, selon une étude

Les cartes mémoire sont massivement utilisées aujourd’hui comme moyens de stockage de données personnelles dans plusieurs types d’appareils. Mais, une étude vient de révéler que les utilisateurs manquent de bonnes pratiques dans l’utilisation de ces cartes en l’occurrence lorsqu’ils veulent s’en débarrasser. L’étude a été effectuée par l’équipe du Centre de Cybersécurity de l'Université de Hertfordshire, une université du Royaume-Uni. Le rôle de cette équipe consiste en l’investigation et le développement d'outils et de techniques capables de détecter et de répondre à une variété d'attaques cybernétiques, y compris la collecte de preuves légales numériques.

Elle a découvert que 65 % des cartes mémoire utilisées dans les téléphones, les caméras, les drones et des systèmes SatNav n’ont pas été effacées par leurs précédents utilisateurs avant de les vendre. Le rapport note, par ailleurs, que les revendeurs, eux-mêmes, ne prennent pas soin de les effacer avant de les mettre sur le marché.

L’étude a été faite à partir de 100 cartes mémoires SD et micro SD achetées sur eBay, dans des enchères conventionnelles, dans des magasins d'occasion et d'autres sources sur une période de quatre mois. Les auteurs disent avoir créé une image légale, une copie bit par bit, de chaque carte, puis utilisé un logiciel disponible gratuitement pour récupérer des données. L’étude a révélé que la majorité des cartes n’avait pas été effacée avant leur mise sur le marché d’occasion au point qu’une mine de renseignements personnels et de documents sensibles serait couramment transmise d'une personne à une autre.

Selon le rapport, les cartes mémoire achetées sur le marché et étudiées contenaient toujours des informations personnelles et des documents sensibles tels que des photos intimes et des selfies, des copies de passeport, des listes de contacts, des fichiers de navigation, de la pornographie, des CV, des numéros d'identification et d'autres documents personnels importants de leur précédent utilisateur.

Voici, ci-dessous, la répartition des 100 cartes selon qu’elles aient été effacées ou pas :

• 36 n'ont pas été effacées du tout, ni le propriétaire d'origine ni le vendeur n'ont pris des mesures pour supprimer les données ;
• 29 semblaient avoir été formatées, mais les données pouvaient encore être récupérées « avec un minimum d'effort » ;
• 2 cartes avaient leurs données supprimées, mais elles étaient facilement récupérables ;
• 25 semblaient avoir été correctement effacées à l'aide d'un outil d'effacement de données qui écrase la zone de stockage, de sorte que rien n'a pu être récupéré ;
• 4 n'ont pas pu être consultées ou lues car endommagées ;
• 4 n'avaient pas de données, mais la raison n'a pas pu être déterminée.

Le professeur Andrew Jones, professeur de cybersécurité à l'Université du Hertfordshire, a déclaré: « Cette recherche révèle la prévalence des cartes mémoire d'occasion fournissant une riche source de données sensibles, qui pourraient facilement être utilisées à mauvais escient si un acheteur le souhaitait. Malgré l'attention constante des médias sur la cybercriminalité et la sécurité des données personnelles, nos recherches montrent clairement que la majorité ne prend toujours pas les mesures adéquates pour supprimer toutes les données des cartes mémoire avant les ventes. »

Le professeur Andrew insiste, surtout, sur les données négligées dans les cartes mémoire utilisées dans les systèmes GNSS (Global Navigation Satellite System) : « Les données des systèmes de navigation par satellite (SatNav) sont particulièrement importantes, car elles permettent de déterminer le lieu de résidence de l'utilisateur, ainsi que les itinéraires qu'il utilise régulièrement et les endroits qu'il a identifiés comme d’intérêt capital, notamment son lieu de travail et les maisons de la famille et des amis. Encore une fois, cette information entre de mauvaises mains pourrait facilement mettre en danger les précédents propriétaires. »

Ce fait pourrait faire penser à une ignorance de la part des utilisateurs des cartes. Cependant, selon le rapport, le problème n’est pas relatif à l’ignorance du danger lié aux données personnelles qui se retrouvent entre des mains d’autrui. Les utilisateurs procèdent effectivement à la destruction des données sur les cartes avant de s’en débarrasser, seulement qu’ils ne le font pas correctement.

Selon le rapport, « La simple suppression d'un fichier d'un périphérique supprime uniquement la référence qui pointe vers l'endroit où un ordinateur peut trouver ce fichier dans la mémoire de la carte. Il ne supprime pas les uns et les zéros qui composent le fichier. Ces données restent sur la carte jusqu'à ce qu'elles soient écrasées par autre chose. »

Pour cette raison, le rapport recommande que les cartes retirées soient complètement effacées et reformatées à l’aide des logiciels gratuits ou payants sur le marché.

Source : Université de Hertfordshire, Rapport d'étude

Et vous ?

Qu’en pensez-vous ?
Que pensez-vous de cette source de fuite de données du moment où de nombreux utilisateurs n’ont même pas encore conscience du danger lié ?

Voir aussi

La SD Association publie la norme SD 7.0 qui annonce l'arrivée des cartes SD Express de 128 To de mémoire, avec une vitesse de transfert de 980 Mo/s
Les États-Unis ont connu la plus grosse fuite de données des électeurs jamais observée, à cause d'un service de stockage qui n'a pas été sécurisé

[onilink_]

Cela ne m'étonne pas du tout.
A vrai dire je suis un peu surpris que près de 30% des cartes aient été réellement effacé via des outils appropriés, je m'attendais à beaucoup moins

[Aiekick]

et des virus