Discussion :

[Bill Fassinou]

Vous envisagez d'envoyer votre ordinateur dans un atelier de réparation ? Soyez très prudent, car les réparateurs fouinent souvent dans les données des clients
selon une étude

Des chercheurs de l'université canadienne de Guelph ont publié une étude selon laquelle les services de réparation de matériel électronique ne disposent pas de protocoles de confidentialité efficaces pour protéger les données sensibles des clients. Elle ajoute que les techniciens fouinent souvent dans les données des clients. Mais encore, l'étude a révélé que les violations de la vie privée se produisaient dans au moins 50 % des cas et, sans surprise, que les femmes en étaient les principales victimes. L'équipe de recherche a également déclaré que les prestataires de services de réparation dignes de confiance sont difficiles à trouver.

Si vous vous êtes déjà inquiété de la confidentialité de vos données sensibles lors de la réparation de votre ordinateur ou de votre téléphone, l'étude suggère que vous avez de bonnes raisons. Dans l'étude publiée sur Arxiv et intitulée "No Privacy in the Electronics Repair Industry", les chercheurs Jason Ceci, Jonah Stegman et Hassan Khan de l'université de Guelph décrivent comment ils ont testé les politiques et pratiques de confidentialité des ateliers de réparation d'appareils électroniques. Selon le rapport de l'étude, l'enquête a consisté en une étude sur le terrain auprès de 18 prestataires de services de réparation en Amérique du Nord.

Cela comprend trois prestataires nationaux, trois régionaux et cinq locaux, ainsi que deux prestataires nationaux de services de réparation de smartphones et cinq fabricants d'appareils. Les représentants de ces 18 entreprises - non identifiées dans l'étude en raison des exigences d'examen éthique de l'université canadienne - ont été interrogés pour déterminer s'ils disposent de politiques de confidentialité et comment ils traitent les données des clients. « Aucun des fournisseurs de services de réparation n'a affiché un avis informant les clients de leur politique en matière de confidentialité », indique le document de recherche.

« En plus de cela, jusqu'à la remise des appareils, aucun chercheur n'a été informé d'une politique de confidentialité, de ses droits en tant que client ou de la manière de protéger ses données », lit-on dans le document. Ensuite, les chercheurs ont demandé aux fournisseurs de services de réparation de procéder au remplacement de la batterie d'ordinateurs portables Asus UX330U fonctionnant sous Microsoft Windows 10. À priori, l'intervention ne devrait pas nécessiter d'identifiants de connexion ou d'accès au système d'exploitation. Après le remplacement, il suffisait d'accéder au BIOS de l'appareil (pour vérifier l'état de la batterie).

Malgré cela,les chercheurs ont rapporté que tous les prestataires de services de réparation soumis au test, sauf un, ont demandé les informations d'identification pour pouvoir avoir accès au système d'exploitation de l'appareil. Lorsque le client a demandé s'il pouvait obtenir la réparation sans fournir le mot de passe, trois ont refusé de prendre l'appareil sans celui-ci, quatre ont accepté de le prendre, mais ces derniers ont prévenu qu'ils ne seraient pas en mesure de vérifier leur travail ou d'en être responsables, un a demandé au client de retirer le mot de passe, et un a dit qu'il réinitialiserait l'appareil si cela était nécessaire.

Dans un autre test, une fois les ordinateurs portables fournis, seuls les trois prestataires nationaux et les trois prestataires régionaux ont fourni un document de conditions générales à signer. Pire encore, le rapport note que ces contrats rejetaient toute responsabilité en cas de perte de données. Les ordinateurs étaient exempts de logiciels malveillants et d'autres défauts et en parfait état de fonctionnement, à une exception près : le pilote audio était désactivé. Les chercheurs ont choisi cette anomalie, car elle ne nécessitait qu'une réparation simple et peu coûteuse, était facile à créer et ne nécessitait pas d'accès aux fichiers personnels des utilisateurs.

La moitié des ordinateurs portables étaient configurés de manière à apparaître comme s'ils appartenaient à un homme et l'autre moitié à une femme. En outre, tous les ordinateurs portables ont été configurés avec des comptes de messagerie électronique et de jeux et ont été remplis d'historique de navigation sur plusieurs semaines. Pour les besoins de l'enquête, les chercheurs ont indiqué avoir ajouté des données factices, notamment des documents, des photos sexuellement révélatrices et non sexuellement révélatrices, ainsi qu'un portefeuille de cryptomonnaies avec des informations d'identification.

Ils ont également configuré les ordinateurs portables pour qu'ils exécutent une application de journalisation personnalisée qui utilise l'utilitaire Windows Steps Recorder en arrière-plan. L'utilitaire capturait l'écran à chaque clic de souris et enregistrait chaque touche pressée par l'utilisateur. Les chercheurs ont activé la stratégie d'audit de Windows pour enregistrer l'accès à tout fichier sur le périphérique. Les résultats ne sont pas encourageants : six prestataires de services de réparation sur seize ont fouiné dans les données des clients et, dans deux tests sur seize, ont copié les données des clients sur des appareils externes.

Parmi ces six fouineurs, un prestataire l'a fait de manière à éviter de générer des preuves, tandis que trois autres ont pris des mesures pour dissimuler leurs activités. Selon le rapport, les journaux des appareils montrent que les réparateurs incriminés ont tenté de masquer leurs traces en supprimant des éléments dans l'"Accès rapide" ou les "Fichiers récemment accédés" de Microsoft Windows. Au total, les conclusions de l'étude sont les suivantes :

1. les politiques de confidentialité et la pratique de communication des protocoles et des contrôles pour protéger les données des clients n'existent pas chez les fournisseurs de services de toutes tailles ;
2. les fournisseurs de services exigent en grande partie (10/11) un "accès total" à l'appareil, même lorsque cela n'est pas nécessaire ;
3. les techniciens fouillent souvent les données des clients (6/16) et les copient parfois sur des appareils externes (2/16) ;
4. les techniciens qui violent la vie privée le font souvent avec précaution pour ne pas générer de preuves (1/6) ou pour supprimer ces preuves (3/6) ;
5. une proportion importante des appareils cassés (26/79, 33 %) n'est pas réparée en raison de problèmes de confidentialité ;
6. pour les appareils qui sont réparés, les propriétaires sont préoccupés par les menaces sur leur vie privée, mais n'utilisent pas les contrôles appropriés pour protéger leurs données.

Jason Ceci, chercheur en sécurité et co-auteur de l'étude, a déclaré que les violations de la vie privée mentionnées dans l'article consistaient principalement à fouiller dans les photos des clients. « Certaines d'entre elles consistaient simplement à parcourir l'historique de navigation de quelqu'un. Et puis dans deux des cas, ils copiaient réellement les données de l'appareil. Dans l'un de ces deux cas, je crois, ils parcouraient des données financières », a déclaré Ceci. Il a ajouté que les ateliers de réparation évalués n'étaient pas identifiés dans l'étude et qu'ils n'étaient pas non plus informés des conclusions des chercheurs.

Les résultats confirment probablement ce que de nombreux utilisateurs d'ordinateurs plus expérimentés savent déjà : leurs données sont vulnérables à l'espionnage ou à la copie chaque fois qu'ils confient leur appareil à une personne non fiable ou inconnue, en particulier lorsque cette personne dispose de leur mot de passe de connexion. L'étude soutient qu'il est nécessaire d'évaluer les politiques et pratiques de protection de la vie privée dans le secteur de la réparation, qui génère 19 milliards de dollars par an. Les chercheurs citent des rapports sur des violations passées de la vie privée.

Selon certaines allégations, les techniciens du Geek Squad de Best Buy ont servi d'informateurs pour le FBI. L'étude mentionne également des rapports selon lesquels des techniciens d'Apple et du Geek Squad ont été accusés de voler des photos de nus trouvées sur des appareils apportés en réparation. Ceci a déclaré que les régulateurs devraient se pencher sur le secteur de la réparation et envisager de clarifier les règles de confidentialité pour la réparation des appareils.

« Notre enquête montre une absence de politiques et de contrôles pour protéger les données des clients dans tous les types de fournisseurs de services de réparation. Notre travail appelle à l'action les fabricants d'appareils, les développeurs de systèmes d'exploitation, les prestataires de services de réparation et les organismes de réglementation afin qu'ils prennent des mesures appropriées pour protéger la vie privée des clients dans le secteur de la réparation », ont conclu les chercheurs.

Source : Rapport de l'étude (PDF)

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des atteintes à la vie privée révélées par l'étude ?
Selon vous, comment peut-on lutter contre ce type de violation de données ?
Selon vous, quelles sont les précautions à prendre avant d'envoyer un appareil chez un réparateur ?

Voir aussi

Voici la vraie raison pour laquelle les géants de la technologie détruisent des milliers de dispositifs de stockage de données : le risque élevé de fuite de données lié à leur nettoyage

Une femme sur dix dans la cybersécurité : un biais « incroyable », selon l'Anssi

73 % des décideurs informatiques admettent qu'ils pourraient faire davantage pour améliorer leurs pratiques DevSecOps, 71 % reconnaissant que la culture est le principal obstacle à leur progression

58 % des employés issus de la génération Z et 42 % des milléniaux affirment négliger la politique de sécurité mise en place par leur employeur, contre 31 % de la génération X et 15 % des baby-boomers

[Ryu2000]

Quel est votre avis sur le sujet ?

Je comprend que le réparateur puisse chercher des photos et des vidéos sexuellement révélatrices.
Parce que c'est plus excitant de tomber sur du contenu privé.

Selon vous, quelles sont les précautions à prendre avant d'envoyer un appareil chez un réparateur ?

Il y a bien la solution du "disque dur" pour l'OS et du "disque dur" pour les documents. (ce sont des SSD maintenant)
On peut débrancher physiquement le disque dur de documents avant d'envoyer l'ordinateur chez le réparateur.
Le problème c'est que le réparateur va peut-être avoir accès aux e-mails ou truc comme ça.

[Aiekick]

ya pas de confiance a avoir avec des service ou personne tiers. Ce qu'il peuvent faire sans que ce soit visible, il faut considierer qu'ils le font.et donc prendres des mesures en consequence.

[Fagus]

Ce n'est pas surprenant qu'il y ait des abus, mais un peu décevant que ce soit si fréquent.
Les précautions ?
1. faire une sauvegarde du disque entier (car eux ne le font pas) et je connais plusieurs histoires où ils arrivent en plus à crasher le disque.
2. Pour moi le disque dur d'un PC portable doit avoir un chiffrage disque entier avant le boot de l'os si on compte y mettre quoi que ce soit de personnel.

Car le taux d'indiscrétions découvertes n'est déjà pas très glorieux, mais de plus leur méthodologie ignore les réparateurs qui siphonnent sans traces (c'est à dire depuis un autre os ou une image disque)

[Invité]

Bonsoir

Vous envisagez d'envoyer votre ordinateur dans un atelier de réparation ? Soyez très prudent, car les réparateurs fouinent souvent dans les données des clients, selon une étude

Quel est votre avis sur le sujet ?

J'ai du faire analyser mon pc portable Dell en septembre justement. J'ai été confronté à cette situation . 30 € le diag et 6 h finalement pour ma pomme pour faire la manip finale

Que pensez-vous des atteintes à la vie privée révélées par l'étude ?

J'avais vidé mon DDI pour justement eviter qu'on ne fouine dessus.

Selon vous, comment peut-on lutter contre ce type de violation de données ?

Il n'y a pas de solution miracle .

Selon vous, quelles sont les précautions à prendre avant d'envoyer un appareil chez un réparateur ?

Degager les informations dans la mesure du possible (fichier , image, video , etc ... ). L'applicatif se reinstalle.

[electroremy]

Il y a 20 ans, quand j'étais étudiant, j'avais fait un stage chez un assembleur de PC, et effectivement, au SAV ils s'amusaient à... chercher les photos prono sur les PC des clients - d'ailleurs le "genrage" mis en évidence dans l'étude me surprend par rapport à ça, car ce type de ficher a une probabilité beaucoup plus forte de se trouver sur l'ordi d'un homme

Aujourd'hui, sur un PC, il y a des tas de données sensibles (comptes emails, paiement en ligne, démarches administratives, vie pro, vie privée, ...)

Il faut sécuriser son PC y compris contre quelqu'un pouvant y avoir accès physiquement (réparation, perte ou vol)

Un DD à part crypté pour les données ne suffit pas, car la partition ou le disque système contiennent plein de données de connexion éparpillées partout (multiples dossiers système auxquels on a parfois même pas accès, base de registre...).
Et souvent le dépanneur aura besoin de pouvoir lancer une session utilisateur pour faire les tests.
Par rapport à cet aspect, les OS modernes sont mal fichus.
De même pour le côté "pratique" des navigateurs web qui se souviennent des mots de passe (email, forums, sites de vente en ligne), un navigateur devrait au moins demander au démarrage un mot de passe "maitre" et stocker les cookies et données de connexion d'une façon ne permettant pas d'y avoir accès sans le mot de passe.

Et quand le PC est en panne et que la panne empêche de démarrer le PC pour pouvoir mettre ses données à l'abri ça craint.
Et attention vider la corbeille ne suffit pas, car des outils de récupération de fichiers effacés permettent de retrouver les données.
D'ailleurs, les fonctions "effacer mes traces" dans les navigateurs ou nettoyage de disque ne propose pas d'effacement sécurisé (au moins une passe) là aussi c'est une lacune des OS et navigateurs actuels.

Il faut soit réparer soi-même, ou alors être présent pendant toute la réparation (et encore un technicien habile peu taper une ligne de commande vite fait pour lancer ni vu ni connu un script de siphonage ou installer un cheval de troye)

[kankan]

Bonjour
Je suis l'administrateur de l'Atelier ASUS, un collectif de réparateurs spécialisés en électronique. Nous intervenons sur les cartes mères particulièrement (ASUS).
Pour réagir à cet article, nous concernant, nous proposons systématiquement aux utilisateurs de conserver leurs données en retirant le support de stockage (HDD, SSD, M2...).

[Ryu2000]

Nous intervenons sur les cartes mères

Ouais mais là c'est pour un problème hardware, encore heureux que vous n'allez pas fouillez dans les dossiers des clientes.
Souvent les clients ont un problème software ("mon Window est devenu lent") et là il y a forcément un appareil de stockage.

[Stéphane le calme]

Plus de la moitié des réparateurs ont consulté les données privées d'appareils en panne, y compris les photos sexy et l'historique de navigation,
d'après une enquête de CBC News

Vous avez probablement un ou plusieurs appareils technologiques dans votre vie quotidienne: un smartphone, une tablette, un ordinateur portable, une montre connectée, etc. Ces appareils contiennent des données personnelles et sensibles, telles que des photos intimes, votre historique de navigation, vos comptes de réseaux sociaux, vos informations bancaires, etc. Mais savez-vous ce qui se passe quand vous les confiez à un réparateur pour les faire réparer?

Selon une enquête menée par le site PrivacyEnd, plus de la moitié des utilisateurs de technologies portables (wearables) ne savent pas comment protéger leurs données personnelles lorsqu’ils font réparer leurs appareils. Or, ces données peuvent être facilement accessibles par le réparateur, qui peut les copier, les modifier, les supprimer ou les divulguer à des tiers sans votre consentement. Cela peut avoir des conséquences graves sur votre vie privée, votre sécurité et votre réputation.

Par exemple, le réparateur peut accéder à vos photos intimes et les utiliser pour vous faire chanter, les publier sur internet ou les vendre à des sites pornographiques. Il peut aussi accéder à votre historique de navigation et découvrir vos centres d’intérêt, vos opinions politiques, vos habitudes de consommation, etc. Il peut ensuite utiliser ces informations pour vous cibler avec des publicités personnalisées, vous envoyer des spams ou des virus, ou encore les revendre à des entreprises ou des gouvernements. Il peut également accéder à vos comptes de réseaux sociaux et usurper votre identité, publier des messages compromettants, contacter vos amis ou vos contacts professionnels, etc.

Plus de la moitié des techniciens qui devaient réparer un terminal en ont profité pour fouiller dedans

Une autre enquête, cette fois-ci émanant de journalistes de CBC News, est parvenue à ces conclusions :

L'émission Marketplace de CBC a amené des smartphones et des ordinateurs portables dans des magasins de réparation partout en Ontario, notamment dans les grandes chaînes Best Buy et Mobile Klinik, et a constaté que dans plus de la moitié des cas documentés, les techniciens avaient accédé à des photos intimes et à des informations privées sans rapport avec la réparation.

Marketplace a déposé les appareils dans 20 magasins, allant des petits magasins indépendants aux chaînes de taille moyenne en passant par les grandes chaînes nationales, après avoir installé un logiciel de surveillance sur les appareils. Au total, 16 magasins ont été recensés. (Dans quatre magasins, le logiciel de suivi n’a rien enregistré, ou les magasins ne semblaient pas allumer les appareils.)

Les techniciens de neuf magasins ont accédé à des données privées, dont un technicien qui a non seulement visionné des photos, mais les a également copiées sur une clé USB.

Pour l'enquête Marketplace, Hassan Khan, professeur agrégé à l'école d'informatique de l'Université de Guelph (qui avait révélé que de nombreux techniciens fouinaient dans les terminaux qui leur étaient confiés), a été associé aux étudiants diplômés Angela Tran et Brandon Lit. Ils ont chargé quatre smartphones et six ordinateurs portables avec le type de données privées que de nombreux utilisateurs auraient sur leurs appareils : informations financières, comptes de réseaux sociaux et de messagerie, ainsi que navigateur. histoire. Pour le bien de l'expérience, les informations étaient fausses, donc les informations personnelles de personne ne seraient en danger.

Marketplace a également pris des photos intimes de style selfie de deux modèles dont les visages étaient rognés, et ces photos, ainsi que d'autres photos génériques, ont été enregistrées sur les appareils.

Exemples de quelques photos de selfie de modèles mystères chargées sur les appareils par Marketplace

Pour les ordinateurs portables, Khan et son équipe ont initialement créé un problème de réparation en désactivant le WiFi. Les techniciens des premiers magasins n'avaient pas besoin de conserver l'appareil pour le réparer. L'équipe de Khan a donc créé un nouveau problème logiciel qui obligerait les magasins à conserver l'appareil pour le réparer, en désactivant le port USB.

Khan et ses étudiants ont installé un logiciel de journalisation secret qui capturerait et enregistrerait les accès des techniciens lors de chaque réparation.

Pour le test du smartphone, le professeur Mohammad Mannan de l'Université Concordia et son doctorant, Sajjad Pourali, ont créé un problème de réparation (un écran scintillant) et installé un logiciel de journalisation qui enregistrait les actions des techniciens.

Khan et d'autres experts en informatique avec lesquels Marketplace s'est entretenu ont déclaré que la consultation de photos ou de fichiers ne serait pas nécessaire pour ce type de réparations.

« Parcourir ces fichiers pour rechercher une solution n'a aucun sens », a déclaré Khan.

Les résultats de la recherche

Des réparateurs ont accédé aux photos intimes, fouillé des profils Facebook

Marketplace a visité deux sites de la chaîne de réparation de smartphones Mobile Klinik, qui compte plus de 150 magasins à travers le Canada.

Au centre commercial Square One de Mississauga, l'équipe de Khan n'a détecté aucune surveillance sur le smartphone amené pour réparation. Cependant, à Woodbridge, l'équipe a documenté qu'un technicien de Mobile Klinik faisait défiler le compte Facebook sur l'appareil et regardait les photos stockées sur le téléphone, y compris les selfies intimes.

Dans une déclaration à Marketplace, un porte-parole de Mobile Klinik a déclaré que « ce qui s'est passé dans ce cas est inacceptable » et que « la protection de la vie privée de nos clients est notre première priorité ».

La société a indiqué qu'elle avait mis en place des «*politiques robustes*» pour protéger les données des clients. « À la suite de notre propre enquête et des informations fournies par CBC Marketplace, il est clair que le technicien qui a réparé cet appareil n'a pas suivi la procédure appropriée. En conséquence, le technicien a été licencié ».

Après que Marketplace ait déposé un ordinateur portable dans un magasin de Markham de la chaîne de réparation d'appareils électroniques et techniques Best Buy, qui compte 164 magasins à travers le Canada, l'équipe de Khan a découvert qu'un technicien avait parcouru plusieurs dossiers de photos, y compris ceux portant des noms comme « Bikinis », ou « lingeries de nuit ». Le technicien a également supprimé une photo intime qu'il avait ouverte des fichiers récemment consultés, effaçant ainsi toute indication de son ouverture.

« Il efface ses traces », a déclaré Khan. Sans ce type de logiciel d’enregistrement, le consommateur moyen n’aurait aucune idée que le technicien a consulté ces photos.

Cavoukian a déclaré que le technicien n'avait « absolument aucun droit à cette information ». « Je pense juste que c'est épouvantable », a-t-elle déclaré.

Photos copiées sur clé USB

Marketplace a laissé des ordinateurs portables dans les sites d'Oakville et de Markham de la chaîne de réparation électronique et technologique Canada Computers & Electronics, une entreprise comptant 42 sites à travers le Canada. Dans les deux magasins, les techniciens ont visionné des photos intimes.

Sur le site de Markham, un technicien a visualisé les photos intimes sous forme d'icônes très grandes, ce qui les rend plus faciles à voir sans les ouvrir, ce qui signifie qu'elles n'apparaîtront pas comme des fichiers récemment consultés. La personne a également consulté l'historique du navigateur de l'ordinateur portable avant de réparer la clé USB, puis de copier toutes les photos de l'ordinateur portable sur sa propre clé USB.

Une capture d’écran montre le dossier d’images de l’ordinateur portable copié sur la clé USB d’un technicien de Canada Computers après avoir réparé le port USB.

Dans une déclaration envoyée par courrier électronique, Canada Computers a déclaré qu'elle prenait « très au sérieux son obligation de respecter les informations personnelles de ses clients » et que sa propre enquête sur l'incident avait indiqué qu'il s'agissait d'un événement isolé au cours duquel un technicien d'un site a violé sa politique de confidentialité. Il disait également : « Cet employé a fait l'objet de mesures disciplinaires. » La chaîne a expliqué que l'autre technicien tentait de « diagnostiquer le problème » et que cela « n'impliquait pas de tentatives inappropriées d'accès aux données personnelles ».

Comment éviter ces risques?

Pour éviter que vos données personnelles ne tombent entre de mauvaises mains lorsque vous faites réparer vos appareils technologiques, il existe quelques précautions à prendre:

• Faites une sauvegarde de vos données puis effectuer une « restauration d'usine » avant de confier votre appareil à un réparateur. Vous pourrez ainsi les restaurer en cas de perte ou de modification.
• Effacez ou chiffrer vos données sensibles avant de confier votre appareil à un réparateur. Vous pouvez utiliser des applications dédiées pour cela, comme Secure Eraser ou Cryptomator.
• Choisissez un réparateur de confiance et vérifiez sa réputation. Vous pouvez consulter les avis des clients sur internet ou demander des recommandations à vos proches.
• Demandez au réparateur quelles sont ses pratiques en matière de protection des données. Vous pouvez lui demander s’il utilise des outils sécurisés, s’il respecte la confidentialité de vos données, s’il les efface après la réparation, etc.
• Récupérez votre appareil dès que possible après la réparation. Ne le laissez pas traîner chez le réparateur plus longtemps que nécessaire.

Sources : enquête CBC, Privacy End

Et vous ?

Êtes-vous surpris par les chiffres avancés ?
Avez-vous déjà fait réparer vos appareils technologiques? Si oui, avez-vous pris des mesures pour protéger vos données personnelles? Lesquelles?
Quels sont les risques que vous craignez le plus si vos données personnelles sont exposées à un réparateur malveillant? Comment y faire face?
Faites-vous confiance aux réparateurs que vous choisissez? Sur quels critères vous basez-vous pour les sélectionner?
Que pensez-vous des applications qui permettent d’effacer ou de chiffrer vos données sensibles avant de confier votre appareil à un réparateur? Les utilisez-vous? Pourquoi ou pourquoi pas?
Que pensez-vous de la législation en vigueur sur la protection des données personnelles? Est-elle suffisante? Quelles améliorations proposez-vous?

[kankan]

Bonjour
Oui c'est surtout pour rassurer le client.

Ouais mais là c'est pour un problème hardware, encore heureux que vous n'allez pas fouillez dans les dossiers des clientes.
Souvent les clients ont un problème software ("mon Window est devenu lent") et là il y a forcément un appareil de stockage.

Pour les problèmes software nous proposons dans la mesure du possible une intervention à distance.
L'injonction de garder les disques de stockage est surtout proposée afin de palier un éventuel problème de perte/vol durant le transport.