Si vous vous êtes déjà inquiété de la confidentialité de vos données sensibles lors de la réparation de votre ordinateur ou de votre téléphone, l'étude suggère que vous avez de bonnes raisons. Dans l'étude publiée sur Arxiv et intitulée "No Privacy in the Electronics Repair Industry", les chercheurs Jason Ceci, Jonah Stegman et Hassan Khan de l'université de Guelph décrivent comment ils ont testé les politiques et pratiques de confidentialité des ateliers de réparation d'appareils électroniques. Selon le rapport de l'étude, l'enquête a consisté en une étude sur le terrain auprès de 18 prestataires de services de réparation en Amérique du Nord.
Cela comprend trois prestataires nationaux, trois régionaux et cinq locaux, ainsi que deux prestataires nationaux de services de réparation de smartphones et cinq fabricants d'appareils. Les représentants de ces 18 entreprises - non identifiées dans l'étude en raison des exigences d'examen éthique de l'université canadienne - ont été interrogés pour déterminer s'ils disposent de politiques de confidentialité et comment ils traitent les données des clients. « Aucun des fournisseurs de services de réparation n'a affiché un avis informant les clients de leur politique en matière de confidentialité », indique le document de recherche.
« En plus de cela, jusqu'à la remise des appareils, aucun chercheur n'a été informé d'une politique de confidentialité, de ses droits en tant que client ou de la manière de protéger ses données », lit-on dans le document. Ensuite, les chercheurs ont demandé aux fournisseurs de services de réparation de procéder au remplacement de la batterie d'ordinateurs portables Asus UX330U fonctionnant sous Microsoft Windows 10. À priori, l'intervention ne devrait pas nécessiter d'identifiants de connexion ou d'accès au système d'exploitation. Après le remplacement, il suffisait d'accéder au BIOS de l'appareil (pour vérifier l'état de la batterie).
Malgré cela,les chercheurs ont rapporté que tous les prestataires de services de réparation soumis au test, sauf un, ont demandé les informations d'identification pour pouvoir avoir accès au système d'exploitation de l'appareil. Lorsque le client a demandé s'il pouvait obtenir la réparation sans fournir le mot de passe, trois ont refusé de prendre l'appareil sans celui-ci, quatre ont accepté de le prendre, mais ces derniers ont prévenu qu'ils ne seraient pas en mesure de vérifier leur travail ou d'en être responsables, un a demandé au client de retirer le mot de passe, et un a dit qu'il réinitialiserait l'appareil si cela était nécessaire.
Dans un autre test, une fois les ordinateurs portables fournis, seuls les trois prestataires nationaux et les trois prestataires régionaux ont fourni un document de conditions générales à signer. Pire encore, le rapport note que ces contrats rejetaient toute responsabilité en cas de perte de données. Les ordinateurs étaient exempts de logiciels malveillants et d'autres défauts et en parfait état de fonctionnement, à une exception près : le pilote audio était désactivé. Les chercheurs ont choisi cette anomalie, car elle ne nécessitait qu'une réparation simple et peu coûteuse, était facile à créer et ne nécessitait pas d'accès aux fichiers personnels des utilisateurs.
La moitié des ordinateurs portables étaient configurés de manière à apparaître comme s'ils appartenaient à un homme et l'autre moitié à une femme. En outre, tous les ordinateurs portables ont été configurés avec des comptes de messagerie électronique et de jeux et ont été remplis d'historique de navigation sur plusieurs semaines. Pour les besoins de l'enquête, les chercheurs ont indiqué avoir ajouté des données factices, notamment des documents, des photos sexuellement révélatrices et non sexuellement révélatrices, ainsi qu'un portefeuille de cryptomonnaies avec des informations d'identification.
Ils ont également configuré les ordinateurs portables pour qu'ils exécutent une application de journalisation personnalisée qui utilise l'utilitaire Windows Steps Recorder en arrière-plan. L'utilitaire capturait l'écran à chaque clic de souris et enregistrait chaque touche pressée par l'utilisateur. Les chercheurs ont activé la stratégie d'audit de Windows pour enregistrer l'accès à tout fichier sur le périphérique. Les résultats ne sont pas encourageants : six prestataires de services de réparation sur seize ont fouiné dans les données des clients et, dans deux tests sur seize, ont copié les données des clients sur des appareils externes.
Parmi ces six fouineurs, un prestataire l'a fait de manière à éviter de générer des preuves, tandis que trois autres ont pris des mesures pour dissimuler leurs activités. Selon le rapport, les journaux des appareils montrent que les réparateurs incriminés ont tenté de masquer leurs traces en supprimant des éléments dans l'"Accès rapide" ou les "Fichiers récemment accédés" de Microsoft Windows. Au total, les conclusions de l'étude sont les suivantes :
- les politiques de confidentialité et la pratique de communication des protocoles et des contrôles pour protéger les données des clients n'existent pas chez les fournisseurs de services de toutes tailles ;
- les fournisseurs de services exigent en grande partie (10/11) un "accès total" à l'appareil, même lorsque cela n'est pas nécessaire ;
- les techniciens fouillent souvent les données des clients (6/16) et les copient parfois sur des appareils externes (2/16) ;
- les techniciens qui violent la vie privée le font souvent avec précaution pour ne pas générer de preuves (1/6) ou pour supprimer ces preuves (3/6) ;
- une proportion importante des appareils cassés (26/79, 33 %) n'est pas réparée en raison de problèmes de confidentialité ;
- pour les appareils qui sont réparés, les propriétaires sont préoccupés par les menaces sur leur vie privée, mais n'utilisent pas les contrôles appropriés pour protéger leurs données.
Jason Ceci, chercheur en sécurité et co-auteur de l'étude, a déclaré que les violations de la vie privée mentionnées dans l'article consistaient principalement à fouiller dans les photos des clients. « Certaines d'entre elles consistaient simplement à parcourir l'historique de navigation de quelqu'un. Et puis dans deux des cas, ils copiaient réellement les données de l'appareil. Dans l'un de ces deux cas, je crois, ils parcouraient des données financières », a déclaré Ceci. Il a ajouté que les ateliers de réparation évalués n'étaient pas identifiés dans l'étude et qu'ils n'étaient pas non plus informés des conclusions des chercheurs.
Les résultats confirment probablement ce que de nombreux utilisateurs d'ordinateurs plus expérimentés savent déjà : leurs données sont vulnérables à l'espionnage ou à la copie chaque fois qu'ils confient leur appareil à une personne non fiable ou inconnue, en particulier lorsque cette personne dispose de leur mot de passe de connexion. L'étude soutient qu'il est nécessaire d'évaluer les politiques et pratiques de protection de la vie privée dans le secteur de la réparation, qui génère 19 milliards de dollars par an. Les chercheurs citent des rapports sur des violations passées de la vie privée.
Selon certaines allégations, les techniciens du Geek Squad de Best Buy ont servi d'informateurs pour le FBI. L'étude mentionne également des rapports selon lesquels des techniciens d'Apple et du Geek Squad ont été accusés de voler des photos de nus trouvées sur des appareils apportés en réparation. Ceci a déclaré que les régulateurs devraient se pencher sur le secteur de la réparation et envisager de clarifier les règles de confidentialité pour la réparation des appareils.
« Notre enquête montre une absence de politiques et de contrôles pour protéger les données des clients dans tous les types de fournisseurs de services de réparation. Notre travail appelle à l'action les fabricants d'appareils, les développeurs de systèmes d'exploitation, les prestataires de services de réparation et les organismes de réglementation afin qu'ils prennent des mesures appropriées pour protéger la vie privée des clients dans le secteur de la réparation », ont conclu les chercheurs.
Source : Rapport de l'étude (PDF)
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous des atteintes à la vie privée révélées par l'étude ?
Selon vous, comment peut-on lutter contre ce type de violation de données ?
Selon vous, quelles sont les précautions à prendre avant d'envoyer un appareil chez un réparateur ?
Voir aussi
Voici la vraie raison pour laquelle les géants de la technologie détruisent des milliers de dispositifs de stockage de données : le risque élevé de fuite de données lié à leur nettoyage
Une femme sur dix dans la cybersécurité : un biais « incroyable », selon l'Anssi
73 % des décideurs informatiques admettent qu'ils pourraient faire davantage pour améliorer leurs pratiques DevSecOps, 71 % reconnaissant que la culture est le principal obstacle à leur progression
58 % des employés issus de la génération Z et 42 % des milléniaux affirment négliger la politique de sécurité mise en place par leur employeur, contre 31 % de la génération X et 15 % des baby-boomers