Les cartes SD, ces systèmes minuscules qui sont utilisés dans votre appareil photo ou votre tablette, sont effectivement petits, mais peuvent contenir beaucoup de données sensibles. Comme elles sont souvent utilisées pour stocker des photos, ces données peuvent de plus, être très visuelles. Une équipe de recherche de l’Université de Hertfordshire vient d’acheter 100 cartes SD d’occasion et a trouvé, sur les deux tiers d’entre elles, des fichiers compromettants.
L’équipe, mandatée par le site de conseil en équipement grand public Comparitech, a constaté que 65% des cartes SD contenaient encore des données sensibles allant de la pornographie à des photos personnelles intimes, en passant par des photos d’identité.
Les cartes SD utilisent une technologie différente des disques durs, mais elles ont des points communs. L’un d’entre eux est que la suppression d’un fichier ou même l’utilisation de l’option de formatage rapide standard de votre système d’exploitation n’efface pas vraiment les données. Cette opération marque seulement le fichier comme supprimé au niveau de l’index du lecteur, indiquant ainsi au système d’exploitation que l’espace occupé par ce fichier est maintenant disponible. Les données du fichier en question sont toujours présentes, et les utilisateurs curieux, ou les entreprises à la recherche de preuves, peuvent tenter de les récupérer avec des outils forensiques souvent disponibles gratuitement.
Le rapport des chercheurs sur ce projet explique que les cartes proviennent de diverses sources, comme des magasins de produits d’occasion, des ventes aux enchères, et de la plateforme eBay. Les experts ont acheté les cartes séparément, puis ont utilisé un outil gratuit d’analyse des données appelé FTK Imager pour créer une copie bit par bit de chaque carte. Cela leur a permis de travailler à partir d’une copie sans risquer d’endommager l’original. Ensuite, ils ont utilisé WinHex et OSForensics pour déterminer quelles données étaient sur le disque image.
Quatre cartes ne pouvaient pas être lues du tout, quatre autres ne contenaient aucune donnée, 25 avaient été correctement effacées avec un outil de suppression de données et 29 autres avaient été incorrectement formatées, permettant ainsi aux données d’être facilement récupérées. Sur deux des cartes, les fichiers avaient seulement été supprimés (encore une fois, laissant les fichiers potentiellement en danger). Fait alarmant, 36 anciens propriétaires de ces cartes n’avaient pris aucune mesure pour supprimer leurs données. De telles négligence a permis aux chercheurs de récupérer des données sur 65% des cartes.
Quel était le contenu de ces cartes ?
Le contenu le plus courant (environ 37%) était photographique, suivi du multimédia. Le “contenu sexualisé” arrive en troisième position, avec un peu plus de 5%. La documentation professionnelle et les CV arrivent en dernier.
Selon le rapport, une carte contenait une grande quantité de photos, parfois intimes, d’une étudiante d’une université britannique. Une photo de son passeport était sur la même carte. Sur d’autres, les chercheurs ont trouvé des photographies d’une femme avec son adresse email et son numéro de téléphone, ainsi que les noms et numéros de téléphone d’amis. Sur un autre encore se trouvaient des détails personnels, y compris les numéros d’immatriculation de véhicules, les codes PIN de cartes de crédit, les adresses de domicile et les numéros de téléphone d’un autre étudiant britannique.
Pourquoi les gens laissent-ils des données sensibles sur des cartes SD pour que d’autres les trouvent ? Fait alarmant, certains d’entre eux semblent penser que ce n’est pas à eux de les effacer, le rapport a alors souligné le point suivant :
Alors que les vendeurs avaient, dans certains cas, affirmé avant la vente que les supports avaient été formatés ou effacés, dans d’autres cas, ils avaient mis en garde sur le fait que des données pouvaient y être présentes et que l’acheteur devait les supprimer lui-même.
Ces cartes venaient de smartphones et de tablettes, mais aussi de systèmes de navigation par satellite, de drones et des caméras de bord. Les experts ont mis en garde contre l’augmentation du périmètre de ces attaques, dans la mesure où le nombre d’appareils contenant ce type de carte augmente.
Par exemple, les données des systèmes de navigation par satellite (SatNav) peuvent être utilisées pour déterminer le lieu de résidence de l’utilisateur, ainsi que les itinéraires qu’il utilise régulièrement et les endroits qu’il a identifiés comme intéressants, notamment son lieu de travail et les domiciles de sa famille et de ses amis.
Sécuriser vos cartes SD
Ainsi, comment pouvez-vous éviter d’alimenter ce genre de rapport en effaçant les données sensibles de vos cartes SD avec vos propres systèmes, et ce en toute sécurité ? Alors que le National Cyber Security Center du Royaume-Uni propose quelques bons conseils pour effacer d’autres supports électroniques, quand il s’agit de supports flash bon marché et amovibles de ce genre, il vous dit essentiellement de ne pas trop vous en préoccuper.
Ceux-ci sont généralement peu coûteux et peuvent être détruits sur place en utilisant un destructeur de documents ou un broyeur abordable conçu pour produire des particules ne dépassant pas 6 mm. Comme avec le SSD, il est presque impossible de supprimer toutes les données utilisateur de ces appareils, de sorte qu’une destruction complète doit avoir lieu en fin de vie pour éviter que les données résiduelles ne représentent un risque pour votre entreprise.
C’est très bien, mais certaines personnes voudront peut-être gagner un peu d’argent en les vendant, surtout si la capacité et les coûts augmentent. La taille de la carte la plus populaire dans l’étude Comparitech/Université d’Hertfordshire était de seulement 2 Go, mais il y avait quelques monstres de 128 Go. Il existe même des cartes SD de 400 Go disponibles, ce qui vous coûtera 200£ (à peu près 226€) ou plus si vous les achetez neuves. C’est une bien belle somme d’argent à envoyer dans une déchiqueteuse !
Heureusement, il existe d’autres options. Comparitech suggère un formatage complet, qui inscrit des valeurs nulles sur l’ensemble du lecteur, par opposition à un formatage rapide, qui marque simplement l’ensemble du disque comme disponible. Cependant, il avertit que certains outils forensiques peuvent être capables de détecter des données même après avoir mis les valeurs à zéro.
Pour les vrais paranoïaques, il existe des outils dédiés pour effacer les supports amovibles. Comparitech en énumère quelques-uns sur sa page d’aide à la suppression sécurisée. L’association SD offre également un formateur de carte SD qui, selon elle, fera le travail.
Trouver des données sensibles sur d’anciens appareils est devenu un sport dans le secteur du marketing de la cybersécurité. La National Association for Information Destruction s’est lancée dans ce type de projet l’année dernière, tout comme Kroll Ontrack. En voici un autre datant de 2009. En 2006, un projet de recherche avait trouvé des images d’enfants maltraités, amenant les universitaires impliqués à faire appel à la police.
Ces exemples sont un excellent matériau pour les entreprises qui ont besoin d’une opération de communication facile et rapide, car trouver des consommateurs ayant une mauvaise sécurité opérationnelle, revient à pêcher un poisson dans un tonneau. Comme le dit ce dernier rapport :
Malgré les conseils de divers gouvernements et organisations de presse et la couverture médiatique de ce genre de problème, le message sur les risques de sécurité des données résiduelles est ignoré. Les vendeurs/fournisseurs ne répondent pas aux avertissements ou ne les respectent pas.
Les gens continueront à laisser des fichiers personnels sur un stockage amovible, car pour de nombreux utilisateurs non avertis en matière de sécurité, les mesures à prendre seront trop fastidieuses, et la compréhension des conséquences potentielles très faible.
Étant donné que les utilisateurs ne mettront pas en place, de leur propre initiative, une meilleure sécurité, le rapport a conclu en demandant aux fournisseurs de combler ce vide.
Étant donné le court cycle de vie des appareils numériques actuels, avec des utilisateurs remplaçant et améliorant régulièrement leurs équipements mobiles, le manque de conseils éclairés sur des outils de suppression de données (options de réinitialisation usine ou chiffrement) constitue certainement un oubli, quel les vendeurs/fournisseurs devront intégrer en amont.
À moins que quelqu’un ne trouve un meilleur moyen pour effacer ces données, nous allons voir de plus en plus d’enquêtes de ce type dans les années à venir !
Billet inspiré de What sensitive data is lurking on your old SD card?, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.