En 2012, Sophos avait fait l’acquisition d’un stock de clés USB lors d’une vente aux enchères d’objets perdus. La découverte qui a été faite alors s’est avérée plutôt effrayante : 66% d’entre elles contenaient des malwares, et aucune n’était chiffrée.
Malheureusement, plus le monde change, plus les clés USB continuent de nous déconcerter…
Une nouvelle étude a révélé que vous ne courriez pas seulement le risque de récupérer un malware sur ces disques d’occasion, mais vous courriez également le risque de mettre la main sur une multitude de données sensibles que le propriétaire précédent a peut-être pris, ou non, la peine de déplacer dans la corbeille : non pas que cela efface véritablement les données, mais au moins l’intention de départ était bonne.
L’étude, réalisée par l’Université de Hertfordshire et commandée par un site web de comparaison de biens de consommation appelé Comparitech, a examiné ce que l’on pouvait trouver sur des lecteurs d’occasion récupérés sur eBay, dans des magasins d’occasion et via des ventes aux enchères traditionnelles.
Les chercheurs ont découvert qu’environ les deux tiers des clés USB achetées aux États-Unis et au Royaume-Uni contenaient des données récupérables et parfois sensibles. Dans un cinquième des appareils étudiés, l’ancien propriétaire pouvait être identifié.
Ils ont acheté 200 clés USB, 100 aux États-Unis et 100 au Royaume-Uni, entre janvier et mai 2018.
Les Américains, qui se sont débarrassés de leurs clés USB, ont au moins pris conscience de la nécessité d’effacer les données qui s’y trouvaient, un seul de ces disques ne montrait aucun signe d’une tentative d’effacement. Par contre, au Royaume-Uni, 19 de ces appareils ne montraient aucun signe d’une tentative de nettoyage.
Cela dit, les chercheurs n’ont pas pu récupérer les données au niveau de 16 appareils au Royaume-Uni et de 18 aux Etats-Unis, car ils avaient été correctement effacés.
Quarante-sept des propriétaires de clés USB britanniques et 64 des propriétaires américains ont tenté de supprimer leurs données, mais n’ont pas réussi et les chercheurs ont pu récupérer facilement ces dernières.
Vous devez verrouiller vos clés USB non effacées
Les données récupérées comprenaient du matériel assez sensible. Les chercheurs ont trouvé des images d’un homme nu d’âge moyen, entre autres choses.
Quelques autres découvertes notables sur ces lecteurs :
- Des photos de liasses d’argent et de fusils de chasse, ainsi qu’un mandat de perquisition indiquant le nom de la personne à perquisitionner, une demande de confiscation dans le cadre d’une saisie de stupéfiants indiquant le nom de la personne dont les biens ont été saisis.
- Des documents relatifs à la sécurité chimique, incendie et électrique pour un projet à Cardiff, au Pays de Galles, ainsi que des documents d’évaluation des risques et le nom du propriétaire du lecteur.
- Des rapports de laboratoire concernant une société pétrochimique, avec le nom et le numéro de sécurité sociale du propriétaire de la clé USB.
- Des documents contenant les transactions boursières d’un trader, ainsi que son passeport et ses adresses en France et au Royaume-Uni, au cours des six dernières années.
- Les bulletins de salaire et les déclarations d’impôts avec le nom, l’adresse et les coordonnées de l’intéressé.
- Des photos d’un soldat, incluant une fiche de sélection de déploiement indiquant ses différentes adresses.
- Un CV et un formulaire d’imposition W-4 rempli avec le nom complet et l’adresse.
Avec les coordonnées retrouvées, les chercheurs ont pu identifier et auraient pu contacter les anciens propriétaires de ces 20 clés USB américaines et de ces 22 autres clés USB britanniques.
Cependant, ils ne l’ont pas fait, laissant ainsi les personnes, ayant divulgué leurs données sensibles sur ces lecteurs, dans une certaine ignorance au sujet de leurs données personnelles voyageant en toute liberté dans la nature, et de leur très mauvaise pratique en matière de sécurité.
Les poubelles : plus des étagères que des destructeurs de documents
La recherche pense que beaucoup de gens ne comprennent pas les risques de laisser des données sur des clés USB avant de les vendre, et que ceux qui les comprennent ne savent pas comment effacer ces données afin qu’elles ne puissent pas être récupérées.
Nous avons tous fait le geste de glisser des fichiers dans la corbeille, ou de les mettre en surbrillance et d’appuyer sur la touche “Suppr”, puis de sélectionner “Vider la corbeille”. Cependant, ces étapes n’effacent pas définitivement les données d’une clé USB. Le reformatage de ces supports de stockage, via une passe unique, n’est pas plus efficace. L’étude a révélé que …
Huit clés USB aux États-Unis et 16 au Royaume-Uni avaient été reformatées, mais les données pouvaient encore être récupérées “avec un effort minimal”.
Pour effacer complètement les données, vous devez écrire de nouveau sur la zone de stockage où elles se trouvent. Comparitech propose ce guide pour en savoir plus sur la procédure à suivre.
Billet inspiré de You left WHAT on that USB drive?!, sur Sophos nakedsecurity.