Selon une enquête menée par le site PrivacyEnd, plus de la moitié des utilisateurs de technologies portables (wearables) ne savent pas comment protéger leurs données personnelles lorsqu’ils font réparer leurs appareils. Or, ces données peuvent être facilement accessibles par le réparateur, qui peut les copier, les modifier, les supprimer ou les divulguer à des tiers sans votre consentement. Cela peut avoir des conséquences graves sur votre vie privée, votre sécurité et votre réputation.
Par exemple, le réparateur peut accéder à vos photos intimes et les utiliser pour vous faire chanter, les publier sur internet ou les vendre à des sites pornographiques. Il peut aussi accéder à votre historique de navigation et découvrir vos centres d’intérêt, vos opinions politiques, vos habitudes de consommation, etc. Il peut ensuite utiliser ces informations pour vous cibler avec des publicités personnalisées, vous envoyer des spams ou des virus, ou encore les revendre à des entreprises ou des gouvernements. Il peut également accéder à vos comptes de réseaux sociaux et usurper votre identité, publier des messages compromettants, contacter vos amis ou vos contacts professionnels, etc.
Plus de la moitié des techniciens qui devaient réparer un terminal en ont profité pour fouiller dedans
Une autre enquête, cette fois-ci émanant de journalistes de CBC News, est parvenue à ces conclusions :
L'émission Marketplace de CBC a amené des smartphones et des ordinateurs portables dans des magasins de réparation partout en Ontario, notamment dans les grandes chaînes Best Buy et Mobile Klinik, et a constaté que dans plus de la moitié des cas documentés, les techniciens avaient accédé à des photos intimes et à des informations privées sans rapport avec la réparation.
Marketplace a déposé les appareils dans 20 magasins, allant des petits magasins indépendants aux chaînes de taille moyenne en passant par les grandes chaînes nationales, après avoir installé un logiciel de surveillance sur les appareils. Au total, 16 magasins ont été recensés. (Dans quatre magasins, le logiciel de suivi n’a rien enregistré, ou les magasins ne semblaient pas allumer les appareils.)
Les techniciens de neuf magasins ont accédé à des données privées, dont un technicien qui a non seulement visionné des photos, mais les a également copiées sur une clé USB.
Marketplace a déposé les appareils dans 20 magasins, allant des petits magasins indépendants aux chaînes de taille moyenne en passant par les grandes chaînes nationales, après avoir installé un logiciel de surveillance sur les appareils. Au total, 16 magasins ont été recensés. (Dans quatre magasins, le logiciel de suivi n’a rien enregistré, ou les magasins ne semblaient pas allumer les appareils.)
Les techniciens de neuf magasins ont accédé à des données privées, dont un technicien qui a non seulement visionné des photos, mais les a également copiées sur une clé USB.
Marketplace a également pris des photos intimes de style selfie de deux modèles dont les visages étaient rognés, et ces photos, ainsi que d'autres photos génériques, ont été enregistrées sur les appareils.
Exemples de quelques photos de selfie de modèles mystères chargées sur les appareils par Marketplace
Pour les ordinateurs portables, Khan et son équipe ont initialement créé un problème de réparation en désactivant le WiFi. Les techniciens des premiers magasins n'avaient pas besoin de conserver l'appareil pour le réparer. L'équipe de Khan a donc créé un nouveau problème logiciel qui obligerait les magasins à conserver l'appareil pour le réparer, en désactivant le port USB.
Khan et ses étudiants ont installé un logiciel de journalisation secret qui capturerait et enregistrerait les accès des techniciens lors de chaque réparation.
Pour le test du smartphone, le professeur Mohammad Mannan de l'Université Concordia et son doctorant, Sajjad Pourali, ont créé un problème de réparation (un écran scintillant) et installé un logiciel de journalisation qui enregistrait les actions des techniciens.
Khan et d'autres experts en informatique avec lesquels Marketplace s'est entretenu ont déclaré que la consultation de photos ou de fichiers ne serait pas nécessaire pour ce type de réparations.
« Parcourir ces fichiers pour rechercher une solution n'a aucun sens », a déclaré Khan.
Les résultats de la recherche
Des réparateurs ont accédé aux photos intimes, fouillé des profils Facebook
Marketplace a visité deux sites de la chaîne de réparation de smartphones Mobile Klinik, qui compte plus de 150 magasins à travers le Canada.
Au centre commercial Square One de Mississauga, l'équipe de Khan n'a détecté aucune surveillance sur le smartphone amené pour réparation. Cependant, à Woodbridge, l'équipe a documenté qu'un technicien de Mobile Klinik faisait défiler le compte Facebook sur l'appareil et regardait les photos stockées sur le téléphone, y compris les selfies intimes.
Dans une déclaration à Marketplace, un porte-parole de Mobile Klinik a déclaré que « ce qui s'est passé dans ce cas est inacceptable » et que « la protection de la vie privée de nos clients est notre première priorité ».
La société a indiqué qu'elle avait mis en place des «*politiques robustes*» pour protéger les données des clients. « À la suite de notre propre enquête et des informations fournies par CBC Marketplace, il est clair que le technicien qui a réparé cet appareil n'a pas suivi la procédure appropriée. En conséquence, le technicien a été licencié ».
Après que Marketplace ait déposé un ordinateur portable dans un magasin de Markham de la chaîne de réparation d'appareils électroniques et techniques Best Buy, qui compte 164 magasins à travers le Canada, l'équipe de Khan a découvert qu'un technicien avait parcouru plusieurs dossiers de photos, y compris ceux portant des noms comme « Bikinis », ou « lingeries de nuit ». Le technicien a également supprimé une photo intime qu'il avait ouverte des fichiers récemment consultés, effaçant ainsi toute indication de son ouverture.
« Il efface ses traces », a déclaré Khan. Sans ce type de logiciel d’enregistrement, le consommateur moyen n’aurait aucune idée que le technicien a consulté ces photos.
Cavoukian a déclaré que le technicien n'avait « absolument aucun droit à cette information ». « Je pense juste que c'est épouvantable », a-t-elle déclaré.
Photos copiées sur clé USB
Marketplace a laissé des ordinateurs portables dans les sites d'Oakville et de Markham de la chaîne de réparation électronique et technologique Canada Computers & Electronics, une entreprise comptant 42 sites à travers le Canada. Dans les deux magasins, les techniciens ont visionné des photos intimes.
Sur le site de Markham, un technicien a visualisé les photos intimes sous forme d'icônes très grandes, ce qui les rend plus faciles à voir sans les ouvrir, ce qui signifie qu'elles n'apparaîtront pas comme des fichiers récemment consultés. La personne a également consulté l'historique du navigateur de l'ordinateur portable avant de réparer la clé USB, puis de copier toutes les photos de l'ordinateur portable sur sa propre clé USB.
Une capture d’écran montre le dossier d’images de l’ordinateur portable copié sur la clé USB d’un technicien de Canada Computers après avoir réparé le port USB.
Dans une déclaration envoyée par courrier électronique, Canada Computers a déclaré qu'elle prenait « très au sérieux son obligation de respecter les informations personnelles de ses clients » et que sa propre enquête sur l'incident avait indiqué qu'il s'agissait d'un événement isolé au cours duquel un technicien d'un site a violé sa politique de confidentialité. Il disait également : « Cet employé a fait l'objet de mesures disciplinaires. » La chaîne a expliqué que l'autre technicien tentait de « diagnostiquer le problème » et que cela « n'impliquait pas de tentatives inappropriées d'accès aux données personnelles ».
Comment éviter ces risques?
Pour éviter que vos données personnelles ne tombent entre de mauvaises mains lorsque vous faites réparer vos appareils technologiques, il existe quelques précautions à prendre:
- Faites une sauvegarde de vos données puis effectuer une « restauration d'usine » avant de confier votre appareil à un réparateur. Vous pourrez ainsi les restaurer en cas de perte ou de modification.
- Effacez ou chiffrer vos données sensibles avant de confier votre appareil à un réparateur. Vous pouvez utiliser des applications dédiées pour cela, comme Secure Eraser ou Cryptomator.
- Choisissez un réparateur de confiance et vérifiez sa réputation. Vous pouvez consulter les avis des clients sur internet ou demander des recommandations à vos proches.
- Demandez au réparateur quelles sont ses pratiques en matière de protection des données. Vous pouvez lui demander s’il utilise des outils sécurisés, s’il respecte la confidentialité de vos données, s’il les efface après la réparation, etc.
- Récupérez votre appareil dès que possible après la réparation. Ne le laissez pas traîner chez le réparateur plus longtemps que nécessaire.
Sources : enquête CBC, Privacy End
Et vous ?
Êtes-vous surpris par les chiffres avancés ?
Avez-vous déjà fait réparer vos appareils technologiques? Si oui, avez-vous pris des mesures pour protéger vos données personnelles? Lesquelles?
Quels sont les risques que vous craignez le plus si vos données personnelles sont exposées à un réparateur malveillant? Comment y faire face?
Faites-vous confiance aux réparateurs que vous choisissez? Sur quels critères vous basez-vous pour les sélectionner?
Que pensez-vous des applications qui permettent d’effacer ou de chiffrer vos données sensibles avant de confier votre appareil à un réparateur? Les utilisez-vous? Pourquoi ou pourquoi pas?
Que pensez-vous de la législation en vigueur sur la protection des données personnelles? Est-elle suffisante? Quelles améliorations proposez-vous?