Si vous avez accumulé d'anciens ordinateurs, lecteurs flash, téléphones ou disques durs et que vous ne les utilisez pas, vous pouvez les apporter à une commission pour la vente, dans une
friperie , les vendre vous-même ou les envoyer au recyclage. Mais vous êtes-vous déjà demandé ce qui arrive à ces appareils et aux données qui y sont stockées? Vos données sont-elles détruites, ou ces choses sont-elles revendues, stockant tous vos souvenirs et données personnelles à la disposition du prochain propriétaire? Et si ces données sont disponibles, que se passera-t-il si quelqu'un comme moi commence à ratisser toutes les commissions et magasins de bienfaisance près de chez moi, seulement pour savoir combien de données personnelles il peut y trouver?
Pour savoir exactement combien, j'ai passé six mois à extraire toutes les données que je pouvais trouver dans les appareils vendus où ils vendent des ordinateurs remis à neuf ou acceptent les gadgets pour les revendre en cadeau. Vers la fin de l'expérience, des études ont montré que de nombreuses entreprises ne fournissent pas ce qu'elles garantissent et n'effacent pas les données des appareils que les gens leur proposent.
Voyons comment s'est déroulée mon expérience, quelles données j'ai réussi à extraire et les méthodes pour garantir la suppression des données de vos anciens appareils avant de les vendre.
Le processus
Ma première étape a été la partie la moins intéressante de l'expérience: j'ai étudié les entreprises qui vendent des ordinateurs remis à neuf, donnés ou utilisés près de ma maison du Wisconsin. J'ai visité 31 magasins et acheté tout ce que je pouvais pour 600 $. Voici ce que j'ai obtenu:
Ordinateurs de bureau et portables - 41
Supports amovibles (lecteurs flash, cartes mémoire) - 27
Disques durs - 11
Téléphones portables - 6
Lors de l'achat d'un appareil, je suis retourné au centre de contrôle (comme j'appelle mon sous-sol) et j'ai commencé le processus d'extraction des données. Apportant un ordinateur à la maison, j'ai essayé de le télécharger pour savoir s'il se chargeait et s'il fallait un mot de passe. J'ai écrit
un script PowerShell qui parcourt le disque et compile une liste de toutes les images, documents, e-mails enregistrés et l'historique de la correspondance dans les messageries instantanées. Ensuite, j'ai magnifiquement archivé et catalogué tout cela sur le bureau. Un seul ordinateur portable de Dell a été nettoyé comme il se doit.
La plupart des disques durs avaient une interface IDE, j'ai donc utilisé un périphérique externe pour connecter rapidement les disques durs (un
grille-pain IDE ) et
un script Python qui cataloguait toutes les données. J'ai trouvé que pas un seul disque dur n'était crypté, et tout fonctionnait bien (à l'exception de l'ancien Hitachi de 30 Go, qui a été effacé).
Les téléphones que j'ai achetés étaient très vieux et j'ai dû acheter trois frais de propriété différents sur eBay, ce qui a augmenté mes coûts à 650 $ (hors gaz et café). Les téléphones ne nécessitaient pas de code PIN et pour certains d'entre eux, je n'ai pas pu trouver de logiciel pour me connecter à un ordinateur.
Dans le cas des lecteurs flash et des cartes mémoire, je viens de les brancher, puis j'ai utilisé un script Python pour organiser les données.
En général, le résultat de mes recherches était choquant. Sur les 85 appareils achetés, seuls deux (un ordinateur portable Dell et un disque dur Hitachi) ont été soigneusement nettoyés. Et seuls trois appareils ont été cryptés.
Les données
Armé d'une montagne de données et d'un sous-sol encombré de fer plus ancien que moi, j'ai élaboré un plan pour trier toutes les données à la recherche d'informations personnelles. J'ai utilisé pyocr pour déterminer les numéros de sécurité sociale, les anniversaires, les numéros de carte de crédit et les numéros de téléphone dans des images ou des PDF. Ensuite, j'ai utilisé PowerShell pour parcourir tous les documents, e-mails et textes à la recherche des mêmes informations. J'ai
gardé tous les habitués du traitement des informations personnelles.
Malgré le fait que la reconnaissance optique des caractères ne fonctionne pas à 100% avec précision et qu'il pourrait y avoir des données sur les images ou dans le PDF que je n'ai pas pu extraire, je peux confirmer que les habitués utilisés pour extraire les numéros de sécurité sociale, les anniversaires, les numéros de carte de crédit Les numéros de téléphone et les numéros de permis de conduire étaient assez complets.
Vous trouverez ci-dessous le décompte final des données traitées (sans inclure plusieurs historiques de correspondance dans MSN / AIM) et les formats de fichiers. J'ai exclu certains formats (XML, HTML et CSS) pour faire court.
Images (JPEG, TIFF, GIF, BMP, PNG, BPG, SVG) - 211419
Documents (DOC, DOCX, PDF, CSV, TXT, RTF, ODT) - 3406
Emails (PST, MSG, DBX, EMLX) - 148 903
Comme vous pouvez le voir, beaucoup de choses ont été trouvées. Et le plus intéressant, c'est que j'ai réussi à extraire beaucoup d'informations personnelles. Voici la disposition des valeurs uniques pour chaque type d'information:
Adresses e-mail - 611
Date de naissance - 50
Numéro de sécurité sociale - 41
Numéro de carte bancaire - 19
Numéro de permis de conduire - 6
Numéro de passeport - 2
Il est surprenant que la plupart des numéros des cartes bancaires aient été obtenus à partir de photographies ou de numérisations de cartes, et que le recto et le verso de la carte aient été photographiés. Les numéros de passeport ont également été extraits des scans.
Coût
En poursuivant mes recherches, j'ai réalisé à quel point il est facile et bon marché d'acheter des informations auprès des gens de Darknet. Les numéros de sécurité sociale coûtent 1 $, les documents complets (dox) coûtent 3 $. Nous ne pouvons donc pas justifier l'investissement initial de 600 $.
Une conclusion intéressante en découle: les fuites de données sont si courantes qu'elles ont fait chuter le coût des données. J'ai vu plusieurs décharges dans Darknet avec des numéros de sécurité sociale qui coûtaient encore moins de 1 $ chacun.
Comment se débarrasser de vos gadgets en toute sécurité
Lorsque vous donnez un organisme de bienfaisance ou vendez un gadget, vous devez vous assurer que toutes les données qu'il contient sont supprimées et ne pas espérer que le vendeur le fera pour vous. Mais si vous souhaitez confier vos gadgets à des fins de recyclage, voici quelques moyens de vous assurer que vous ne pourrez pas en restaurer les données en détruisant définitivement l'appareil ou le support:
- Le marteau.
- Brûlure (prudence, produits toxiques de combustion).
- Broyage industriel.
- Percer
- Acide.
- Électrolyse.
- Micro-ondes.
- Soudage des termites.
Lorsque vous utilisez de telles méthodes, vous devrez sécuriser le lieu de travail et mettre une protection raisonnable (au moins des lunettes et des gants). Et en offrant une protection, avec la destruction de gadgets, vous pouvez vous amuser.
Voici, par exemple, comment le soudage à la thermite détruit un PC de bureau:
En principe, si vous n'avez pas détruit physiquement l'appareil, les spécialistes pourront en extraire des données. Si cela vous excite, il est préférable de jouer prudemment et de le détruire. Cependant, il suffit généralement de nettoyer votre appareil, c'est généralement très facile et simple [par exemple, pour les appareils Android, il suffit de crypter toutes les données, puis de rétablir les paramètres d'usine].
Si vous voulez nettoyer votre disque dur,
Boot And Nuke de Darik vous aidera. Cependant, cette méthode ne fonctionnera pas avec les disques SSD ou les disques RAID. Dans ce dernier cas,
PartedMagic fonctionne
bien .
Conclusion
Si vous craignez que vos données soient entre les mains des attaquants, détruisez-les. Si vous souhaitez faire don de l'appareil à de bonnes fins, assurez-vous qu'il est nettoyé. Même si vous recevez une assurance écrite de destruction des données, vous ne pourrez pas la vérifier, sauf pour l'effacer vous-même.