Rapport : 1 téléphone portable d'occasion sur 5 contient encore des données personnelles identifiables provenant de ses anciens propriétaires
Selon une nouvelle étude de l'Université du Hertfordshire commandée par Comparitech, 19 % des téléphones d'occasion vendus sur eBay contiennent encore des données sensibles qui pourraient être utilisées pour identifier l'ancien propriétaire.
Des chercheurs de l'Université du Hertfordshire ont acheté 100 téléphones d'occasion via Ebay pour savoir s'ils pouvaient extraire des données identifiables des propriétaires précédents. Les chercheurs ont effectué des analyses médico-légales sur une large gamme d’appareils, depuis les smartphones haut de gamme jusqu’aux téléphones mobiles conventionnels sans connexion Internet.
19 % des téléphones contenaient des données sur les propriétaires précédents, et 17 % contenaient des données pouvant être utilisées pour identifier ces anciens propriétaires, ainsi que d'autres données restantes potentiellement précieuses. Les informations comprenaient des milliers de courriels privés, de photos intimes, de listes de contacts, de messages texte, de documents fiscaux, de coordonnées bancaires, d'historiques de navigation sur le Web et de calendriers personnels.
Entre de mauvaises mains, les données personnelles trouvées sur ces appareils pourraient être utilisées pour toute une série de délits, notamment le vol d’identité, la fraude, l’extorsion et le phishing ciblé.
Les chercheurs ont effectué leur analyse médico-légale des téléphones d'occasion à l'aide d'outils accessibles au public et téléchargeables sur le Web.
52 % des téléphones ont été correctement effacés
Les téléphones analysés couvrent un large éventail d’âges et de systèmes d’exploitation, notamment Android, iOS, Blackberry, Windows et les téléphones « stupides » conventionnels. Le plus ancien était un Motorola datant de 1996. « L’objectif d’inclure une large gamme d’appareils était de comparer la quantité de données pouvant rester dans des appareils conventionnels par rapport à des appareils plus avancés technologiquement », expliquent les chercheurs.
Les chercheurs ont tenté de créer une « image », ou une copie exacte, de la mémoire de chaque téléphone à des fins d’analyse. Sur les 100 téléphones examinés, 28 n’ont pas pu être photographiés. Il s’agissait principalement d’appareils plus anciens, ce qui, selon les chercheurs, constitue un point faible de leur méthodologie. Dans les recherches futures, ils disent qu’ils se concentreront sur les appareils plus récents. Olga Angelopoulou, chercheuse à l'Université du Hertfordshire, explique :
« En réalité, certains appareils plus anciens/conventionnels n'ont pas pu être photographiés car ils étaient incompatibles avec les outils ou ne fonctionnaient pas. Ceux qui ont été imagés et analysés contenaient principalement des messages texte, des messages multimédia et des listes de contacts. D’un autre côté, les appareils les plus récents qui n’avaient pas été réinitialisés aux paramètres d’usine contenaient pour la plupart des informations personnelles d’anciens utilisateurs ou des informations personnelles d’anciens utilisateurs entièrement récupérables. En fait, dans ces occasions, nous avons réussi à récupérer complètement une identité à partir d’un smartphone.
52 pour cent de tous les appareils achetés (74 pour cent des appareils imagés avec succès) pour l'étude ont été réinitialisés aux paramètres d'usine, preuve d'une tentative de l'utilisateur d'effacer les données personnelles.
19 % des téléphones (26 % des appareils capturés avec succès) contenaient des données provenant de propriétaires précédents. Dans la plupart de ces cas (17 % de l’échantillon total), les informations personnelles identifiables étaient récupérables et pouvaient être utilisées pour identifier un ancien propriétaire du téléphone.
Quelles données contenaient les téléphones ?
Les chercheurs ont récupéré des informations personnelles identifiables sur 17 % des téléphones achetés pour l’étude. Voici quelques exemples de données sur ces téléphones :
- Un formulaire de dépenses et d'avantages P11D pour 2012-2013 contenant : le nom de l'employeur, la référence PAYE, le numéro de paie, le numéro d'assurance nationale et la date de naissance.
- Une liste de contacts avec 30 entrées, dont le numéro de l'ancien propriétaire, une liste d'appels récents et 114 messages texte dont des sextos et sept messages multimédia.
- Numéro de téléphone, adresse e-mail et coordonnées bancaires. 532 photos personnelles et 16 vidéos. Une liste des appels passés entre octobre 2015 et janvier 2016.
- Plusieurs comptes de réseaux sociaux toujours connectés, notamment Facebook, Instagram et Skype.
- Identifiant Apple et mot de passe, nom d'utilisateur et mot de passe eBay, 408 images et historique de navigation Web.
- Liste de contacts et appels récents, ainsi que quatre comptes de messagerie.
- Un compte de messagerie auquel vous êtes connecté et toujours actif.
- Preuve que le téléphone appartenait à un enfant de Ringwood, Hampshire, avec contacts et notes.
Tous les téléphones ont été achetés sur eBay entre janvier et juin 2018.
Pourquoi les gens laissent-ils des données sur leur téléphone ?
52 % des téléphones analysés ont été réinitialisés aux paramètres d'usine, ce qui montre que la majorité des utilisateurs ont pris des mesures pour protéger leurs informations personnelles.
'Les smartphones et tablettes modernes offrent plusieurs avantages liés à la communication et à l'accessibilité à leurs utilisateurs', expliquent les chercheurs. 'Le faible niveau d'effort nécessaire à un utilisateur non familiarisé avec la technologie ou l'informatique pour réinitialiser son appareil aux paramètres d'usine est révélateur des résultats de l'étude.'
17 % des téléphones contenaient des informations permettant d’identifier l’ancien propriétaire. Cela signifie que le vendeur n’a pas tenté d’effacer les données ou ne l’a pas fait de manière adéquate.
Comparitech s'est associé à l'Université du Hertfordshire pour mener des études similaires axées sur les dispositifs de mémoire d'occasion, notamment Clés USB et Cartes SD . Plus de la moitié de ces appareils contenaient encore des données restantes des propriétaires précédents, de sorte que les téléphones d'occasion étaient correctement effacés beaucoup plus souvent.
Les chercheurs suggèrent qu’il faut beaucoup moins d’efforts et de connaissances pour effacer correctement un téléphone que pour effacer des périphériques de mémoire.
Pourtant, un nombre important de personnes n’ont pas effacé les données personnelles de leur téléphone avant de le revendre. Cela pourrait être dû à un manque de compréhension de la manière de supprimer correctement les données, à un manque d’inquiétude à l’ère du partage de données et des médias sociaux, ou à une mauvaise compréhension des risques liés à l’exposition de données personnelles.