Ta photocopieuse conserve (et balancera) ce que tu as fait!!!

https://wiki.epfl.ch/pierre-etienne/computing/security/photocopieuse-hard-disk  (http://blogs.epfl.ch/article/29247)

Ta photocopieuse conserve (et balancera) ce que tu as fait!!!

Bonjour,

Un sujet qui n'est (pour moi), pas un "scoop", mais qui mérite d'être rappelé, car vraiment mal connu du public, et des professionnels de la branche (?):

Les photocopieuses (et imprimantes à un certain niveau), contiennent un disque dur, qui stockent les données liées aux copies, impressions, digitalisations (scan) et FAX que vous avez faits. Si le service, qui est en charge du leasing, ne prend pas les mesures nécessaires, c'est-à-dire effacer de manière sécurisée les données, un autre bénéficiaire pourra (tenter de) les exploiter!

 

* Un résumé français de la TSR

 

*Voici un reportage, tiré de CBS: Copy machines, a security risk


Le reportage surprend, car aux USA, pays de l'informatique (pas toujours maîtrisée), on a voté des lois concernant la "Sanitization" des disques durs (c'est-à-dire l'effacement sécurisé des données) :"Data Sanitization Tutorial", page 5.

On est surpris de voir dans le documentaire, que ce sont des services de polices, assurances, … qui sont concernés par ce problème.

Qui est le responsable? Bonne question! Le cas s'est produit aux USA, mais des problèmes identiques (à plus large niveau), sont signalés dans la presse.

 

Si je passe un contrat de leasing (location), de la photocopieuse, elle ne m'appartient pas; j'ai le droit d'exiger qu'elle fonctionne correctement. Admettons que la machine ait un problème grave et que les techniciens ne peuvent rien faire, et me la change par un modèle équivalent. Pour vous, cela sera normal comme service client "onsite", mais que deviennent les données du disque dur?

 

Les services qui louent, revendent les photocopieuses, DOIVENT SE CHARGER de faire le nécessaire pour que les données de l'ancien propriétaire soient effacées (en théorie).

 

Il est vrai que quand vous allez chez un professionnel du corps médical (médecin, dentiste, …), est-ce que vous lui demandez à chaque fois si il a stérilisé les outils qu'il va utiliser? Cela va de soi (dans nos latitudes en tout cas… pour le moment).

Et pour le monde des données informatiques, dans un sens large du terme? Cela va-t-il de soit? Là, c'est moins sûr, et les exemples ne manquent pas.

 

Est-ce un problème pour vous? Peut-être pas, parce que les données administratives que vous copiez, manipulez et transmettez, ne vous concerneront sûrement pas! Mais la personne qui a son nom dessus, il y a de fortes chances qu'elle soit intéressée!

 

Maintenant, d'une manière générale, le problème est plus global: vous pouvez laisser votre "molosse" attaché à votre photocopieuse de l'entreprise, pour en garder le contrôle absolu, des données vous concernant circuleront … ailleurs!

 

Des photocopieuses, il y en a dans tous services administratifs: services des impôts, banques, assurances, cabinets médicaux, d'avocats, services commerciaux, services de détectives, … et la liste est très très longue.

 

Des dossiers vous concernant (que vous en ayez connaissance ou pas) sont copiés, digitalisés, faxés, imprimés, …

 

Vous imaginez que si des gens mal intentionnés, comme il en existe sur Internet, mettent la main sur ce genre d'information, que cela est toujours utile… Et ce n'est pas que d'être paranoïa que de voir le problème sous cet angle. C'est sûr que si on récupère les menus de la cafet de l'entreprise ou les annonces de séminaires qui sont affichées dans le hall, cela n'est pas trop grave me direz-vous.

 

Par contre ,quand on sait que le projet "Echelon" (qui surveille "toutes" les transmissions sur Internet) sert aussi à favoriser leurs entreprises (appels d'offres de pays concurrents interceptées par exemple), le fait d'avoir accès à la photocopieuse de "l'entreprise cible" et particulièrement son disque dur, peut s'avérer très utile!

 

J'en profite aussi pour rappeler deux choses: le "fruit" de la photocopieuse est le papier, et il arrive que la copie est ratée… Que devient-elle? Dans le bac à papier, situé en général à coté de cette dernière. C'est bien, c'est "écolo", mais si c'est la fiche de paie du Directeur (ou de "simples" employés aussi), cela est mieux de la passer dans une autre machine, celle qui détruit le papier. C'est pas sorcier … et pourtant! On est toujours surpris de voir ce qui traîne le long des photocopieuses ou des dispositifs d'impression nommés "imprimantes".

En mai 2008, le tribunal des mineurs (référence presse), avait tout simplement "balancé" des documents concernant des personnes, à la poubelle, et accessibles à n'importe qui. Il semblerait que l'acquisition d'un tel appareil est hors de prix…( :-P ) Pas de sanction pour les fautifs! Par contre, si vous allez "hacker" un serveur, pour y récolter des données, c'est un délit qui peut vous coûter cher! Cherchez l'erreur…

 

Le deuxième point est la fonction de digitalisation (scanner), que l'on trouve sur les photocopieuses d'entreprise. Prenez l'habitude de faire un "CANCEL" (touche située en général à droite), AVANT de l'utiliser ET APRES !!! On m'a déjà reporté que des documents administratifs personnels, ont été attachés avec un document de travail et emailé à plusieurs personnes… Il ne s'agit pas d'un bug de la machine, car elle conserve le travail commencé, mais d'un malheureux concours de circonstances… Un scanner "personnel", pour digitaliser des documents "sensibles classifiés" restera toujours d'actualité!

 

Je vous rappelle aussi, que des imprimantes, niveau professionnel, PEUVENT aussi être équipées d'un disque dur. Le problème est exactement le même que pour les photocopieuses! Et la remarque sur les impressions ratées s'applique aussi!!!

 

On n'oubliera pas le matériel informatique: dans les ordinateurs et les laptops, le(s) disque(s) dur(s) doit(vent) être aussi "sanitizé(s)" lors d'un changement de personne, revente ou destruction. Des enquêtes similaires que le reportage cité, ont montrés que des disques durs, vendus d'occasion, contenaient des données confidentiels de services officiels, assurances, …!

 

Il s'agit et s'agira toujours d'un problème récurent.

 

Pour revenir à la question de fond, le problème n'est pas si compliqué: il suffit … d'effacer le disque dur. Et cette procédure existe dans les photocopieuses (et imprimantes concernées), il suffit de le faire. Si vous êtes concerné par un coté critique des données de votre département, il sera toujours possible d'effacer les disques durs, avec des logiciels courants dans le monde informatique. Voici un article qui traite des procédures: "Effacement sécurisé des médias"

 

 

Maintenant, d'une manière générale, posez-vous la question (dans les grandes lignes), comment fonctionne votre appareil technologique, et comment stocke-t-il les données, une fois que l'on ait retiré l'énergie électrique (alimentation secteur, accus, piles, …) ???

 

Prenons un appareil photo, et sa carte mémoire; on "mitraille", on efface, on réécrit, … Tant que les supports de données restent en votre possession, tout "est sous contrôle". Par contre, si vous utilisez l'appareil de photo commun du laboratoire, sachez qu'il sera possible de voir les photos effacées, si vous n'avez pas fait le ménage avant … et cela plusieurs mois après! On a fait l'essai avec le petit soft de recovery, livré par un fabriquant de carte mémoire… C'est tellement simple et facile! On a retrouvé des photos (je vous rassure, sans aspect douteux), effectuées plusieurs mois auparavant. Le même petit soft a aussi une option "d'effacement sécurisé" de la carte mémoire: on écrit simplement des "0", du début à la fin de l'adressage…

 

Et que penser des "organiser's" (BlackBerry, "i"machin, téléphones mobiles), qui font tout (sauf le café :-P ), et qui stockent aussi bien vos MP3, vos rendez-vous, ou les photos indiscrètes lors de soirées bien arrosées? (pour ce dernier cas, il suffira d'aller sur FaceBook me direz-vous, et ce n'est pas forcément faux!)

Bien qu'il soit possible d'ajouter des mémoires FLASH additionnelles, beaucoup de ces appareils ont une unité de stockage suffisante pour garder pas mal d'informations sur l'utilisateur. A vous de vous renseigner COMMENT COMPLETEMENT LES EFFACER AVANT de rendre, céder, ou revendre votre appareil…

 

On n'oubliera pas non plus les lecteurs multimédia équipés de disques durs ou autre périphérique de "stockage de masse", … Si jamais vous aviez mis vos propres productions cinématographiques de "chambre à coucher"… Oui, les "sex-tapes", comme on les appellent, sont faites par les intéressés eux-mêmes et pas "à l'insu de leur plein gré", et finissent parfois sur Internet.

 

 

Mais les syndromes classiques de "gestion bordéliques" des données restent d'actualité: pas forcément besoin d'un "hacker de génie" pour casser les protections informatiques, ou le spécialiste du chalumeau pour faire sauter le coffre: certains services administratifs laissent traîner des dossiers (qui peuvent être sensibles) sur les bureaux, d'une manière négligée… ou dans la poubelle. Certaines organisations (détectives ou société du "renseignement" comme on les décrit pudiquement), vont simplement fouiller dans les poubelles… Et des entreprises s'occupant de marchés hi-tech, sensibles, ou fortement concurrentiels, l'ont appris à leur dépends.

 

Si vous avez un peu de conscience professionnelle, posez-vous la question de savoir si les documents administratifs (matériels ou virtuels) que traitez, contenaient vos données personnelles sensibles, seraient manipulés comme vous le faites actuellement ?!

 

Vous voilà averti!

 

Bonne journée!

 

Pierre ETIENNE

 

 

Lien: - Copy machines, a security risk   http://www.youtube.com/watch?v=XZJHjB5ybig

        - Effacement sécurisé des médias   https://wiki.epfl.ch/pierre-etienne/computing/guides/effacement-securise-des-medias

        - CopierSecurity   http://www.copiersecurity.com/