Le billet précédent se terminait ainsi :
Je contacte le vendeur, le SAV Backmarket, l’ANSSI, et la CNIL. La suite va vous étonner (billets à suivre). Ce cliffhanger de malade (explication en fin de billet 😉 )
Commençons par la CNIL.
Je contacte un agent de la Commission nationale de l’informatique et des libertés, « habilité, à raison de sa fonction, à effectuer les visites et vérifications mentionnées à l’article 19 de la loi du 6 janvier 1978 modifiée et à l’article L. 253-3 du code de la sécurité intérieure. » Ce sont des personnes motivées, impliquées dans leur mission de service public : la preuve, je la contacte et elle me répond presqu’immédiatement alors qu’elle est en vacances ! (oui, ces personnes existent, et plus souvent qu’on ne le pense 🙂
Zythom : Bonjour, je viens d'acheter un PC d'occasion reconditionné et j'ai analysé le contenu effacé du disque dur (avec dd + photorec) : il s'agit d'un ordinateur d'une mairie connue de la région parisienne. Qui dois-je prévenir ?
Voici la réponse du super agent CNIL :
Super agent CNIL : Bonjour et merci du signalement. Je suppose que ce disque dur mal effacé contient des données à caractère personnel, pouvez-vous me dire de quel genre de données il s'agit ainsi qu'une estimation du volume svp ? En fonction de la sensibilité et du nombre de données nous pouvons agir différemment.
Alors, je suis un peu ennuyé car je viens à peine de commencer l’analyse, et a priori, je n’avais pas prévu de mener une enquête de plusieurs jours… Donc, je réponds avec ce que j’ai :
Zythom : C'est difficile à dire, car d'expérience, les logiciels de récupération retrouvent beaucoup de fichiers. Tous ne sont pas exploitables, et ici tous ne contiennent pas de données personnelles. A ce stade de mon analyse inforensique : 517 fichiers *.doc 1238 fichiers *.pdf 225 fichiers *.xls 5084 fichiers *.jpg Dans les fichiers pdf, il y a de tout : extrait de comptes publics, factures, etc.
Ce à quoi il m’a répondu :
Super agent CNIL : Pour que la CNIL soit compétente sur le sujet, il faut que des DCP aient fuitées. D'où mon intérêt d'avoir une idée un peu plus précise de ce que l'on peut trouver dans ces fichier : si vous me dites que c'était le HDD du pôle RH avec plein d'informations privées sur les employés de la mairie, ce n'est pas la même chose que s'il s'agit du HDD d'un PC dédié à la gestion des espaces verts. Si vous trouvez des fichiers contenant des données à caractère personnel, est que vous m'envoyez un email à [email protected] en indiquant : - un court résumé de la manière dont vous avez acquis la machine (directement auprès de la mairie, revendeur spécialisé, internet, etc) - le type de DCP que vous avez trouvé (nom, adresse, numéro de sécurité social, mot de passe haché/en clair, etc) - le nom de la mairie concernée Dans tous les cas, ne joignez pas les fichiers contenant les données mais conservez-les dans le cas où nous ayons besoin de faire des constatations. Si nous devions avoir besoin des fichiers, nous vous demanderons de nous les transférer via notre plateforme sécurisée d'échange de fichier. Merci de votre signalement.
J’ai donc poursuivi mes analyses, en ouvrant CHAQUE fichier pour voir s’il contenait des données à caractère personnel. A ma grande surprise, j’en ai trouvé très peu (mais j’ai le détail de tous les remboursements de frais de bouche du maire 😉 ) Donc, fidèle à mon principe « je ne vais pas emm… un organisme public déjà surchargé de dossiers beaucoup plus importants« , je n’ai pas donné suite à ce signalement, pour l’instant.
Par contre, je trouve scandaleux que le matériel informatique d’une mairie puisse se retrouver dans la nature sans avoir fait l’objet d’un effacement consciencieux des données qu’il contient. Quelqu’un a commis une erreur, soit par incompétence, soit du fait de sa condition humaine, soit parce que l’ordinateur a été volé… Tout est possible.
Je décide donc de contacter l’ANSSI.
————————————————————————————————–
Il vous reste 90% de l’article à lire
La suite est réservée aux abonnés.
————————————————————————————————–
Aha, en vrai, la suite dans le prochain billet. Le temps ici est celui des échanges épistolaires d’antan 😉
Tu me rappelles une anecdote de mon passage pro dans le monde de l’IT (c’était y’a longtemps). On devait déployer des nouveaux ordis dans un bâtiment assez sensible. Les anciens ordis étaient nettoyés avant la revente, avec une disquette de boot qui faisait SEPT passages sur le disque en écrivant /dev/urandom dessus.
J’ai fini par me retrouver dans une salle surchauffée, entouré de rallonges et de fils, avec des UC branchées partout. Heureusement qu’une fois le « système d’écrasement » lancé, on pouvait sortir la disquette, débrancher le clavier et l’écran, et lancer une autre machine, sinon j’y serais encore.
Je ne comprends pas pourquoi sur des machines de mairie personne n’a au moins fait un écrasement du disque (ne serait-ce qu’avec des zéro) avant réinstallation et revente.
Dans une ancienne boîte où je travaillais, certaines anciennes machines étaient vendues ou données à des employés. Or il y avait des données sensibles dessus effacées avec juste un formatage rapide. Mon collègue et moi avons réussi à ce que les disques durs soient endommagés sérieusement (pilonnage) s’ils ne voulaient pas les effacer de manière plus sérieuse.
D’où l’importance du texte en cours de discussion qui défini le reconditionné et impose un effacement des données (de manière similaire un collègue a acheté une télé sous android TV où le compte du précédent propriétaire était resté)
Je n’ai jamais cédé ni revendu de disques dur que ce soit en élément d’un PC et encore moins seuls. Je n’en ai même jamais confié entier au recyclage.
En ai démantelé un seul, c’est-à-dire extrait les plateaux pour les détruire.
Le reste au recyclage.
Les données c’est de l’ordre du secret personnel. Irréfragable.
J’ai donné deux PC mais avec un disque interne neuf et vierge de données, juste l’OS.
On m’a fait cadeau récemment un PC avec tout. J’ai fait une sauvegarde que j’ai donné au généreux donateur et supprimé les données et exécuté une routine pour écraser l’espace disque libéré afin d’empêcher toute récupération.
En ce qui concerne les données, je n’ai aucun sens de l’humour.
Bonjour Zythom,
Je crois que c’est mon premier commentaire sur ce blog, alors avant toute chose, un grand merci pour tous ces articles dont je me délecte depuis des années.
Je m’interroge… dans quelle mesure l’analyse forensique d’un disque dur revendu est-elle légale ? À plus forte raison si le disque en question a été effacé (même mal) ? Je comprends que tu agis ici en tant que « simple » citoyen responsable ; cela t’expose-t-il personnellement ?
Tu as peut-être déjà prévu de répondre à ces questions dans les prochains épisodes, alors je vais attendre patiemment la suite comme tout le monde 😉
oh j’ai falli tomber de ma chaise au « 90% de l’article » ! c’est du feuilleton balzacien 🙂
Possible aussi que ce soit une erreur d’un prestataire. Il me semble que pas mal d’établissements publics passent par des prestas pour gérer leurs DEEE, et que ces derniers sont sensés procéder à un effacement bas niveau du contenu des disques.
^^ Que dire de mon premier ordinateur — et son disque dur —, récupéré dans les bennes de mon Lycée (j’avais eu un tuyau qu’ils déstockaient sans passer par le Domaine). Manifestement, c’était un ordinateur de la comptabilité …
Il avait quand même été « neutralisé » d’un coup de marteau. Ça avait effectivement un peu plié le boitier …