Trois histoires de Trashing
Divulgâchage : Culturellement, la mise au rebut des supports informatique intéresse peu de monde. C’est dommage car bien souvent, ces supports recèlent encore des données intéressantes et utiles. C’est ce que nous allons voir aujourd’hui avec trois histoires tirées de nos expériences.
Lorsqu’on évoque la protection des données, on imagine d’emblée divers contextes. L’actualité nous suggère le RGPD et la protection de la vie privée. Les RSSI penserons ensuite au secrets industriels et à celui des affaires pour protéger l’activité économique de leur employeur. Et au sommet des contraintes, les militaires ne parleront pas de ce qui est couvert par le secret de la Défense nationale.
Après cette évocation, on parle ensuite de toute une panoplie de mesures organisationnelles et techniques qui vont garantir la confidentialité des données que vous stockez : authentification, contrôle d’accès, habilitations, cloisonnement, cryptographie,… Votre situation étant unique, le choix des moyens à mettre en œuvre se fera en fonction du rapport « bénéfice / risque » et de la valeur des données que vous avez pris soin d’évaluer.
Se concentrer sur la valeur des données est bien sûr essentiel pour choisir les mesures de protection mais peut vous faire oublier les supports physiques qui stockent ces données, leur cycle de vie et en particulier, leur mise au rebut.
Pour vous en rappeler l’intérêt, nous vous proposons ici trois petites histoires. Elles sont issues de nos expériences mais afin de ne pas nuire aux personnes concernées certains éléments ont dû être anonymisés.
Un particulier particulier
Richard, comme beaucoup de monde, a un ordinateur à la maison avec lequel il va sur internet. C’est super pratique car il peut ainsi effectuer ses démarches administratives, accéder à ses comptes en banque et faire ses courses en ligne. Célibataire, Richard s’en sert aussi pour discuter sur des sites de rencontre avec d’autres célibataires, voir plus si affinités.
Avec le temps, son vieux PC est devenu de plus en plus lent jusqu’au jour où il n’a même plus voulu démarrer. Alors, avec ses économies, Richard en a acheté un nouveau, tout neuf, et a jeté l’ancien dans les poubelles de l’immeuble.
Ce que ne savait pas Richard, c’est que dans le même immeuble, vit Jérôme. Un jeune homme curieux qui vient de découvrir des magazine underground dont un article du Cryptel n°2 – Trashing report – qui parle de fouiller les poubelles de France Télécom (on est en 1998). Alors quand Jérôme a vu le vieux PC de Richard dans les poubelles, il s’est dit « moi aussi ! ».
Le PC était bien hors service, mais ça n’a pas empêché Jérôme de brancher l’ancien disque dur sur son propre ordinateur pour en parcourir le contenu et récupérer, pèle mêle, l’historique de navigation internet, des courriels, des codes d’accès, des factures d’eau et d’électricité, des scans de carte d’identité, permis de conduire, carte vitale mais aussi carte bancaire et, enfin, trois sextapes de Richard et latino93.
Un laboratoire universitaire
C’est notoire, la recherche manque de budgets. Pour s’équiper en PC, les laboratoires d’informatiques n’ont pas de problèmes mais d’autres sciences doivent faire des arbitrages douloureux. C’est ainsi que les biologistes doivent parfois utiliser leurs matériels jusqu’à la corde pour acquérir certains équipements et réactifs hors de prix.
Lorsqu’on a annoncé à Jeanne qu’on remplaçait Germaine, son vieux Compaq qui peinait par un tout nouvel HP (avec un core 2 !), elle saute de joie. Pas de temps à perdre il y a tellement de choses à faire avec ce nouvel HP que Germaine est posée avec des vieux cartons devant l’entrée du bâtiment. Jeanne trouvera bien du temps plus tard pour aller à la déchetterie.
En fait, non. Parce que le bâtiment est sur le chemin des étudiants qui vont au Restaurant Universitaire, dont Sylvie, étudiante en informatique, qui n’a pas manqué de repérer Germaine dans ses cartons. Alors avec quelques amis, ils décident de la sauver et organisent son exfiltration. C’est grisant, c’est amusant.
Une fois à la maison, Sylvie aspire la poussière de Germaine et la redémarre. Avant d’installer un nouveau système Linux (une Slackware 12), elle en profite pour fouiller le disque dur. Parmi des rapports d’équipe truculents et quelques articles scientifiques, Sylvie tombe sur le prochain sujet d’examen. Ça tombe bien, elle a justement des amis dans cette filière…
Un centre militaire
Lorsque les services de l’État n’ont plus l’usage de certains matériels, ceux-ci sont mis en vente aux domaines. Lors d’enchères parfois épiques, le plus offrant peut ainsi devenir l’heureux propriétaire de 164 paires de chaussures de combat (Lot n°50, pointure 35 à 50), 11 boites à outils d’électricien (Lot n°136 code EMAT 555011K1) ou encore de 12 Véhicules Blindés à Roues de la Gendarmerie (Lot n°22, pour approximativement 84 tonnes de ferraille).
Ce jour-là, un lot de 20 PC (Dell optiplex GX240 avec pentium 4) était mis en vente, pour la deuxième fois, à 200€. Personne ne faisant d’enchère, Martin, du fond de la salle, en propose 1 €.
Pour ne pas devoir le remettre en vente une troisième fois, l’adjudicatrice accepte. Après avoir payé la commission de 11%, soit un total de 1,11 €, Martin part avec son bon d’achat et découvre que les PC se trouvent dans un centre militaire de la région… Un aller-retour plus tard, les 20 PC sont chez Martin. Bonne surprise, ils sont complets, en bon état et pourront donc être reconditionnés.
Même les disques sont là. Mais qu’en faire ? Martin est curieux mais il ne veut pas de problèmes… Alors il propose à des amis militaires d’une autre division de lui fournir 20 disques neufs en échange des 20 disques usagés pour qu’ils puissent les fouiller, eux, et lui dire ensuite s’il restait des données.
Bien lui en a pris car ces disques n’avaient pas été effacés et contenaient, entre autre, des plan de manœuvres de l’OTAN… Ce sont donc 5 ans d’emprisonnement et 75 000 € d’amende qui ont été évités (art. 413-11 du code pénal).
Et maintenant ?
Pour être honnête, la récupération de données sur des supports mis au rebut reste très aléatoire. Lors d’une fouille, vous pouvez difficilement prévoir si des supports seront présents, s’ils contiendront encore des données, et si les données récupérées seront utiles. Cette démarche est donc opportuniste ou réservées à des cas d’intelligence économique.
Avant de traiter ce risque, on pourrait être tenté de procéder à une analyse de risque globale. En mesurant la vraisemblance d’une récupération après mise au rebut et la gravité si des données étaient exposées, vous pourriez alors déterminer si une mesure de protection spécifique vous semble nécessaire.
C’est une mauvaise idée car la plupart du temps, la réponse sera « le risque est trop faible » et vous passerez à côté des bénéfices indirects qu’on obtient en le traitant.
En plaçant une broyeuse pour papier (DIN 3 minimum) et un dock d’effacement bien en vue (i.e. à côté de l’imprimante), non seulement vous sécurisez la mise au rebut, mais surtout, ces deux équipements, par un rappel permanent, mènent à une prise de conscience de l’importance des supports et des données et in fine aux problèmes de sécurité informatique.