Les clés USB d'occasion achetées sur eBay exposent les informations personnelles et financières des utilisateurs

Plus de deux tiers des clés USB d’occasion achetées auprès de plateformes d’enchères telles qu’eBay contiennent des informations privées et sensibles appartenant à leurs anciens propriétaires, selon des chercheurs de l’Université Abertay.

Une analyse de 100 clés USB achetées sur le site de e-commerce a révélé 75 000 fichiers contenant des informations personnelles et financières, classés en trois catégories :

• Sensibilité faible comme des traces de vidéos téléchargées, des fichiers de démarrage et d’installation du système d’exploitation (Microsoft Windows), des travaux d’étudiants et des documents promotionnels et des dossiers de presse
• Sensibilité moyenne comme des fichiers image avec géolocalisation GPS, des photos personnelles et des études médicales contenant des essais cliniques
• Sensibilité haute comme des fichiers contenant des mots de passe, des CV, des déclarations, des contrats de travail, des plannings de travail, des factures, des pièces de dossier de divorce, des relevés bancaires, des dossiers médicaux et des pages Web

Un examen plus approfondi a révélé que les revendeurs n’effaçaient correctement que 32 des 100 périphériques USB. À l’aide d’outils de récupération accessibles au public, les chercheurs ont partiellement récupéré des fichiers à partir de 26 des périphériques de stockage portables et ont entièrement récupéré l’ensemble des fichiers stockés sur les 42 clés USB restantes.

“C’est très préoccupant, et le potentiel d’utilisation abusive de ces informations avec des conséquences extrêmement graves est énorme”, a déclaré Karen Renaud, professeur au département de cybersécurité. “Un acheteur peu scrupuleux pourrait utiliser des fichiers récupérés pour accéder aux comptes des vendeurs si les mots de passe sont toujours valides, ou même essayer les mots de passe sur d’autres comptes de la personne étant donné que la réutilisation des mots de passe est très répandue.”

Les chercheurs ont également interrogé les vendeurs eBay, révélant que 64% des répondants avaient déjà trouvé une clé USB, tandis que 81% ont déclaré qu’ils n’avaient jamais égaré une clé USB.

Lorsqu’on leur a demandé ce qu’ils feraient s’ils trouvaient une clé USB non neuve, 94% des répondants ont dit qu’ils la brancheraient, 10% la formateraient.

44% la scanneraient avec un antivirus reconnu.

Les enquêteurs recommandent d’utiliser une solution de sécurité complète lors du premier branchement d’une clé USB précédemment utilisée et d’effacer en toute sécurité les périphériques de stockage (clés et disques durs) avant de les vendre pour empêcher l’accès à des données personnelles.