C’est une question qui mérite d’être posée selon moi. Lorsque vous confiez votre ordinateur portable ou fixe à un réparateur informatique et que ce dernier préconise le remplacement de la machine, qu’est-ce qui se passe ?
Est-ce que l’ordinateur est simplement jeté aux ordures ? Détruit ? Démonté pour récupérer les quelques pièces encore fonctionnelles ?
Et si c’est un PC portable, qu’est-ce qui se passe ?
Dans la théorie
De nombreuses entreprises font appel à des sociétés de collecte de matériel, chargées de récupérer et gérer ce qui doit être détruit ou jeté.
N’étant pas expert du domaine, je ne sais pas s’il existe une législation spécifique à la collecte, l’enlèvement d’équipements, au traitement et à la destruction de ces derniers.
Dans la pratique
Comme c’est très souvent le cas, la pratique est un peu éloignée de la théorie. Certaines entreprises, afin d’éviter des frais supplémentaires, préfèrent tout « balancer » sans se soucier des conséquences liées à ces actes, tant sur le plan environnemental que sur le plan des données récupérables.
Dans d’autres cas, c’est la société de collecte elle-même qui ne s’ennuie pas à démonter, gérer et traiter les déchets, tout termine dans une déchetterie est rien n’est correctement séparé.
Expérience personnelle
Le hasard fait que j’ai été mis en contact avec une personne qui a récupéré un ordinateur en provenance d’un stock de matériel informatique à jeter. Ce stock venait d’un SAV. Je n’ai volontairement ni pris connaissance du nom du SAV, ni de celui de la société de collecte de matériel qui aurait dû jeter l’ordinateur mais qui a préféré le récupérer car l’ordinateur semblait encore utilisable.
Ayant connaissance de ma sensibilité aux données personnelles, mon interlocuteur m’a contacté pour faire le point sur l’ordinateur et surtout sur les données contenues.
NDLR : Je tiens à préciser que tout ce qui suit a été réalisé dans l’unique but d’écrire ce billet, aucune donnée n’a été copiée, sauvegardée ou déplacée. L’acte pourra vous sembler « malsain », j’en suis désolé, j’ai estimé qu’il était nécessaire pour la suite.
J’ai donc démarré l’ordinateur, qui n’était protégé par aucun mot de passe. C’était un ordinateur relativement classique, d’un utilisateur relativement classique.
Sans outils de récupération quelconque, voici ce que j’ai pu retrouver :
- Des données de connexion à certains comptes de réseaux sociaux (Facebook par exemple)
- Des données de connexion Skype
- Le profil Firefox en entier, favoris, historique, mots de passe enregistrés
- Un certain nombre de documents, stockés dans « mes documents »
- des factures
- une carte grise
- des tableaux Excel contenant des données financières
- des données professionnelles
- des données intimes (images à caractère explicite, je n’ai pas fait de recherche spécifique dessus, tout était dans le même dossier) et le nom des personnes aux données intimes.
En recroisant quelques données, je suis donc en capacité de
- savoir à qui appartient l’ordinateur
- savoir quelles sont les personnes liées au propriétaire
- connaître une partie des activités du propriétaire
- connaître le travail du propriétaire
- récupérer des documents internes à son entreprise
- récupérer un certain nombre de documents très personnels, parfois extrêmement explicites
- d’usurper une identité en ligne (je rappelle que c’est un délit, cf. Article 226-4-1 du Code Pénal – crée par la LOPPSI II en 2011).
Evidemment, je n’ai rien fait de tout ceci mais j’imagine ce qu’il est possible de faire si ces données tombent entre de mauvaises mains.
Une question de confiance
Les questions soulevées par cette situation sont nombreuses.
Est-ce un cas isolé ? Rare ?
Peut-on avoir confiance dans un service après-vente et dans ses procédures, si procédures il y a ?
Peut-on avoir confiance dans une société de collecte de matériel ?
Existe-t-il des précédents avérés liés à ce genre de situation ? Une usurpation d’identité ? Un chantage pour récupérer de l’argent ? De la revente de données personnelles ? Une « effraction numérique dans l’intimité des personnes » ?
La fin de vie d’un ordinateur est un aspect très souvent négligé, cela ne devrait pas être le cas. J’espère que cet humble billet fera prendre conscience de l’importance de cette étape à certains.
Salut.
Ça m’est déjà arrivé 3 fois ce genre de truc.
2 fois en déchèterie, récup d’une vieille tours quasiment complète (pas de RAM, ni CG, mais disque dur), et d’un portable ancestral complet. Le DD de la tour était aussi rempli que celui que tu décris. Le portable, lui avait été formaté, mais AMHA un Photorec m’aurait tout livré.
Pour une autre fois, une clé USB trouvée dans la rue. Des infos très personnelles aussi (scan carte grise/carte ID et un relevé de compte… photos de famille).
Avec un peu de sensibilisation, les gens pourraient faire quelques actions basiques de démontage/destruction. Pour ce qui est des pros, comme tu le dénonce, ce n’est pas normal qu’ils ne le fasse pas (au moins la destruction physique des disques).
Chez le client où je suis, ils utilisent le live-cd Dban – Darik’s Boot And Nuke http://genma.free.fr/?Dban-Darik-s-Boot-And-Nuke pour effacer les disques avant de les donner à des associations ou des les envoyer en recyclerie. Un bon réflexe à avoir effectivement.
Sinon j’utiliserai ton exemple dans les Cafés vie privée pour sensibiliser. Ca ajoutera à notre argumentation.
Comme je le dis souvent : « c’est sur Internet, do what you want », donc n’hésite pas, si ça peut être utile c’est parfait !
Et quid de la remise sur le marché noir en Afrique ou autre… Grâce à ce type d’infos certains mal intentionnés pourraient monter de bonnes arnaques super documentées…
C’est exactement ce à quoi je pensais, en fait. Très rapidement je me suis dit « imagine quelqu’un qui souhaite faire du fishing ou du spam tombe là dessus », « imagine quelqu’un qui souhaite construire une identité (comme on en trouve plein de « volées » sur des sites de rencontre par exemple) tombe dessus, qu’est-ce qu’il se passe », donc je ne peux qu’être d’accord avec toi, effectivement.
Que dire sinon que ce billet résume bien cette problématique.
J’ai bossé cinq ans en SAV (une grande enseigne française d’ailleurs, dont je tairai le nom, et qui a une filiale en Belgique).
Je m’occupais de toute l’informatique pour la clientèle. Il faut savoir qu’en Belgique, je ne sais pas en France, chaque appareil est soumis à une taxe que l’on appelle « Recupel ». Cette taxe en réalité, permet de déposer tous ces vieux appareils dans les magasins, ces derniers étant récupérés par une société pour « recyclage ». Jamais, il n’y a eu de procédure pour la sauvegarde ou l’effacement des données. Que ce soit au niveau magasin ou au niveau de la société récupératrice (qui ne nous a d’ailleurs jamais fourni une seule indication sur le traitement des appareils). Les seuls récupérations de données que j’ai faite l’on été à la demande du client, en étant bien sûr un service payant. Dans les autres cas, j’étais de toute façon dans l’impossibilité de m’occuper des données, n’ayant pas assez de temps pour cela.
Nous avons eu aussi des opérations du genre « ramène ton vieux pc, on déduit une partie du montant pour l’achat d’une nouvelle machine ». Officiellement, ces pcs partaient étaient remis en état et envoyés en Afrique. Là aussi, aucune transparence sur le traitement des données ou respect de vie privée.
Le plus effarant également, c’est que peu de personnes se soucient de leur données. Hors, toute notre vie est dorénavant numérisée. Que ce soit par nos historiques, nos photos, nos documents… Les seuls à s’être posé réellement la question étaient des informaticiens.
Merci donc pour cet article, car il explique bien cette problématique. En espérant que ça éveille quelques consciences.
Deux choses à faire avant de balancer sa vieille machine: effacer le disque dur, et entièrement réécrire sur tous les secteurs. Un simple formatage permet encore de récupérer les données. Il reste encore la destruction. Mais là aussi, une simple chute risque de ne pas suffire. Il faut vraiment bousiller les plateaux pour que cela devienne irrécupérable.
>> Mais là aussi, une simple chute risque de ne pas suffire. Il faut vraiment bousiller les plateaux pour que cela devienne irrécupérable.
Un exemple perso de « bonne conduite ». Dans la PME où je travaille (bureau d’étude/industrie/métallurgie), j’ai souhaité récupérer ma vieille tour après l’achat d’une neuve. Aucun soucis (matos amorti et déclaré obsolète => XP), mais le collègue « en charge de l’informatique » (pas de service info à proprement parlé) m’a réclamé le DD. Un coup de poinçon sur une presse de 10 tonnes plus tard, il faisait moins le malin le disque 😀
Aucune procédure ne couvre ça, mais il le fait pour chaque PC qui part en déchet’. Simplement du bon sens.
Merci pour cet article, c’est en effet une réflexion qui n’est pas souvent menée par les petites entreprises, et je ne parle pas des particuliers. Il y a un gros manque de prise de conscience sur le fait qu’un ordinateur personnel renferme énormément d’informations précises et délicates. Je pense que ce n’est encore pas rentré dans la tête des gens.
A voir miniGrotte – numéro 4 – Démontage de 20 disques durs trouvés à la décharge http://www.lagrottedubarbu.com/2013/05/19/minigrotte-numero-4-demontage-de-20-disques-durs-trouves-a-la-decharge/
On peut tout démonter pour recycler et là, y a plus de soucis avec les données 😉
Bonjour et merci pour cet article,
J’espère juste que des personnes mal intentionnés ne tomberont pas sur cet article.
très très intéressant ton article…Je m’étais déjà fait cette réflexion par le passé.
Je suis technicien informatique et il m’arrive régulièrement de me retrouver devant un pc, qu’une personne a achetée dans une brocante ou sur un site d’enchère, qui contient toutes les info de l’ancien propriétaire.
Je dois avouer que ces personne, si elle ne savent pas faire la manip toute seule, s’adresse a un professionnel pour tout réinitialiser.
Je pense qu’elle doivent se dire que cela est un gage de stabilité et surtout cela procure plus d’espace libre.
Cependant, il faut bien avouer que si c’est le cas, cela est peut-être dû au fait que le pc a un mot de passe.
Quoiqu’il en soit, une personne mal intentionnée, peut très facilement recueillir des info utiles.
Je pense que dans les petites sociétés, on est plus regardant. Et généralement, un informaticien (interne ou externe) s’occupe du parc.