Des disques durs d'occasion très bavards sur eBay

Les chercheurs de BT ont passé au peigne fin 300 disques durs trouvés sur eBay. Plus d'un tiers contenaient des informations critiques ou personnelles, dont des secrets militaires américains.

Une nouvelle affaire d'évasion de données vient entacher la réputation des autorités militaires américaines. Des informations sensibles relatives au système de défense anti-missile aérien des Etats-Unis ont été découvertes sur un disque dur d'occasion, acheté sur eBay.

Les informations concernent plus précisément la procédure dite de THAAD (Terminal High Altitude Area Defence), procédure utilisée pour abattre les missiles irakiens Scud pendant les deux conflits qui ont opposé les Etats-Unis et l'Irak. Mais le disque dur contenait également des informations relatives aux employés de l'entreprise d'armement Lockheed Martin, à l'origine de la procédure THAAD, tels que leurs numéros de sécurité sociale. Enfin, des données portant sur des comptes bancaires et des projets commerciaux de l'entreprise ont également été découvertes.

Ce sont des chercheurs britanniques qui ont fait cette inhabituelle découverte. Les données étaient en effet présentes sur un des 300 disques durs qu'ils avaient acheté sur le site de vente aux enchères eBay.

34% des disques contenaient des données qui pouvaient être directement reliées à des individus ou des entreprises

Ces disques provenaient de différents pays (Grande Bretagne, Etats-Unis, Allemagne, Allemagne, France et Autriche), et ont été achetés pour le compte du centre de recherche en sécurité de BT, le principal opérateur de télécommunication britannique. Il s'agissait pour les chercheurs d'étudier la présence d'informations confidentielles dans les disques durs d'occasion qu'il est possible de se procurer de manière tout à fait légale.

Une préoccupation de plus en plus inscrite dans les gênes des entreprises et des administrations outre-Manche. "Les autorités britanniques sont de plus en plus vigilantes en ce qui concerne la protection des données confidentielles. Le Data Protection Act par exemple, entré en vigueur en 2000, interdit de stocker des données sensibles sur des périphériques non sécurisés", explique Romain Cohen-Gonsaud, responsable des ventes Europe et Continental chez Origin Storage, une entreprise britannique qui commercialise des disques durs sécurisés. "Aujourd'hui, des produits tels que ceux respectant la norme américaine FIPS 197-2 [ndlr. Federal Information Processing Standards] permettent de s'assurer de la conformité des pratiques de sauvegarde et de transport de données".

Mais il semble que ces normes ne soient pas encore mises en pratique. L'étude complète de BT sur les 300 disques durs a permis de mettre à jour le fait que 34% des disques contenaient des données qui pouvaient être directement reliées à des individus ou des entreprises.

Le florilège des différentes découvertes est à la fois impressionnant et inquiétant concernant le manque de confidentialité des données recueillies par les entreprises et les administrations.

Un disque en provenance de France contenait par exemple des données réseau et des logs de sécurité de l'ambassade d'Allemagne en France.

Autre perle, deux disques ayant appartenu à des hôpitaux britanniques contenaient des données sur les patients ainsi que des radiographies. Enfin, un disque dur en provenance d'Autriche contenait lui des photos de blessures de patients.