Les ordinateurs et les notebooks hors d'usage des entreprises et des administrations se retrouvent souvent sur la plateforme d'enchères en ligne eBay. Il est dommage que les données les concernant ne soient pas entièrement supprimées. Comme on le sait, près de 33 000 e-mails contenant des données sensibles de l'Office des étrangers de Lübeck ont ainsi atterri sur eBay.
PC supprimés sur eBay
Le magazine c't relate un incident explosif impliquant Michael S., qui avait tiré sur la plateforme d'enchères en ligne eBay dans deux PC bon marché pour son entreprise. Les PC de type Fujitsu D756 SFF ont été proposés par le vendeur onkellaepi2020 et devaient en fait être livrés sans disque dur.
En fait, à l'ouverture des boîtiers, l'un des ordinateurs présentait un disque dur installé. Il s'agissait d'un PC mis au rebut avec un point jaune sur le devant de l'appareil. Au démarrage, il indiquait que Windows 7 était installé et le bureau avait un fond d'écran de la ville hanséatique de Lübeck.
Sans examiner de plus près le contenu, l'acheteur aurait retiré le disque dur, l'aurait marqué « ferraille » et aurait signalé l'incident. c't a ensuite examiné le disque dur du PC portant le nom Windows « LS46-WS-1091 » et a découvert qu'il avait apparemment été utilisé dans le bureau des étrangers de la ville hanséatique.
Les données recueillies portaient sur la période du 20 janvier 2016 au 29 juin 2021. Au cours de cette période, de nouveaux comptes d'utilisateurs ont également été créés à plusieurs reprises sans que les comptes précédents et leurs données associées ne soient supprimés. Au total, 31 comptes ont été trouvés sur le disque dur.
« Cette négligence nous a permis d'identifier sans trop d'efforts, après tout, 18 employés à la fois par leur nom et par leur fonction au sein de l'autorité », écrit c't.
L'ensemble de données révèle de nombreux détails
Les données enregistrées sur le disque dur révèlent non seulement des détails sur les employés qui ont utilisé le PC, mais aussi sur les méthodes de travail de l'Office des étrangers de la ville hanséatique de Lübeck.
D'après les documents, il semblerait qu'il y ait un scanner au sein du bureau qui capture les documents et les fax entrants et les distribue aux agents chargés du dossier. Ceux-ci sont regroupés dans des fichiers, qui peuvent apparemment aussi être téléchargés en grande quantité directement à partir du serveur.
Au cours de la recherche, 48 dossiers complets, dont des demandes de visa, ont été trouvés dans un seul profil d'utilisateur. Les détails explosifs étaient ainsi visibles de manière évidente et complète et contenaient toutes les informations telles que les données personnelles de toutes les parties impliquées dans la demande de visa, les preuves de revenus et de patrimoine des citoyens allemands et bien plus encore.
« Nous avons pu localiser plus de 33 400 e-mails au contenu hautement explosif sur le support de données sans aucun effort ni utilisation d'outils médico-légaux. »
Données sensibles
Du point de vue de la protection des données, cette vente eBay pose naturellement un problème : il s’agit en effet de données extrêmement sensibles au sens de l’art. 9 du RGPD, car des informations sur la religion, l’orientation sexuelle ou l’origine ethnique sont enregistrées. Selon la loi, ces informations doivent être protégées de manière particulièrement stricte et ne peuvent en aucun cas être rendues publiques.
Le principal responsable de cette fuite de données est l'utilisation de Microsoft Outlook comme client de messagerie. Bien que la ville hanséatique de Lübeck utilise un serveur central sur lequel tous les e-mails sont stockés, les fichiers OST cachés créés dans la configuration standard sont restés. Outlook y stocke chaque message ouvert ou envoyé.
Comment les PC se sont-ils retrouvés sur eBay ?
Marit Hansens, déléguée à la protection des données du Schleswig-Holstein, explique la procédure à suivre pour les ordinateurs et les supports de données mis au rebut : les disques durs contenant des données sensibles doivent être retirés des ordinateurs avant leur recyclage, puis détruits.
Les employés de la ville hanséatique de Lübeck retirent les disques durs, apposent un point jaune sur les PC et remettent ensuite les ordinateurs à un recycleur. Selon le recycleur, le PC vendu sur eBay portait un point jaune, mais n'a pas été contrôlé pour savoir s'il contenait un disque dur.
Selon l'accord de recyclage conclu avec la ville hanséatique de Lübeck, le recycleur n'est pas tenu de vérifier et d'ouvrir tous les ordinateurs. La ville reste silencieuse sur l'incident. En raison des enquêtes en cours, il est actuellement impossible de répondre aux questions sur l'incident, comme l'a déclaré le maire Jan Lindenau.