Aquatarcus/Getty Images
Vous savez que vous êtes censé nettoyer votre smartphone ou votre ordinateur portable avant de le revendre ou de le donner à votre cousin. Après tout, il y a beaucoup de données personnelles précieuses qui devraient rester sous votre contrôle. Les entreprises et autres institutions doivent adopter la même approche, en supprimant leurs informations des PC, des serveurs et des équipements réseau afin qu’elles ne tombent pas entre de mauvaises mains. Lors de la conférence sur la sécurité RSA à San Francisco la semaine prochaine, des chercheurs de la société de sécurité ESET présenteront des résultats montrant que plus de la moitié des routeurs d’entreprise d’occasion qu’ils ont achetés pour des tests ont été laissés complètement intacts par leurs anciens propriétaires. Et les appareils regorgeaient d’informations sur le réseau, d’informations d’identification et de données confidentielles sur les institutions auxquelles ils avaient appartenu.
Les chercheurs ont acheté 18 routeurs d’occasion dans différents modèles fabriqués par trois fournisseurs traditionnels : Cisco, Fortinet et Juniper Networks. Parmi ceux-ci, neuf étaient tels que leurs propriétaires les avaient laissés et entièrement accessibles, tandis que seulement cinq avaient été correctement essuyés. Deux étaient cryptés, un était mort et un était une copie miroir d’un autre appareil.
Publicité
Les neuf appareils non protégés contenaient des informations d’identification pour le VPN de l’organisation, des informations d’identification pour un autre service de communication réseau sécurisé ou des mots de passe d’administrateur racine hachés. Et tous comprenaient suffisamment de données d’identification pour déterminer qui était l’ancien propriétaire ou opérateur du routeur.
Huit des neuf appareils non protégés comprenaient des clés d’authentification de routeur à routeur et des informations sur la façon dont le routeur s’est connecté à des applications spécifiques utilisées par le propriétaire précédent. Quatre appareils ont exposé des informations d’identification pour se connecter aux réseaux d’autres organisations, comme des partenaires de confiance, des collaborateurs ou d’autres tiers. Trois contenaient des informations sur la manière dont une entité pouvait se connecter en tant que tierce partie au réseau du propriétaire précédent. Et deux contenaient directement des données clients.
“Un routeur central touche tout dans l’organisation, donc je sais tout sur les applications et le caractère de l’organisation – il est très, très facile de se faire passer pour l’organisation”, explique Cameron Camp, le chercheur en sécurité d’ESET qui a dirigé le projet. « Dans un cas, ce grand groupe disposait d’informations privilégiées sur l’un des très grands cabinets comptables et d’une relation directe de peering avec eux. Et c’est là que ça commence à devenir vraiment effrayant pour moi, parce que nous sommes des chercheurs, nous sommes là pour aider, mais où sont les autres routeurs ?”