Sécurité : le recyclage des terminaux obsolètes ou hors d’usage
Culture tech.
Que faire de vos vieux matériels informatiques ?
L’obsolescence des matériels informatiques – qu’elle soit programmée par le fabricant ou imposée par le besoin de suivre l’évolution exponentielle des puissances proposées par le marché – nous oblige à renouveler régulièrement notre parc de terminaux informatiques : serveurs, ordinateurs fixes ou portables, téléphones mobiles et même photocopieurs ! De même lorsqu’ils sont hors d’usage, où il devient plus compliqué d’intervenir pour sécuriser les données enregistrées… Après investissement et installation des nouveaux matériels, la question se pose du devenir des matériels remplacés. Qu’en faire, et surtout, que faire de leur contenu pour en garantir la sécurité ?
Les pratiques courantes de recyclage et leurs dangers
C’est surtout le vieillissement du matériel qui justifie son remplacement : lenteur d’exécution, incompatibilité avec de nouveaux systèmes ou logiciels parfois trop gourmands en mémoire vive, etc.
Que font les utilisateurs des machines dont ils veulent se débarrasser ?
- Ils les jettent en déchetterie en espérant les voir recyclés. Or, beaucoup de récupérateurs conservent et traitent ou revendent les matériels jetés.
- Ils font un don : à leur personnel, aux structures spécialisées comme Emmaüs Connect ou de nombreux autres organismes. Même si ces structures disent « vider » les machines avant de les reconditionner et de les redistribuer, il s’agit souvent d’un effacement superficiel.
- Ils les vendent d’occasion.
- Ils les conservent en back-up, ce qui permet de sauvegarder des données ou de remplacer sur le champ un matériel déficient. C’est une bonne solution, mais pas pour des machines connectées à Internet, à moins de les maintenir à jour très régulièrement : des correctifs de sécurité sont installés quasi hebdomadairement sur les matériels connectés, et il est très important que ces derniers soient parfaitement à jour. Bien entendu, la sécurité physique de ces terminaux est aussi importante que celle des machines en service.
Il est difficile de connaître le nombre d’ordinateurs jetés, vendus ou recyclés. En moyenne, environ 2,5 millions d’ordinateurs sont mis au rebut par les entreprises chaque année. Concernant le grand public, on perçoit mal le nombre de systèmes remplacés : on constate qu’un nombre important de PC sont à vendre d’occasion, sur Leboncoin par exemple.
La question se pose alors du devenir des données et des logiciels contenus dans le système et les disques mémoire de la machine concernée. Si l’on ne veut pas qu’elles tombent entre des mains inconnues (et parfois malhonnêtes), il est absolument nécessaire de vider tout ce qui peut être compromettant.
- Les logiciels : le système d’exploitation (Windows ou iOS) est soumis à licence : celle-ci est en général attachée à la machine, et pourra la suivre dans son parcours. En revanche, les logiciels – notamment payants – sont licenciés au profit d’un utilisateur et la cession de licence, même gratuitement, est en général interdite. Si les litiges à ce propos sont rarissimes, cela peut poser un problème avec les suites logicielles sur abonnement et hébergées dans le cloud – le cas notamment de Microsoft ou d’Adobe : un nouvel utilisateur qui n’est pas titulaire de la licence se verra refuser l’usage du produit. Il faudra donc désinstaller tous les logiciels, et a priori même les logiciels libres.
- Le contenu : face au danger permanent que quelqu’un puisse illégitimement y accéder, il faut bien entendu le retirer de l’ancien système – après l’avoir recopié en sauvegarde et installé sur le nouveau matériel. Et le retirer de manière à empêcher sa reconstitution, par un effacement réel et la réécriture de données sur les “clusters” de mémoire.
Si aucune précaution n’est prise, le danger est bien réel. Les anciens matériels se promènent dans la nature avec tout leur contenu, au risque de voir ce dernier disséminé, au mieux sur des réseaux sociaux, au pire sur le « dark web » avec demande de rançon ou revente à des concurrents.
N’oublions pas le risque très important relatif aux données personnelles (ça commence avec un nom et un email), dont la confidentialité doit être absolument garantie sous peine de risque d’amende administrative, voire de risque pénal personnel.
Les exemples de pertes de données vitales sont courants
C’est le cas d’un ingénieur qui a jeté un vieux disque dur contenant ses identifiants bitcoins et fouille les décharges depuis des mois pour tenter de retrouver les codes perdus qui lui donnent accès à quelque 150 millions d’euros en monnaie virtuelle.
Autre fait significatif : le Youtubeur Micode qui restaure des données de PC achetés sur le Bon Coin, pour l’amusement – mais sans les utiliser…
Au-delà de la négligence des anciens utilisateurs, certains (rares) réparateurs de hardware profitent également du passage des machines à réparer dans leurs ateliers pour en copier les données…
Alors, que faire avec nos matériels informatiques obsolètes ?
D’abord, être conscient du fait que se débarrasser d’un ordinateur ou d’un terminal mobile rempli de données, ce n’est pas un geste anodin. Il est absolument nécessaire d’y consacrer un peu de temps pour être serein en termes de sécurité des données.
Il faut également savoir qu’un effacement des données simple (« glisser-déposer » à la corbeille) n’efface pas les données, il n’efface que leur « étiquette » qui permet à l’OS de les retrouver au clic. Elles restent en clair sur le disque dur, avant que d’autres données ne soient copiées à leur place. Même un formatage du disque dur n’efface pas les données : elles peuvent être récupérées avec un logiciel de récupération.
Quelles sont alors les procédures efficaces pour protéger les données des matériels caduques ?
- Désinstaller les logiciels. Les OS Windows ou iOS proposent ces fonctions dans leur panneau de configuration. Les logiciels de « nettoyage de disque » également.
- Effacer le contenu de toutes les partitions du disque : les logiciels de nettoyage de disque – un des plus connus est « CCleaner » – proposent un effacement en profondeur : choisissez l’option « 30 ou 35 passages » dans les outils, l’effacement sera effectif, car 1, 3 ou 7 passages ne suffisent pas.
- Démontez les disques durs, qui ne prennent pas trop de place à stocker dans un endroit sécurisé.
- Détruire physiquement le disque : l’ouvrir et rayer ou casser les disques : ils seront totalement inutilisables.
- Les conserver comme sauvegarde, dans un endroit sécurisé. Ils sont lisibles en les réinstallant sur un ordinateur ou en les connectant via un boîtier.
Une solution plus simple existe et ne prend pas de temps au moment de se débarrasser du matériel : c’est le chiffrement des données.
Grâce à un système de chiffrement « à la volée » c’est-à-dire dès la création de tout fichier, et géré en local, même si les données se retrouvent diffusées involontairement, elles seront illisibles et inutilisables. Sans la clé de déchiffrement que seules les personnes autorisées possèdent, un pirate ne pourra pas les comprendre, même s’il a réussi à y accéder. Il est également possible d’utiliser la méthode crypto-shredding (destruction des clés).
Il apparaît vital que nos données ne tombent pas entre de mauvaises mains, notamment lorsque nous nous débarrassons d’anciens matériels. Il est possible de s’en protéger par un effacement poussé des disques, s’ils sont toujours en état d’utilisation, ou par leur destruction. Mais cela prend beaucoup de temps. La solution idéale est alors de ne stocker que des données chiffrées, avec un système efficace et certifié de chiffrement qui empêchera tout mauvais usage du contenu.