Conclusion : L’achat de routine de quelques routeurs d’occasion a récemment fait boule de neige en une enquête approfondie qui a abouti à des découvertes troublantes. ESET a déclaré que la morale de l’histoire est que tout appareil quittant votre possession ou la possession de votre entreprise doit être correctement effacé, et que le processus doit être régulièrement audité et certifié.
Les chercheurs de la société de cybersécurité ESET ont acheté une poignée de routeurs usagés afin de mettre en place un environnement de test local et ont été surpris de voir que plusieurs des appareils n’avaient pas été effacés. Incrédule, l’entreprise a changé de vitesse et a acheté du hardware supplémentaire pour voir si leurs découvertes initiales étaient un hasard.
Au total, les chercheurs ont acquis 18 routeurs. L’un était mort à l’arrivée et deux étaient une paire en miroir, ils ont donc été traités comme une seule unité. Malgré tout, l’équipe a trouvé des détails de configuration et des données intacts sur 56 % des routeurs.
Des données non sécurisées, notamment des informations sur les clients, des listes d’applications, des clés d’authentification de routeur, etc., ont été trouvées sur les appareils, a déclaré ESET. Entre de mauvaises mains, les renseignements pourraient fournir à un mauvais acteur une longueur d’avance significative pour lancer une cyberattaque.
ESET a déclaré que l’un des aspects les plus préoccupants de l’enquête était la réponse des entreprises dont les données ont été trouvées sur le hardware. Alors que certains auraient été réceptifs aux tentatives de contact, d’autres ont carrément ignoré les multiples tentatives de notification. Quelques entreprises ont déclaré à ESET qu’elles avaient fait appel à des services tiers pour effectuer l’assainissement des médias sur leur hardware mis au rebut, un travail qui n’avait manifestement pas été effectué jusqu’au bout (ou pas du tout).
Effacer les données de l’ancien hardware est une voie, mais pour aller plus loin, il serait probablement préférable de simplement détruire les équipements de réseau ou de stockage usagés si vous traitez des données très sensibles. Assumer le coût du remplacement du hardware vieillissant serait beaucoup plus acceptable que de devoir faire face à une violation de données résultant d’un hardware mal effacé. Le vieux hardware est également excellent si vous pratiquez la cible, j’ai entendu dire.
Découvrez le reportage du mois (sous-titré en français), l’IA gagnera t-elle face aux champion du monde du jeu de Go ? :
