Journal d'investigation en ligne et d'information‑hacking
par bluetouff

Le SAV d'Orange diffuse à l'insu de son plein gré des données personnelles de ses clients

Le service après vente d'Orange vous propose un échange standard de téléphone quand le votre tombe en panne. Jusque là tout va bien. Mais comme on peut s'en douter, ces téléphones sont déjà passés entre les mains d'autres clients qui ont eu des mésaventures avec, puis, une fois réparés, ils sont re-conditionnés pour d'autres clients. Un internaute nous relate donc son expérience avec l'un de ces smartphones obtenu en "échange standard" par Orange.

Le service après vente d'Orange vous propose un échange standard de téléphone quand le votre tombe en panne. Jusque là tout va bien. Mais comme on peut s'en douter, ces téléphones sont déjà passés entre les mains d'autres clients qui ont eu des mésaventures avec, puis, une fois réparés, ils sont re-conditionnés pour d'autres clients. Un internaute nous relate donc son expérience avec l'un de ces smartphones obtenu en "échange standard" par Orange.

L'internaute en question, désireux de récupérer des fichiers sur son ordinateur qu'il avait effacé par inadvertance, utilise un logiciel de récupération, PhotoRec... Ce logiciel est capable de récupérer une grande variété de fichiers effacés, ce sur de multiples supports : disques durs, micros SD, mémoire flash interne.

Et là c'est le drame, le téléphone, obtenu en échange standard par le SAV d'Orange, un Samsung S, est connecté à l'ordinateur... et voilà que notre PhotoRec se met à récupérer les données du précédent propriétaire du téléphone, soit près de 824 Mo de données : fichiers, contacts, photos, emails, mp3 (...), toute la vie numérique mobile d'un inconnu s'offre à notre internaute.

Soucieux que le même sort ne soit réservé à son téléphone, et donc à ses données personnelles et professionnelles (et là vu la profession de l'internaute en question, c'est vraiment très gênant puisqu'une telle fuite de données pourrait donner accès à un système d'information hospitalier), notre internaute re-contacte le SAV d'Orange pour lui expliquer sa mésaventure et faire part de ses inquiétudes, on ne peut plus légitimes, sur le sort de ses données personnelles et professionnelles.

Réponse technique du SAV : "effacez tout de suite ces données". Ok magnifique, et ensuite ? ... et ensuite rien, au revoir.

Ou plutôt si, Orange était sensé re-contacter cet internaute pour le tenir informé des éventuelles mesures que le SAV d'Orange prendrait pour éviter que ceci ne se reproduise (comme par exemple une procédure plus poussée d'effacement par cycles multiples des supports mémoires). C'était il y a 2 mois. A ce jour, toujours pas de nouvelles du SAV.

Comprenez que les smartphones contenant vos précieuses données, une fois passées entre les mains du SAV, dans le cadre d'une procédure d'échange standard, sont offertes à d'autres personnes qui peuvent en quelques clics y avoir accès.

Orange est au courant, mais ne semble visiblement pas disposé à remédier à ce qui est une énorme faille de sécurité dans les procédures de reconditionnement des smartphones de ses clients.

Vous voilà avertis.

 

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée