Marché de l’occasion : des informations sensibles découvertes sur des routeurs !
Lorsque vous vendez du matériel que vous n'utilisez plus, veillez à correctement le réinitialiser avant de l'envoyer au nouveau propriétaire. Une nouvelle étude basée sur les routeurs d'occasion montre qu'une grande majorité des équipements contenaient encore des données sensibles de configuration.
Les chercheurs en sécurité de chez ESET ont mis en ligne un nouveau rapport au sujet des risques liés aux routeurs d'occasion. Pour mener cette étude, ils ont fait l'acquisition de 16 routeurs d'occasion et le résultat est inquiétant : sur 16 routeurs, 9 contenaient des informations sensibles de l'entreprise d'origine. Plus précisément, il peut s'agir de nom d'utilisateurs, de hash de mots de passe, d'adresses IP, de clé d'authentification pour du VPN, etc...
D'ailleurs le spécialise de la cybersécurité ESET donne des précisions au sujet des données trouvées sur les 9 routeurs :
- 22% contenaient des données sur les clients
- 33% exposaient des données permettant la connexion de tiers au réseau
- 44% disposaient d'identifiants permettant de se connecter à d'autres réseaux en tant que tiers de confiance
- 89% contenaient des détails de connexion pour des applications spécifiques
- 89% contenaient des clés d'authentification de routeur à routeur
- 100% contenaient un ou plusieurs identifiants IPsec ou VPN, ou le hash du mot de passe root
- 100% contenaient des données suffisantes pour identifier de manière fiable l'ancien propriétaire/exploitant.
Ces résultats montrent qu'il y a de la négligence de la part des entreprises. Cela peut être lourd de conséquences pour l'entreprise, mais aussi ses partenaires puisqu'il est question, dans certains cas, d'informations de connexion pour des VPNs. Grâce à ces premières données, une personne malveillante pourrait commencer à envisager une attaque contre l'entreprise en question d'autant plus qu'il était possible d'identifier clairement l'ancien propriétaire.
Pour les autres routeurs, vierge de toute configuration, l'entreprise a correctement effectué son travail de réinitialisation avant la vente.
Si vous faites appel à une société spécialisée dans le recyclage et la mise en rebut, assurez-vous de sa fiabilité et demandez bien les rapports nécessaires pour avoir d'avoir un historique des actions effectuées sur votre matériel. Une recommandation qui s'applique à tous les équipements où il y a de la donnée : routeurs, switchs, ordinateurs, disques, etc...
Si vous agissez par vos propres moyens, suivez les recommandations du constructeur pour la suppression des données comme le précise ESET dans son rapport : "Il est recommandé aux organisations de suivre les directives du fabricant pour supprimer toutes les données d’un appareil avant qu’il ne quitte physiquement leurs locaux, ce qui est une étape simple que de nombreux membres du personnel informatique peuvent gérer".
Recyclons, mais pas n'importe comment.
Moi même ayant acheté un switch cisco d’occasion, les vlans par exemple n’etait pas effacer…et d’autres paramètres (je ne sais plus)