Protection des données d’entreprises : ESET achète des routeurs d’occasion et découvre de nombreux secrets

ESET, le 1er éditeur Européen de solutions de sécurité, a dévoilé la semaine dernière, une nouvelle étude sur les appareils réseau d'entreprises mis hors service et vendus d'occasion. Après avoir examiné les données de configuration de 16 appareils distincts, ESET a constaté que plus de 56 % d'entre eux, soit 9 routeurs, contenaient des données d'entreprise sensibles.

  • Plus de 56% des routeurs réseaux achetés par ESET à des fournisseurs de matériel d'occasion contenaient un trésor de données sensibles, notamment des identifiants, des configurations VPN, des clés cryptographiques, etc.
  • Entre de mauvaises mains, ces données suffisent pour débuter une cyberattaque pouvant conduire à une atteinte à la sécurité des données, mettant en danger l'entreprise, ses partenaires et ses clients.
  • Cette étude montre que les entreprises ne suivent pas des protocoles de sécurité suffisant lors de la mise au rebut de leur matériel.
  • Un certain nombre d'organisations concernées n'ont pas réagi aux communications d'ESET.

Sur les 9 réseaux dont les données de configuration complètes étaient accessibles :

  • 22% contenaient des données sur les clients
  • 33% exposaient des données permettant à des tiers de se connecter au réseau
  • 44% disposaient d'identifiants pour se connecter à d'autres réseaux en tant que tiers de confiance
  • 89% contenaient des détails de connexion pour des applications spécifiques
  • 89% contenaient des clés d'authentification de routeur à routeur
  • 100% contenaient un ou plusieurs identifiants de VPN ou IPsec, ou des hash de mots de passe root
  • 100% disposaient de données suffisantes pour identifier l'ancien propriétaire/exploitant avec certitude

Les données découvertes sur les équipements entrent dans ces catégories :

  • Informations de tiers de confiance.
  • Données sur les clients.
  • Données d'applications spécifiques.
  • Informations complètes sur le routage central.
  • Données d'usurpation d'opérateurs de confiance.

« L'impact potentiel de nos découvertes est extrêmement préoccupant et devrait faire l'effet d'un coup de semonce » a déclaré Cameron Camp, le chercheur d'ESET qui a dirigé le projet : « Nous nous attendions à ce que les entreprises de taille moyenne et les grandes entreprises disposent d'un ensemble de protocoles de sécurité stricts pour mettre les appareils hors service, mais nous avons constaté le contraire. 

Les organisations doivent être beaucoup plus conscientes de ce qui reste sur les appareils qu'elles mettent hors service, étant donné qu'une majorité des appareils d'occasion que nous avons obtenus contenaient un schéma numérique détaillé de l'entreprise concernée, notamment des informations réseau essentielles, des données d'applications, des identifiants de l'entreprise et des informations sur les partenaires, les fournisseurs et les clients. »