1. Portscanner en ligne
  2. Dernières nouvelles et articles sur la cybersécurité
  3. Revictimisation des téléphones portables vendus aux enchères par la police

Revictimisation des téléphones portables vendus aux enchères par la police

D'innombrables smartphones saisis lors d'arrestations et de perquisitions par les forces de police à travers les États-Unis sont vendus aux enchères en ligne sans que les données les concernant soient effacées au préalable, une pratique qui peut conduire à une nouvelle victimisation des victimes d'actes criminels, selon une nouvelle étude. En réponse, le plus grand marché en ligne pour les articles saisis dans les enquêtes des forces de l'ordre américaines affirme qu'il s'assure désormais que tous les téléphones vendus via sa plate-forme seront effacés des données avant la vente aux enchères.

Les chercheurs du Université du Maryland l'année dernière a acheté 228 smartphones vendus "tels quels" de PropertyRoom.com, qui se présente comme la plus grande maison de vente aux enchères pour les services de police aux États-Unis. Parmi les téléphones qu'ils ont gagnés aux enchères (à une moyenne de 18 per par téléphone), les chercheurs ont découvert que 49 n'avaient ni code PIN ni mot de passe; ils ont pu deviner 11 autres codes PIN en utilisant les 40 modèles de code PIN ou de balayage les plus populaires.

Les téléphones peuvent se retrouver en garde à vue pour un certain nombre de raisons — par exemple, son propriétaire a été impliqué dans un vol d'identité — et dans ces cas, le téléphone lui-même a été utilisé comme un outil pour commettre le crime.

“Nous nous attendions initialement à ce que la police ne mette jamais ces téléphones aux enchères, car ils permettraient à l'acheteur de commettre à nouveau les mêmes crimes que le propriétaire précédent”, ont expliqué les chercheurs dans un article publié ce mois-ci. "Malheureusement, cette attente s'est avérée fausse dans la pratique.”

Les chercheurs ont déclaré que même s'ils auraient pu utiliser des mesures technologiques plus agressives pour déterminer davantage de codes PIN pour les téléphones restants qu'ils ont achetés, ils ont conclu sur la base de l'échantillon qu'un grand nombre des appareils qu'ils ont gagnés aux enchères n'avaient probablement pas été effacés et étaient protégés uniquement par un code PIN.

Au-delà de ce que vous attendez des téléphones d'occasion non nettoyés — chaque message texte, image, e-mail, historique du navigateur, historique de localisation, etc. — les téléphones 61 auxquels ils ont pu accéder contenaient également des quantités importantes de données relatives au crime — y compris les données des victimes — ont découvert les chercheurs.

Certains lecteurs se demandent peut-être à ce stade: “Pourquoi devrions-nous nous soucier de ce qui arrive au téléphone d'un criminel?"Tout d'abord, il n'est pas tout à fait clair comment ces téléphones ont été mis en vente sur PropertyRoom.

"Certaines personnes se disent ‘" Ouais, peu importe, ce sont des téléphones criminels’, mais le sont-ils?"dit David Levine, professeur adjoint d'informatique à l'Université du Maryland.

“Nous avons commencé à examiner les lois des États sur ce qu'elles sont censées faire avec les biens perdus ou volés, et nous avons constaté que la plupart d'entre elles finissent par suivre la même voie que la confiscation des biens civils”, a poursuivi Levin. "Ce qui signifie que s'ils ne peuvent pas savoir à qui appartient quelque chose, cela finit par devenir la propriété de l'État et est expédié à ces revendeurs.”

En outre, les chercheurs ont constaté que de nombreux téléphones contenaient clairement des informations personnelles sur eux concernant des cibles antérieures ou prévues du crime: une douzaine de téléphones portaient des photographies de pièces d'identité délivrées par le gouvernement. Trois d'entre eux étaient sur des téléphones qui appartenaient apparemment à des travailleuses du sexe; leurs téléphones contenaient des communications avec des clients.

Un aperçu des fonctionnalités du téléphone et de l'accessibilité des données pour les téléphones achetés par les chercheurs.

Un téléphone avait des dossiers de crédit complets pour huit personnes différentes. Sur un autre appareil, ils ont trouvé une capture d'écran comprenant 11 cartes de crédit volées qui auraient été achetées dans un magasin de cartes en ligne. Sur un autre, l'ancien propriétaire avait apparemment été actif dans une discussion de groupe Telegram qui vendait des tutoriels sur la façon d'exécuter des escroqueries par usurpation d'identité.

Le téléphone le plus intéressant des lots qu'ils ont achetés aux enchères était celui avec une note autocollante attachée qui comprenait le code PIN de l'appareil et la notation “Gry à Clé, "sans doute une référence à la Grisetête logiciel souvent utilisé par les forces de l'ordre pour forcer brutalement le code PIN d'un appareil mobile.

” Celui-là avait l'ÉPINGLE au dos", a déclaré Levin. “La chaîne de messages sur ce téléphone avait 24 antécédents de crédit Experian et TransUnion”.

L'équipe de l'Université du Maryland a déclaré qu'elle avait pris soin dans ses recherches de ne pas aggraver la victimisation des personnes dont les informations figuraient sur les appareils auprès desquels elles avaient acheté PropertyRoom.com. Cela impliquait de s'assurer qu'aucun des appareils ne pouvait se connecter à Internet lorsqu'il était allumé et de numériser toutes les images sur les appareils contre des hachages connus pour le matériel d'abus sexuel d'enfants.

Il est courant de trouver des téléphones et d'autres appareils électroniques à vendre sur des plateformes d'enchères comme eBay qui n'ont pas été effacés des données sensibles, mais dans ces cas, eBay ne possède pas les articles vendus. En revanche, des plateformes comme PropertyRoom obtiennent des appareils et les revendent directement aux enchères.

PropertyRoom n'a pas répondu aux multiples demandes de commentaires. Mais les chercheurs ont déclaré qu'au cours des derniers mois, PropertyRoom avait commencé à publier un avis indiquant que tous les appareils mobiles seraient effacés de leurs données avant d'être vendus aux enchères.

“Nous les avons informés de nos recherches en octobre 2022, et ils ont répondu qu'ils examineraient nos résultats en interne”, a déclaré Levin. "Ils ont arrêté de les vendre pendant un certain temps, mais ensuite cela est revenu lentement, puis nous nous sommes assurés de remporter toutes les enchères. Et tous ceux que nous avons obtenus ont en effet été effacés, sauf qu'il y avait quatre appareils contenant des cartes SD externes [de stockage] qui n'ont pas été effacées.”

Une copie de l'étude de l'Université du Maryland est ici (PDF en anglais).



>>Plus