Michael S. a été très surpris : il venait d’acheter sur eBay, pour le compte de son entreprise, un total de 13 PC de type Fujitsu D756 SFF auprès du vendeur onkellaepi2020 lors de deux ventes aux enchères. Les ordinateurs étaient censés être livrés sans disque dur, mais l’un d’entre eux en contenait un.
L’ordinateur a été mis au rebut. Comme tous les ordinateurs de la livraison, il était orné d’un point jaune sur la façade. Lors d’un test de démarrage, Windows 7 s’est affiché avec un fond d’écran représentant la ville hanséatique de Lübeck. Michael S. préférait ne pas se brûler les doigts avec l’ordinateur et les données qu’il pourrait contenir. Il a donc démonté le disque dur, l’a étiqueté « Schrott » et a signalé sa trouvaille à la rédaction de c’t. Il s’est rendu compte qu’il n’y avait pas d’autre solution.
Sommaire
Trouvaille de données
L’apparition d’ordinateurs administratifs avec leur disque dur sur eBay n’est pas une surprise pour nous. De telles trouvailles se produisent régulièrement et la plupart du temps, les ordinateurs ne contiennent guère de données exploitables. Malgré tout, chaque nouvelle annonce est l’occasion d’une analyse minutieuse des systèmes dans le laboratoire de c’t. Nous avons donc demandé à ce que le disque dur de Michael S. nous soit envoyé.
Dès le premier coup d’œil sur les données contenues dans le disque dur de la ville hanséatique de Lübeck, il était clair que cette découverte avait un caractère explosif particulier. Le PC portant le nom Windows « LS46-WS-1091 » a apparemment été utilisé par l’office des étrangers de la ville hanséatique. Il contenait des données datant du 20 janvier 2016 au 29 juin 2021. Au cours de ces cinq ans et demi, de nouveaux comptes d’utilisateurs ont été créés à plusieurs reprises. La suppression des anciens comptes et des données correspondantes n’avait pas été effectuée, de sorte que l’on trouvait désormais 31 comptes.
Cette négligence nous a permis d’identifier sans grand effort 18 collaborateurs, tant par leur nom que par leur fonction au sein de l’administration. Parmi eux, des collaboratrices comme Anja B. (tous les noms cités ici ont été rendus anonymes par nos soins), qui n’a effectué que quelques mois de stage à l’Office des étrangers, ou Berta C., qui a apparemment été responsable du service téléphonique de l’Office pendant dix mois en 2019. Nous avons également trouvé des traces de collaborateurs de longue date, comme par exemple Claus D., gestionnaire du dossier « fin de séjour », ou Dieter E., qui a probablement été actif dans la gestion des bâtiments et peut-être aussi dans le comité du personnel de l’Office.
Les données du disque dur donnent des indications sur le mode de fonctionnement du service des étrangers. Il semble qu’il y ait un scanner central qui saisit les documents entrants et les transmet ensuite par e-mail aux personnes compétentes. Les fax adressés au service semblent également être distribués par e-mail.
Fonctionnement et structures
C’est du moins ce que suggèrent 48 dossiers complets, notamment sur les demandes de visa, que nous avons découverts dans le répertoire de téléchargement de l’utilisateur Starketh.
Les fichiers PDF, appelés « dossiers complets » par le système, ont été enregistrés sur l’ordinateur du poste de travail entre le 12 et le 21 octobre 2020. Chaque dossier contient des données personnelles de toutes les personnes impliquées dans la demande de visa, donc également des justificatifs de revenus et de patrimoine des citoyens allemands, tels qu’ils sont habituellement exigés lors de l’invitation d’amis et de parents de pays non exemptés de visa.
Le trésor des données
La méthode de travail de l’administration, centrée sur les e-mails, a finalement conduit à la plus grande découverte de données sur le disque dur : plus de 33 400 e-mails au contenu hautement explosif ont pu être identifiés sur le support de données sans effort et sans utilisation d’outils médico-légaux. Parmi ces données, il y avait aussi bien des données relatives aux procédures d’asile que des données relatives aux procédures d’expulsion.
(Image : Daniel AJ Sokolov)
En fait, nous avons pu trouver des données appropriées pour tout ce qui se passe dans un bureau des étrangers. Qu’il s’agisse de naturalisations, de changements de nom, d’attestations de franchissement de frontière, d’interdictions de réadmission, de signalements, d’ordres d’expulsion, de dossiers de déclaration, etc : Les e-mails et leurs pièces jointes sur le disque dur contenaient tous ces processus et les données correspondantes sur les personnes concernées.
Du point de vue de la protection des données, il s’agit en partie de données extrêmement sensibles au sens de l’article 9 du RGPD, dans la mesure où elles contiennent par exemple la religion, l’orientation sexuelle ou l’origine ethnique. Ces informations doivent être protégées de manière particulièrement stricte et ne doivent en aucun cas être rendues publiques.
Source d’erreur MS Outlook
La faute de cette mine de données accumulées au fil des ans revient surtout à l’utilisation de Microsoft Outlook comme client de messagerie. Certes, la ville hanséatique de Lübeck utilise un serveur central sur lequel tous les e-mails sont stockés. Mais dans la configuration standard, Microsoft Outlook crée des fichiers OST cachés pour chaque utilisateur. Dans ces fichiers, Outlook enregistre chaque message ouvert ou envoyé. Même les messages prétendument supprimés se retrouvent dans les fichiers OST.
L’objectif du stockage intermédiaire local est de réduire la charge du serveur et le trafic réseau. Cela se fait au prix d’un stockage des données qui n’est plus centralisé et des problèmes de protection des données qui en découlent inévitablement. Il est certes possible de configurer MS-Outlook de manière à ce qu’aucune mémoire tampon locale ne soit créée. Mais beaucoup d’administrateurs ne le savent pas – ou évitent cette option, car l’accès aux e-mails peut alors être nettement plus lent.
Si l’on veut absolument utiliser MS-Outlook dans le cadre de l’administration et du traitement de données personnelles sensibles, il faut au moins veiller à ce que les données soient cryptées sur le disque dur. Dans le cas contraire, toute personne ayant un accès physique à l’ordinateur peut facilement lire les données, voire les extraire. Le cryptage coûte toutefois un peu de performance.
Le chemin des données
Mais comment un PC contenant des données de l’Office des étrangers de Lübeck se retrouve-t-il sur eBay ? Selon Marit Hansen, commissaire à la protection des données pour le Schleswig-Holstein, le Land prescrit que les supports de données contenant des données sensibles, comme les disques durs, doivent être retirés de l’ordinateur avant d’être recyclés, puis détruits. Dans la ville hanséatique de Lübeck, il semble que cela soit réglé de la manière suivante : les employés de la ville retirent les disques durs, apposent ensuite un point jaune sur les PC et remettent ensuite l’ordinateur à une entreprise de recyclage.
Dans le cas du disque dur qui nous a été remis, il semble qu’il y ait eu une négligence. Selon les déclarations de l’entreprise de récupération, le PC vendu via eBay portait certes un point jaune, mais il n’aurait pas vérifié s’il n’y avait vraiment plus de disque dans l’ordinateur. L’accord de récupération conclu avec la ville hanséatique de Lübeck ne prévoit pas non plus qu’il doive dévisser et vérifier chaque PC, a affirmé le récupérateur lors d’un entretien avec c’t. Il a ajouté qu’il n’y avait pas de disque dur sur le PC.
c’t attend les enquêteurs
Nous aurions aimé connaître la position de la ville hanséatique de Lübeck sur cette affaire, mais elle est restée silencieuse. Le maire Jan Lindenau nous a fait savoir qu’il ne pouvait malheureusement pas répondre à nos questions en raison de l’enquête en cours. L’incident a été signalé à l’autorité régionale de protection des données et une plainte a été déposée. Il nous a également demandé de lui remettre le disque dur contenant les données de l’Office des étrangers de Lübeck.
Nous avons alors informé le maire que le disque dur resterait chez nous en sécurité jusqu’à nouvel ordre. Nous le remettons volontiers à des autorités d’enquête indépendantes, mais pas aux personnes impliquées dans ce scandale de protection des données. Jusqu’à la clôture de la rédaction, aucune autorité d’enquête n’a toutefois contacté c’t.
c’t édition 4/2022
Il y a des zones WLAN mortes dans votre ménage ? Dans ce cas, consultez le dernier numéro de c’t. Vous y trouverez une foule de conseils sur le réseau sans fil. En outre, nous avons examiné ce que valent les smartphones d’occasion. Nous nous penchons sur les tendances de l’année, vous montrons comment créer des feuilles de calcul en un tour de main et révélons un scandale de données. Tout cela et bien plus encore dans c’t 4/22.
-
c’t révèle la situation : Fuite de données de la ville de Lübeck
-
Le haut débit dans toute la maison
-
Smartphones d’occasion du revendeur
-
Tendances 2022 : sortir de la crise grâce à l’informatique ?
-
Créer et partager des fiches de travail
-
TikTok : Algorithmes modèle d’entreprise
-
Linux sur le PC optimal 2022
-
c’t 4/2022 à télécharger
Nous sommes impatients de connaître la suite de cette histoire et de savoir si des enquêtes sont effectivement en cours. L’autorité de protection des données du Schleswig-Holstein a déjà annoncé qu’elle allait examiner l’affaire de très près.