Nous avons trouvé des techniciens chez Best Buy, Mobile Klinik, Canada Computers et d’autres qui piratent nos appareils personnels.

Lorsque vous devez abandonner vos appareils technologiques pour réparation, pouvez-vous être sûr qu’ils ne seront pas piratés ?

Radio-Canada la boutique Elle a apporté des téléphones intelligents et des ordinateurs portables dans des magasins de réparation partout en Ontario, notamment dans les grandes chaînes Best Buy et Mobile Klinik, et a découvert que dans plus de la moitié des cas documentés, les techniciens avaient accès à des photos intimes et à des informations privées sans rapport avec la réparation.

la boutique Les appareils ont été livrés à 20 magasins, allant des petits magasins indépendants aux moyennes et grandes chaînes nationales, après l’installation d’un logiciel de surveillance sur les appareils. Au total, 16 magasins ont été enregistrés. (Dans quatre magasins, le logiciel de suivi n’a rien enregistré, ou les magasins ne semblaient pas utiliser les appareils.)

Les techniciens de neuf magasins avaient accès à des données privées, dont un technicien qui non seulement regardait les images, mais les copiait également sur une clé USB.

«Ces résultats sont effrayants», a déclaré Hasan Khan, professeur agrégé à l’École d’informatique de l’Université de Guelph. « Il fouille dans les informations, recherche des données sur les appareils des utilisateurs, copie les données de l’appareil… C’est très mauvais. »

Examiner l’étendue des violations de la vie privée par les techniciens des ateliers de réparation, la boutique Elle a collaboré avec Khan, qui s’occupait auparavant de la confidentialité Stade sur la réparation d’ordinateurs portables dans un certain nombre de magasins de l’Ontario, qui a révélé que plusieurs techniciens exfiltraient des données personnelles.

à la boutique Dans le cadre de l’enquête, Khan, ainsi que les étudiants diplômés Angela Tran et Brandon Litt, ont chargé quatre smartphones et six ordinateurs portables du type de données privées que de nombreux utilisateurs pourraient avoir sur leurs appareils : informations financières, comptes de réseaux sociaux et de messagerie, ainsi qu’un journal.Navigateur. Par souci d’expérimentation, les informations étaient fausses, afin que les informations personnelles de personne ne soient compromises.

la boutique Il a également pris des portraits intimes de modèles avec leurs visages tronqués et a enregistré ces images, ainsi que d’autres images publiques, sur les appareils.

Pour les ordinateurs portables, Khan et son équipe ont initialement créé un correctif en désactivant le réseau WiFi. Les techniciens des premiers magasins n’avaient pas besoin de conserver l’appareil pour réparation, l’équipe de Khan a donc créé un nouveau problème logiciel qui obligeait les magasins à conserver l’appareil pour réparation, en désactivant le port USB.

Khan et ses étudiants ont installé un programme d’enregistrement secret qui capturerait l’écran et enregistrerait les accès des techniciens lors de chaque réparation.

Pour tester le smartphone, le professeur Muhammad Mannan de l’Université Concordia et titulaire d’un doctorat. L’étudiant Sajjad Burali a créé un problème de réparation (un écran clignotant) et installé un programme d’enregistrement qui enregistre les actions des techniciens sur l’écran.

Khan et d’autres experts en informatique la boutique Il ne sera pas nécessaire de regarder des photos ou des fichiers pour ce type de réparations, a-t-il déclaré.

« Examiner ces dossiers pour chercher une solution n’a aucun sens », a déclaré Khan.

la boutique Elle a partagé ses conclusions avec l’ancienne commissaire à la protection de la vie privée de l’Ontario, Anne Cavoukian, qui a déclaré : « Vos données personnelles identifiables sont très sensibles. »

« Il faut mettre un terme à cela [behaviour] …Nous devons trouver un moyen de le porter à l’attention du public.

Selon la loi fédérale sur la protection de la vie privée, toute entreprise, y compris les ateliers de réparation technologique, doit limiter la collecte d’informations personnelles à ce qui est nécessaire.

Des photos intimes ont été consultées

la boutique J’ai visité deux emplacements de la chaîne de réparation de smartphones Mobile Klinik, qui compte plus de 150 magasins à travers le Canada.

À Mississauga, l’équipe de Khan n’a détecté aucune intrusion sur un smartphone amené pour réparation. Cependant, à Woodbridge, l’équipe a documenté un technicien de Mobile Klinik parcourant un compte Facebook sur l’appareil et regardant des photos stockées sur le téléphone, y compris des photos personnelles intimes.

Dans une déclaration à la boutiqueUn porte-parole de Mobile Klinik a déclaré que « ce qui s’est passé dans cette affaire est inacceptable » et que « la protection de la vie privée de nos clients est notre priorité numéro un ».

La société a indiqué qu’elle avait mis en place des « politiques solides » pour protéger les données des clients. « À la suite de notre propre enquête et sur la base des informations fournies par CBC la boutiqueForce est de constater que le technicien qui a réparé cet appareil n’a pas suivi la bonne procédure. En conséquence, le technicien a été licencié.

La société a également déclaré la boutique Elle utilise l’incident pour renforcer sa formation en matière de confidentialité et de sécurité des données auprès des employés et a déclaré qu’elle souhaitait créer son propre programme d’achat secret en utilisant la technologie de capture d’écran.

après la boutique Après avoir déposé un ordinateur portable à Markham de la chaîne de réparation d’appareils électroniques et technologiques Best Buy, qui compte 164 magasins à travers le Canada, l’équipe de Khan a découvert qu’un technicien avait parcouru plusieurs dossiers de photos, y compris ceux portant des noms comme « Bikinis » et « Bikinis. » « Rendez-vous ». Et des « vêtements de nuit ». Le technicien a également supprimé la photo intime qu’il avait ouverte des fichiers récemment consultés, effaçant ainsi toute indication de son ouverture.

« Ils dégagent leurs traces », a déclaré Khan. Sans ce type de logiciel d’enregistrement, le consommateur moyen n’aurait aucune idée qu’un technicien a examiné ces images.

Le technicien « n’a absolument aucun droit d’obtenir cette information », a déclaré Cavoukian.

« Je pense que c’est terrible », a-t-elle déclaré.

la boutique J’ai contacté Best Buy à plusieurs reprises pour obtenir une réponse, mais la société n’a fourni aucun commentaire.

Dans un magasin Best Buy d’Oakville, en Ontario, dans deux magasins Apple et deux magasins indépendants, les employés ont déclaré que le correctif pourrait nécessiter un reflasher ou une réinstallation du système d’exploitation sur les appareils. Khan a déclaré que cela aurait effacé le programme d’enregistrement et de surveillance la boutique Ils n’y ont pas laissé les appareils et ont exclu ces magasins du test.

Images copiées sur clé USB

la boutique Les ordinateurs portables ont été laissés dans les sites d’Oakville et de Markham de la chaîne de réparation électronique et technologique Canada Computers & Electronics, une entreprise comptant 42 sites à travers le Canada. Dans les deux magasins, les techniciens ont visionné des photos intimes.

Sur le site de Markham, un technicien a visualisé les photos intimes sous forme de très grandes icônes, ce qui les rend plus faciles à voir sans les ouvrir, ce qui signifie qu’elles n’apparaissent pas comme des fichiers récemment consultés. La personne a également consulté l’historique du navigateur de l’ordinateur portable avant de finalement réparer la clé USB, puis de copier toutes les photos de l’ordinateur portable sur sa clé USB.

« Sur quelle planète est-ce permis ? » » dit Cavoukian.

Dans une déclaration envoyée par courrier électronique, Canada Computers a déclaré qu’elle prenait au sérieux son « obligation de respecter les informations personnelles de ses clients » et que sa propre enquête sur l’incident indique qu’il s’agissait d’un événement isolé au cours duquel un technicien quelque part a violé sa politique de confidentialité. « Cet employé a fait l’objet de mesures disciplinaires », indique également la lettre. La chaîne a expliqué que l’autre technicien essayait de « diagnostiquer le problème » et que cela « n’incluait pas de tentatives inappropriées d’accès aux données personnelles ».

La société a ajouté qu’à la lumière de… marché Enquête, ses techniciens ont reçu un « cours de remise à niveau sur la façon de protéger les informations personnelles des clients lors du diagnostic et de la réparation des appareils électroniques ».

la boutique aussi Les techniciens du documentaire accèdent aux images d’une autre série moyenne, Dr. Phone Fix et quatre magasins indépendants : KW PC and Cell Repair à Kitchener ; Ordinateurs SK à Brampton ; Liaison informatique à Markham ; Et connectez-le à Mississauga.

Ces deux sociétés ont déclaré la boutique Dans des déclarations séparées envoyées par courrier électronique indiquant leur engagement à protéger la vie privée de leurs clients, la plupart d’entre eux ont cité les politiques de l’entreprise en matière de confidentialité des données.

KW PC et Cell Repair ont indiqué que leur politique est que « toutes les données des clients sont privées et ne doivent pas être consultées, sauf si cela se produit accidentellement au cours d’une procédure de diagnostic », ajoutant qu’elles réimplémentent leur politique de confidentialité des données pour tous les employés.

Link it Up a déclaré qu’il enquêtait sur l’affaire et a noté qu’il disposait de politiques et de procédures pour le traitement des données et que « tout employé qui enfreint ces politiques sera soumis à des mesures correctives ».

Computerlink a déclaré que ses techniciens « ne sont impliqués dans aucune intrusion de données » et qu’ils peuvent avoir accédé à certains fichiers de manière aléatoire à des fins de dépannage, de diagnostic et de vérification de l’intégrité des données. SK Computers a déclaré que la recherche par le technicien de toutes les images sur l’ordinateur était nécessaire pour garantir une analyse approfondie de l’appareil et identifier les virus potentiels.

Khan a déclaré qu’il existe des moyens plus efficaces et moins intrusifs de vérifier l’intégrité des données et de rechercher des logiciels malveillants ou des virus que d’ouvrir ou de visualiser des photos personnelles.

Le Dr Phone Fix a déclaré que l’écran du téléphone affichait une « touche fantôme » – ce qui signifie qu’il a changé sans aucune instruction de la part de l’utilisateur – et qu’il est possible que les photos aient été consultées par inadvertance sans aucune action de la part du technicien. Cependant, l’équipe technologique est en retard marché Les tests ont confirmé que le téléphone n’a pas de problème de toucher fantôme.

la boutique Les appareils ont été déposés dans sept magasins où les techniciens ne sont pas intervenus : Mobile Klinik à Mississauga ; Outils futurs Mississauga ; Magasin de matériel informatique ordinateurs à Kitchener. PhoneJI à Mississauga ; Dépôt de service Apple à Markham ; KW Cellulaire à Guelph; et Nerds 4 Hire à Markham.

Cavoukian a demandé au commissaire fédéral à la protection de la vie privée d’enquêter la boutiqueRésultats.

Le commissaire à la protection de la vie privée du Canada, Philippe Dufresne, a refusé une demande d’entrevue. Mais dans un communiqué, un porte-parole du Commissariat à la protection de la vie privée a souligné que les entreprises ne devraient pas ouvrir de fichiers qui ne sont pas nécessaires à la réparation d’un appareil. Si nécessaire, ils doivent obtenir le consentement éclairé de la personne propriétaire de l’appareil.

« De nos jours, la confidentialité ne peut pas être une considération secondaire » pour les entreprises de réparation technologique, a déclaré Cavoukian.

Khan aimerait que les correctifs techniques soient enregistrés et audités de manière aléatoire pour garantir qu’aucune violation de la vie privée ne se produise pendant la correction, et même que des amendes soient imposées aux entreprises de réparation technique qui accèdent inutilement aux données privées.

« Il ne devrait pas incomber aux utilisateurs de s’assurer comme par magie qu’il n’y a rien sur leurs appareils que ces personnes ne puissent pirater. »