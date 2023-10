Lorsque vous devez déposer vos appareils technologiques pour une réparation, êtes-vous sûr qu’ils ne seront pas espionnés ?

CBC Marché a emmené des smartphones et des ordinateurs portables dans des magasins de réparation partout en Ontario – y compris de grandes chaînes Best Buy et Mobile Klinik – et a constaté que dans plus de la moitié des cas documentés, les techniciens avaient accédé à des photos intimes et à des informations privées sans rapport avec la réparation.

Marché a déposé les appareils dans 20 magasins, allant des petits magasins indépendants aux chaînes de taille moyenne en passant par les grandes chaînes nationales, après avoir installé un logiciel de surveillance sur les appareils. Au total, 16 magasins ont été recensés. (Dans quatre magasins, le logiciel de suivi n’a rien enregistré, ou les magasins ne semblaient pas allumer les appareils.)

Les techniciens de neuf magasins ont accédé à des données privées, dont un technicien qui a non seulement visionné des photos, mais les a également copiées sur une clé USB.

REGARDER | Test de réparation technique : qui espionne vos affaires ? Comment Marketplace a surpris les techniciens de réparation technique en train de fouiner Vidéo en vedetteDans le cadre d’une enquête exclusive, Marketplace a abandonné des appareils chargés de logiciels secrets pour documenter ce que les techniciens de réparation examinaient pendant les réparations.

« Ces résultats sont effrayants », a déclaré Hassan Khan, professeur agrégé à l’école d’informatique de l’Université de Guelph. « Il s’agit de parcourir des informations, de rechercher des données sur les appareils des utilisateurs, de copier des données hors de l’appareil… c’est aussi grave que possible. »

Pour examiner l’étendue des atteintes à la vie privée commises par les techniciens des magasins de réparation, Marché a fait équipe avec Khan, qui avait déjà fait une confidentialité étude sur la réparation d’ordinateurs portables dans un certain nombre de magasins de l’Ontario, qui a révélé que de nombreux techniciens fouinaient dans les données personnelles.

Pour le Marché Lors de l’enquête, Khan, avec les étudiants diplômés Angela Tran et Brandon Lit, a chargé quatre smartphones et six ordinateurs portables avec le type de données privées que de nombreux utilisateurs auraient sur leurs appareils : informations financières, comptes de réseaux sociaux et de messagerie, ainsi que l’historique du navigateur. Pour le bien de l’expérience, les informations étaient fausses, donc les informations personnelles de personne ne seraient en danger.

Marché a également pris des photos intimes de style selfie de deux modèles dont les visages étaient rognés, et ces photos, ainsi que d’autres photos génériques, ont été enregistrées sur les appareils.

Exemples de quelques photos de selfie de modèles mystères chargées sur les appareils par Marketplace. (CBC)

Pour les ordinateurs portables, Khan et son équipe ont initialement créé un problème de réparation en désactivant le WiFi. Les techniciens des premiers magasins n’avaient pas besoin de conserver l’appareil pour le réparer. L’équipe de Khan a donc créé un nouveau problème logiciel qui obligerait les magasins à conserver l’appareil pour le réparer, en désactivant le port USB.

Khan et ses étudiants ont installé un logiciel de journalisation secret qui capturerait et enregistrerait les accès des techniciens lors de chaque réparation.

Pour le test du smartphone, le professeur Mohammad Mannan de l’Université Concordia et son doctorat. L’étudiant Sajjad Pourali a créé un problème de réparation (un écran scintillant) et installé un logiciel de journalisation qui enregistrait les actions des techniciens.

Khan et d’autres experts en informatique Marché l’interlocuteur a déclaré que regarder des photos ou des fichiers ne serait pas nécessaire pour ce type de réparations.

« Parcourir ces fichiers pour rechercher une solution n’a aucun sens », a déclaré Khan.

Lors du test de surveillance de Marketplace, les techniciens de ces neuf magasins ontariens ont accédé à des données privées. (CBC)

Marché a partagé ses conclusions avec l’ancienne commissaire à la protection de la vie privée de l’Ontario, Ann Cavoukian, qui a déclaré : « vos données personnelles identifiables sont extrêmement sensibles ».

« Nous devons mettre un terme à cela [behaviour] … Et nous devons trouver un moyen de le porter à l’attention du public. »

Selon la loi fédérale sur la protection de la vie privée, toute entreprise commerciale, y compris les magasins de réparation technique, doit limiter la collecte d’informations personnelles à ce qui est nécessaire.

Photos intimes consultées

Marché a visité deux emplacements de la chaîne de réparation de téléphones intelligents Mobile Klinik, qui compte plus de 150 magasins à travers le Canada.

À Mississauga, l’équipe de Khan n’a détecté aucune surveillance sur le smartphone amené pour réparation. Cependant, à Woodbridge, l’équipe a documenté qu’un technicien de Mobile Klinik faisait défiler le compte Facebook sur l’appareil et regardait les photos stockées sur le téléphone, y compris les selfies intimes.

Hassan Khan, professeur agrégé d’informatique à l’Université de Guelph, au centre, ainsi que les étudiants diplômés Brandon Lit, à gauche, et Angela Tran, ont installé un logiciel de journalisation secret qui capturerait et enregistrerait les accès des techniciens lors de chaque réparation d’ordinateur portable. (Dave MacIntosh/CBC)

Dans une déclaration à Marchéun porte-parole de Mobile Klinik a déclaré que « ce qui s’est passé dans ce cas est inacceptable » et que « la protection de la vie privée de nos clients est notre première priorité ».

La société a indiqué qu’elle avait mis en place des « politiques robustes » pour protéger les données des clients. « À la suite de notre propre enquête et sur la base des informations fournies par CBC Marché, il est clair que le technicien qui a réparé cet appareil n’a pas suivi la procédure appropriée. En conséquence, le technicien a été licencié. »

L’entreprise a également déclaré Marché l’entreprise utilise l’incident pour renforcer la formation de ses employés en matière de confidentialité et de sécurité des données et a déclaré vouloir mettre en place son propre programme d’achats secrets en utilisant la technologie de capture d’écran.

Une capture d’écran de l’une des images consultées par un technicien de réparation dans une clinique Mobile Klinik à Markham, en Ontario. (Hassan Khan)

Après Marché a déposé un ordinateur portable dans un magasin de Markham de la chaîne de réparation d’appareils électroniques et techniques Best Buy, qui compte 164 magasins à travers le Canada, l’équipe de Khan a découvert qu’un technicien avait parcouru plusieurs dossiers de photos, y compris ceux portant des noms comme « Bikinis », « Date Fits ». et « Vêtements de nuit ». Le technicien a également supprimé une photo intime qu’il avait ouverte des fichiers récemment consultés, effaçant ainsi toute indication de son ouverture.

« Ils dégagent leurs traces », a déclaré Khan. Sans ce type de logiciel d’enregistrement, le consommateur moyen n’aurait aucune idée que le technicien a consulté ces photos.

Cavoukian a déclaré que le technicien n’avait « absolument aucun droit à cette information ».

« Je pense juste que c’est épouvantable », a-t-elle déclaré.

Marché a contacté Best Buy à plusieurs reprises pour obtenir une réponse, mais la société n’a fourni aucun commentaire.

Dans un magasin Best Buy d’Oakville, en Ontario, dans deux magasins Apple et quelques magasins indépendants, les employés ont déclaré que la réparation pourrait nécessiter le rechargement ou la réinstallation du système d’exploitation sur les appareils. Khan a déclaré que cela aurait effacé le logiciel de journalisation et de surveillance, donc Marché n’y a pas laissé d’appareils et a exclu ces magasins du test.

Photos copiées sur clé USB

Marché a laissé des ordinateurs portables dans les sites d’Oakville et de Markham de la chaîne de réparation d’appareils électroniques et techniques Canada Computers & Electronics, une entreprise comptant 42 sites à travers le Canada. Dans les deux magasins, les techniciens ont visionné des photos intimes.

Sur le site de Markham, un technicien a visualisé les photos intimes sous forme d’icônes très grandes, ce qui les rend plus faciles à voir sans les ouvrir, ce qui signifie qu’elles n’apparaîtront pas comme des fichiers récemment consultés. La personne a également consulté l’historique du navigateur de l’ordinateur portable avant de réparer la clé USB, puis de copier toutes les photos de l’ordinateur portable sur sa propre clé USB.

Une capture d’écran montre le dossier d’images de l’ordinateur portable copié sur la clé USB d’un technicien de Canada Computers après avoir réparé le port USB. (Hassan Khan)

« Sur quelle planète est-ce permis ? » » dit Cavoukian.

Dans une déclaration envoyée par courrier électronique, Canada Computers a déclaré qu’elle prenait « très au sérieux son obligation de respecter les informations personnelles de ses clients » et que sa propre enquête sur l’incident avait indiqué qu’il s’agissait d’un événement isolé au cours duquel un technicien d’un site a violé sa politique de confidentialité. Il disait également : « Cet employé a fait l’objet de mesures disciplinaires. » La chaîne a expliqué que l’autre technicien tentait de « diagnostiquer le problème » et que cela « n’impliquait pas de tentatives inappropriées d’accès à des données personnelles ».

La société a ajouté qu’à la lumière de Le marché enquête, ses techniciens ont reçu « un cours de recyclage sur la façon de protéger les informations personnelles des clients lors du diagnostic et de la réparation des appareils électroniques ».

Marché aussi des techniciens documentés accédant à des photos dans une autre chaîne de taille moyenne, Dr. Phone Fix, et dans quatre magasins indépendants : KW PC et Cell Repair à Kitchener ; Ordinateurs SK à Brampton ; Computerlink à Markham; et Link It Up à Mississauga.

Chacune de ces sociétés a déclaré Marché dans des déclarations par courrier électronique distinctes, ils affirment qu’ils s’engagent à protéger la vie privée de leurs clients et font généralement référence aux politiques de l’entreprise en matière de confidentialité des données.

L’ancienne commissaire à la protection de la vie privée de l’Ontario, Ann Cavoukian, a demandé au commissaire à la protection de la vie privée du Canada d’enquêter sur les conclusions de Marketplace. (Dave MacIntosh/CBC)

KW PC and Cell Repair a indiqué que sa politique est que « toutes les données des clients sont privées et ne doivent pas être consultées à moins que cela ne se produise par coïncidence lors d’un diagnostic », ajoutant qu’elle réimplémente sa politique de confidentialité des données pour tous les employés.

Link it Up a déclaré qu’il enquêtait et a indiqué qu’il disposait de politiques et de procédures de traitement des données et que « tout employé trouvé en violation de ces politiques sera soumis à des mesures correctives ».

Computerlink a déclaré que ses techniciens « ne se livrent à aucune surveillance de données » et qu’ils peuvent avoir accédé à quelques fichiers de manière aléatoire à des fins de dépannage et de diagnostic et pour vérifier l’intégrité des données. SK Computers a déclaré que la recherche par un technicien de toutes les photos présentes sur l’ordinateur aurait été une procédure nécessaire pour garantir un examen approfondi de l’appareil et identifier les virus potentiels.

Khan a déclaré qu’il existe des moyens plus efficaces et moins invasifs de vérifier l’intégrité des données et de rechercher des logiciels malveillants ou des virus que l’ouverture ou la visualisation d’images personnelles.

Le Dr Phone Fix a déclaré que l’écran du téléphone présentait un « toucher fantôme » – c’est-à-dire qu’il changeait sans aucune instruction de la part de l’utilisateur – et qu’il était possible que les photos aient été consultées par inadvertance sans aucune action de la part du technicien. Cependant, l’équipe technique derrière Le marché le test a confirmé que le téléphone n’avait pas de problème de toucher fantôme.

Marché ils ont déposé les appareils dans sept magasins où les techniciens n’ont pas fouillé : Mobile Klinik à Mississauga ; Futurs gadgets à Mississauga ; Ordinateurs de magasin d’ordinateurs à Kitchener ; PhoneJI à Mississauga ; Dépôt de service Apple à Markham ; KW Cellulaire à Guelph; et Nerds 4 Hire à Markham.

Cavoukian a demandé au commissaire fédéral à la protection de la vie privée d’enquêter Marchéles conclusions de.

Le commissaire canadien à la protection de la vie privée, Phillipe Dufresne, a refusé une demande d’entrevue. Mais dans un communiqué, un porte-parole du Commissariat à la protection de la vie privée a souligné que les entreprises ne devraient pas ouvrir de fichiers qui ne sont pas nécessaires à la réparation d’un appareil. Si cela est nécessaire, ils doivent obtenir le consentement significatif de la personne propriétaire de l’appareil.

« De nos jours, la confidentialité ne peut pas être une considération après coup » pour les entreprises de réparation technique, a déclaré Cavoukian.

Khan aimerait que les réparations techniques soient enregistrées et auditées de manière aléatoire pour garantir qu’aucune violation de la vie privée ne se produise lors d’une réparation, et même que des amendes soient imposées aux entreprises de réparation technique qui accèdent inutilement à des données privées.

« Il ne devrait pas incomber aux utilisateurs de s’assurer, d’une manière ou d’une autre, comme par magie, qu’il n’y a rien sur leur appareil que ces personnes ne pourraient pas espionner. »