Est-il prudent d'utiliser un ordinateur portable d'occasion après avoir réinstallé Ubuntu?

Dans un commentaire @ JörgWMittag écrit que vous devriez toujours demander "Quel est votre modèle de menace?" En d'autres termes: qui est l'adversaire et quelles informations voulez-vous lui cacher? Que vaut-il pour eux?

Si vous avez peur d'un adversaire appartenant au niveau gouvernemental et que celui-ci pense que vous en valez la peine, rien n'est à l'abri. Vous pouvez faire ce que vous voulez, ce ne sera pas en sécurité.

Toutefois, si vous êtes simplement une personne moyenne inquiète d'autres personnes, la réinstallation du système d'exploitation devrait suffire amplement.

Une inquiétude est que même si vous sécurisez le logiciel, le matériel ou le micrologiciel pourrait être compromis. Cependant, cela serait coûteux pour l’attaquant et donc hautement improbable.

Connaissez-vous le vendeur? S'ils ne sont qu'une personne aléatoire sur eBay, ils ne se soucieront pas assez de vous pour faire quoi que ce soit.

Vous pourriez vous inquiéter un peu si vous connaissez le vendeur ET qu'ils ont une rancune contre vous ET qu'ils maîtrisent bien le matériel informatique.

Si vous avez des questions plus spécifiques, elles devraient probablement continuer Security SE.

Assez beaucoup oui, mais…

Malheureusement, un accès physique direct non supervisé à un ordinateur annule sensiblement toute sécurité car, théoriquement, un attaquant disposant d'un accès physique peut faire tout ce qu'il veut avec la machine, y compris en altérant celle-ci pour compromettre tous les logiciels qui y sont exécutés à l'avenir. C'est très difficile à détecter. Cependant, il est tout aussi difficile de s’en tirer au départ et prend donc un attaquant très dévoué. Même pour ceux-là, il serait beaucoup plus simple d'essayer d'abord d'autres vecteurs d'attaque.

Conclusion: Vous êtes en sécurité à moins d'attirer d'une manière ou d'une autre l'attention d'un attaquant très dévoué et débrouillard.

Avertissement: je vais proposer un point de vue différent à cette question

Q: Est-il prudent d'utiliser un ordinateur portable d'occasion après avoir réinstallé Ubuntu?

A: NON

Simplement réinstaller ne le rendra pas "sûr" au sens général, et ne le fera pas non plus si vous pensez être victime d'une attaque de votre vendeur.

Quelques points à ce sujet:

1. Confiance

Tout matériel "étranger" que vous utilisez et/ou importez d'une source "non approuvée" sur votre réseau domestique constitue un risque et ne doit pas être approuvé par défaut. Cependant, à qui faites-vous faire confiance? Cela dépend en grande partie de votre cible et de votre paranoïa ...

Il est difficile de faire des généralisations ici et de dire que les gros fournisseurs de matériel sont sûrs d'acheter, parce que le passé a montré qu'ils ne le sont pas . Voir quelques faits saillants au hasard ici:

• Logiciels espions sur Lenovo avec logiciel supplémentaire
• HP utilise les pilotes Synaptics Touchpad avec keylogger
• IBM livre des logiciels aux clients sur des clés USB infectées par des logiciels malveillants

Bien que ces nouvelles que j'ai trouvées avec googlefu rapide soient axées sur Windows, il s’agit d’une idée fausse commune selon laquelle Linux est sans danger (-) de virus/chevaux de Troie . En outre, ils peuvent tous être attribués, du moins dans une certaine mesure, à la négligence, plutôt qu’aux attaques délibérées.

Plus précisément encore, nous ne savons généralement pas ce qui se cache dans les microprogrammes et pilotes propriétaires qui n’ont pas été examinés par les pairs ( et même les logiciels évalués par les pairs peuvent parfois être la source de mythes et de méfiance ).

Pour citer une étude de 2015 :

Avec le microprogramme du système, une couche logicielle beaucoup plus privilégiée existe dans les systèmes informatiques modernes, bien qu'elle soit récemment devenue la cible d'attaques informatiques sophistiquées plus souvent. Les stratégies de compromis utilisées par les rootkits de haut niveau sont presque totalement invisibles pour les procédures judiciaires classiques et ne peuvent être détectées qu'avec des mécanismes logiciels ou matériels spéciaux.

Donc, avec une attaque spécifique et ciblée en tête, il est même plausible - bien que très improbable puisqu'il existe des méthodes plus simples - que le micrologiciel de votre ordinateur portable, ou le BIOS ou même le matériel lui-même ait été manipulé (avec un microcontrôleur/keylogger soudé sur la carte mère, etc).

En conclusion à ce point:

Vous ne pouvez faire confiance à AUCUN matériel - à moins de l'avoir soigneusement examiné, de haut en bas, d'un matériel à un microprogramme en passant par les pilotes.

Mais qui fait ça, non? Eh bien, cela nous amène au point suivant.

2. Risque et exposition

Quelle est la probabilité que vous soyez une cible ?

Eh bien, c’est quelque chose que vous ne pouvez déterminer que par vous-même et il n’existe pas de guide point-à-point (que j’aurais pu trouver), mais voici quelques conseils d’exposition:

• Combien y a-t-il à vous voler : Outre le numéro de sécurité sociale évident (pour les Américains) et les cartes de crédit/services bancaires (pour tous les autres) - peut-être vous vous êtes riche ou avez récemment investi de l'argent (héritage, paiements de bonus, pièces de rechange, etc.) ou êtes-vous propriétaire d'une entreprise?

• Êtes-vous exposé à votre travail : Peut-être gérez-vous des fichiers confidentiels, ou êtes-vous actif dans une fonction politique, ou vous travaillez à la DMV ou peut-être que vous travaillez pour EvilCorp ou il est par ailleurs avantageux de vous attaquer/de vous espionner parce que de votre travail (gouvernement, militaire, science, etc.)

• Êtes-vous exposé par procuration : Peut-être que ce n'est pas vous qui êtes riche, mais une famille élargie ou que vous n'avez pas d'entreprise mais que votre conjoint en a, etc

• Ennemis : Peut-être existe-t-il des gens en quête de vous, qui ont de la rancune d’affaires, d’anciens employeurs ou d’employés, etc. Peut-être êtes-vous en instance de divorce ou êtes-vous en train de vous battre pour la garde de vos enfants, etc.

et risque , qui alourdit principalement jusqu'à

• Sources ombreuses : Achetez-vous un ordinateur portable dans le coffre d'une voiture d'un gars que vous venez de rencontrer il y a quelques minutes à peine pour un sou? Des échanges darknet? De nouveaux vendeurs sur eBay ou des vendeurs qui semblent avoir utilisé des robots pour faire des commentaires?
• Corriger : vous vivez sous le slogan " ne touchez jamais un système en fonctionnement " et il est peu probable que vous corrigiez votre logiciel et système d'exploitation.

Alors, devriez-vous commencer à payer les gens pour qu’ils examinent les micrologiciels à sources fermées, effacent tout, etc. et retirent les microphones intégrés de votre ordinateur portable?

Non, car il y a aussi

3. Coût, similarité et découverte d'une attaque

À moins que vous ne soyez la cible très médiatisée d'un groupe très riche, peut-être même gouvernemental, vos attaquants iront sur le chemin de la moindre résistance et où vous vous trouvez. le plus vulnérable.

Parce que les kits d’outils d’exploitation hautement spécialisés "zero-day" coûtent de l’argent et que les attaques spécialisées contre les microprogrammes sont encore plus rentables. La manipulation physique de votre matériel risque de vous exposer - et ces personnes ne veulent généralement pas se faire prendre.

Le passé nous montre qu'il est beaucoup plus probable que quelqu'un essaiera simplement de voler votre ordinateur portable pour obtenir des données précieuses, plutôt que de planter un ordinateur infecté.

Ou exploitez une faille de sécurité connue que vous n'avez pas corrigée parce que vous n'avez pas mis à jour votre système d'exploitation et vos applications vers la dernière version ou parce que n'est pas actuellement un (bon) correctif sur le marché . Piratage dans votre WiFi ou peut-être même LAN pourrait également être plus faisable.

Il est également beaucoup plus facile d'essayer d'obtenir vos identifiants de connexion pour les opérations bancaires, etc. via Phishing ou ingénierie sociale plutôt que de manipuler votre bloc-notes.

Il a récemment été rapporté que des personnes essayaient de cloner une carte SIM en s'adressant simplement à votre fournisseur de téléphonie mobile et en prétendant être vous - sans que le personnel ne le défie - et en l'utilisant ensuite pour intercepter les messages TAN de votre banque afin de vider vos comptes. ( Bien que pour la vie de moi je ne trouve rien à ce sujet sur Google pour le moment )

4. Conclusion

Enlever mon chapeau en papier d'aluminium, permettez-moi de vous indiquer cette bonne entrée du wiki Ubuntu sur les principes de base de la sécurité pour les utilisateurs .

Sur une note pratique, si vous êtes préoccupé par la sécurité au point de ne pas faire confiance au matériel, vous devriez envisager d’emmener votre ordinateur portable dans un centre de service. Les gens là-bas seront en mesure de vous dire si votre ordinateur portable a déjà été ouvert auparavant et de repérer tout matériel modifié/inhabituel éventuellement installé. De nombreuses attaques avancées (telles que les enregistreurs de frappe physiques, qui survivront à une réinstallation du système d'exploitation) nécessiteront que le propriétaire précédent ouvre le dossier.

Vous pouvez essayer de faire l’inspection vous-même (vérifier l’état de dommages des collerettes, jantes, vis et étiquettes inviolables/scellés de garantie), mais vous aurez probablement tendance à oublier bien plus d’indices qu’un testament professionnel. Par exemple. vous verrez si une étiquette anti-effraction est endommagée, mais vous pouvez en oublier une fausse ou une manquante.