Lorsque Arnold S.* allume sa smartwatch fraîchement achetée par le biais de la boutique Revendo de l'Europaallee à Zurich le 11 décembre 2024, il y découvre une drôle de surprise. Contrairement à ce que lui avait promis le revendeur suisse de produits électroniques d'occasion, les appareils contenaient encore d'anciennes données.
Lorsqu'il se connecte à son compte iCloud, Arnold trouve soudain d'innombrables mots de passe auxquels il a accès. Parmi eux, des identifiants Apple professionnels et des comptes Google d'au moins 16 collaborateurs et collaboratrices de Revendo. Il trouve également des accès pour le logiciel RH «Factorial», dont le mot de passe du directeur de la filiale de Zurich. Même le mot de passe d'un compte Revendo d'une entreprise de food trucks zurichoise se trouve dans les enregistrements. Comme si cela ne suffisait pas, Arnold trouve aussi une quantité de données de santé nouvellement synchronisées dans l'application Health App.
«J'aurais pu faire du shopping en toute tranquillité»
Des données sensibles, tout simplement accessibles pour le jeune producteur de vidéos. «Imaginez tout ce que j'aurais pu faire avec si j'avais voulu», s'étonne le Zurichois. Avec la clé privée d'un apprenti, il aurait même pu se connecter sans mots de passe, partout où une connexion Google était possible. «Parmi les données, il y avait aussi un mot de passe pour Galaxus, avec lequel j'aurais pu faire du shopping en toute tranquillité», plaisante-t-il. Comme il ne savait pas quoi faire, il s'est tourné vers Blick.
«Dans les données, j'ai également trouvé un mot de passe pour le logiciel YouWipe. Celui-ci est utilisé pour effacer les données», explique Arnold S. Le logiciel de la société scandinave d'effacement de données du même nom est recommandé entre autres par l'OTAN et les autorités allemandes. Une erreur de logiciel serait-elle donc à l'origine de cette étrange fuite de données?
Le CEO de Revendo s'excuse pour l'incident de la smartwatch
Interrogé par Blick, le CEO de Revendo Aurel Greiner a déclaré: «La situation décrite est un cas isolé que nous regrettons vivement. Nous aimerions encourager le client concerné à nous contacter directement afin que nous puissions clarifier l'incident en détail.»
Mais ce que l'entreprise tient à préciser dans l'immédiat, c'est que le contenu de «tous les appareils qui arrivent chez Revendo de la part de clients sont immédiatement effacés et les produits sont soumis à un strict principe de double contrôle avec un contrôle de qualité supplémentaire avant d'être mis en vente. Ces processus garantissent que les données des clients sur les appareils sont entièrement supprimées».
Les données présentes sur l'appareil du lecteur-reporter sont donc celles d'un collaborateur. «Nous mettons tout en œuvre pour éviter qu'un tel cas ne se reproduise», promet Aurel Greiner. Ce dernier ne précise pas si une erreur de logiciel est à l'origine de l'incident, notamment parce que Revendo ne dispose pas encore de l'appareil en question. Revendo a été fondée en 2013. Chaque année, environ 100'000 appareils sont vendus.
*Nom modifié
