Avertissement: Je vais proposer un point de vue différent sur cette question
Q: Est-il sécuritaire d'utiliser un ordinateur portable d'occasion après avoir réinstallé Ubuntu?
A: NON
La simple réinstallation ne le rendra pas "sûr" dans un sens général et ne le rendra pas "sûr" si vous soupçonnez être victime d'une attaque de votre vendeur.
Quelques points à ce sujet:
- Confiance
Tout matériel "étranger" que vous utilisez et / ou introduisez dans votre réseau domestique à partir d’une source "non fiable" est un risque et ne doit pas être approuvé par défaut.
Cependant, à qui faites-vous confiance? Eh bien, cela dépend en grande partie du degré de votre cible et de votre degré de paranoïa ...
Il est difficile de faire des généralisations ici et de dire que les gros fournisseurs de matériel informatique peuvent acheter en toute sécurité, car le passé a montré qu’ils n’étaient pas vraiment . Voir quelques faits saillants aléatoires ici:
Bien que ces nouvelles que j'ai trouvées avec googlefu rapide soient axées sur Windows, il est une idée fausse commune que Linux est sûr (er) de virus / chevaux de Troie .
En outre, ils peuvent tous être attribués, au moins dans une certaine mesure, à la négligence plutôt qu’à des attaques délibérées.
Plus encore, nous ne savons généralement pas ce qui se cache dans les micrologiciels et pilotes propriétaires qui n’ont pas été évalués par les pairs ().
Pour citer une étude de 2015 :
Avec le micrologiciel du système, une couche logicielle beaucoup plus privilégiée existe dans les systèmes informatiques modernes, bien que celle-ci soit récemment devenue la cible d'attaques informatiques sophistiquées. Les stratégies de compromis utilisées par les rootkits de haut niveau sont presque totalement invisibles pour les procédures judiciaires standard et ne peuvent être détectées qu'avec des mécanismes logiciels ou matériels spéciaux.
Alors, en gardant à l'esprit une attaque spécifique et ciblée, elle est même plausible - bien que très improbable puisqu'il existe des méthodes plus simples - que le microprogramme de votre ordinateur portable, le BIOS ou même le matériel lui-même a été manipulé (par exemple avec un microcontrôleur / enregistreur de frappe soudé sur la carte mère, etc.).
En conclusion de ce point:
Vous ne pouvez pas faire confiance à aucun matériel - à moins que vous ne l'ayez soigneusement contrôlé, de haut en bas, du matériel au firmware aux pilotes.
Mais qui fait ça, non? Eh bien, cela nous amène au point suivant.
- Risques et expositions
Quelle est la probabilité que vous soyez une cible ?
Eh bien, c’est quelque chose que vous ne pouvez déterminer que pour vous-même et il n’ya pas de guide point à point disponible (que je pourrais trouver), mais voici quelques conseils d’exposition:
-
Combien vous volez-vous : outre le numéro de sécurité sociale évident (pour les Américains) et les cartes de crédit / services bancaires (pour tous les autres) - vous êtes peut-être riche ou de l'argent récemment (héritage, paiements de bonus, pièces de monnaie, etc.) ou vous êtes propriétaire d'une entreprise?
-
Êtes-vous exposé à votre travail : vous gérez peut-être des fichiers confidentiels ou êtes actif dans une fonction politique, ou vous travail à la DMV ou peut-être travaillez-vous pour Evil Corp ou il est autrement avantageux de vous attaquer / espionner à cause de votre travail (gouvernement, armée, science, etc.)
-
Êtes-vous exposé par procuration : ce n’est peut-être pas vous qui êtes riche, mais une famille élargie ou peut-être que vous n’avez pas d’entreprise, mais votre conjoint, etc.
-
Ennemis : Peut-être y a-t-il des personnes pour vous obtenir, qui ont de la rancune vis-à-vis des accords commerciaux, des anciens employeurs ou employés, etc.Peut-être que vous êtes actuellement en instance de divorce ou que vous vous battez pour la garde de vos enfants, etc.
et risque , qui se résume principalement à
-
Des sources douteuses : achetez-vous un ordinateur portable dans le coffre d'une voiture d'un type que vous venez de rencontrer il y a quelques minutes pour quelques sous sur le dollar? Des échanges darknet? De nouveaux vendeurs sur eBay ou de vendeurs qui semblent avoir utilisé des robots pour obtenir des commentaires?
-
Correctifs : vous avez pour devise " Ne touchez jamais un système en cours d’exécution " et il est peu probable que vous corrigiez votre logiciel et votre système d’exploitation.
Alors, devriez-vous commencer à payer les gens pour qu'ils examinent les microprogrammes à source fermée, en étendant tout, etc., et en retirant les microphones intégrés de votre ordinateur portable?
Non, car il y a aussi
- Coût, ressemblance et découverte d’une attaque
À moins que vous ne soyez une cible de premier plan d’un groupe très riche, voire même gouvernemental, vos pirates vont faire preuve de moins de résistance et où vous êtes le plus vulnérable.
Parce que les kits d’outils d’exploitation «zero-day» hautement spécialisés coûtent plus cher et les attaques spécialisées sur les micrologiciels encore plus. Manipuler / manipuler physiquement votre matériel risque d’être exposé - et ces personnes ne veulent généralement pas se faire prendre.
Le passé nous montre qu’il est beaucoup plus probable que quelqu'un essaiera simplement de voler votre ordinateur portable pour obtenir des données précieuses, plutôt que de planter un ordinateur infecté.
Ou exploitez une vulnérabilité de sécurité connue que vous n’avez pas corrigée car vous n’avez pas mis à jour votre système d’exploitation et vos applications avec la dernière version ou parce que actuellement n'est pas un (bon) patch disponible pour le moment . Hacking dans votre WiFi ou peut-être même LAN pourrait également être plus faisable.
Il est également beaucoup plus facile d’essayer d’obtenir vos identifiants de connexion pour vos opérations bancaires, soit via Phishing , soit ingénierie sociale plutôt que de manipuler votre ordinateur portable.
Des rapports récents indiquent que des personnes essaient et clonent une carte SIM, simplement en se rendant chez votre opérateur de téléphonie mobile et en prétendant être vous-même - ne pas être interpellé par le personnel - et l'utiliser ensuite pour intercepter les messages TAN de votre banque. vos comptes ( Bien que pour la vie, je ne trouve rien à ce sujet sur Google en ce moment )
- Conclusion
Enlevant mon chapeau en papier d'aluminium, permettez-moi de vous indiquer cette bonne entrée sur Ubuntu Wiki sur les principes de base de la sécurité pour les utilisateurs .