Vous vendez votre smartphone ? Une réinitialisation d'usine ne protégera pas à elle seule vos données
L'option de réinitialisation d'usine intégrée de Google peut laisser vos données exposées même après une réinitialisation. Voici pourquoi une réinitialisation d'usine n'efface pas toutes vos données et ce que vous pouvez faire avant de vendre votre smartphone.
Il existe plusieurs bonnes raisons d'effectuer une réinitialisation d'usine :la correction de bogues suite à une mise à jour Android, l'entretien général pour maintenir les performances d'Android et la suppression supposée de toutes les données de votre téléphone.
Par exemple, la société de sécurité Avast a acheté 20 téléphones portables usagés sur eBay et a utilisé un logiciel de récupération facilement disponible pour récupérer des quantités incroyables de données personnelles à partir des appareils, y compris 40 000 photos, 1 000 recherches Google, des centaines d'e-mails et même une demande de prêt. C'est effrayant d'imaginer ce que les autres pourraient trouver sur votre téléphone après l'avoir vendu.
Réinitialiser aux paramètres d'usine :pourquoi cela ne fonctionne-t-il pas ?
Le problème de réinitialisation d'usine a été découvert par certains chercheurs de l'Université de Cambridge dans la première étude majeure de cette fonctionnalité de sécurité Android prise pour acquise. Les chercheurs ont testé une gamme d'appareils Android d'occasion exécutant plusieurs versions d'Android différentes et ont constaté que dans tous les cas, ils étaient capables de récupérer des jetons de compte - qui sont utilisés pour vous authentifier une fois qu'un mot de passe est entré pour la première fois - auprès de fournisseurs de services tels que Google, Facebook et WhatsApp. Dans 80 % des cas, ce qui est stupéfiant, ils ont pu récupérer le jeton principal.
Le jeton principal est essentiellement la clé de la porte d'entrée, l'équivalent d'installer un système de sécurité de premier ordre, puis de cacher la clé sous le paillasson. Une fois qu'un jeton principal est récupéré, le fichier d'informations d'identification de l'utilisateur peut être restauré et toutes vos données resynchronisées avec l'appareil :c'est-à-dire les e-mails, les photos stockées dans le cloud, les contacts et les calendriers.
- C'est la meilleure chose que vous puissiez faire pour sécuriser votre téléphone
Pourquoi les données privées sont-elles récupérables même après une réinitialisation d'usine ?
Il y a quelques raisons. Une partie de la faute revient aux fabricants qui ne fournissent tout simplement pas le logiciel requis pour effacer complètement le stockage flash. De même, le stockage flash est notoirement difficile à effacer, et bien sûr, Google est à blâmer pour ne pas fournir une option plus sûre aux utilisateurs.
Les chercheurs ont poursuivi en notant que même si les sociétés de sécurité et d'antivirus peuvent utiliser ces résultats pour promouvoir leurs propres outils et services, la seule vraie solution est susceptible de venir des fournisseurs eux-mêmes.
Malheureusement, même les appareils avec cryptage intégré ne sont pas à l'abri de ces faiblesses. La clé de déchiffrement reste également intacte sur un appareil une fois qu'il a été réinitialisé en usine. Bien que cette clé soit elle-même cryptée, y accéder nécessiterait quelques jours de travail pour la plupart des pirates, selon les chercheurs.
- Procédez avec prudence :comment repérer un faux dans le Play Store
- Meilleures applications antivirus et de sécurité pour Android
Comment réinitialiser correctement les paramètres d'usine, en supprimant toutes vos données
La principale chose que vous pouvez faire pour vous protéger est de crypter votre téléphone. L'option de chiffrement de votre téléphone se trouvera à différents endroits dans les paramètres de votre appareil selon le fabricant, mais en général, elle se trouve dans Paramètres > Sécurité > Chiffrer le téléphone . Si votre téléphone est équipé d'Android 6.0 ou version ultérieure, il est peut-être déjà chiffré par défaut.
Lorsque vous cryptez votre appareil, utilisez un mot de passe fort, généré de manière aléatoire, qui contient un mélange de lettres majuscules et minuscules, de chiffres et de symboles et qui comporte au moins 11 caractères. Le problème avec cela est qu'il est si difficile de taper régulièrement que la plupart des utilisateurs ne le feront tout simplement pas.
Alternativement, une fois qu'un téléphone a été réinitialisé en usine, le stockage flash peut être rempli de données inutiles pour écraser les jetons et les clés cryptographiques laissés dans le stockage flash. Cela pourrait être fait de manière rudimentaire avec quelques gros fichiers vidéo, ou avec une application conçue à cet effet. Il existe plusieurs applications hautement cotées disponibles sur le Play Store, comme Secure Erase avec iShredder 6. (Bien sûr, si vous voulez être encore plus sûr lorsque vous utilisez une application pour remplir le téléphone avec des données factices, il faudrait l'installer à l'extérieur de Google Play pour éviter qu'un jeton Google ne soit à nouveau enregistré sur l'appareil.)
Cette solution, cependant, pose des problèmes aux utilisateurs qui se retrouvent avec un appareil perdu ou volé, ou pour les appareils qui ont été effacés à distance avec Android Device Manager. Jusqu'à ce qu'une solution légitime soit trouvée, faites attention à qui vous vendez votre téléphone d'occasion.
Avez-vous déjà vendu un téléphone ? Pensiez-vous qu'une réinitialisation d'usine protégerait vos données ? Partagez votre opinion dans les commentaires.
- Que faire de votre téléphone Android avant de le vendre