Google reconnaît que la réinitialisation d’Android peut laisser accès à des données sensibles
Attention à vos photos de chats
Le 26 mai 2015 à 12h35
7 min
Société numérique
Société
Sur d'anciennes versions d'Android, le retour aux valeurs d’usine n’efface pas complètement les données sensibles, selon deux chercheurs de l’université de Cambridge, et celà même sur des appareils chiffrés. Or, ces anciennes versions équipent encore plus de la moitié des smartphones Android répertoriés par Google. Contacté par nos soins, le géant de Mountain View reconnaît le problème.
La remise à zéro d’une grande partie des terminaux Android laisse des traces. C’est ce qu’ont remarqué deux chercheurs de l’université de Cambridge, après avoir testé le retour aux valeurs d’usine de 21 smartphones de cinq constructeurs, équipés des versions 2.3 à 4.3 d’Android. Cela entre janvier et mai de l’an dernier, sur des mobiles d’occasion. Si ces versions ont entre deux et quatre ans, elles équipent toujours plus de la moitié des terminaux Android en usage.
L’étude, repérée par Ars Technica, montre que des récupérations automatisées des données personnelles ont fonctionné sur l’ensemble des appareils, même si elles ne sont pas obligatoirement complètes. Ce défaut pose un souci dans le cas de prêt, de revente ou de recyclage, ces données étant potentiellement récupérables par un tiers. Les possesseurs de smartphones utilisent en grande majorité cette fonction en un clic, dans les paramètres, afin de remettre à zéro l’appareil, qui indique bien supprimer l’ensemble des données personnelles.
Des contacts d’applications tierces récupérés
« Nous estimons que jusqu'à 500 millions de terminaux n'aseptisent pas la partition ‘data’ où les identifiants et d'autres données sensibles sont stockés, et que jusqu'à 630 millions ne nettoieraient pas la carte SD interne où les fichiers multimédia sont généralement sauvegardés » écrivent les chercheurs dans leur article. Parmi ces données sensibles potentiellement laissées, apparaissent des identifiants, des e-mails, des SMS et des contacts. Les contacts récupérés comprennent ceux d’applications tierces, dont Facebook et WhatsApp, même si l’association avec les contacts du téléphone doit être exécutée manuellement.
Dans 80 % des cas, les chercheurs ont pu récupérer le « ticket maître » (master token) du compte Google, qui permet aux applications de s’identifier aux services du géant de Mountain View, comme Gmail ou Google Docs. Les tickets pour les services individuels de Google ont été systématiquement récupérés. Ceux utilisés par d’autres applications sont aussi récupérables de cette manière. « Après le redémarrage, le téléphone a re-synchronisé avec succès les contacts, les emails et autres » déclarent les chercheurs.
Pour Google, la faute n'est pas à chercher du côté d'Android
Plus grave, les données peuvent être récupérées quand le chiffrement complet de l’appareil est activé, et ce, même si la clé de chiffrement est elle-même chiffrée et « salée ». La remise à zéro ne supprime pas le fichier contenant certaines données essentielles au chiffrement, ce qui laisse les indications nécessaires à un attaquant pour obtenir le contenu du téléphone.
Plusieurs raisons sont avancées pour ce défaut. Dans certains cas, les constructeurs n’ont pas intégré les pilotes nécessaires au formatage complet des puces mémoires. Un autre problème plus général est que les stockages de type Flash contiennent plus d’espace qu’indiqué (de l'overprovisionning, comme sur les SSD), pour pallier les cas de secteurs défectueux, ce qui peut provoquer des oublis lors de la suppression des données par le système. Étant donnée la nature de l'erreur, d'autres systèmes d'exploitation pourraient également être touchés, bien que l'étude ne s'y intéresse pas, pour le moment.
Contacté par nos soins, Google confirme à demi-mot la situation, en remerciant chaleureusement les deux chercheurs pour « leur contribution à la sécurité d'Android ». Mais pour la société, le souci ne viendrait pas vraiment de son système d'exploitation. « Comme Simon et Anderson l'ont décrit, l'implémentation d'Android dépend d'autres matériels et logiciels pour réaliser l'effacement complet (principalement le micro-contrôleur de la mémoire Flash). Dans certains cas, le matériel et/ou logiciel sous-jacent ne fonctionne pas comme attendu » avance prudemment Adrian Ludwig, ingénieur en chef sur la sécurité d'Android, dans une déclaration que nous a fait parvenir le géant de Mountain View. L'ingénieur explique que l'effacement des données a été modifié dans Android 3.0, en 2011, pour qu'il supprime vraiment toutes les informations... Sans que cela n'améliore tant la situation, selon l'étude de Cambridge.
Google reconnait donc que, dans certains cas, l'effacement peut ne pas être complet, même s'il ne quantifie pas le nombre de terminaux potentiellement touchés. Dans l'étude, les deux chercheurs de Cambridge estiment eux que la sécurité s'améliore au fil des versions, même si tous les terminaux ont laissé fuiter les informations-clés recherchées. Entre la version 2.3 et 4.3 d'Android, les taux de suppression mal sécurisée sont en chute libre sur la partition data et la carte SD interne (qui contiennent les données des applications), à l'inverse des cartes SD secondaires (externes) qui ne sont pas elles effacées efficacement, voire effacées tout court.
La balle est dans le camp des constructeurs
Les deux chercheurs émettent enfin une série de recommandations pour les constructeurs et les développeurs de versions d’Android fondée sur l'édition open source (AOSP). Ils proposent ainsi d’émuler la partition de données, d’opter pour un formatage des partitions entières, et non pas de l’espace réservé à l’utilisateur, ou encore d’implémenter une seule fonction de formatage de l’appareil (liée au « recovery » ou au « bootloader »), pour mieux s’assurer de son efficacité. Ils proposent également d’envoyer un signal aux applications avant la remise à zéro, pour que le service en révoque l'autorisation. Globalement, ils estiment que les surcouches des constructeurs sont une source de problèmes de sécurité, tant elles modifient des fonctions importantes du système.
C’est une mauvaise nouvelle pour Google, qui compte beaucoup sur la sécurité pour conquérir le marché de l’entreprise. Le groupe californien a lancé en février « Android for Work », une série de fonctions et de services destinés à faciliter l’intégration d’Android en entreprise, en permettant notamment de créer un profil professionnel « blindé » à côté du profil personnel sur les smartphones des employés, comme c'est déjà le cas sur BlackBerry OS.
Rien ne dit pourtant que le défaut d’effacement touche aussi gravement les dernières versions d’Android, notamment Lollipop, lancé en novembre dernier et qui intègre des fonctions de sécurité développées initialement par Samsung. Les recommandations classiques restent, elles, valides : activez si possible le chiffrement intégral de l’appareil, utilisez des mots de passe fort et, si le cœur vous en dit, l’effacement à distance intégré à Android, qui reste malgré tout une sécurité. Les solutions d'éditeurs tiers, qui pourraient capitaliser sur cette découverte, ne sont en elles-mêmes pas des garanties supplémentaires dans ce cas.
Pour sa part, Google recommande également fortement d'activer le chiffrement complet de l'appareil, « disponible sur 94 % des terminaux ». « Le chiffrement s'assure que les données sont protégées par Android lui-même, plutôt que par des implémentations matérielles diverses qui peuvent ne pas effacer correctement en cas d'erreur » explique encore Adrian Ludwig de Google. Dans le même ordre d'idées, « la récupération de données depuis un appareil chiffré et effacé de manière incomplète est significativement plus difficile que s'il n'est pas chiffré ». En clair, sortez couverts pour mettre toutes les chances de votre côté.
Google reconnaît que la réinitialisation d’Android peut laisser accès à des données sensibles
-
Des contacts d’applications tierces récupérés
-
Pour Google, la faute n'est pas à chercher du côté d'Android
-
La balle est dans le camp des constructeurs
Commentaires (21)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 26/05/2015 à 13h39
Clair, un peu la même excuse que pour les mises à jours
Suite à l’info doit y avoir quelques entreprises qui utilisent le BOYD qui doivent un peu flipper là " />
Le 26/05/2015 à 13h52
C’est le moins qu’on puisse dire……. J’ai acheté un HTC one m7 d’occasion, le téléphone était réinitialisé. Problème : il manquait environ 15 go d’espace….. Après installation de explorer+, j’ai trouvé des dizaines de photos et vidéos de l’ancien propriétaire…….
Le 26/05/2015 à 13h59
Le 26/05/2015 à 14h04
Et il y avait des photo de chattes chats ?
Le 26/05/2015 à 14h41
Le 26/05/2015 à 14h47
Le 26/05/2015 à 15h03
Je pense qu’il voulait juste savoir si l’appareil photo du téléphone était de bonne facture " />
Le 26/05/2015 à 15h06
Le 26/05/2015 à 15h07
Bon, en même temps, je suppose que tu ne l’as pas acheté pour faire des photos " />
Le 26/05/2015 à 15h21
Le 26/05/2015 à 21h29
je suis étonné du peu de réactions concernant cet article qui parle tout de même de quelques chose de grave! " /> J’ose même pas imaginer les 10 pages de trolls et de vomissage qu’on aurait eu si ça avait été WP ou pire Apple! " /> Mais bon, là vu que ça concerne Google la majorité des geeks (qui sont pro-Android pour son côté libre et bidouillable) ferment leur gueule alors que l’on parle quand même de quelques chose d’inadmissible dont ils seraient les premiers à gueuler si ça concernait un autre OS fermé! Comme toujours du 2 poids 2 mesures… " />
Le 26/05/2015 à 22h03
faut croire que les tous les trolls ne sont pas abonnés " />
Le 27/05/2015 à 07h06
Le 27/05/2015 à 07h24
Le 27/05/2015 à 07h47
Perso, si je revendais mes smartphone (mais je les garde en collection) je pense que je ferais un wipe des partition data system etc… et réinstallerais une ROM d’origine.
mais effectivement ça fait froid dans le dos que le “format data” depuis l’outil de réinitialisation ne formate pas vraiment…
Obligé de passer par adb, fastboot ou le recovery.
Le 27/05/2015 à 09h05
Bon à savoir. Je ferai très attention le jour où je devrai donner mon appareil à quelqu’un !
Le 26/05/2015 à 12h55
C’est marrant le sous-titre est au masculin … je l’aurai mis au féminin perso … " /> " />
Le 26/05/2015 à 13h02
" />
Le 26/05/2015 à 13h04
c’est quoi la photo d’illustration ???
je veux le meme !
Le 26/05/2015 à 13h16
Le c’est pas nous c’est eux est bien beau, mais ça ne change pas le soucis de sécurité flagrant, c’est a mon avis a google de verifier que les constructeurs implémente leur os correctement afin d’éviter ce genre de soucis…
Le 26/05/2015 à 13h19
C’est clair que c’est un peu facile de se décharger de responsabilité … A voir si ils vont rajouter dans la certification “Android”, ce genre de validation de “sécurité” …