La réinitialisation d'usine d'Android a un problème de sécurité. Voici comment y remédier
Comment vendez-vous un téléphone sans divulguer les données? Si vous avez utilisé un téléphone même brièvement, il contient toutes sortes de données sensibles, y compris des mots de passe et des jetons de connexion, ainsi que des textes et des photos personnels, qui doivent tous être effacés avant de pouvoir mettre le téléphone en vente en toute sécurité. La réponse standard est une réinitialisation d'usine, qui efface la mémoire et restaure les paramètres du téléphone, mais de plus en plus d'éléments prouvent que, pour les téléphones Android au moins, la réinitialisation d'usine ne suffit pas.
Une étude publiée la semaine dernière a révélé des méthodes permettant de récupérer des données extrêmement sensibles sur des téléphones supposément effacés, y compris le jeton de connexion utilisé pour se connecter à des comptes Google. La mémoire flash est au cœur du problème. Elle limite la fréquence à laquelle un bloc de mémoire donné peut être écrasé. Par conséquent, une réinitialisation des paramètres d'usine désignera souvent les données comme étant supprimées logiquement (c'est-à-dire susceptibles d'être écrasées) sans les écraser, afin de prolonger la durée de vie du disque dur. À l'aide de divers outils de récupération de base de données, deux chercheurs de Cambridge ont été en mesure d'analyser les téléphones effacés à la recherche de parties du disque dur désignées comme vides logiquement, récupérant des photos, des mots de passe et des journaux de discussion. En théorie, la réinitialisation d’usine est supposée effacer toutes ces données, mais grâce aux particularités de la mémoire flash, elle n’a pas été complètement effacée.
Essuyé téléphones Android ne sont pas essuyés tout le chemin
Ces problèmes de mémoire flash ne sont pas nouveaux, mais combinés à la manière dont les applications mobiles gèrent les connexions, ils ont de graves conséquences pour les utilisateurs d'Android. Une fois que vous êtes connecté à une application mobile, le téléphone conserve cette connexion avec un jeton d'authentification local – essentiellement un mot de passe que seul votre téléphone voit. Si ce jeton tombe entre de mauvaises mains, les attaquants peuvent l’utiliser pour se connecter, tout comme un mot de passe volé. Étant donné que ces jetons résident tous dans la mémoire du téléphone, ils constituent une cible de choix pour les voleurs. Si les réinitialisations d'usine ne les effacent pas, les voleurs pourraient utiliser ces jetons pour compromettre toutes les applications de votre téléphone.
La solution rapide à ce problème est simple: chiffrez les données sur votre téléphone avant de vous en débarrasser. (Vous pouvez trouver l'option dans Paramètres> Sécurité> Crypter le téléphone, pour toute version d'Android depuis la version 3.0.) Adrian Ludwig, ingénieur en chef pour la sécurité Android, a recommandé le chiffrement de disque préemptif à toute personne qui abandonne son téléphone. "Si vous envisagez de revendre ou de jeter votre appareil et que vous ne l'avez pas encore fait, cryptez-le puis effectuez une réinitialisation d'usine", a déclaré Ludwig, lorsqu'on lui a demandé de commenter sur le papier de Cambridge. Si le disque dur du téléphone est crypté, toutes les données non effacées seront brouillées et inutilisables. Le chiffrement de disque protège principalement contre les attaquants disposant d'un accès physique à votre appareil. Il est donc souvent négligé en faveur de mesures de sécurité basées sur le réseau, telles que l'authentification à deux facteurs. Cependant, pour cette attaque, il s'agit de la protection la plus importante que vous puissiez avoir. Ce n'est pas une protection complète, car il est possible d'utiliser la force brutale pour déchiffrer les mots de passe de chiffrement de disque plus simples, mais plus un mot de passe est complexe, plus les attaquants auront de la peine à le faire et deviendront plus coûteux.
"Si vous envisagez de revendre … chiffrez-le puis effectuez une réinitialisation d'usine."
Le cryptage de disque est également pourquoi, pour la plupart, les iPhones sont déjà protégés. Les iPhones utilisent la même mémoire SSD que les téléphones Android, mais les appareils iOS fournissent un chiffrement intégral du disque depuis 2009, année du déploiement d'iOS 3.0. Plus important encore, ce cryptage est pris en charge par le propre matériel d’Apple. Les iPhones actuels ont un coprocesseur entièrement dédié aux mesures de sécurité, appelé Secure Enclave, qui gère les clés et effectue le travail fastidieux du déchiffrement des données. En théorie, il serait possible de récupérer des fragments de données chiffrées et de les déchiffrer par la force, mais c'est un processus risqué et difficile, suffisant pour effrayer tous les attaquants, à l'exception des plus déterminés.
C'est pourquoi, lorsque les entreprises de sécurité se plongent dans les problèmes de réinitialisation d'usine, elles optent généralement pour Android plutôt que pour iOS. Lorsque la société de sécurité Avast a tenté de récupérer les données de 20 téléphones Android effacés l’an dernier, elle a été en mesure de rechercher des modèles spécifiques indiquant des photos, des textes ou d’autres données sensibles, ce qui a abouti à 250 selfies masculins nus. Mais le cryptage de l'iPhone brouille ces schémas, laissant les chercheurs à la case départ. "La criminalistique iOS est beaucoup plus difficile à faire qu'Android, car vous devez gérer le cryptage", a déclaré Jaromír Hořejší, chercheur chez Avast. "Vous pouvez avoir de la chance de récupérer la clé pour déverrouiller les fichiers cryptés, mais la clé peut ne pas fonctionner, car l'algorithme de cryptage n'est pas public."
"La criminalistique iOS est beaucoup plus difficile à faire que Android."
Google a mis en place des protections similaires dans les Nexus 6 et 9, mais assurer ce niveau de sécurité sur Android s'est révélé beaucoup plus difficile, malgré un support important dans la base de code. Le cryptage de l’ensemble du système de fichiers signifie que le téléphone doit activement décrypter toutes les données qu’il souhaite utiliser, ce qui peut nuire gravement aux performances si le téléphone n’a pas une puissance de traitement suffisante. L'iPhone résout ce problème avec un co-processeur dédié, mais en laissant de côté que la puissance de calcul est chère, et de nombreux téléphones Android moins chers ne sont tout simplement pas équipés pour cela. Google avait initialement prévu de faire du chiffrement intégral du disque un paramètre par défaut dans Lollipop, mais a tenu sa promesse plus tôt cette année lorsque les problèmes de performances se sont révélés trop difficiles à résoudre. Cela pose moins de problème si vous chiffrez le téléphone avant une réinitialisation d'usine, mais lorsqu'un téléphone est perdu ou volé, le paramètre par défaut peut être le seul moyen de protéger vos données.
Il s’agit d’un bourbier de sécurité classique, jouant à l’intersection des fournisseurs de matériel, de la sécurité des applications et d’Android dans son ensemble, sans solution simple, quel que soit l'angle. La bonne nouvelle pour les utilisateurs est que la collecte de données à partir de disques durs réinitialisés en usine est un travail lent et que la plupart des données récupérées sont des données de faible valeur telles que des textes et des listes de contacts. Pour le moment, les criminels semblent avoir décidé que cela ne valait pas la peine. Les chercheurs de Cambridge travaillent également avec Google pour combler les failles de sécurité du côté d'Android. Il est donc à espérer que les attaques deviendront encore plus intimidantes avec le temps. "Il est bon de voir l'amélioration d'Android 5.0", a déclaré Ross Anderson, l'un des chercheurs de Cambridge. "Nous espérons que les revendeurs de services téléphoniques prendront les mesures procédurales appropriées pour gérer le risque résiduel."
