Depuis quelques jours, on voit apparaître de nombreux sujets sur la toile qui insistent sur le caractère insuffisant de la restauration du téléphone sous Android pour supprimer ses données personnelles. L’information fait suite à une découverte réalisée par les équipes du célèbre antivirus Avast qui ont réussi à récupérer des dizaines de milliers de photos, SMS ou email sur 20 smartphones d’occasion pourtant effacés. Il existe toutefois des manières sécurisées d’effacer ses données.

données privées

C’est un pavé dans la mare qu’a jeté Avast il y a quelques jours en annonçant avoir réussi à récupérer plus de 40 000 photos, 750 emails et SMS ainsi que 250 contacts sur des terminaux Android d’occasion. Ces smartphones avaient pourtant été remis dans leur état d’origine avec une restauration. Cette découverte d’Avast n’en est pas vraiment une puisqu’on pouvait s’attendre à un tel fonctionnement, similaire sur les PC. En fait, lorsque l’utilisateur réalise une restauration, Android se contente d’effacer la liste des fichiers de la partition. Mais les données continuent d’être lisibles avec certaines méthodes logicielles puisqu’elles existent encore sur la mémoire flash. Le principe est le même sur un ordinateur : si vous vous contentez de supprimer des fichiers, ils resteront accessibles avec des logiciels spécialisés de récupération de données que l’on trouve gratuitement sur Internet.

Le risque sur la vie privée

Le marché de l’occasion des smartphones est très prisé puisque les consommateurs renouvellent régulièrement leurs appareils en revendant les anciens sur eBay ou Leboncoin. Je suis sûr que vous n’aimeriez pas que l’acheteur de votre téléphone retrouve vos photos personnelles, vos contacts, vos mails ou encore des fichiers que vous auriez scannés comme un bail, un contrat de travail ou des pièces d’identité. Il existe donc une solution pour que l’acheteur n’ait pas la possibilité de récupérer vos données personnelles et ainsi protéger votre vie privée.

La solution : remettre à zéro la mémoire flash

La solution, c’est donc d’effacer une bonne fois pour toutes ces données en remettant dans leur état d’origine chaque cellule de la mémoire flash composant l’espace de stockage des téléphones.

Pour la petite explication, une cellule de mémoire flash a deux états électriques possibles qui se concrétisent sous Android par un 0 ou un 1 (système binaire). Si chaque cellule est remise à zéro, alors il sera impossible de récupérer les données puisqu’elles n’existeront plus au niveau matériel. Sur les PC, le formatage est une méthode simple et efficace, mais sous Android, il n’existe pas d’outil de la sorte. Il existe alors deux solutions différentes qui peuvent être complémentaires.

Solution 1 : le chiffrement des données et le remplissage

La première solution proposée par CNet est la plus simple à mettre en œuvre. Elle consiste à chiffrer les données de son terminal Android avant de les effacer. De cette manière, même s’il est possible de récupérer les données, il faudra une clef pour pouvoir les lire. Ce n’est donc pas la méthode la plus sûre puisqu’il existe des solutions (très compliquées) à employer pour lire ces données. Mais il devrait être impossible de récupérer tout cela avec un simple logiciel de récupération des données. Il est d’ailleurs possible de réaliser cette opération même si vous ne comptez pas revendre votre téléphone, mais pour prévenir un vol ou une perte.

Il faut donc se rendre dans les réglages du téléphone, dans Sécurité, puis appuyer sur Chiffrer le téléphone. L’opération va prendre un peu de temps, selon la quantité de données que vous aurez à chiffrer. Une fois le chiffrement effectué, vous pouvez réaliser la restauration du téléphone. Le site recommande également, une fois la restauration effectuée, de charger sur le téléphone des données non sensibles pour réécrire par dessus celles qui seraient encore présentes au niveau matériel. Il suffit alors de transférer des photos sans intérêt par exemple, jusqu’à remplir le téléphone. Ensuite, il faudra encore une fois restaurer le téléphone.

Solution 2 : le remplissage aléatoire

Une autre méthode existe et elle est un peu plus complexe à mettre en œuvre et plutôt réservée aux utilisateurs expérimentés. Elle reprend le principe du remplissage du téléphone, mais cette fois-ci avec un téléphone rooté, BusyBox installé et le SDK Android sur un ordinateur. Le SDK va permettre d’envoyer sur le téléphone des données aléatoires dans les répertoires /sdcard et /data qui contiennent les données personnelles de l’utilisateur.

L’opération est automatisée (du moment qu’on tape les bonnes lignes de commande) et permet donc de remplir le téléphone sans utiliser des fichiers personnels. Si vous êtes intéressés par cette solution, vous pouvez consulter le très bon article (en anglais) de Zackery Fretty, un développeur Android. Une fois que vous avez réalisé cette opération, une simple restauration suffira. Cette méthode devrait être aussi efficace que celle de CNet, sans avoir besoin du chiffrement.

Maintenant vous êtes prévenus : si vous possédez des données personnelles un peu sensibles sur un téléphone, pensez à réaliser une des deux méthodes pour réellement supprimer les fichiers de la mémoire flash de votre appareil sous Android. Il y a peu de chances que l’acheteur de votre appareil passe un coup de Recuva ou de GetDataBack, mais on n’est jamais trop prudent !