Vol de smartphones : comment fonctionne le gestionnaire d’appareils Android et comment le compléter ?

 
Devenus de véritables mini-ordinateurs portables, les téléphones mobiles que l’on transporte tous les jours possèdent deux caractéristiques : ils coûtent cher et ils transportent une bonne partie de notre vie privée ou professionnelle sous forme de données. Ces deux caractéristiques sont d’ailleurs les deux choses auxquelles une victime de vol pense lorsque son précieux appareil vient d’être volé. Et sur Android, il faut bien reconnaître le système de protection des données à distance est loin d’être parfait ou, à défaut, d’être réellement clair. Comme il vaut mieux prévenir que guérir et qu’une partie de la rédaction s’est récemment fait voler son smartphone, voici un petit guide des différentes choses à ne pas oublier de faire pour mieux protéger son téléphone et ses données en cas de vol.
telephone vole galaxy s6

Le scénario est classique. Vous vous apprêtiez à monter dans ce bus/métro/tram avec votre casque sur les oreilles et un vil faquin (pour rester poli) vous a volé votre téléphone au moment où les portes se refermaient. Comme d’habitude dans ce cas-là, vous ne pouvez pas faire grand-chose si ce n’est constater que vous avez perdu un appareil qui vous coûté plusieurs centaines d’euros, que vos données sont en danger, que votre facture téléphonique risque de prendre du poids et surtout que le monde est désormais d’une injustice folle. Une fois que la colère est retombée, il est temps de se poser la question : ai-je bien protégé mon téléphone ? Dans une bonne partie des cas, la réponse est non, et c’est rarement la faute de l’utilisateur. Explications.

 

La protection de base d’Android : le Gestionnaire d’appareils Android

Propriétaires d’appareils Android, connaissez-vous le Gestionnaire d’appareils Android qui se trouve dans les paramètres Google du téléphone ? À moins de parfaitement connaître Android (ou de vous être déjà fait voler un téléphone), il y a peu de chances que la réponse soit affirmative. Le menu des paramètres Google est souvent bien caché. Dans le cas du Galaxy S6, par exemple, il se trouve tout au fond du dossier Google qui comprend la plupart des Google Apps, lui-même caché dans le tiroir applications. Dans le cas du OnePlus One et des autres smartphones Android, il se trouve simplement dans le tiroir d’applications sous l’appellation « Paramètres G… ». Ce qui le rend au passage peu distinguable des paramètres classiques. Ce menu discret permet de configurer son compte Google. Surtout, dans le cas qui nous intéresse, il permet d’activer les deux principales options de sécurité liées à Android, à savoir la localisation de l’appareil à distance et l’autorisation de verrouillage et de suppression de l’appareil à distance. Ce sont ces deux options qui permettent de savoir où se trouve son téléphone et de réaliser une réinitialisation du téléphone à distance. Surtout, il faut savoir que ces deux paramètres sont désactivés par défaut.

verrouillage distance android parametre google
Les deux options à cocher (image centrale) se trouvent dans le menu sécurité des Paramètres Google. Ils sont décochés par défaut.

En fait, et c’est bien problème de la protection à distance des smartphones Android actuellement, Google ne donne pratiquement aucune indication à propos de ces deux paramètres. Pour comprendre comment ils fonctionnent réellement, nous les avons donc testés sur le Galaxy S6 de la rédaction. La première chose à savoir, c’est qu’une fois l’un de ces deux paramètres activés sur un téléphone, ils seront ensuite automatiquement activés sur tous les prochains autres appareils Android qui sont liés au compte Google qui les a validés, à condition, bien sûr, que ces appareils disposent à un moment ou un autre d’une connexion Internet. Ce qu’il faut retenir, c’est que si vous désirez pouvoir réinitialiser votre téléphone à distance, il faut au moins cocher la case d’autorisation de verrouillage et de suppression de l’appareil à distance.

Revenons un instant à notre histoire de vol de smartphones. Le premier réflexe à avoir lorsque l’on se fait voler un smartphone est de se rendre sur la page de gestionnaire d’appareils Android. Ce gestionnaire est consultable en ligne sur un navigateur web, à cette adresse, ou sous forme d’application. C’est sur cette page que l’on peut interagir avec son téléphone Android à distance. Dans le cas où toutes les deux options de sécurité du compte Google ont été activées, l’interface permet de choisir un appareil, de le localiser et éventuellement de le faire sonner, de le bloquer ou de le réinitialiser à distance. Ces options ne sont toutefois possibles que lorsque le téléphone dispose d’une connexion à Internet, qu’elle soit en 3G ou en WiFi.

gestionnaire appareils android localisation distance
L’interface de gestion des appareils Android à distance permet de faire sonner, de verrouiller ou d’efface à distance son appareil.

 

Bloquer ou réinitialiser son appareil à distance

Comment réagissent ces options lorsque l’utilisateur les active ? C’est très simple, après avoir cliqué sur l’une des trois options, le téléphone fait ce qu’on lui demande sans le moindre délai. Cliquer sur sonner fait sonner le téléphone « à plein volume et pendant 5 minutes ». Il est possible de l’arrêter en appuyant sur le bouton de mise en marche. En activant le verrouillage à distance du téléphone, une interface permet de mettre en place un écran de verrouillage sur le téléphone concerné. Cet écran de verrouillage demande alors un mot de passe et peut afficher un message et un numéro de téléphone à contacter. La dernière option est la plus radicale, puisqu’une fois validée avec le gros bouton rouge de confirmation, le téléphone effectue une réinitialisation complète. Rappelons-le encore une fois, ces options ne s’activent que si le téléphone dispose d’une connexion à Internet et que le compte Google de l’utilisateur n’a pas été supprimé du téléphone. Une simple réinitialisation du téléphone rend caduques toutes ces manipulations.

verrouillage distance gestionnaire appareil android
L’interface permet de bloquer son smartphone à distance en entrant un mot de passe.
affichage mdp distance android
Et voici ce qui apparaît alors sur le téléphone.

 

Et dans le cas où les options de sécurité n’ont pas été cochées ? Dans ce cas-là, l’interface web du gestionnaire d’appareils Android propose à l’utilisateur d’activer le verrouillage et l’effacement des données à distance du téléphone. Si le téléphone est connecté à Internet, il cochera alors automatiquement l’option du compte Google sur le téléphone. Une option qui s’activera alors discrètement sur le téléphone, sans aucune notification ou message. Une fois fait, l’utilisateur pourra ensuite bloquer ou effacer son téléphone à distance. Dans le cas où les deux options de blocages et d’effacement du téléphone n’apparaissent pas, c’est que le téléphone est soit hors-ligne, soit que le compte Google a été effacé, soit que le téléphone a déjà été réinitialisé. Dans tous les cas, une partie de vos données, celles liées à vos comptes Google, sont en sécurité.

gestionnaire appareils android option non activee
Quand les options des paramètres Google n’ont pas été activées, le gestionnaire d’appareil propose de les activer à distance.

Si tout se passe bien, vos données sont protégées. Doit-on se montrer satisfait pour autant ? Non. Contrairement aux iPhone, les smartphones Android peuvent être réinitialisés par n’importe qui sans aucune restriction puis être réutilisés en quelques minutes par un nouveau propriétaire. Aujourd’hui dans 99 % des cas, réinitialiser un smartphone Android permet de se l’approprier en installant n’importe quel autre compte Google, sans que le téléphone se soucie de ses anciens propriétaires. Google a énormément de progrès à réaliser sur ce point, surtout comparé à la concurrence. À titre de comparaison, un iPhone volé et bloqué est tout simplement inutilisable sans les identifiants Apple puisqu’il ne peut pas être réinitialisé. Ce qui a d’ailleurs énormément fait baisser le nombre de vols à la tire d’iPhone dans le monde.

Android Lollipop : de timides améliorations pour mieux protéger son smartphone

Android Lollipop en version 5.1 a modifié le comportement d’Android de façon discrète, mais importante. Comme indiqué sur cette page, aux explications malheureusement très floues, il n’est théoriquement plus possible de pouvoir réinitialiser un smartphone Android afin d’installer un autre compte Google et pouvoir l’utiliser comme un téléphone neuf. Google explique ainsi que si le smartphone volé a été réinitialisé depuis le Recovery Mode, il est impossible d’installer un compte Google différent du compte Google datant d’avant la réinitialisation. Google ajoute « Si vous n’êtes pas en mesure de fournir ces informations [du compte Google précédemment installé] au cours du processus de configuration, vous ne pourrez pas utiliser l’appareil après le rétablissement de sa configuration d’usine. » Pour cela, il faut toutefois répondre à deux contraintes de taille. D’abord, que son appareil soit préinstallé sur Android 5.0 (Lollipop) ou une version ultérieure. Ensuite qu’il soit actuellement installé sur Android 5.1 ou une version ultérieure. Concrètement cela concerne au moins les Nexus 6 et Nexus 9. Nous avons testé cette protection sur un Galaxy S6, qui répond aussi à ces critères, mais nous avons quand même réussi à installer un nouveau compte Google sur l’appareil après une réinitialisation sauvage. Difficile de faire totalement confiance à ce système en l’état.

page aide google securite android

Les services et applications tiers : plus complet, mais limités par Android

Pour bien sécuriser son smartphone, il n’y a finalement que deux solutions vraiment valables. La première consiste à se tourner vers les services de sécurité du constructeur intégrés au smartphone, quand il en propose. Ceux intégrés aux derniers appareils de Samsung, par exemple, sont suffisants. Ils permettent de bloquer le smartphone à distance, mais aussi et surtout de lier son smartphone à un compte Samsung pour protéger le smartphone de la réinitialisation logicielle sans entrer le mot de passe du compte. Une protection qui ne protège malheureusement pas d’une réinitialisation via le recovery mode. Mais on se demande tout de même pourquoi Google n’intègre pas une protection similaire à la version de base d’Android.

locate my device samsung
Find my Mobile pour les appareils Samsung est uniquement en anglais. Mais les services proposés sont bien plus complets que sur les services de base d’Android.

La deuxième solution consiste à installer une application tierce de protection et de traçage du smartphone. Nous avions réalisé un dossier sur le sujet il y a maintenant trois ans et s’il était à refaire, nous n’y toucherions pratiquement pas. Si l’on ne devait vous en conseiller qu’une, ce serait Cerberus antivol, qui est à la fois archi-complète (prises de photos diverses et variées, capture d’écran, envoi de l’historique des appels et des SMS à distance, formatage à distance, enregistrement audio, etc.) et qui a surtout le mérite de proposer une option pour les smartphones rootés pour que l’application ne se désinstalle jamais, même en cas de réinitialisation. Le téléchargement de l’application est gratuit et permet de la tester gratuitement pendant une semaine. Une fois le délai passé, il est nécessaire de payer 4,99 euros pour l’utiliser à vie (aucun abonnement mensuel ni annuel). Une application particulièrement utile, mais fatalement limitée par les modalités de réinitialisation d’Android.

cerberus application web
L’interface web de Cerberus. La liste des actions à distance est on ne peut plus complète.
cerberus application android
L’application Cerberus une fois installée sur un smartphone.

Quelques derniers conseils pour finir

N’oubliez pas qu’en cas de vol de téléphone, il est nécessaire d’aller déposer une plainte dans un commissariat. Cette plainte, qu’il faut ensuite envoyer à son opérateur, permettra de se faire rembourser les éventuels frais de hors forfait engendrés par le voleur et de se faire rembourser sa carte SIM. Notez que pour déposer cette plainte, il est nécessaire de se munir du numéro IMEI du téléphone, que l’on trouve sur la boîte de l’appareil (que vous n’avez naturellement jamais jetée parce que vous êtes du genre prudent) ou tapant dans le code suivant dans le dialer du téléphone : *#06#. Ce numéro IMEI, une fois transmis à l’opérateur, lui permettra de bloquer le smartphone en France : l’appareil sera incapable de lire une carte SIM française ou de passer des appels en France… Mais pas à l’étranger. C’est d’ailleurs pour cette raison qu’une grande majorité des smartphones volés en France se retrouve à l’étranger. Dernier conseils, si vous avez le moindre doute quant à vos données, changez vos principaux mots de passe. Le plus long dans cette triste histoire est certainement de se remettre de la perte de son appareil.


Retrouvez un résumé du meilleur de l’actu tech tous les matins sur WhatsApp, c’est notre nouveau canal de discussion Frandroid que vous pouvez rejoindre dès maintenant !

Les derniers articles