Des Failles chez Google: Google reconnaît que la réinitialisation d’Android peut laisser accès à des données sensibles

Sur d'anciennes versions d'Android, le retour aux valeurs d’usine n’efface pas complètement les données sensibles, selon deux chercheurs de l’université de Cambridge, et celà même sur des appareils chiffrés. Or, ces anciennes versions équipent encore plus de la moitié des smartphones Android répertoriés par Google. Contacté par nos soins, le géant de Mountain View reconnaît le problème.

La remise à zéro d’une grande partie des terminaux Android laisse des traces. C’est ce qu’ont remarqué deux chercheurs de l’université de Cambridge, après avoir testé le retour aux valeurs d’usine de 21 smartphones de cinq constructeurs, équipés des versions 2.3 à 4.3 d’Android. Cela entre janvier et mai de l’an dernier, sur des mobiles d’occasion. Si ces versions ont entre deux et quatre ans, elles équipent toujours plus de la moitié des terminaux Android en usage.

L’étude, repérée par Ars Technica, montre que des récupérations automatisées des données personnelles ont fonctionné sur l’ensemble des appareils, même si elles ne sont pas obligatoirement complètes. Ce défaut pose un souci dans le cas de prêt, de revente ou de recyclage, ces données étant potentiellement récupérables par un tiers. Les possesseurs desmartphones utilisent en grande majorité cette fonction en un clic, dans les paramètres, afin de remettre à zéro l’appareil, qui indique bien supprimer l’ensemble des données personnelles.

Des contacts d’applications tierces récupérés

« Nous estimons que jusqu'à 500 millions de terminaux n'aseptisent pas la partition ‘data’ où les identifiants et d'autres données sensibles sont stockés, et que jusqu'à 630 millions ne nettoieraient pas la carte SD interne où les fichiers multimédia sont généralement sauvegardés » écrivent les chercheurs dans leur article. Parmi ces données sensibles potentiellement laissées, apparaissent des identifiants, des e-mails, des SMS et des contacts. Les contacts récupérés comprennent ceux d’applications tierces, dont Facebook et WhatsApp, même si l’association avec les contacts du téléphone doit être exécutée manuellement.

Dans 80 % des cas, les chercheurs ont pu récupérer le « ticket maître » (master token) du compte Google, qui permet aux applications de s’identifier aux services du géant de Mountain View, comme Gmail ou Google Docs. Les tickets pour les services individuels de Google ont été systématiquement récupérés. Ceux utilisés par d’autres applications sont aussi récupérables de cette manière. « Après le redémarrage, le téléphone a re-synchronisé avec succès les contacts, les emails et autres » déclarent les chercheurs.

Pour Google, la faute n'est pas à chercher du côté d'Android !