L’entreprise spécialisée en sécurité informatique Avast a publié hier les résultats inquiétants d’une étude. Ils ont acheté 20 téléphones Android usagés sur eBay afin d’en analyser le contenu. Il fallait s’y attendre, ils ont pu récupérer une tonne de renseignements personnels grâce à des outils spécialisés en récupération de données.
Ils ont ainsi pu accéder à plus de 40 000 photos, incluant des photos d’enfants et des nus. Ils ont également retrouvé plus de 250 contacts et des courriels. Le pire, c’est qu’ils ont pu trouver l’identité complète de 4 anciens propriétaires.
Qui est vraiment responsable?
Selon Avast, la faut est attribuable à Android, qui n’efface pas bien le contenu lors d’une réinitialisation d’appareil. En réalité, c’est une demi-vérité.
Le problème n’est donc pas unique à Android et dépend du niveau de sécurité configuré dans l’appareil. C’est là où la responsabilité se partage entre les développeurs, les fabricants d’appareils et les utilisateurs.
D’abord, la plupart des systèmes d’exploitation et périphériques de stockage ne sont pas chiffrés. Par exemple, si vous conservez des documents importants sur une clé USB ou un ordinateur et que vous perdez l’un ou l’autre, n’importe qui aura accès à ces données. Pour rappel, le chiffrage est une technique qui encode et camoufle le contenu des fichiers grâce à une clé (mot de passe). Si une personne qui souhaite accéder au contenu n’a pas cette clé, il est impossible de consulter le contenu de ces fichiers.
Le problème n’est donc pas unique à Android et dépend du niveau de sécurité configuré dans l’appareil. C’est là où la responsabilité se partage entre les développeurs, les fabricants d’appareils et les utilisateurs.
Les développeurs devraient activer le chiffrement par défaut ou en inciter son utilisation, mais ce n’est pas une pratique courante. Et ce, même si la majorité des techniques de chiffrement sont matures et présentes dans pratiquement tous les systèmes d’exploitation.
De leur côté, les fabricants d’appareils évitent d’activer ce genre de fonction, car si un utilisateur oublie son mot de passe, ou si un problème survient lors du chiffrement, le tout risque d’entraîner une surabondance de demandes au niveau du soutien technique.
Nos mauvaises habitudes
Les principaux responsables de notre insécurité sont toutefois nous, les utilisateurs, qui ne prenons pas la peine de protéger nos appareils adéquatement. D’abord, on devrait tous verrouiller nos appareils avec un code ou un mot de passe : c’est le minimum. Mais par paresse ou pour la facilité, on ne le fait pas.
Ensuite, pour réellement protéger notre contenu, il faut chiffrer les appareils où nous stockons des données importantes. Tâche très facile, mais qui implique une grande responsabilité : ne pas oublier son mot de passe.
Sécuriser vos données sous Android
Dans le cas soulevé par Avast, on parle des faiblesses d’Android. Voici donc comment chiffrer tout le contenu d’un appareil Android :
- Rechargez complètement votre appareil. Le système d’exploitation ne voudra pas débuter la tâche de chiffrement si la pile est faible. Facultativement, laissez votre appareil sur la charge pendant le chiffrement; nous ne sommes jamais trop prudents.
- Dirigez-vous dans les paramètres de votre téléphone, et choisissez l’option «Sécurité» sous la rubrique «Personnel».
- Si vous n’avez pas défini de méthode de verrouillage, créez-vous un NIP. Le verrouillage par reconnaissance faciale et le schéma ne sont pas compatibles avec le chiffrement.
- Toujours dans le menu de sécurité, descendez un peu plus bas et choisissez l’option «Crypter le téléphone» (voir l’image ci-jointe).
- Ensuite, un guide vous explique le chiffrement. Pour effectuer cette tâche, votre appareil va redémarrer. La procédure peut durer plusieurs minutes selon les performances du processeur et la quantité de données à traiter. Heureusement, le système vous indiquera le progrès de la tâche en cours.
À la fin de la procédure, si tout s’est bien passé, votre téléphone vous demandera votre NIP avant même d’autoriser l’accès à l’écran d’accueil, et ce chaque fois que vous allez redémarrer votre appareil. C’est à ce moment que le système obtient la clé qui permet de déchiffrer vos fichiers. Si un voleur récupère votre appareil, il lui sera pratiquement impossible de récupérer son contenu.
Il est important de savoir qu’il est impossible de revenir en arrière après avoir chiffré son appareil Android, c’est une procédure à sens unique.
Notez également que pour des fins de compatibilité entre les divers systèmes d’exploitation, il est possible que le chiffrement ne s’applique pas à une carte SD. C’est normal. Comment un autre OS pourrait-il récupérer le contenu chiffré sans connaître l’algorithme de chiffrement d’origine?
Les autres plateformes
Il est facile de trouver sur Internet le même genre de procédure pour tout autre système d’exploitation. Les propriétaires d’appareils iOS seront heureux d’apprendre que le chiffrement est activé par défaut sur les iPhone et iPad. Par contre, ça ne vaut rien si vous n’utilisez pas de code de sécurité pour verrouiller vos gadgets.
En conclusion, il est important de toujours rester critique face aux annonces des entreprises spécialisées en sécurité informatique. N’oublions pas que ces entreprises ont des départements de marketing et doivent aussi faire des profits. Avast n’a pas menti dans son communiqué, mais n’a pas non plus promu la solution déjà intégrée au système et a préféré mousser son produit.
Vos données sont importantes. Protégez-les de façon adéquate. Elles peuvent valoir de l’or aux yeux des fraudeurs.