Le retour aux paramètres d’usine, la fonction de réinitialisation désormais présente sur tous les terminaux mobiles, ne fonctionne pas parfaitement sur tous les smartphones Android. Après avoir testé plusieurs mobiles, l’ADISA (Asset Disposal & Information Security Alliance) britannique alerte en effet les utilisateurs sur les risques encourus lorsque la procédure d’effacement des données personnelles a été mal réalisée. Un rapport rédigé par Steve Mellings, fondateur de l’ADISA, et le professeur Andrew Blyth, de l'Université du Pays de Galles, a ainsi ausculté 24 smartphones parmi les plus courants (11 Blackberry, 7 iPhone d'Apple et 6 modèles Android Samsung et HTC). Dans cette liste, on retrouve des Blackberry Bold 9900, Torch 9810 et Curve 9320, des iPhone 3GS, 4 et 5, les Samsung  Galaxy i8160, i890, i9100 et enfin les HTC Wildfire S et Cha Cha.

La fonction de remise à zéro des Blackberry et des iPhone s’est bien effectuée et les chercheurs ont constaté qu'il était impossible de récupérer des données. Cependant, le même test réalisé avec les smartphones Android a livré une tout autre histoire. Même après plusieurs réinitialisations, des données telles que les contacts du téléphone, des SMS, des événements du calendrier, les journaux d'appels, des images, des vidéos et même des applications et leurs données n’étaient pas effacées.

Chiffrer les données sensibles

La méthodologie était très simple : les mêmes données ont été copiées sur tous les terminaux avant d’utiliser l’outil de réinitialisation livré avec l’OS, puis de tenter de récupérer les données en utilisant un logiciel utilisé par les services de police. Impossible de savoir pourquoi les smartphones Android conservent autant de données, mais les chercheurs de l’ADISA suggèrent que les constructeurs ont peut être tout simplement mal intégré le système d’exploitation ou supprimé une des briques de l’OS. « On peut imaginer que la mauvaise performance des terminaux Android provient du fait qu’Android fonctionne sur de multiples plates-formes matérielles, les développeurs seraient donc incapables de bien intégrer leur plate-forme logicielle dans le matériel et des caractéristiques matérielles spécifiques ne sont pas utilisées », ont indiqué les chercheurs dans un livre blanc couvrant les résultats de l’équipe.

« [En revanche] le contrôle de BlackBerry et d’Apple sur leurs plates-formes matérielles et logicielles leur permet de bien supporter des fonctions spécifiques. » Est-ce donc la faute de Google si la mise en œuvre de la fonction sécurité de réinitialisation n’est pas parfaitement mise en œuvre chez les constructeurs ? L’ADISA recommande aux gestionnaires de flottes dans les entreprises de bien prendre en compte ce problème, et d’utiliser des logiciels spécifiques pour remettre à zéro les terminaux Android si aucun chiffrement n’est utilisé pour protéger les données sensibles.