Google ne crypte pas efficacement les mots de passe Wi-Fi
Lorsqu'un utilisateur d'Android réalise une sauvegarde de son système, notamment en vue d'une réinitialisation de l'appareil, la firme de Mountain View accède immédiatement au clé de son réseau WiFi privé.
Depuis Android 2.2 « Froyo », Google permet aux utilisateurs de son système d'exploitation mobile de sauvegarder leurs données personnelles dans le cloud lors de la réinitialisation ou du changement de leur terminal. L'option de sauvegarde des données, activée par défaut, évite ainsi d'avoir à reconfigurer entièrement sa tablette ou son smartphone. Bien que très pratique, ce service peut malheureusement devenir inquiétant quand on apprend par Micah Lee, responsable technique auprès de l'EEF (Electronic Frontier Fondation), que Google ne crypte pas efficacement les données et notamment les mots de passe Wi-Fi, lorsqu'ils transitent par le cloud.
S'il est évident que les employés de Google ne vont pas aller éplucher les codes WiFi des millions d'utilisateurs d'Android, rien ne dit que les gouvernements vont s'en priver. Avec les récentes révélations d'Edward Snowden dans le scandale du Prism, il ne fait aucun doute que la NSA peut aisément accéder à ces mots de passe et donc aux réseaux locaux des particuliers, comme des entreprises.
Le chiffrement serait la seule solution
Comme l'explique Micah Lee, l'option de sauvegarde de données peut être désactivée, et même remplacé par une solution de stockage en ligne plus sûre. Pour le responsable technique de l'EEF, la meilleure solution pour protéger les données de votre appareil reste cependant le chiffrement de celles-ci, avant même qu'elles ne transitent par le cloud. Sur ce dernier aspect, il est d'ailleurs rejoins par Paul Ducklin, responsable technique de Sophos pour la zone Asie-Pacifique. Selon ce dernier, il faut « chiffrer toutes ses données avant de les sauvegarder, où que ce soit et spécialement dans le cloud. »
Toutefois, des informations trop bien protégées peuvent poser autant de problème que des données mal protégées. Dans le cas de data cryptées, la perte de la clé de chiffrement privée rend celles-ci complètement inaccessibles. « Êtes-vous près à accepter un équivalent numérique au fait d'enfermer vos clés dans votre voiture pour toujours (par exemple si vous oubliez le mot de passe de votre disque dur chiffré et que vous n'avez pas sauvegardé la clé de chiffrement ) ? » interroge Paul Ducklin.