Smartphones : le coffre-fort intime que nous abandonnons trop vite
Pourquoi la destruction au niveau de securité E5 (DIN 66399 / ISO 21964) n’est plus une option, mais une nécessité
1) Introduction — Nos téléphones concentrent nos vies
Photos familiales, identifiants bancaires, copies de pièces d’identité, carnets d’adresses, doubles d’authentifications, messageries, historiques de navigation, applications métier, dossiers médicaux, mots de passe enregistrés… Le smartphone est devenu le double numérique de chacun d’entre nous. Et pourtant, au moment de changer d’appareil ou lorsqu’un téléphone tombe en panne, beaucoup s’en séparent comme d’un simple objet.
C’est une erreur à haut risque : les données ne disparaissent pas “toutes seules” et restent souvent récupérables par des tiers équipés des bons outils. Les autorités et organismes de référence (CNIL, NIST) rappellent d’ailleurs qu’avant de céder, revendre, recycler ou jeter un appareil, il faut procéder à une véritable “sanitization” — idéalement par destruction physique lorsque l’intégrité des données est critique.
2) Le smartphone, un gisement de données « inestimables »
Un téléphone moderne embarque plusieurs couches de stockage (mémoire flash interne, puces eMMC/UFS, parfois cartes microSD), des caches applicatifs, des bases chiffrées et des sauvegardes locales. On y trouve généralement : documents, photos/vidéos, emails, SMS/IM, historiques d’appels, identifiants et jetons de session (banque, réseaux sociaux, outils pro), scans de pièces d’identité et justificatifs, voire des secrets d’authentification (TOTP), etc.
La CNIL le rappelle très explicitement : votre appareil peut contenir des mots de passe, pièces d’identité, documents fiscaux… d’où l’obligation d’effacer avant toute cession.
3) Idée reçue : “un reset d’usine suffit” — Pourquoi c’est faux (ou insuffisant)
Les études académiques et les retours de terrain montrent qu’un “factory reset” n’efface pas toujours correctement les partitions sensibles ou les clés de chiffrement ; des fragments restent récupérables.
Une étude de l’Université de Cambridge a démontré, sur 21 smartphones Android, que des identifiants Google pouvaient être récupérés malgré une réinitialisation, en raison d’implémentations défaillantes et d’un support matériel/logiciel incomplet de l’effacement sécurisé (versions Android 2.3 à 4.3, à l’époque). source.
Les guides NIST SP 800-88r1 (référence américaine sur la “media sanitization”) distinguent “effacement logique” (clear), “purge” et “destruction”. Pour des médias flash ou lorsque l’appareil sort du contrôle de l’organisation, la destruction est la mesure la plus robuste pour rendre l’accès aux données infeasible compte tenu de l’effort d’un adversaire déterminé.
4) “Panne” n’est pas “effacement” : pourquoi un téléphone HS reste exploitable
Un mobile cassé, oxydé ou “mort” n’implique pas que ses données soient perdues. Les techniques JTAG ou chip-off(dessoudage de la puce mémoire et lecture sur banc) permettent souvent d’extraire le contenu d’appareils endommagés.
Le NIST a documenté ces méthodes, soulignant leur efficacité même sur des terminaux abîmés ; des laboratoires publics/privés les emploient en criminalistique numérique. Autrement dit : un téléphone hors d’usage n’est pas un téléphone vidé de ses secrets.
5) Des exemples concrets de récupération et de détournement de données
a) Données retrouvées sur des téléphones d’occasion
Blancco + Kroll Ontrack (2015) : achat de terminaux d’occasion sur Amazon/eBay/Gazelle ; 35 % des mobilesprésentaient des données récupérables (emails, SMS/IM, photos/vidéos, journaux d’appels). Recycling Today
University of Hertfordshire pour Comparitech (2019) : 19 % des smartphones revendus contenaient encore des informations pouvant identifier l’ancien propriétaire. Comparitech
Avast (2014) : récupération de données “effacées” (photos, messages, etc.) sur des téléphones Android achetés d’occasion ; l’analyse a reposé sur des méthodes logicielles de forensique. Blog Avast
b) Reset imparfait et résidus sensibles
- Université de Cambridge (2015) : “Factory Reset” imparfait sur de nombreux Android étudiés ; récupération de credentials démontrée. cl.cam.ac.uk
Enseignement : rien ne garantit, sans procédure auditable ni norme, qu’un simple reset rende les données irrécupérables, surtout si l’appareil quitte votre contrôle (revente, panne, envoi en réparation, recyclage). Les chiffres ci-dessus restent instructifs, même si les OS ont progressé depuis : le risque persiste dès lors que des techniques de bas niveau ou des défauts d’implémentation entrent en jeu.
6) Un marché de l’occasion en plein essor : un risque démultiplié
Le marché secondaire (reconditionnés + occasion) a explosé ces dernières années. Des analyses sectorielles indiquent que près de 200 millions de smartphones de seconde main ont circulé en 2023, avec une progression annuelle notable ; d’autres sources évoquent un volume encore plus élevé selon les périmètres mesurés.
Cette dynamique — excellente pour l’économie circulaire — augmente mécaniquement le risque de fuite si l’effacement n’est pas certifié.
7) Ce que dit la norme DIN 66399 / ISO 21964
La DIN 66399, harmonisée au niveau international sous ISO/IEC 21964, définit les catégories de supports (P : papier ; H : disques durs magnétiques ; E : supports électroniques/flash ; etc.) et les niveaux de sécurité (1 à 7) en fonction de la taille des particules après destruction.
Catégorie E = supports électroniques/à semi-conducteurs (clés USB, cartes à puce, SSD et équipements de communication mobile — donc les smartphones). Pour E-5, la norme exige que le composant mémoire (chip) soit cassé en plusieurs morceaux et que la taille des particules soit ≤ 10 mm² (avec une tolérance : 10 % des particules peuvent dépasser mais pas au-delà de 30 mm²).
Traduction opérationnelle : un broyage capable d’atteindre E-5 sur des puces mémoire assure que les dies et matrices des composants NAND sont fragmentés en micro-éclats, rendant hautement impraticable toute lecture résiduelle ou “chip-off” exploitable.
8) Pourquoi viser E-5 pour les smartphones ?
Nature du risque : sur des mémoires flash (NAND/eMMC/UFS), la récupération physique via chip-off ou lecture bas niveau reste possible si les puces sont encore intègres ou en fragments trop grossiers. Des publications et documents techniques détaillent l’usage routinier de ces techniques dans les laboratoires.
E-5 apporte un seuil où la granularité des fragments (≤ 10 mm²) ruine la lisibilité physique, tout en restant industrialisable (débits de destruction) et traçable (certificats, conformité). Pour des environnements ultra-sensibles, des niveaux E-6 / E-7 existent, mais E-5 constitue déjà le standard de sécurité attendu pour les téléphones en fin de vie.
- Alignement réglementaire : au regard du RGPD (intégrité/confidentialité – art. 5 §1 f, mesures de sécurité – art. 32), une destruction adaptée au niveau de risque est exigée. La preuve par un certificat de destructionmentionnant la catégorie “E” et le niveau “E-5” répond à l’exigence de redevabilité.
9) “Téléphone en panne” : le protocole de sécurité à adopter
Ne cédez jamais un mobile HS (panne, oxydation, écran brisé) sans traitement de vos données.
Dissociez l’appareil de vos comptes (Apple ID/iCloud, Google, MDM pro), supprimez eSIM/SIM ; mais considérez que cela ne suffit pas si le smartphone est physiquement inaccessible.
Choisissez une filière qui reponda la norme DIN 66399 / ISO 21964 au niveau E-5 au minimum pour un smartphone. Exigez un bordereau et un certificat de destruction.
Privilégiez la destruction mécanique contrôlée (broyage E-5) avec chaîne de traçabilité (du retrait au broyage), vidéo ou présence si nécessaire, en particulier pour des données bancaires ou santé.
Faites appel à www.destruction-disques-durs.com pour respecter ce protocole et être certain que vos données seront réellement détruites.
10) Questions fréquentes
Le chiffrement natif suffit-il ?
Le chiffrement renforce la protection tant que les clés sont hors d’atteinte. Mais les études montrent que des implémentations passées ont laissé des clés ou métadonnées récupérables après reset ; et la forensique progresse sans cesse. Dès qu’un appareil quitte votre contrôle, la destruction physique est la seule garantie de rendre l’accès aux données infeasible
Pourquoi pas juste “effacer et revendre” ?
Parce que les statistiques sur l’occasion montrent qu’un pourcentage non négligeable d’appareils revendus contient encore des données ; l’effacement “maison” n’offre ni preuve, ni niveau normatif.
Et si l’appareil est “morte-carte” ?
Même “mort”, un smartphone peut parler (JTAG/chip-off). Si les données sont sensibles : détruire au niveau E-5.
11) Conclusion — Faire simple, sûr et conforme
À l’heure où un smartphone concentre la quasi-totalité de nos identités numériques, changer de téléphone ou gérer une panne ne doit jamais se faire sans stratégie de sanitization. Les enseignements empiriques (Avast, Blancco/Kroll, Comparitech, Cambridge) et les référentiels (CNIL, NIST) convergent : la destruction physique contrôlée au niveau E-5 (catégorie E = électronique/flash) est la barrière la plus robuste contre la réextraction et les détournements de données.
Pour les particuliers comme pour les organisations, la solution la plus directe, traçable et conforme consiste à confier ses smartphones en fin de vie à un prestataire qui repond a la norme DIN 66399/ISO 21964 au niveau E-5, délivrant un certificat de destruction.
👉 www.destruction-disques-durs.com propose un service dédié à la destruction de téléphones portables et autres supports électroniques en niveau E-5, avec traçabilité et preuve de conformité.