Vendre votre iPhone ? Voici ce que la réinitialisation d’usine laisse derrière elle

TL;DR

La réinitialisation d’usine sur un iPhone marque les blocs de stockage comme disponibles mais ne les écrase pas. Les photos, messages et fichiers supprimés restent récupérables depuis la mémoire NAND jusqu’à ce que le contrôleur réclame ces blocs — un processus que les outils forensiques peuvent déclencher. iCloud Photos conserve une copie complète sur les serveurs d’Apple même après avoir effacé l’appareil. Le File Shredder d’AppVault écrase les fichiers du coffre avec plusieurs passes d’écriture avant suppression, et la checklist pré-vente ci-dessous couvre chaque étape avant de remettre le téléphone à un acheteur, un programme de reprise ou un membre de la famille.

Ce que fait réellement la réinitialisation d’usine

Appuyez sur « Effacer contenu et réglages » et iOS fait deux choses : il détruit les clés de chiffrement du système de fichiers et marque chaque bloc de stockage comme disponible pour une réutilisation. Les données elles-mêmes — le texte chiffré présent dans la mémoire NAND — restent en place jusqu’à ce que le contrôleur de stockage écrive de nouvelles données par-dessus.

Sous iOS 15 et ultérieur, Apple a repensé la hiérarchie des clés de sorte que la destruction de la clé du système de fichiers rend le texte chiffré pratiquement irrécupérable sans cette clé. C’est une amélioration significative. Mais « pratiquement irrécupérable » n’est pas « physiquement disparu ». Les blocs contiennent toujours les anciennes données. Un outil forensique avec accès brut à la NAND — le genre utilisé par les forces de l’ordre et les laboratoires de récupération de données — peut lire ces blocs directement, contournant entièrement le système de fichiers.

Sous iOS 14 et antérieur, la situation est pire. La hiérarchie des clés de chiffrement était moins granulaire, et la suppression de la clé du système de fichiers laissait une plus grande partie des données sous-jacentes accessibles. Les appareils qui ont été livrés avec ou ont fonctionné sous iOS 14 à un moment donné de leur cycle de vie peuvent avoir des données résiduelles dans des blocs qui n’ont jamais été rechiffrés sous le nouveau système.

Le point à retenir : la réinitialisation d’usine est un effacement logique, pas physique. Elle indique au système d’exploitation que les blocs sont vides. Elle n’écrit pas de zéros ou de données aléatoires sur l’ancien contenu.

Ce qui survit dans l’album Supprimés récemment

L’appli Photos ne supprime pas les images lorsque vous appuyez sur l’icône de la corbeille. Elle les déplace dans l’album Supprimés récemment, où elles restent pendant 30 jours. Pendant cette fenêtre, les fichiers sont entièrement intacts — même résolution, mêmes métadonnées, mêmes tags de localisation. L’utilisateur peut les récupérer d’une simple pression.

La réinitialisation d’usine ne vide pas cet album. Le minuteur de 30 jours est lié aux métadonnées du système de fichiers, et lorsque la réinitialisation détruit les clés, le contenu de l’album devient inaccessible à l’appli Photos — mais les données sous-jacentes restent dans les blocs NAND. Si l’appareil a fonctionné sous iOS 14 ou antérieur, ces données sont récupérables avec des outils forensiques.

Avant de vendre ou de reprendre un iPhone, videz manuellement l’album Supprimés récemment. Ouvrez Photos, allez dans Albums, appuyez sur Supprimés récemment, sélectionnez tout et supprimez. Puis passez au reste de la checklist ci-dessous.

iCloud Photos vit sur les serveurs d’Apple

Effacer un iPhone supprime la copie locale de chaque photo. Cela ne fait rien à la bibliothèque iCloud Photos. Cette bibliothèque vit sur les serveurs d’Apple, liée à l’identifiant Apple, et elle se synchronisera avec tout nouvel appareil connecté au même compte.

Cela crée deux problèmes pour quelqu’un qui vend son iPhone.

Premièrement, si le vendeur oublie de se déconnecter d’iCloud avant d’effacer, le verrouillage d’activation reste actif. Le nouveau propriétaire ne peut pas configurer le téléphone. Le vendeur doit aller sur appleid.apple.com, se connecter et supprimer manuellement l’appareil du compte. C’est un casse-tête de support, pas une fuite de données — mais cela retarde la vente.

Deuxièmement, si le vendeur veut que la bibliothèque iCloud Photos disparaisse, c’est une action séparée. Se déconnecter d’iCloud arrête la synchronisation. Supprimer la bibliothèque nécessite de visiter iCloud.com ou un autre appareil connecté au même identifiant Apple et d’y supprimer les photos. L’étape « tout effacer » sur l’iPhone ne fait ni l’un ni l’autre.

Mémoire NAND et récupération forensique

Chaque iPhone stocke les données sur des puces de mémoire NAND. La mémoire NAND fonctionne en pages (généralement 4 Ko) et en blocs (généralement 256 pages). Les écritures se font au niveau de la page. Les effacements se font au niveau du bloc. Quand iOS supprime un fichier, il marque les pages comme invalides mais n’efface pas le bloc. Le bloc reste sale — plein d’anciennes données — jusqu’à ce que le processus de garbage collection du contrôleur de la mémoire le réclame.

Les outils forensiques exploitent cela. La forensique par désoudage de puce consiste à dessouder la puce NAND et à la lire directement avec un programmateur. Cela contourne entièrement le système de fichiers iOS. L’outil lit chaque bloc, valide ou non, et reconstruit les fichiers à partir des données brutes. Cette technique fonctionne sur n’importe quel iPhone, quelle que soit la version iOS, tant que les blocs n’ont pas été écrasés.

Les outils d’extraction logique comme Cellebrite UFED et GrayKey opèrent à un niveau plus élevé — ils communiquent avec le système de fichiers iOS via l’interface de débogage de l’appareil. Sous iOS 14 et antérieur, ces outils peuvent récupérer les photos, messages et données d’applications supprimés depuis les blocs inutilisés. Sous iOS 15 et ultérieur, la hiérarchie des clés repensée rend cela plus difficile, mais pas impossible si l’appareil est déverrouillé ou si l’outil peut exploiter une vulnérabilité.

La seule défense contre l’extraction par désoudage de puce et l’extraction logique est l’écrasement physique. Écrivez de nouvelles données sur les anciens blocs pour que le contenu original disparaisse au niveau matériel.

Ce que fait le File Shredder d’AppVault

Le File Shredder d’AppVault écrase les fichiers du coffre avec plusieurs passes d’écriture avant de les supprimer. Le processus cible le texte chiffré stocké dans le bac à sable de l’application — les fichiers chiffrés AES-256-GCM qu’AppVault stocke pour le compte de l’utilisateur.

Voici la séquence. L’utilisateur sélectionne les fichiers à déchiqueter. AppVault ouvre chaque fichier et écrit des données aléatoires sur toute sa longueur, répétant l’écriture sur plusieurs passes. Puis il supprime le fichier via l’appel système standard d’iOS. Le résultat : les blocs NAND qui contenaient le texte chiffré original contiennent maintenant des données aléatoires. Même si un outil forensique lit ces blocs, il trouve les passes d’écrasement, pas le contenu chiffré original.

Cela ne protège pas les fichiers en dehors du bac à sable de l’application. Les photos dans la pellicule, les messages dans l’appli Messages, les données dans d’autres applications — tout cela est hors du contrôle d’AppVault. Le File Shredder est conçu pour les propres fichiers du coffre : les photos et documents que l’utilisateur a importés dans AppVault pour un stockage chiffré.

Pour un écrasement complet de l’appareil, l’utilisateur doit toujours effectuer la réinitialisation d’usine. Le File Shredder comble la lacune pour les fichiers spécifiques qui comptent le plus — ceux que l’utilisateur a déplacés dans le coffre précisément parce qu’il ne voulait pas qu’ils soient récupérables.

La checklist pré-vente

Suivez cette checklist dans l’ordre avant de remettre l’iPhone à un acheteur, un programme de reprise ou un membre de la famille.

1. Videz l’album Supprimés récemment. Ouvrez Photos, allez dans Albums, appuyez sur Supprimés récemment, sélectionnez tout, supprimez. Cela supprime la fenêtre de récupération de 30 jours pour les photos de la pellicule.

2. Déconnectez-vous d’iCloud. Réglages → [votre nom] → Déconnexion. Saisissez le mot de passe de l’identifiant Apple, choisissez de conserver ou de supprimer les données locales (peu importe — vous allez tout effacer). Cela désactive le verrouillage d’activation.

3. Déconnectez-vous d’iMessage. Réglages → Messages → Envoyer et recevoir → appuyez sur l’identifiant Apple → Déconnexion. Cela empêche le nouveau propriétaire de recevoir des messages adressés à votre numéro de téléphone.

4. Supprimez l’appareil de votre identifiant Apple. Visitez appleid.apple.com, connectez-vous, allez dans Appareils, sélectionnez l’iPhone et supprimez-le. C’est une étape de sauvegarde au cas où la déconnexion sur l’appareil n’aurait pas abouti.

5. Exécutez le File Shredder d’AppVault. Ouvrez AppVault, sélectionnez tous les fichiers du coffre, exécutez le File Shredder. Cela écrase les données chiffrées du coffre avec des octets aléatoires avant suppression. Si vous utilisez le Coffre Leurre, déchiquetez également les fichiers leurres — le coffre leurre est mathématiquement indépendant, et ses fichiers occupent des blocs séparés.

6. Effacez tout le contenu et les réglages. Réglages → Général → Transférer ou réinitialiser l’iPhone → Effacer contenu et réglages. Saisissez le code d’accès, confirmez l’effacement. iOS détruira les clés du système de fichiers et redémarrera sur l’écran de configuration.

7. Vérifiez l’écran de configuration. Après l’effacement, l’iPhone doit afficher l’écran de configuration « Bonjour » avec plusieurs options de langue. S’il demande un identifiant Apple et un mot de passe, le verrouillage d’activation est toujours actif — revenez à l’étape 2.

8. Retirez la carte SIM. Si l’iPhone utilise une carte SIM physique, éjectez-la. S’il utilise une eSIM, le processus d’effacement devrait supprimer le profil eSIM, mais vérifiez dans Réglages → Cellulaire qu’aucun forfait ne subsiste.

Ce contre quoi cela ne protège pas

Le File Shredder d’AppVault écrase les fichiers à l’intérieur du bac à sable de l’application. Il n’écrase pas la pellicule, la base de données Messages, le cache Mail ou les données d’autres applications. Pour ceux-ci, la réinitialisation d’usine est le seul outil — et comme expliqué ci-dessus, la réinitialisation d’usine est un effacement logique, pas physique.

Si l’iPhone a fonctionné sous iOS 14 ou antérieur, des données résiduelles de la pellicule et de Messages peuvent survivre dans les blocs NAND même après l’effacement. Le risque est le plus élevé sur les appareils qui n’ont jamais été mis à jour vers iOS 15, ou qui ont passé un temps significatif sous iOS 14 avant la mise à jour.

Les données iCloud constituent un modèle de menace distinct. Si les photos du vendeur se sont synchronisées avec iCloud, ces photos existent sur les serveurs d’Apple, quoi qu’il arrive à l’appareil. Le vendeur doit supprimer la bibliothèque iCloud Photos séparément, sinon les photos persisteront dans le cloud et se synchroniseront avec le prochain appareil connecté au même identifiant Apple.

AppVault n’effectue pas d’appels réseau par défaut. Il n’a pas de synchronisation cloud, pas de compte, pas de télémétrie. L’architecture zéro-connaissance signifie qu’AppVault ne peut pas voir les fichiers de l’utilisateur, et ne peut pas les fuir. Mais cela signifie aussi qu’AppVault ne peut pas supprimer les fichiers d’iCloud ou d’autres applications sur l’appareil. Le périmètre est le propre bac à sable du coffre.

En quoi cela diffère du guide pratique

Le guide compagnon à /guides/wipe-photos-before-selling-iphone/ parcourt les mêmes étapes comme un tutoriel linéaire — ouvrez ce menu, appuyez sur ce bouton, confirmez la suppression. Il est écrit pour les utilisateurs qui veulent des instructions qu’ils peuvent suivre sur le téléphone.

Cette page est écrite pour les utilisateurs qui veulent comprendre le problème avant d’agir. Pourquoi la réinitialisation d’usine est insuffisante. Ce que la mémoire NAND fait avec les données supprimées. Ce qu’iCloud conserve sur ses serveurs. La checklist ci-dessus est la même séquence, mais le contexte ici est le modèle de menace, pas le chemin de navigation.

Si vous êtes prêt à agir, la checklist est complète. Si vous voulez comprendre pourquoi chaque étape compte, les sections ci-dessus expliquent le mécanisme.

Pourquoi AppVault pour ce cas d’usage

AppVault stocke les fichiers avec un chiffrement AES-256-GCM — nonce unique de 96 bits par fichier, dérivation de clé PBKDF2-SHA256 à 600 000 itérations, liée au matériel via le Secure Enclave de l’iPhone. Le catalogue du coffre lui-même est chiffré, donc un attaquant avec accès brut à la NAND ne peut même pas déterminer combien de fichiers existent.

Le Lanceur Calculatrice donne à l’application une interface de calculatrice iOS entièrement fonctionnelle avec un raccourci par appui long sur la touche égale vers le coffre. Le Coffre Leurre fournit un deuxième motif 5×5 qui ouvre un catalogue distinct et mathématiquement indépendant. Les deux fonctionnalités sont conçues pour les scénarios que cette page aborde : remettre un appareil à quelqu’un qui pourrait parcourir la bibliothèque d’applications, ou vendre un téléphone à un acheteur qui pourrait en sonder le contenu.

Le File Shredder est la fonctionnalité qui comble la lacune laissée par la réinitialisation d’usine. Écrasez les fichiers du coffre, puis effacez l’appareil. L’acheteur reçoit un iPhone propre. Le vendeur a la certitude que le contenu du coffre a disparu au niveau matériel.

Pour une comparaison fonctionnalité par fonctionnalité avec d’autres applications de coffre, voir AppVault vs Keepsafe et AppVault vs Vaultaire.

Sources

• NIST SP 800-88 Rev. 1 : Directives pour l’assainissement des supports
• Guide de sécurité de la plateforme Apple : Vue d’ensemble de la protection des données
• Assistance Apple : Que faire avant de vendre, donner ou reprendre votre iPhone
• NIST FIPS 197 : Norme de chiffrement avancée