Ces dernières semaines, les scandales s’enchaînent et se ressemblent : il s’avère que de nombreuses sociétés exploitent en douce les données personnelles des utilisateurs de smartphones Android.
Le cas OnePlus
Cela a commencé avec OnePlus, le fabricant chinois basé à Shenzhen, qui avait habillement camouflé une application espionne en tâche de fond de ses appareils distribués à l’international : OnePlusLogKit.
C’est le hacker « Elliot Anderson » qui a découvert la présente d’une application de débogage, pouvant facilement servir de porte dérobée (backdoor). L’application est très discrète et permet de collecter massivement toutes sortes de données personnelles sensibles telles que des coordonnées GPS, informations sur les réseaux Wi-Fi, les connexions Bluetooth/NFC NFC, les photos, les vidéos, etc. Notons que l’ensemble de ces données sont alors stockées dans le répertoire « /sdcard/oem_log » sous forme non chiffrée. Le modèle le plus récent, le OnePlus 5, est concerné par le problème. Le tout se fait sans demander l’autorisation ni même informer l’utilisateur.
A savoir aussi, que l’application en question permet via le mode EngineerMode d’accéder en toute simplicité aux privilèges root…
Après les révélations du chercheur en sécurité, OnePlus s’est fendu d’un communiqué officiel promettant une mise à jour rapide des appareils concernés afin de supprimer cela.
Le cas Wiko
Seconde affaire qui a très vite suivie la précédente, cette fois concernant la société Wiko. Là encore, c’est le hacker Elliot Alderson qui a découvert le problème. Et il est de taille puisqu’il a été découvert que tous les terminaux Wiko transfèrent chaque mois des données de l’appareil vers des serveurs en Chine. Rappelons que la marque est française mais qu’elle est entièrement contrôlée par le géant chinois Tinno, vers lequel transitent d’ailleurs les données personnelles exfiltrées.
Comme pour OnePlus, ce sont deux applications système pré-installées sur les smartphones qui sont pointé du doigt : ApeSaleTracker et ApeStsMonths. Ces dernières sont capable d’envoyer sur les serveurs chinois de Tinno les données d’un smartphone de manière régulière et non chiffrée via HTTP ou SMS.
Selon le chercheur Elliot Alderson, chaque appareil envoie chaque mois les éléments suivants : l’IMEI, le numéro de client, la localisation de la cellule GSM, le numéro de série et la version du logiciel système.
Et comme dans le cas précédent, aucun consentement des utilisateurs n’est demandé ! Et pas moyen d’empêcher le transfert de s’effectuer…
D’après Wiko, l’affaire est réelle mais ne serait pas si dramatique : la société souligne que seules des données techniques sont transmises à Tinno et non les données utilisateur. Cette collecte n’inclurait pas la localisation de cellule GSM et ne se ferait jamais par SMS, mais seulement par HTTP. Par ailleurs, ces données seraient chiffrées avant envoi, grâce à l’algorithme RSA. Mais voilà, le hacker n’est pas dupe de ces dires et a dé-compilé les programmes incriminés afin d’étudier leurs codes source respectifs. Résultat, les données seraient bien chiffrées via RSA lors de l’envoi mais les données du GSM y seraient bien incluses.
Suite à cela, Wiko a avoué avoir dépassé les limites (bien maigre consolation pour les clients !) et a promit de remplacer les programmes incriminés d’ici la fin d’année afin de stopper la collecte mensuelle et ne réaliser qu’un unique transfert de données à des fins statistiques lors de la mise en route d’un appareil. De plus, les données seraient collectées sur des serveurs français et non chinois.
Le cas Google
Dernier cas en date, qui cette fois, concerne le géant Google, à l’origine de l’OS Android. Le journal d’investigation Quartz a publié un rapport mettant en lumière que Google enregistre de manière permanente les adresses de cellules GSM des utilisateurs, même si les services de géolocalisation sont désactivés. Cela permet de localiser un utilisateur via triangulation des stations de base.
Quartz a constaté que cette collecte se faisait en permanence sur tous les terminaux, même si l’utilisateur désactive la géolocalisation, et même en l’absence d’une carte SIM. La collecte serait étroitement liée à la messagerie Firebase Cloud Messaging inclut par défaut sur l’ensemble des terminaux Android.
Google à, de son côté, confirmé la collecte (qui a lieu depuis janvier 2017 exactement) à des fins d’amélioration des performances de messagerie mais assure que ces données ne sont pas stockées et ne l’ont jamais été. De plus, la firme de Mountain View a promit de stopper cette collecte d’ici la fin du mois.
Quand aux CGU de Google, elles sont très floues sur la nature exacte des données collectées… du coup, on peut affirmer que cette collecte de données GSM se faisait à l’insu des utilisateurs.
Conclusion
L’ensemble de ces cas est très révélateur du comportement des constructeurs d’objets connectés dans l’ensemble ainsi que des éditeurs de logiciels embarqués. En effet, les possibilités “d’espionnage” des utilisateurs s’offrant à eux sont multiples et bien tentantes ! Il ne reste plus qu’à espérer que des chercheurs en sécurité continuent de surveiller l’envers du décor de nos appareils et alertent à chaque découverte qui ne respectent pas les règles de protection des données personnelles…
Espérons aussi que l’application prochaine du RGPD (nouveau règlement européen sur la protection des données personnelles) changera la donne, notamment via les importantes sanctions financières prévues.
Mon Bluetooth de Androit OS s’active tout seul sans mon autorisation, j’ai tenté plusieurs fois pour régler le problème mais impossible, il n’hésite aucun anti-virus pour désactiver complètement le Bluetooth
Les commentaires sont fermés.