Après OnePlus, c’est au tour de Wiko de subir les foudres d’Elliot Alderson -pseudonyme qui reprend le nom du personnage principal de Mr Robot-, ce hacker qui dissèque les smartphones Android pour trouver des portes dérobées ou des fuites d’informations cachées. Concernant la marque française, le chercheur en sécurité a mis la main sur un joli pot aux roses, à savoir deux applications système préinstallées qui envoient en cachette des données de l’appareil à une société en Chine.
<Thread> Hi @WikoMobile 👋! Let's talk about the ApeSaleTracker and ApeStsMonths apps found in your phones.
These apps are pre-installed system apps which send regularly and silently the user infos to a Chinese 3rd party called Tinno by HTTP or SMS without user consent— Baptiste Robert (@fs0c131y) November 19, 2017
Les applications s’appellent « ApeSale Tracker » et « ApeStsMonths ». Quant à la société chinoise, il s’agit de Tinno, un fabricant chinois de smartphones qui est également… la maison mère de Wiko. En effet, la société française n’est en réalité qu’une tête de pont commerciale et marketing de ce constructeur qui diffuse ses terminaux dans le monde entier sous différentes marques (Wiko en France, Blu en Amérique, Intex en Inde, Evertek en Tunisie, Fly en Russie…).
Quelles données Tinno aspire-t-il auprès des utilisateurs français ? Selon Elliot Alderson, l’appareil envoie chaque mois l’IMEI, le numéro de client, la localisation de la cellule GSM, le numéro de série et la version du logiciel système. Ces données seraient transmises de manière non chiffrée par HTTP ou par SMS (vers un numéro chinois, donc). L’envoi de ces données se ferait à l’insu de l’utilisateur qui ne pourrait pas non plus l’empêcher.
Let's summarise:
1. @WikoMobile and Tinno is collecting your device info without user consent
2. As an end user you have no way to disable it.
3. They send SMS to China with your data without user consent
4. They send your data in clear text— Baptiste Robert (@fs0c131y) November 19, 2017
Contacté par 01net.com, Wiko dédramatise la situation en soulignant que seules des données techniques sont transmises à Tinno, pas des données utilisateur. Cette collecte n’inclurait pas la localisation de cellule GSM et ne se ferait jamais par SMS, mais seulement par HTTP. Par ailleurs, ces données seraient chiffrées avant envoi, grâce à l’algorithme RSA.
Voici la réponse officielle de Wiko :
« Wiko est une entreprise responsable qui a toujours placé ses clients au centre de ses préoccupations. Les smartphones Wiko sont équipés de l’application STS (Sales Tracking System) dont la finalité est d’établir des statistiques de ventes et de durée de vie des produits. Les données collectées par le système STS sont des données d’ordre technique, notamment le numéro IMEI, le numéro de série, le nom du modèle du téléphone, la version du système d’exploitation Android. L’activation se fait au premier allumage, et chaque mois, exclusivement via une connexion Internet, et jamais par SMS. Aucune donnée relative à l’utilisateur, à l’utilisation du smartphone ou des applications n’est collectée.
Wiko prend les questions relatives aux données personnelles très au sérieux et a volontairement initié en 2017 un audit de l’ensemble des traitements de données personnelles dont elle est responsable. Cet audit a été réalisé par un cabinet spécialisé (TNP – Cil Consulting : http://www.protection-des-donnees.fr/). Wiko a toujours eu la volonté de traiter les données clients en conformité avec la réglementation, et se prépare depuis plusieurs mois à l’entrée en vigueur du RGPD au mois de mai 2018. »
Elliot Alderson au du mal à croire à tout cela. Pour lui, cette mise au point est un « gros mensonge » et il peut le prouver car il dispose des codes source décompilés. « Ils ne peuvent pas contredire le code qu’ils ont écrit », souligne-t-il. Il concède toutefois que Wiko a finalement raison en expliquant qu’il chiffre les données avant de les envoyer grâce à RSA. Mais il persiste et signe sur l’utilisation du SMS et la transmission des données de localisation GSM.
This is a big lie and I have the decompiled source code of these apps to prove it
— Baptiste Robert (@fs0c131y) November 20, 2017
1. The RSA part is true. They encrypt the message content with an hardcoded key
2 . The SMS is used as a backup method.
3. They send the GSM Cell Location in ApeStsMonthshttps://t.co/NuPExm78O9— Baptiste Robert (@fs0c131y) November 20, 2017
Quoi qu’il en soit, la marque française nous a confié à demi-mot qu’elle était consciente de dépasser un peu les bornes. Après l’audit cité plus haut, elle a décidé de remplacer d’ici à la fin de l’année l’actuel logiciel de collecte mensuelle par une version allégée où ces données ne seraient transmises qu’une seule fois au moment de la mise en service. Par ailleurs, cette collecte se ferait sur des serveurs français et non chinois. Vis-à-vis du futur règlement européen RGPD, c’est sûr, c’est plus propre.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
