Les chercheurs en cybersécurité de Cybernews se sont penchés sur le Pixel 9 Pro XL, l’un des derniers fleurons haut de gamme de Google. Les experts se sont surtout intéressés aux données que le smartphone transmet aux serveurs de Google.
Pour découvrir le montant des données continuellement transmises à Mountain View, les chercheurs ont intercepté le trafic entre un Pixel 9 Pro XL neuf et les serveurs de Google. Pour réaliser l’expérience, les experts se sont servis d’un smartphone flambant neuf lié à un nouveau Google créé pour l’occasion. Les paramètres du compte ont été configurés par défaut.
À lire aussi : Le Google Pixel 9 Pro XL est le 2ᵉ meilleur smartphone en photo selon DXOMARK
Quelles données sont envoyées à Google ?
Verdict : le smartphone envoie un paquet de données à Google « toutes les 15 minutes », indique Aras Nazarovas, chercheur en sécurité chez Cybernews. Ce transfert se déroule en arrière-plan, sans que l’utilisateur en ait vraiment conscience. Parmi les données exfiltrées périodiquement, on trouve des informations privées, telles que l’adresse email, le numéro de téléphone, la localisation, la liste des applications Android et installées et d’autres données télémétriques. C’est le cas de la localisation de l’appareil ou de l’état du réseau auquel il est connecté.
Ces données sont envoyées à plusieurs des services de Google, à commencer par Device Management. Ce service permet à Google de suivre et gérer à distance les paramètres et les performances de ses appareils. Il peut être utilisé pour contrôler les mises à jour, surveiller l’état de l’appareil et ajuster certaines configurations sans l’intervention de l’utilisateur.
Des informations sont aussi transmises à Policy Enforcement, un outil qui permet à Google d’imposer certaines règles ou politiques sur l’appareil, comme des restrictions d’utilisation ou des paramètres de sécurité. Face Grouping, un outil lié à la reconnaissance faciale utilisée dans les applications comme Google Photos, récupère aussi constamment des informations. Comme le souligne CyberNews, cette connexion avec Face Grouping est réalisée sans le consentement explicite du détenteur du smartphone. On parle d’ailleurs de données biométriques sensibles.
De même, la recherche vocale se connecte périodiquement à des serveurs de Google, « parfois toutes les quelques minutes, parfois plus rarement ». La fonctionnalité envoie des données potentiellement sensibles, comme le nombre de redémarrages de l’appareil, le temps écoulé depuis son allumage et la liste intégrale des applications Android installées, y compris celles ajoutées manuellement par l’utilisateur. De plus, il arrive que l’application calculatrice divulgue l’historique « des calculs à des utilisateurs non authentifiés ayant un accès physique au téléphone ». En clair, vos proches pourraient consulter tous les calculs que vous avez réalisés, ce qui peut théoriquement compromettre vos finances personnelles ou professionnelles.
Des téléchargements fréquents inquiétants
Il y a « plus inquiétant encore », avertit Aras Nazarovas. En effet, le smartphone « tente périodiquement de télécharger et d’exécuter de nouveaux codes ». En effet, les chercheurs ont remarqué que le Pixel 9 demande régulièrement de nouvelles mises à jour pour tester des fonctionnalités ou améliorer l’appareil. Il se connecte également à des environnements de test.
Ces serveurs sont utilisés pour essayer de nouvelles fonctions ou mises à jour avant qu’elles ne soient disponibles au grand public. Il contacte en effet « un service d’environnement de test (‘enterprise-staging.sandbox’) et tente de télécharger des éléments encore inexistants, ce qui révèle une capacité d’installation à distance de nouveaux logiciels ». Selon les constatations des experts, Google peut installer ce qu’il veut sur le téléphone à distance sans votre aval.
« L’entreprise peut être en mesure de contrôler les paramètres et d’effectuer des actions sur des appareils grand public ordinaires si elle choisit de le faire. Il semble que les utilisateurs n’aient pas le contrôle total de l’appareil lorsqu’un fournisseur peut apporter des modifications à leur insu », estime Aras Nazarovas.
Pour les chercheurs de CyberNews, les pratiques de Google donnent l’impression que l’acheteur ne possède pas vraiment son smartphone, et qu’il n’en est pas le maitre. En effet, Google reste théoriquement en mesure de prendre le contrôle à distance de l’appareil ou d’installer de nouveaux logiciels. Au vu de « l’intégration profonde des systèmes de surveillance dans l’écosystème » du Pixel, on peut s’interroger sur l’identité du « propriétaire réel de l’appareil ».
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : CyberNews
Et le test a également été fait avec d’autres smartphones Android je suppose ? Et des iPhones ?