Dimanche dernier, le compte Twitter Elliot Alderson (une référence au personnage principal de la série Mr Robot) affirmait que des smartphones de la marque Wiko hébergeaient deux applications, qui envoyaient des informations personnelles et techniques en Chine. ApeSaleTracker et ApeStsMonths, c’est le nom de ces deux applications, sont présintallées sur un certain nombre de smartphones Android de Wiko.
Hi @WikoMobile ?! Let’s talk about the ApeSaleTracker and ApeStsMonths apps found in your phones.
These apps are pre-installed system apps which send regularly and silently the user infos to a Chinese 3rd party called Tinno by HTTP or SMS without user consent— Elliot Alderson (@fs0c131y) 19 novembre 2017
Des applications curieuses qui envoient chaque mois des données en Chine
Le comportement de ces deux applications est particulièrement inquiétant. Comme le révèle FrAndroid, qui corrobore les révélations de @fs0c131y sur Twitter, elles disposent des permissions suivantes, sans demander l’autorisation de l’utilisateur : lire et écrire des SMS, Accès à Internet, Accès à la position (non précise) du téléphone et Infos sur le téléphone.
Ces permissions leur permettent alors, lors du premier lancement d’un téléphone de la marque, puis tous les mois par la suite, d’envoyer le numéro IMEI, un numéro de client, le modèle du téléphone, l’antenne relais sur lequel est connecté le téléphone et le numéro de version du téléphone à Shenzhen, en Chine. Et plus précisément, ces données sont réceptionnées par la société Tinno, la société-mère de Wiko.
As state in the app names, these apps are used by https://t.co/r0OjqtlvKP to track the number of active devices they have all over the world. Tinno Mobile Technology Corp.. (aka Tinno) is a Chinese company based in Shenzhen which manufacture and sales mobile terminals. pic.twitter.com/8pGZVrwCcI
— Elliot Alderson (@fs0c131y) 19 novembre 2017
Ce qui est le plus problématique là dedans, c’est que ces applications envoient ces informations sans jamais demander l’accord du propriétaire du téléphone. Quand bien même l’utilisateur demanderait, lors du premier lancement du téléphone, de ne pas partager ses informations avec Wiko pour améliorer ses produits, elles le font quand même. FrAndroid affirme toutefois que si ces applications peuvent potentiellement envoyer les informations en Chine par SMS, elles n’utilisent toutefois qu’Internet (via le WiFi ou le réseau cellulaire) pour les transmettre en Chine. On se rassure comme on peut.
Pour les curieux, il est possible d’accéder à ces applications en tapant sur le clavier numérique (dans l’application Téléphone) *#*#2374#*#*
ou *#*#2376#*#*
.
Wiko confirme et compte rendre ces applications moins bavardes
Quand bien même la nature de ces données est plus technique que personnelle — Wiko affirme qu’il a supprimé depuis longtemps la localisation de l’antenne relais au sein de l’application, le fait qu’un développeur ait épinglé Wiko sur ce genre de pratique montre que les marques se permettent de prendre des informations à ses clients sans leur demander leur avis. Surtout, si Wiko est capable de récupérer ces données techniques, il est techniquement capable de prendre des données beaucoup plus personnelles.
Wiko a toutefois réagi très vite et a donné hier, une réponse officielle. La voici :
« Wiko est une entreprise responsable qui a toujours placé ses clients au centre de ses préoccupations. Les smartphones Wiko sont équipés de l’application STS (Sales Tracking System) dont la finalité est d’établir des statistiques de ventes et de durée de vie des produits.
Les données collectées par le système STS sont des données d’ordre technique, notamment le numéro IMEI, le numéro de série, le nom du modèle du téléphone, la version du système d’exploitation Android. L’activation se fait au premier allumage, et chaque mois, exclusivement via une connexion Internet, et jamais par SMS. Aucune donnée relative à l’utilisateur, à l’utilisation du smartphone ou des applications n’est collectée.
Wiko prend les questions relatives aux données personnelles très au sérieux et a volontairement initié en 2017 un audit de l’ensemble des traitements de données personnelles dont elle est responsable. Cet audit a été réalisé par le cabinet spécialité (TNP – Cil Consulting : http://www.protection-des-donnees.fr/). Wiko a toujours eu la volonté de traiter les données clients en conformité avec la règlementation, et se prépare depuis plusieurs mois à l’entrée en vigueur du RGPD au mois de mai 2018. »
Wiko confirme bien qu’il récupère chaque mois des informations sur ses clients via des applications préinstallées sur ses téléphones. Contacté par NextInpact, Wiko a également tenu à préciser qu’il « prévoit “à très court terme” de remplacer le STS de Tinno par une version estampillée Wiko », qui récupèrera moins d’informations et surtout qui « ne vérifiera pas la durée de vie des produits et donc n’exécutera pas de requête mensuellement. Si nous décidons d’ajouter cette fonctionnalité (ce qui n’est pas prévu aujourd’hui), nous permettrons bien entendu à l’utilisateur de la désactiver ». Selon nos informations, la mise à jour des applications STS se fera avant la fin de l’année et n’aura plus l’autorisation d’accéder aux SMS de l’utilisateur.
OnePlus aussi épinglé le mois dernier pour des pratiques similaires
Ce n’est pas la première fois qu’un constructeur de smartphone est épinglé pour de telles pratiques. En octobre dernier, déjà, OnePlus avait dû s’expliquer sur l’envoi de données techniques et personnelles depuis ses smartphones vers son siège. La marque avait alors dû restreindre les données qu’il collectait. Quant au compte Twitter Elliot Alderson (Robert Baptiste de son véritable nom, un chercheur en sécurité), il affirme qu’il compte dévoiler de nouvelles failles sur les appareils de OnePlus dans les prochaines heures.
Hi @oneplus ?! Stay connected, there is more to come! pic.twitter.com/mDgGUZhow8
— Elliot Alderson (@fs0c131y) 20 novembre 2017
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
“ces que”
C’est pas un article sur Apple, donc il ne mérite pas d’effort de la part de gael.
Corrigé, merci.
En aucun cas ca envois des données par SMS… et ils explique que “…la mise à jour des applications STS se fera avant la fin de l’année et n’aura plus l’autorisation d’accéder aux SMS de l’utilisateur.” LOL
D’un autre côté je me demande bien ce qu’ils peuvent faire des infos personnelles de leurs clients aux 4 coins du monde.
Glaner les infos personnelles des petits Chinois cela pourrait se comprendre puisqu’ils n’ont pas exactement la même vision de la démocratie que les occidentaux.
Mais quand bien même ils stockeraient les informations personnelles du reste du monde on se demande un peu à quoi cela pourrait leur servir.