Les smartphones Wiko envoient des données personnelles en Chine à l’insu de leurs propriétaires

Sécurité

Par Gaël Weiss le

Un développeur a démontré que certains smartphones Wiko envoient des données techniques et personnelles en Chine, au siège de la société Tinno, sans demander l’accord des propriétaires des téléphones. Les deux applications responsables seront très bientôt modifiées par le constructeur, qui a officiellement réagi hier.

Dimanche dernier, le compte Twitter Elliot Alderson‏ (une référence au personnage principal de la série Mr Robot) affirmait que des smartphones de la marque Wiko hébergeaient deux applications, qui envoyaient des informations personnelles et techniques en Chine. ApeSaleTracker et ApeStsMonths, c’est le nom de ces deux applications, sont présintallées sur un certain nombre de smartphones Android de Wiko.

Des applications curieuses qui envoient chaque mois des données en Chine

Le comportement de ces deux applications est particulièrement inquiétant. Comme le révèle FrAndroid, qui corrobore les révélations de @fs0c131y sur Twitter, elles disposent des permissions suivantes, sans demander l’autorisation de l’utilisateur : lire et écrire des SMS, Accès à Internet, Accès à la position (non précise) du téléphone et Infos sur le téléphone.

Ces permissions leur permettent alors, lors du premier lancement d’un téléphone de la marque, puis tous les mois par la suite, d’envoyer le numéro IMEI, un numéro de client, le modèle du téléphone, l’antenne relais sur lequel est connecté le téléphone et le numéro de version du téléphone à Shenzhen, en Chine. Et plus précisément, ces données sont réceptionnées par la société Tinno, la société-mère de Wiko.

Ce qui est le plus problématique là dedans, c’est que ces applications envoient ces informations sans jamais demander l’accord du propriétaire du téléphone. Quand bien même l’utilisateur demanderait, lors du premier lancement du téléphone, de ne pas partager ses informations avec Wiko pour améliorer ses produits, elles le font quand même. FrAndroid affirme toutefois que si ces applications peuvent potentiellement envoyer les informations en Chine par SMS, elles n’utilisent toutefois qu’Internet (via le WiFi ou le réseau cellulaire) pour les transmettre en Chine. On se rassure comme on peut.

Pour les curieux, il est possible d’accéder à ces applications en tapant sur le clavier numérique (dans l’application Téléphone) *#*#2374#*#* ou *#*#2376#*#*.

Wiko confirme et compte rendre ces applications moins bavardes

Quand bien même la nature de ces données est plus technique que personnelle — Wiko affirme qu’il a supprimé depuis longtemps la localisation de l’antenne relais au sein de l’application, le fait qu’un développeur ait épinglé Wiko sur ce genre de pratique montre que les marques se permettent de prendre des informations à ses clients sans leur demander leur avis. Surtout, si Wiko est capable de récupérer ces données techniques, il est techniquement capable de prendre des données beaucoup plus personnelles.

Wiko a toutefois réagi très vite et a donné hier, une réponse officielle. La voici :

« Wiko est une entreprise responsable qui a toujours placé ses clients au centre de ses préoccupations. Les smartphones Wiko sont équipés de l’application STS (Sales Tracking System) dont la finalité est d’établir des statistiques de ventes et de durée de vie des produits.

Les données collectées par le système STS sont des données d’ordre technique, notamment le numéro IMEI, le numéro de série, le nom du modèle du téléphone, la version du système d’exploitation Android. L’activation se fait au premier allumage, et chaque mois, exclusivement via une connexion Internet, et jamais par SMS. Aucune donnée relative à l’utilisateur, à l’utilisation du smartphone ou des applications n’est collectée.

Wiko prend les questions relatives aux données personnelles très au sérieux et a volontairement initié en 2017 un audit de l’ensemble des traitements de données personnelles dont elle est responsable. Cet audit a été réalisé par le cabinet spécialité (TNP – Cil Consulting : http://www.protection-des-donnees.fr/). Wiko a toujours eu la volonté de traiter les données clients en conformité avec la règlementation, et se prépare depuis plusieurs mois à l’entrée en vigueur du RGPD au mois de mai 2018. »

Wiko confirme bien qu’il récupère chaque mois des informations sur ses clients via des applications préinstallées sur ses téléphones. Contacté par NextInpact, Wiko a également tenu à préciser qu’il « prévoit “à très court terme” de remplacer le STS de Tinno par une version estampillée Wiko », qui récupèrera moins d’informations et surtout qui « ne vérifiera pas la durée de vie des produits et donc n’exécutera pas de requête mensuellement. Si nous décidons d’ajouter cette fonctionnalité (ce qui n’est pas prévu aujourd’hui), nous permettrons bien entendu à l’utilisateur de la désactiver ». Selon nos informations, la mise à jour des applications STS se fera avant la fin de l’année et n’aura plus l’autorisation d’accéder aux SMS de l’utilisateur.

OnePlus aussi épinglé le mois dernier pour des pratiques similaires

Ce n’est pas la première fois qu’un constructeur de smartphone est épinglé pour de telles pratiques. En octobre dernier, déjà, OnePlus avait dû s’expliquer sur l’envoi de données techniques et personnelles depuis ses smartphones vers son siège. La marque avait alors dû restreindre les données qu’il collectait. Quant au compte Twitter Elliot Alderson‏ (Robert Baptiste de son véritable nom, un chercheur en sécurité), il affirme qu’il compte dévoiler de nouvelles failles sur les appareils de OnePlus dans les prochaines heures.

Source: Source