Peut-on accuser Wiko, le fabricant français de smartphones, filiale à 95% du chinois Tinno, de faire dans l’espionnage numérique ? Tout porte à le croire. La nouvelle fait déjà l’effet d’une bombe.
Les terminaux mobiles classiques tout comme les smartphones équipés de l’OS Android stockent en mémoire, sous la forme d’un fichier caché et crypté, l’intégralité des données statistiques des utilisateurs sans leur consentement. Ces informations, chiffrées, sont envoyées tous les mois à Tinno, en Chine.
C’est un ingénieur français de 28 ans qui a dévoilé sur son compte Twitter l’existence d’une porte dérobée (backdoor) dans une application STS (Sales Tracking System) dont la finalité est de collecter des données d’ordre technique comme le code IMEI (International Mobile Equipment Identity), le numéro de série, le nom du modèle du téléphone et la version du système d’exploitation Android. L’ingénieur, connu sous le pseudonyme d’Eliott Alderson, une des vedettes de la série Mr. Robot, ce « white hat » (un hacker éthique qui teste les systèmes d’information), a découvert que l’application STS, qui passe pour une assistance technique, dispose d’un large accès au système d’exploitation du terminal.
Cet accès, qui n’est soumis à aucune autorisation, permet au fabricant de géolocaliser ses smartphones via n’importe quel réseau mobile (Wi-Fi, 4G, 3G, EDGE, GPRS, GSM), et surtout de faire transiter par ces réseaux des données collectées via les identifiants des clients tels que l’adresse mail ou le numéro de téléphone et des informations sur leurs activités, pour être envoyées par la suite vers un serveur de l’entreprise Tinno localisé en Chine. Cette opération est menée même si des mises à jour, des restaurations des terminaux, des sauvegardes ou transferts de données inter-terminaux sont effectués.
Le serveur chinois de Tinno peut recevoir jusqu’à plusieurs mois d’indications géographiques collectées, des coordonnées de dizaines de stations de base BTS de téléphonie mobile et des centaines réseaux accès à Internet par Wi-Fi. Selon des experts, le fichier STS, glissé à l’intérieur du système de tous les smartphones Wiko, sans aucune procédure de chiffrement, ne peut pas être désactivé par l’utilisateur. STS ne dépend pas du pack Wiko Services qui peut être désactivé. S’agit-il d’une erreur ou d’un acte volontaire de la part du constructeur chinois à l’insu de son partenaire français ? Aucun expert ne pourra apporter une réponse catégorique tant qu’on ne saura pas si les données collectées seront transmises à Tinno ou à une autre entité.
Que fera l’ARPT ?
Il est à indiquer que les ingénieurs de la société Wiko Mobile envoient le cahier des charges des téléphones au fabricant chinois Tinno, qui leur envoie des prototypes qu’ils modifient pour les adapter au marché français. Cependant, le fait que ce fichier contient une liste de latitudes, de longitudes, de dates, d’historique des déplacements et d’opérateurs utilisés, amène à se poser des questions sur le motif réel de l’existence de ce fichier et son intérêt pour le fabricant. En effet, l’auteur des révélations est catégorique, malgré l’absence de la preuve numérique : les terminaux mobiles intelligents de Wiko transmettent bien les fichiers de données collectées au constructeur. Ils émettent la localisation plusieurs fois par heure, collectent des informations supplémentaires chaque seconde et dressent une liste de BTS et réseaux Wi-Fi croisés par leurs utilisateurs.
L’entreprise Wiko commercialise ses terminaux en Algérie. Ses modèles sont agréés par l’Autorité de régulation de la poste et des télécommunications (ARPT). Quelle sera la position de l’ARPT face à cette problématique en l’absence de critères stricts d’accès au système d’information et d’un cadre juridique à la géolocalisation, via la téléphonie mobile ? Le régulateur va-t-il demander des explications à la société Française ? La plupart des régulateurs internationaux estiment déjà que la collecte secrète et le stockage de données de localisation d’un téléphone portable constitueraient une violation majeure de la vie privée. Ils revendiquent plus de sécurisation des informations sur la localisation des utilisateurs des terminaux équipés du système Android de Google.
Il est à rappeler que la sécurisation des terminaux mobiles passe par trois points essentiels : la sécurisation du terminal, de l’échange des données, et du système d’information. Cette affaire amène à se poser des questions sur le modèle commercial des smartphones à bas prix. De quelle manière, les fabricants de terminaux mobiles « low cost » arrivent-ils à gagner de l’argent ? Vendre uniquement du hardware ne permet pas d’amortir les coûts. En revanche, sur le plan software, les données collectées pourraient rapporter plus, et intéresser aussi bien des compagnies d’Internet comme Google, que des agences de renseignement. Le smartphone devient ainsi un outil dans d’espionnage moderne.
