Les étranges transferts de données des smartphones Wiko vers la Chine
Écrit par Jonathan PIRIOU sur novembre 20, 2017
Selon un hacker, les terminaux Wiko transfèrent chaque mois des données de l’appareil vers des serveurs en Chine. Une pratique surprenante, que la marque française ne conteste pas.
Après OnePlus, c’est au tour de Wiko de subir les foudres d’Elliot Alderson -pseudonyme qui reprend le nom du personnage principal de Mr Robot-, ce hacker qui dissèque les smartphones Android pour trouver des portes dérobées ou des fuites d’informations cachées. Concernant la marque française, le chercheur en sécurité a mis la main sur un joli pot aux roses, à savoir deux applications système préinstallées qui envoient en cachette des données de l’appareil à une société en Chine.Les applications s’appellent « ApeSale Tracker » et « ApeStsMonths ». Quant à la société chinoise, il s’agit de Tinno, un fabricant chinois de smartphones qui est également… la maison mère de Wiko. En effet, la société française n’est en réalité qu’une tête de pont commerciale et marketing de ce constructeur qui diffuse ses terminaux dans le monde entier sous différentes marques (Wiko en France, Blu en Amérique, Intex en Inde, Evertek en Tunisie, Fly en Russie…).
Quelles données Tinno aspire-t-il auprès des utilisateurs français ? Selon Elliot Alderson, l’appareil envoie chaque mois l’IMEI, le numéro de client, la localisation de la cellule GSM, le numéro de série et la version du logiciel système. Ces données seraient transmises de manière non chiffrée par HTTP ou par SMS (vers un numéro chinois, donc). L’envoi de ces données se ferait à l’insu de l’utilisateur qui ne pourrait pas non plus l’empêcher.Contacté par 01net.com, Wiko dédramatise la situation en soulignant que seules des données techniques sont transmises à Tinno, pas des données utilisateur. Cette collecte n’inclurait pas la localisation de cellule GSM et ne se ferait jamais par SMS, mais seulement par HTTP. Par ailleurs, ces données seraient chiffrées avant envoi, grâce à l’algorithme RSA.
Voici la réponse officielle de Wiko :
« Wiko est une entreprise responsable qui a toujours placé ses clients au centre de ses préoccupations. Les smartphones Wiko sont équipés de l’application STS (Sales Tracking System) dont la finalité est d’établir des statistiques de ventes et de durée de vie des produits. Les données collectées par le système STS sont des données d’ordre technique, notamment le numéro IMEI, le numéro de série, le nom du modèle du téléphone, la version du système d’exploitation Android. L’activation se fait au premier allumage, et chaque mois, exclusivement via une connexion Internet, et jamais par SMS. Aucune donnée relative à l’utilisateur, à l’utilisation du smartphone ou des applications n’est collectée.
Wiko prend les questions relatives aux données personnelles très au sérieux et a volontairement initié en 2017 un audit de l’ensemble des traitements de données personnelles dont elle est responsable. Cet audit a été réalisé par un cabinet spécialisé (TNP – Cil Consulting : http://www.protection-des-donnees.fr/). Wiko a toujours eu la volonté de traiter les données clients en conformité avec la réglementation, et se prépare depuis plusieurs mois à l’entrée en vigueur du RGPD au mois de mai 2018. »
Elliot Alderson au du mal à croire à tout cela. Pour lui, cette mise au point est un « gros mensonge » et il peut le prouver car il dispose des codes source décompilés. « Ils ne peuvent pas contredire le code qu’ils ont écrit », souligne-t-il. Il concède toutefois que Wiko a raison en expliquant qu'il chiffre les données avant de les envoyer grâce à RSA. Quoi qu’il en soit, la marque française nous a confié à demi-mot qu’elle était consciente de dépasser un peu les bornes. Après l’audit cité plus haut, elle a décidé de remplacer d’ici à la fin de l’année l’actuel logiciel de collecte mensuelle par une version allégée où ces données ne seraient transmises qu’une seule fois au moment de la mise en service. Par ailleurs, cette collecte se ferait sur des serveurs français et non chinois. Vis-à-vis du futur règlement européen RGPD, c’est sûr, c’est plus propre.