La société de sécurité américaine Kryptowire a repéré une porte dérobée dans des smartphones chinois Android low-cost. Celle-ci permet la collecte et l'envoi des données personnelles d'utilisateurs directement vers un serveur situé en Chine.
Les Américains disposant d'un smartphone chinois bon marché risquent d'avoir une drôle de surprise. Leurs journaux d'appel, leurs contacts, leurs textos, leurs historiques de géolocalisation, les données de leurs applications sont peut-être régulièrement exfiltrés vers la Chine via une backdoor. Les portes dérobées (en bon français) sont des failles introduites dans un appareil à l'insu de son utilisateur pour en extraire à distance de la data.
C'est la société de sécurité américaine Kryptowire qui signale le problème. Il concerne des smartphones chinois bon marché fonctionnant sous Android. Selon l'entreprise, ce sont près de 700 000 millions de téléphones qui pourraient être concernés. La transmission des données a lieu toutes les 72 heures et est assurée par deux logiciels système. À ce titre, il est quasi-impossible de les détecter via des antivirus ou de les désinstaller.
À qui la faute ?
D'après une enquête du New York Times, 120 000 téléphones vendus par le fabricant américain Blu Products disposaient de cette backdoor. Signalée par Kryptowire, elle a été désactivée et l'entreprise américaine nie en être à l'origine. Elle préfère renvoyer la balle à Adups Technology, une société chinoise basée à Shanghai, qui a conçu les logiciels incriminés.
Les représentants d’Adups rejettent la faute sur "une société privée ayant fait une erreur"
Interrogés par le New York Times à ce sujet, les représentants d’Adups rejettent également la faute sur "une société privée ayant fait une erreur", sans toutefois daigner la citer. Le logiciel aurait "simplement" eu pour vocation d'exploiter ces données à des fins commerciales. C'est elle qui aurait fourni à Blu Products les moyens de supprimer la porte dérobée. Elle aurait aussi assuré à la compagnie américaine avoir détruit les données collectées.
Espionnage ou erreur ?
Les révélations de Kryptowire et du New York Times montrent de manière inquiétante la manière dont une entreprise, voire un gouvernement, pourrait s'y prendre pour espionner ses utilisateurs ou citoyens. Toutefois, Adups Technology a démenti formellement travailler avec les services secrets chinois et affirme que ce software n'avait jamais eu pour vocation de sortir de Chine. Kryptowire a tout de même signalé les irrégularités au gouvernement américain.
À noter que parmi les clients d'Adups Technology, on retrouve Huawei et ZTE, deux marques qui sont bannies des marchés publics américains car soupçonnées de servir de cheval de Troie chinois à des fins d'espionnage. Dans cette affaire, il est donc difficile d'affirmer qu'il s'agit d'une simple erreur, comme le clame les entreprises impliquées, ou s'il est question de surveillance à grande échelle. Toutefois, ces révélations ne pourraient être que l'arbre qui cache la forêt.
Quelque chose à ajouter ? Dites-le en commentaire.