Dans l'affaire du firmware chinois livrant périodiquement des données personnelles, une société de sécurité informatique affirme que 43 constructeurs de smartphones sont concernés, dont Archos, ZTE et Lenovo.

L’affaire des smartphones Android altérés par un firmware indiscret rebondit. Selon les trouvailles faites par Trustlook, une entreprise de sécurité informatique, le nombre de constructeurs concernés par ce problème est plus vaste que prévu. Son rapport, publié la semaine dernière, liste en effet 43 fabricants, dont Archos, Hisense, Lenovo, MediaTek et ZTE.

Ces entreprises utilisent le système de mise à jour OTA conçu par Adups Technology Co Ltd, une compagnie chinoise basée à Shanghai. Or, il a été découvert en novembre que la solution fournie par Adups se montrait fort curieuse : en analysant les produits du constructeur BLU, Kryptowire, une firme spécialisée dans la sécurité informatique, a remarqué l’envoi régulier de données vers la Chine.

Lenovo Moto G4

Étaient concernés les SMS, l’historique des appels, la liste des contacts, des codes relatifs à l’appareil (IMEI) et à l’abonné (IMSI), les informations de localisation ainsi que l’usage des applications. Le firmware était aussi en mesure d’exécuter des reprogrammations et des installations d’autres applications sans l’accord de l’usager, en contournant le système de permission du système d’exploitation.

« En raison de la gravité de ce problème, les experts de Trustlook ont mené une enquête complémentaire et ont publié leurs conclusions dans un rapport technique. Celui-ci fournit des détails précis sur la façon dont les informations privées sont collectées et sur la façon dont ces données sont transmises », écrit la société, qui estime à 700 millions le nombre de terminaux concernés par Adups.

700 millions de smartphones Android seraient concernés

Trustlook ajoute que ce logiciel espion, outre les éléments cités plus haut, transmet aussi l’adresse Mac, le numéro de version d’Android et des renseignements sur l’opérateur. Ces envois se font au rythme d’une fois toutes les 72 heures. « Les gens aiment à penser que leur tout nouveau smartphone est propre et débarrassé de tout malware, mais ce n’est pas toujours le cas », fait remarquer l’entreprise.

Pour autant, est-ce à dire que les smartphones de ces constructeurs qui sont à destination des clients français sont impactés par cet indiscret firmware ?

archos-5

FrAndroid tempère le risque pour les usagers en Europe, en faisant remarquer que la présence de ce logiciel ne figure par exemple pas sur les téléphones américains (c’est le cas de ZTE par exemple), tandis que des fabricants ont pris la décision de se séparer d’Adups (comme BLU). La méfiance doit toutefois être de mise, au regard des noms figurant dans la liste rédigée par Trustlook.

Si la majorité des constructeurs se focalise exclusivement au marché chinois, on note toutefois la présence de quelques marques qui ont une envergure suffisante pour atteindre le marché européen — c’est le cas de Lenovo, ZTE ou encore Hisense. Plus perturbant, il y a aussi des groupes français, à l’image d’Archos mais aussi de Wiko (Tinno est l’entreprise chinoise qui est derrière la marque commerciale française).

Et maintenant ?

Pour PC World, la découverte de l’existence de ce firmware dans les fabricants cités ci-dessus ne signifie pas forcément que tous les smartphones de toutes les marques transmettaient des informations périodiquement à travers Adups. Cela étant, l’affaire devrait conduire d’autres sociétés à suivre le chemin qu’a emprunté BLU, en se détachant des solutions fournies par Adups.

Pour savoir si votre smartphone est affecté, Android Anthority indique que Trustlook a mis à jour son antivirus. Le site met toutefois en garde : l’antivirus est utilisable gratuitement, à condition d’en accepter les conditions d’utilisation… qui incluent, outre des achats intégrés, l’affichage de notifications pas forcément très désirables et la captation de quelques données personnelles qui pourront ensuite être partagées avec des tiers.

Comme le notent nos confrères, c’est plutôt gonflé vu le contexte.

À lire sur Numerama : Des smartphones Android envoient vos données personnelles en Chine

Partager sur les réseaux sociaux