Accéder au contenu principal

Une backdoor menant à la Chine découverte dans des smartphones Android

120 000 téléphones Android de Blu Products auraient exfiltrés des données personnelles vers la Chine via une backdoor.
120 000 téléphones Android de Blu Products auraient exfiltrés des données personnelles vers la Chine via une backdoor. Bloomberg, Getty Images

La société de sécurité américaine Kryptowire a repéré une porte dérobée dans des smartphones chinois Android low-cost. Celle-ci permet la collecte et l'envoi des données personnelles d'utilisateurs directement vers un serveur situé en Chine.

PUBLICITÉ

Les Américains disposant d'un smartphone chinois bon marché risquent d'avoir une drôle de surprise. Leurs journaux d'appel, leurs contacts, leurs textos, leurs historiques de géolocalisation, les données de leurs applications sont peut-être régulièrement exfiltrés vers la Chine via une backdoor. Les portes dérobées (en bon français) sont des failles introduites dans un appareil à l'insu de son utilisateur pour en extraire à distance de la data.

VOIR AUSSI : Donald Trump peut compter sur sa petite-fille Arabella pour réchauffer ses relations avec la Chine

C'est la société de sécurité américaine Kryptowire qui signale le problème. Il concerne des smartphones chinois bon marché fonctionnant sous Android. Selon l'entreprise, ce sont près de 700 000 millions de téléphones qui pourraient être concernés. La transmission des données a lieu toutes les 72 heures et est assurée par deux logiciels système. À ce titre, il est quasi-impossible de les détecter via des antivirus ou de les désinstaller.

À qui la faute ?

D'après une enquête du New York Times, 120 000 téléphones vendus par le fabricant américain Blu Products disposaient de cette backdoor. Signalée par Kryptowire, elle a été désactivée et l'entreprise américaine nie en être à l'origine. Elle préfère renvoyer la balle à Adups Technology, une société chinoise basée à Shanghai, qui a conçu les logiciels incriminés. 

Les représentants d’Adups rejettent la faute sur "une société privée ayant fait une erreur"

Interrogés par le New York Times à ce sujet, les représentants d’Adups rejettent également la faute sur "une société privée ayant fait une erreur", sans toutefois daigner la citer. Le logiciel aurait "simplement" eu pour vocation d'exploiter ces données à des fins commerciales. C'est elle qui aurait fourni à Blu Products les moyens de supprimer la porte dérobée. Elle aurait aussi assuré à la compagnie américaine avoir détruit les données collectées.

Espionnage ou erreur ?

Les révélations de Kryptowire et du New York Times montrent de manière inquiétante la manière dont une entreprise, voire un gouvernement, pourrait s'y prendre pour espionner ses utilisateurs ou citoyens. Toutefois, Adups Technology a démenti formellement travailler avec les services secrets chinois et affirme que ce software n'avait jamais eu pour vocation de sortir de Chine. Kryptowire a tout de même signalé les irrégularités au gouvernement américain.

À noter que parmi les clients d'Adups Technology, on retrouve Huawei et ZTE, deux marques qui sont bannies des marchés publics américains car soupçonnées de servir de cheval de Troie chinois à des fins d'espionnage. Dans cette affaire, il est donc difficile d'affirmer qu'il s'agit d'une simple erreur, comme le clame les entreprises impliquées, ou s'il est question de surveillance à grande échelle. Toutefois, ces révélations ne pourraient être que l'arbre qui cache la forêt.

Quelque chose à ajouter ? Dites-le en commentaire.

Cette page n'est pas disponible.

Il semblerait qu'il y ait une erreur de notre côté et que cette page ne soit pas disponible. Nos équipes vont se pencher sur la question pour résoudre ce problème au plus tôt.