Un chercheur en sécurité accuse Wiko d’avoir installé une application sur ses smartphones afin d’envoyer des données à intervalles réguliers vers les serveurs de la société Tinno en Chine. Les données, qui contiennent notamment la géolocalisation  à intervalles réguliers du téléphone, sont envoyées en clair.

Après OnePlus, Wiko se voit reprocher ses indiscrétions :

ð Un chercheur en sécurité épingle en effet le fabricant franco-chinois pour une application faisant office de « backdoor » et qui transmet plusieurs informations liées à l’appareil à la société mère de Wiko, le géant chinois Tinno qui conçoit et produit les smartphones revendus en France par Wiko.

Sous le pseudonyme d’Elliott Anderson, le chercheur a en effet annoncé avoir découvert sur les téléphones Wiko la présence de deux programmes, dénommés SaleTrackerSystem (STS) et ApeStsMonth.

Comme l’explique le chercheur, ces programmes font remonter certaines informations en rapport avec le téléphone vers des serveurs chinois appartenant à Tinno, la société mère de Wiko.

Le système prévoit ainsi d’envoyer le numéro IMEI d’identification du téléphone, la géolocalisation du téléphone, le numéro de série du téléphone ainsi que la version d’Android installée sur l’appareil.

Et tout cela  en clair !  Via une requête HTTP et donc facile à intercepter pour quiconque connaîtrait l’existence de ce mécanisme.

Selon le chercheur, l’appareil envoie les données à intervalles réguliers et dispose de fonctionnalité pouvant lui permettre de transmettre celles-ci via SMS dans le cas où le réseau serait indisponible pour l’utilisateur.

Le problème de cette collecte de donnée est que l’utilisateur ne peut pas vraiment y échapper, même s’il refuse explicitement toute collecte de donnée sur le téléphone.

Selon Frandroid, les deux applications continuent d’envoyer les données vers les serveurs de Tinno, même lorsque l’utilisateur désactive la collecte de données anonymisées lors de la configuration de l’appareil.

Dans un communiqué, Wiko reconnaît l'existence de cette application mais affirme qu'aucune donnée relative à l’utilisateur, à l’utilisation du smartphone ou des applications n’est collectée. L'entreprise dément par ailleurs que ces données sont envoyées par SMS et souligne que les échanges sont chiffrées.

 « Les smartphones Wiko sont équipés de l’application STS (Sales Tracking System) dont la finalité est d’établir des statistiques de ventes et de durée de vie des produits. Les données collectées par le système STS sont des données d’ordre technique, notamment le numéro IMEI, le numéro de série, le nom du modèle du téléphone, la version du système d’exploitation Android  indique Wiko.

Il précise que la géolocalisation « n’a jamais été utilisée et a été supprimée des dernières versions de STS ».

Toutefois, le fabricant indique qu’il travaille sur une nouvelle version de STS qui ne devrait plus collecter d’information mensuellement.

A suivre…