Des millions de smartphones Android surveillés en douce

Mickaël Bazoge | | 08:00 |  106

Google aura beau dire le contraire, Android souffre de problèmes de sécurité particulièrement importants (lire : Android est aussi sécurisé qu’iOS, d’après le patron de la sécurité d’Android). 700 millions de smartphones, de systèmes automobiles embarqués et d’autres appareils connectés sous Android comporteraient une porte dérobée placée ici par un logiciel susceptible de subtiliser les SMS et messages texte, localisation de l’utilisateur, carnets d’adresses, journaux d’appels. Ces informations sont transmises à un serveur en Chine, sans qu’on en connaisse l’objectif — surveillance des autorités chinoises ou publicité. Ou les deux…

Le New York Times, qui relate l’affaire, pointe le coupable du doigt : il s’agit de Shanghai Adups Technology Company, un éditeur dont le logiciel de surveillance est préinstallé dans les terminaux Android d’entrée de gamme, à destination d’une clientèle internationale. Même si les États-Unis ne sont pas nécessairement ciblés, le constructeur américain BLU Products a admis que cette porte dérobée était présente dans 120 000 de ses smartphones. La société a annoncé dans la foulée une mise à jour qui supprimait cette « fonction ».

Kryptowire, la société de sécurité qui a débusqué le mouchard, explique qu’il est impossible pour l’utilisateur de savoir si son smartphone le surveille ou pas (c’est le but généralement). Adups a développé ce logiciel pour « aider » un constructeur chinois à obtenir des informations sur les habitudes de ses clients. L’éditeur réitère que les utilisateurs américains n’étaient pas visés.

Adups est un fournisseur de deux constructeurs chinois parmi les plus importants, à savoir ZTE et Huawei (ce dernier nourrissant de grandes ambitions). Mais le mouchard a été conçu à la demande d’un fabricant chinois anonyme, qui utilise les informations subtilisées en douce pour son service d’assistance, jure l’éditeur.

Du côté de Google, on a demandé à Adups de retirer cette « fonction » de surveillance de l’utilisateur dans ses services, comme le Play Store. Mais cela ne concerne aucun smartphone Android en Chine, les constructeurs du cru adaptant l’OS à leur sauce, les services de Google n’étant pas disponibles au pays. Prévenues, les autorités américaines ont annoncé qu’elles allaient « identifier des stratégies de mitigation » contre le logiciel.

Catégorie : 

Les derniers dossiers sur iGeneration

Ailleurs sur le Web


106 Commentaires

avatar NEWIPHONE76 16/11/2016 - 08:08 via iGeneration pour iOS

Mitigation ?

avatar Ze_misanthrope 16/11/2016 - 09:02

Confondre une porte dérobée dans l'OS et une appli de surveillance pré-installée...
Waous, le journaliste technologique vient encore de prendre un coup dans l'aile aujourd'hui!

avatar Insorior 16/11/2016 - 08:09 via iGeneration pour iOS

Si on considère que c'est un téléphone par utilisateur, c'est 1% de la population mondiale qui serait surveillée comme ça...

avatar frankm 16/11/2016 - 08:30 (edité)

Sans parler de ceux comme vous et moi dont les coordonnées complètes sont enregistrée dans un smartphone ou ordinateur surveillé ! Ou volontairement enregistré sur un Gmail pour aller plus loin dans le raisonnement.

avatar noliv 16/11/2016 - 10:38 via iGeneration pour iOS

@Insorior

Non pas 1% mais 10% de la population mondiale.

avatar CNNN 16/11/2016 - 12:05 via iGeneration pour iOS

@Insorior

Plutôt 10% non ?

avatar Hideyasu 16/11/2016 - 12:52 via iGeneration pour iOS

@Insorior

On parle de 700M dans l'article, c'est pas mal quand même ! Suffisamment pour se poser les bonnes questions

avatar Bigdidou 16/11/2016 - 08:19 via iGeneration pour iOS

Sashouba, tu sais enfin comment tes sextapes se sont retrouvés sur tous les sites de gags rigolos chinois...

avatar Dumber@Redmond 16/11/2016 - 08:29 via iGeneration pour iOS

@Bigdidou

LOOOOOL
Énorme !! ;)

avatar ijimax 16/11/2016 - 08:53 via iGeneration pour iOS

@Bigdidou

Le tueur ! Excellent ;)

avatar sachouba 16/11/2016 - 21:26 (edité)

@Bigdidou :
Eh non, je n'utilise pas de smartphones chinois cheap soi-disant équivalents aux haut de gamme des marques reconnues. ;)

avatar weagt 16/11/2016 - 08:29

Et ce mouchard a été repéré, mais combien y en a-t-il encore à découvrir ?

avatar robrob 16/11/2016 - 08:32

Faudra expliquer le rapport entre:
"Google aura beau dire le contraire, Android souffre de problèmes de sécurité particulièrement importants"

et

"un éditeur dont le logiciel de surveillance est préinstallé dans les terminaux Android d’entrée de gamme"

Donc rien qui ne puisse etre fait au niveau de l'OS a moins de le fermer completement.
Vous allez aussi critiquer la securite d'OS X si j'installe un malware en root?

avatar rolmeyer 16/11/2016 - 08:46 via iGeneration pour iOS

@robrob
On va le dire autrement quand tu démarres le tel y a marqué Android et les gens savent que c'est Google et ont confiance. Google connaît ces problèmes au pire ou au mieux les ignore. Il serait de sa responsabilité de virer le sigle à minima voir aussi son Store. C'est pas une légende les spyware sur les appareils purement chinois. La Chine est et reste une dictature.

avatar Ze_misanthrope 16/11/2016 - 08:58 (edité)

C'est marrant, quand ils instaurent des règles, ce sont des connards et il faut arrêter la concurrence déloyale, ils exagèrent avec leurs règles, heureusement que la commission européenne est là!
Et quand ils laissent le champs libre, ils connaissent ces problèmes au pire ou au mieux les ignorent

avatar ddrmysti 16/11/2016 - 18:44 (edité)

Je sais que beaucoup de gens sont incapable de faire preuve de nuance, mais il me semble qu'il y a quand même une très légère différence entre obligé l'installation de services propriétaire vouant à installer une domination du marché, et mettre en places quelques règles de base vouées à protéger le client.
Mais bon on parle d'android, quoi qu'il se passe il ne faut surtout pas ne pas en faire l'éloge, sinon ça barde...

avatar robrob 16/11/2016 - 09:15

@rolmeyer
Dans ce cas precis c'est en dehors du controle de Google.
Que le client final croit que c'est la faute de Google parce que c'est marque Android dessus probablement, ca n'en fait pas une verite pour autant. Et j'attends de quelqu'un qui ecrit dans un "blog" techno d'en savoir plus que ce genre de clients et de ne pas faire dans l'amalgame facile.

avatar Ber16 16/11/2016 - 08:52 via iGeneration pour iOS

@robrob

Remarque pertinente.
Difficile à Google de tout contrôler hors de ses murs.
Néanmoins. Google pourrait oublier des petit logiciels pour scanner et éradiquer ces espions. Le ne crois pas ce Google se préoccupe (volontairement) de ce problème.
Fondamentalement, je n'ai pas confiance en Google. Je suis prudent quand à l'usage de leurs services.
J'ai confiance (pour le moment) en iOS.
Espérons que ne suis pas trop aveugle !

avatar robrob 16/11/2016 - 09:18

@Ber16
Perso je suis tres confiant en Google pour tous les services Web qu'ils controlent de bout en bout.
Niveau securite d'OS je pense qu'iOS est mieux qu'Android effectivement (j'ai les 2) d'apres ce que m'ont dit les specialistes dans notre boite.

avatar frankm 17/11/2016 - 08:06

Tes données personnelles et celles de tes contacts sont très bien sécurisées par Google car c'est leur gagne pain

avatar sachouba 16/11/2016 - 21:29

@Ber16 :
Google n'a aucun contrôle sur les smartphones qui utilisent Android sans pré-installer les services Google dessus.
Android est fourni gratuitement et est open-source, n'importe qui peut en faire ce qu'il souhaite. Même installer des malwares dessus...

avatar Ze_misanthrope 16/11/2016 - 09:00 (edité)

@robrob cela fait vendre, si le raisonnement était objectif, un journaliste sérieux saurait faire la différence entre un problème de sécurité et une société qui pré-installe une appli malicieuse.

Mais bon, les clicks sur le site et les publicités, cela fait vivre un site, il faut les comprendre

avatar ArnaudB 16/11/2016 - 14:28 (edité)

C'est du verbiage que de vouloir absolument appuyer sur un terme mal à propos. Les faits sont là et sont relaté dans l'article, 700 millions de téléphones Android sont concernés. C'est ça qui compte. Porte dérobée ou pas, Android permet facilement à n'importe quel constructeur d'injecter du code dans l'os pour y faire ce qu'il veut au nez à à la barbe des utilisateurs.

avatar Ze_misanthrope 16/11/2016 - 14:42

Oui, c'est comme Voici qui parle d'une femme violée, alors qu'elle a juste recu une baffe sur la joue, c'est du "verbiage"
iGen est un blog technologique avec des personnes qui travaillent à plein temps, et qui informe un public, ils font souvent d'excellents articles et ici, ils se sont trompés de manière intentionnée et flagrante.

Pour info, j'insiste, un constructeur a par définition le droit d'injecter ce qu'il veut dans son téléphone car c'est lui qui le fabrique ;-)

Si cela te permet juste d'expulser ta frustration sur Android, dis le clairement, on ne t'en voudra pas, et je ne perdrai pas de temps à répondre.

avatar ArnaudB 17/11/2016 - 13:33

Les attaques personnelles sont puériles dans un débat pareil. Ton argumentaire est tellement mince qu'on ne pourrait même pas l'utiliser pour rouler un cigarette. De fait, oui, n'importe quel constructeur peut injecter de la merde dans ses téléphones. Avec l'assurance que le marketing Android fera le reste pour la crédibilité du produit. C'est bien le problème d'android, qui ne peut avoir aucune parade contre ça. Et quand ça fini par toucher autant de millions de smartphones c'est un problème. Et c'est aussi un problème pour la marque Android, qui sur ce genre de smartphone va en plus primer sur la marque même du constructeur de téléphone...

avatar Ze_misanthrope 17/11/2016 - 16:18

Pour info, les utilisateurs lambda ne savent même pas ce qu'est l'OS de leur téléphone.
Donc tout ce qu etu dis est malheureusement faux. La réputation d'Android ne changera pas ou peu.

La seule perte de crédibilité est pour les gens comme toi un peu aware de la technologie et qui n'aiment visiblement pas Android de base. Et qui de toute sfacons ne changeront pas d'avis

avatar r e m y 16/11/2016 - 09:43 via iGeneration pour iOS

Ze misanthrope
Il me semble que si cette application peut ainsi surveiller l'utilisateur c'est que l'OS ne le lui interdit pas, voire comporte des portes dérobées qu'utilise l'application.

avatar Ze_misanthrope 16/11/2016 - 09:53

Non, l'OS permet à une appli approuvée de lire les messages et la position, ce sont des API sécurisées, pas des portes dérobées. Il ne faut pas tout confondre et rester objectif.

avatar r e m y 16/11/2016 - 10:01

Mais si l'appli a été approuvée (par Google donc..) il y a une faille dans le processus de validation, et une appli, même approuvée, ne doit pas pouvoir accéder à ces infos (sms, messages textes, mails, localisation, carnet d'adresses...) sans accord explicite de l'utilisateur.

avatar Ze_misanthrope 16/11/2016 - 10:08

Elle n'a pas été approuvée par Google, elle a été installée en catimini par le constructeur peu véreux.
Google vérifie que l'OS est bien compatible et que ses applis systèmes nécessaires soient présentes. APres, Vérizon ajoute leurs m****; et les constructeurs aussi (voir les dizaines d'applis inutiles Samsung, et les mouchards chinois)
Justement Google est en procès avec la commission européenne car on leur reproche justement de tout vouloir contrôler... Je n'aimerais pas être à leur place car dans tous les cas, ils l'ont dans le baba.

avatar ArnaudB 16/11/2016 - 14:33

Et donc du code comme ça direct dans l'os le plus utilisé au monde... Ça te pose aucun problème ? Android structurellement n'a pas besoin de porte dérobé, puisqu'il y est ouvert aux quatre vent. Et en même temps comment rester leader avec un OS sécurisé qui ne permettrait pas aux boites de faire ce quelle veulent avec ?

avatar sachouba 16/11/2016 - 21:33

@ArnaudB :
Il suffit d'acheter son smartphone chez un constructeur reconnu (Samsung, LG, HTC, Sony...) plutôt que d'acheter son smartphone chinois chez un constructeur peu scrupuleux...

Si quelqu'un, demain, conçoit une bombe en utilisant un Arduino, tu vas dire que les Arduino devraient être interdits car ils ne sont pas assez sécurisés et n'interdisent pas la confection de bombes ?

avatar ArnaudB 17/11/2016 - 12:53

Est-ce qu'une analogie qui n'a rien à voir avec le problème peut être un argument valable dans un raisonnement qui s'arrête à : Achetez aux constructeurs reconnus ?

avatar brunitou 16/11/2016 - 16:23 via iGeneration pour iOS

@Ze_misanthrope

Tu as raison concernant la différence entre spyware pré installé et porte dérobée de l'OS. Cependant, iOS est plus fermé/sécurisé car il empêche les apps de communiquer entre elles et/ou permet d'interdire l'accès aux apps au carnet d'adresse, au micro, à la géo localisation, etc. et ce de manière plus fine que sur Android. Ça comporte des avantages et des inconvénients.

avatar Ze_misanthrope 16/11/2016 - 16:40

Oui, je n'ai pas dit le contraire iOS évite cela!
Pour la partie fermée, oui, pour la partie sécurisée, je serais plus mitigé.

Pour les accès, les permissions sont maintenant similaires (saif effectivement si le constructeur autorise une appli curieuse dans la partition système, ce que ne fait pas une société sérieuse avec des standarts de responsabilité.)

avatar shadoxas 16/11/2016 - 09:48

''est préinstallé dans les terminaux Android d’entrée de gamme'' ahah cette phrase, le rédacteur a dis deux ou trois qu'android n'était pas sécurisé....il sait ce que signifie le mot ''préinstallé''? Ça ne concerne en rien la sécurité d'android vu que le système n'a pas été forcé, les mec ont juste été installer leurs trucs tranquillou, bref, maintenant mr le rédacteur, va falloir arrêter de feinter

avatar Ze_misanthrope 16/11/2016 - 09:55

Chhhuuut, ne critique pas le rédacteur dont cela semble le métier à plein temps, il préfère troller comme un petit ado plutôt que de faire son travail de blogueur techno.

Apres on s'étonne de la mauvaise réputation des sites de news Apple... C'est dommage car iGen est capable de fournir des informations de qualité, en général!

avatar KevinR 16/11/2016 - 09:49 via iGeneration pour iOS

Bien content d'avoir un IPhone 👌🏻

Mais ont peu enlever une porte dérobée avec une simple mise à jours ??

avatar r e m y 16/11/2016 - 09:54 via iGeneration pour iOS

@shadoxas
Que l'app soit preinstallee à l'insu de Google c'est un fait. Mais un OS correctement sécurisé ne devrait pas laisser libre accès aux infos que collecte cette application.
Donc il ne me semble pas anormal d'évoquer un problème de sécurité d'Android.

avatar robrob 16/11/2016 - 09:58

@remy
L'OS ne peut rien faire contre une telle installation. C'est du meme niveau que de fournir une version de Linux ou du Kernel d'OS X avec un malware. Tu ne peux rien faire au niveau de l'OS pour empecher ca.

avatar r e m y 16/11/2016 - 10:05

Tu peux empecher que le Kernel de l'OS soit modifié, non? c'est ce que vise le SIP de macOS par exemple.
Tu peux empecher l'activation d"une version modifiée de l'OS, comme le fait Apple en signant l'installation d'iOS.
Tu peux contrôler via l'OS quelle application accède à quelles données et interdire certains accès sauf accord explicite de l'utilisateur.

Bref il me semble qu'il y a bien des faiblesses de sécurité du côté d'Android pour que cette app puisse exister.

avatar robrob 16/11/2016 - 10:20 (edité)

@remy
Oui Mac OS installe par Apple peut empecher cela. Mais si je prends le kernel open source et que je le modifie rien ne peut empecher de releaser une version verolee.
De meme si je preinstalle un logiciel en root ou avec des droits eleves l'OS ne peut rien faire.
C'est le cas ici.

avatar mac_adam 16/11/2016 - 14:57

Evidemment, si tu installes une version piratée d'OSX, tout est permis.
Et Apple ne laisse pas à des partenaires tiers le soin de livrer une version modifiée de son OS.

avatar Ze_misanthrope 16/11/2016 - 10:10

@remy tu n'es pas au courant de comment fonctionne l'OS.
Il existe des API officielles pour accéder à la position, les messages, etc.. Suivant des règles définies. Si l'application est "système", soit approuvée par le constructeur, elle peu y accéder, car c'est le constructeur qui décide de ce qu'il y a sur son téléphone et qui en est reponsable.

Si un garagiste change les freins de ta Mercedes avant de te la vendre en cachette, tu vas avoir du mal à dire que Mercedes n'a pas sécurisé ses voitures!

avatar ArnaudB 17/11/2016 - 13:40

Je peux t'affirmer l'exact contraire. Si j'ai un problème avec une mercedes neuve, je peux me retourner contre le constructeur, a commencer par le concessionaire qui est responsable de la qualité du véhicule qu'il livre en fin de chaine. Ton analogie ne tiens pas.

avatar sachouba 16/11/2016 - 21:39 (edité)

@remy :
De nombreuses applications légitimes utilisent ces données...
Tu voudrais que l'application Messages d'un constructeur n'ait pas accès aux infos téléphoniques ? De même pour l'application Contacts, l'application Téléphone, le calendrier, l'appareil photo, l'enregistreur vocal...?
Le Spyware pré-installé sur la partition système par un constructeur a exactement les mêmes droits que ces applications, et rien ne peut être fait contre ça...

avatar Orpioo 16/11/2016 - 10:01

Les applications de Facebook et celles de Google ne font-elles pas la même chose sur tous les téléphones, y compris les iPhone?

avatar mac_adam 16/11/2016 - 15:10

D'une part, tu n'es pas forcé d'utiliser des applications Facebook ou Google sur ton iphone. D'autre part, les informations auxquelles elles ont accès sont restreintes et l'utilisateur décide de l'autorisation ou non de chacun de ces accès.

avatar pepe.felipe 16/11/2016 - 10:12 via iGeneration pour iOS

@Ze_misanthrope
Alors c'est troller que d'informer les gens que certains Android arrivent d'usine avec des mouchards préinstallés ??
Tu considères donc que c'est normal qu'un program dont tu ignores l'existence partage tes SMS avec une boite chinoise, sans que tu saches ni pourquoi ni comment ?
Et tu parles d'application approuvée, mais si elle est installée d'usine, qui l'a approuvée ? A priori pas les utilisateurs.
La question est de savoir si c'est normal qu'une api d'un os autorise une application à exfiltrer des informations privées sans avertir l'utilisateur. Si tu considères que c'est normal, c'est bien, tu est formaté Google et tu vas être un produit heureux ;)

avatar robrob 16/11/2016 - 10:24

@pepe.felipe
Encore une fois c'est en dehors du controle de Google. Pourquoi ca n'arrive pas sur iOS? Parce qu'Apple n'ouvre pas iOS aux autres constructeurs. Donc oui pour l'utilisateur final ca peut etre du pareil au meme. Mais pour un technophile qui ecrit sur un site web dedie a la technologie ca fait une difference.

Pages