Wiko envoie des données en Chine à l'insu de ses utilisateurs
Wiko, la tête de pont française du constructeur chinois Tinno, est au cœur d'une grosse controverse concernant la récolte de données des utilisateurs de ses smartphones. Elliot Alderson, un bidouilleur anonyme qui se cache derrière le pseudo d'un personnage de la série Mr. Robot, a débusqué deux applications étranges et bien indiscrètes dans les smartphones Wiko.
ApeSaleTracker et ApeStsMonths sont préinstallés dans le système des terminaux Android, et ils envoient régulièrement des informations sur les serveurs chinois de Tinno. Le tout, sans le consentement des utilisateurs. Les données en question sont le numéro IMEI, le numéro de série, la localisation GSM, le numéro de client, ainsi que la version du système. Et ce, une fois par mois.
Voilà qui ne fait pas très sérieux, dans un contexte de méfiance de la part des utilisateurs, et alors que Wiko tente de s'imposer en tant que constructeur français. L'entreprise admet récolter des données via l'application STS (Sales Tracking System), qui vise à « établir des statistiques de ventes ». Le constructeur confirme aussi recueillir l'IMEI, le numéro de série, le nom du modèle du téléphone, ainsi que la version Android.
« L’activation se fait au premier allumage, et chaque mois, exclusivement via une connexion Internet, et jamais par SMS », indique aussi Wiko, démentant une des informations soulevées par Elliot selon lequel des données sont transférées par SMS. L'entreprise chiffre aussi les données avant l'envoi, avec l'algorithme RSA.
Le bidouilleur, qui met à disposition le code source décompilé, persiste sur plusieurs points : les apps en question transmettent des informations via SMS, parmi lesquelles des données de localisation GSM. « Aucune donnée relative à l’utilisateur, à l’utilisation du smartphone ou des applications n’est collectée », assure de son côté le fabricant, qui rappelle avoir « volontairement initié en 2017 un audit de l’ensemble de ses traitements de données personnelles ».
À 01net, Wiko — un peu gêné aux entournures visiblement — a indiqué qu'après l'audit, une version « allégée » de l'application mouchard remplacera la version actuelle. L'envoi de données serait non plus mensuelle mais unique (au moment de la mise en service) et les informations seront collectées sur des serveurs français, ce qui est la moindre des choses.
Androïd ?
Plutôt le logiciel privateur et le logiciel pré-installé, Android est libre et n'a pas ce genre de crasseries (et ça se voit et se change "facilement" si c'est le cas).
Quelqu'un qui se soucis de sa sécurité achete ce genre de daube ? Android + Wiko, comment les gens peuvent s'infliger ça ?
Tu donnes implicitement la réponse : la majorité des gens n'en a pas grand chose à foutre de la sécurité informatique.
Pour ce prix là faut ci attendre
Cette marque est vraiment de la ?.
Comme Apple : http://www.nicola-spanti.info/fr/documents/articles/computing/mine/you-should-not-buy-or-use-an-idevice.html
Et en fait toutes les autres aussi (mais pas nécessairement au même degré) : https://www.monde-diplomatique.fr/2016/03/RAOUL/54919
Wiko est l'équivalent Francais de Blu aux US. Marque de devanture ne faisant que revendre sous leur propre "marque" les modèles fabriqués par Tinno.
De nombreuses affaires similaires furent rendu publiques pour BLU il y a un an environ (voir https://www.nytimes.com/2016/11/16/us/politics/china-phones-software-security.html par exemple), donc c'est peu surprenant que cela soit aussi le cas avec "Wiko".
Il est clair que ceux qui se foutent de leur vie privée peuvent continuer à utiliser des appareils Android. Les autres sont chez Apple.
En l’occurence android c’est 85% de pdm en augmentation et la le problème ne vient que de wiko (marque que tout connaisseurs déconseillent et détestent depuis toujours) pas d’android
@Ghaleon111
Il y a quelques jours on apprenait que le OnePlus contenait une porte dérobée. C’est quand même spécifique au monde Android.
http://www.01net.com/actualites/oneplus-une-porte-derobee-permet-de-rooter-les-smartphones-en-un-clin-d-oeil-1302954.html
C’est spécifique à one plus ta news, pas android, il n’y a rien de tout ça chez Google, lg, samsung, htc, BlackBerry, Sony, Huawei etc...
Fail pour Google : https://framasphere.org/posts/4304490
C'est quoi ta garantie qu'Apple ait un gentil en terme de vie privée ? La bonne confiance, c'est léger. Au moins, AOSP est presque entièrement libre et fonctionne sans Google. De plus, il existe une version dérivée, nommée Replicant, qui est entièrement libre et donc à 100% vérifiable. On peut également ajouté qu'un magasin d'applications unique et centralisé, c'est absurde pour la vie privée, alors qu'on peut installer des applications sans Google sur Android, par exemple via des APK et F-Droid
http://www.nicola-spanti.info/fr/documents/tutorials/computing/os/android/without-google-as-a-user.html
https://linuxfr.org/users/rydroid/journaux/replicant-6-0-0002-est-sorti-avec-12-appareils-supportes
https://f-droid.org/fr/
@IGeneration
J’ai lu un article dans le même genre vous allez en parler?
http://www.01net.com/actualites/80percent-des-smartphones-android-victimes-d-un-bug-qui-permet-de-vous-enregistrer-en-douce-1308024.html
@MickaëlBazoge :
C'est sûr, ça casserait l'ambiance quand on s'extasie a chaque sortie des flagships Android...
Là c'est un coup fourré de l'application. L’absence involontaire d'une sécurité n'est pas un coup fourré.
Ne jamais oublier la règle d’or :
« Quand c’est gratuit, c’est toi le produit !»
@Ephaistos78
Pourtant les wiko tu les payes!
@fousfous
Du coup, c’est la double peine !
Non. https://www.laquadrature.net/fr/si-vous-etes-le-produit
ben c'est une société Chinoise et c'est aussi un commerce bas de gamme. Vous vous attendiez à quoi ? Il leur faut monétariser leur clientèle !
Cela dit, sans moi, merci.
@oomu
Monétiser je pense ?
Sans moi non plus, ceci dit !! ?♂️
Wiki a quand même réussi à vendre des Wiko Wax avec seulement 4Go de mémoire interne... et dire que certains se sentent à l’étroit dans 16Go.
Wiko, le roi de la pomme de terre ?
@Grug
LOL.
@Grug
Le roi de la quenelle visiblement
@Grug
Excellent !!!! ???
Apple trace exactement de la même façon ses clients sur la géolocalisation.
Souvenez vous quand il y avait un an de données de géolocalisation , un oubli aux dires de la pomme.
D'ailleurs quel service web ne traque pas aujourd’hui'hui ces utilisateurs.
Et maintenant on vend même des micros espions à placer chez vous dans votre salon.
Mis a part qu'on ne le vend pas sous le nom de micro chez vous, mais sous le nom de service.
Il y a aussi le nom marketing de tracking différentiel. C'est tellement flou comme un vapor-nuage, que cela ne veut rien dire, sachant que personne ne sait ce qu'il y a dedans, par contre ca envoie bien.
Il y a obligation pour l'entreprise de fournir les données qu'elle a collecté, espérons qu'un jour un journaliste en fasse la demande sous article de la loi.
@rikki finefleur
Tout était stocké en local , on se réconforte comme on peut.
Donnes moi n'importe quel tel sous Android et en une semaine je récupère toutes les données sensibles et j'y glisse un mouchard ..
@malcolmZ07 :
Tu veux dire que si tu as accès à un smartphone Android déverrouillé, tu peux accéder à ses données et y installer un mouchard ? ?
@sachouba
Tu sais très bien qu’il n’a pas besoin d’être déverrouillé. Arrête la fluette.
@thebarty :
Ah oui ? Et comment tu le déverrouilles ?
Et question encore plus pertinente : s'il est éteint, tu fais comment pour le démarrer ? Mon smartphone ne charge même pas le système d'exploitation si jamais je n'entre pas le code au démarrage...
@sachouba
A l’occasion, je te présenterais la société spécialisée qui nous certifie les plateformes utilisables suffisamment sécurisées. Tu vas tomber des nues...
Renseigne-toi.
@thebarty :
Ce serait avec plaisir.
Au passage, tu sais que l'avis d'une entreprise n'est pas parole d'évangile ?
Les smartphones Samsung sont certifiés par la défense Américaine depuis 2013, je pense que ce n'est pas négligeable : https://www.samsungmobilepress.com/news/8f89f280-5a4b-4d29-ab6c-fc552426de9f
Ce sont les premiers smartphones à avoir été certifiés après des Blackberry.
@sachouba
Au passage, tu sais qu’ils nous fournissent les preuves, démo à l’appui ? (Encore heureux, à 150 k€ la prestation...)
Et Samsung, ils en sont où avec l’armée américaine ?
@thebarty
Correctif: 150 k€ pour 3 missions.
@sachouba
Tu peux nous expliquer pour quoi leur président reçoit un iPhone en place de leur Samsung ou BlackBerry ?
@iPop :
Le patriotisme ne doit pas être totalement étranger à cette décision.
Et n'oublions pas que l'iPhone de Trump a un accès limité aux applications, même système. Peut-être qu'iOS permet un meilleur contrôle parental pour limiter les contenus accessibles aux enfants...
Pas étonnant; cette marque pue la mort depuis qu'elle existe.
Avec GDPR qui arrive en Mai 2018, ce genre de pratiques peut donner lieu à une amende de 20 M€ !
@dgaultie
Je crois que l’amende peut monter jusqu’à 4% du chiffre d’affaires, ce qui peut faire nettement plus que 20 patates dans certains cas...
Je confirme c’est 20M€ OU 4% du CA mondial de la société
Bien fait pour ces radins sans-dents qui ne juraient que par cette marque chinoise de prolétaires ! ?
On ne choisit pas d'être pauvre et on peut vouloir affecter son argent autre-part que pour une version haut de gamme de ce genre d'appareils sans pour autant mériter de se faire avoir.
M’en fout complètement, ma femme en sait beaucoup plus que Wiko
http://jenairienacacher.fr/
https://socialcooling.fr/
https://ldn-fai.net/je-nai-rien-a-cacher/
Quand je vois les règles de confidentialité des apps Androïd j’ai l’impression que les éditeurs peuvent quasiment accéder à tout le téléphone si on accepte d’installer les apps ?
On m’avait donné un téléphone androïd au boulot je l’ai dégagé et remplacé par un iPhone 5c acheté personnellement
@lecureil :
Normal, ce sont ici des applications systèmes pré-installées par Wiko ! Elles peuvent avoir accès à à peu près tout.
Apple aussi peut créer des applications qui ont accès à beaucoup de données d'un iPhone : c'est le cas de Files, par exemple, ou la recherche dans le téléphone, etc.
Ça ne signifie pas qu'iOS n'est pas sécurisé.
Pages