La firme chinoise OnePlus collecte les données de ses clients automatiquement sans leur autorisation. En outre, ces données qui transitent des smartphones vers les serveurs de l'entreprise ne sont pas anonymisées, ce qui constitue une grave négligence de sécurité.

OnePlus a toujours besoin d’affirmer sa crédibilité face à des acteurs plus importants sur le marché du smartphone. La firme chinoise dérivée d’Oppo s’est toutefois fait un nom grâce à ses produits accessibles.

Néanmoins, elle est souvent au cœur de polémiques plus ou moins graves concernant son service client ou encore son honnêteté. Les découvertes d’un chercheur en sécurité informatique, Chris Moore, pourraient cette fois durablement écorner la marque chinoise.

Collecte déloyale et dangereuse

Comme il le révèle, documentation à l’appui, OnePlus utilise son clone d’Android, OxygenOS, pour collecter les données de ses clients. Le chercheur prouve en outre que les données collectées par la firme sont, en plus d’être considérables, particulièrement exposée car ces dernières sont liées à l’appareil et au compte de l’utilisateur. En somme, OnePlus collecte des données non anonymisées par des moyens troubles.

Hey @OnePlus_Support, it's none of your business when I turn my screen on/off or unlock my phone – how do I turn this off ? /cc :@troyhunt pic.twitter.com/VihaIDI6wP — Christopher Moore (@chrisdcmoore) January 13, 2017

Déverrouillage du clavier et réseaux Wi-Fi

C’est au travers un module du système d’exploitation que l’entreprise récupère les données plus ou moins sensibles : OnePlus Analytics. Parmi les données transmises, on trouve des éléments concernant l’utilisation du smartphone (en particulier le déverrouillage de celui-ci, à quelle heure et à quelle rythme), mais également des éléments qui pourraient conduire à une géolocalisation, tels que les réseaux Wi-Fi auxquels l’appareil est connecté.

Toutes ces données sont envoyées par l’application, parallèlement au numéro de série du smartphone. Les données permettraient à la firme d’identifier un utilisateur en particulier et d’obtenir sur lui de précieuses informations que l’on imagine déjà dans les mains de hackeurs malveillants.

En réaction aux découvertes de M. Moore, l’entreprise chinoise s’est défendue en expliquant que la collecte était désactivable — ce qui est partiellement vrai — et qu’il s’agissait de deux flux distincts de données chiffrées durant leur transfert vers des serveurs Amazon.

Parmi ces deux flux, un seul peut être désactivé par l’utilisateur, celui nommé usage analytics et qui est censé aider à améliorer le logiciel. Pour le désactiver, il faut se rendre dans les paramètres avancés du système alors que ce type de programme nécessite normalement l’approbation de l’utilisateur.

De plus, le second flux de données collectées est, lui, automatique, et il est impossible de le désactiver sans passer par une prise en main du smartphone depuis les outils pour PC d’Android (ADB). Ce qui n’est pas forcément à la portée de tous les utilisateurs. Ce second flux est par ailleurs celui qui contient les informations sur l’appareil, dont le numéro de série.

Partager sur les réseaux sociaux Tweeter Partager Partager Partager redditer

La suite en vidéo