Certaines données liées aux smartphones Wiko sont envoyées tous les mois à un serveur hébergé par Tinno, l'industriel qui développe la marque en France.

tl;dr

Wiko collecte des données statistiques sur les smartphones de ses clients sans leur consentement.

Ces informations, chiffrées, sont envoyées tous les mois à Tinno, en Chine.

La marque se défend de géolocaliser les smartphones mais affirme qu’une nouvelle version de STS, plus claire dans son fonctionnement, va sortir.

Mise à jour de 15h30 : Wiko a répondu à nos questions, confirmant l’existence de l’application système STS et son fonctionnement. « Les smartphones Wiko sont équipés de l’application STS (Sales Tracking System) dont la finalité est d’établir des statistiques de ventes et de durée de vie des produits. Les données collectées par le système STS sont des données d’ordre technique, notamment le numéro IMEI, le numéro de série, le nom du modèle du téléphone, la version du système d’exploitation Android », avance Wiko.

Cette collecte est faite par n’importe quel réseau permettant de faire transiter de la data : « Peu importe le type de connexion (Wi-Fi, 4G, 3G, Edge) la requête STS est effectuée. »

Wiko affirme que la localisation via GSM n’a jamais été utilisée et devrait être supprimée

Cela dit, la marque française propriété du Chinois Tinno estime que la géolocalisation des smartphones via GSM n’a jamais été utilisée et a été supprimée des dernières versions de STS. Le Wiko Wim, sorti en septembre 2017, avait pourtant encore la référence. Wiko nous confirme également que l’application peut accéder grâce à ses autorisations à des données confidentielles comme l’adresse mail ou le numéro de téléphone de l’utilisateur mais ne le fait pas pour « des raisons de confidentialité de l’information ».

Enfin, la marque a affirmé à nos confrères de Nextinpact qu’elle travaillait sur une nouvelle version de STS qui serait brandée par Wiko et non plus par Tinno. La prochaine version ne devrait plus collecter d’information mensuellement.

Mise à jour de 12h51 : après plusieurs tests avec nos confrères de FrAndroid, nous avons pu dissocier l’application STS mentionnée dans cet article de l’acceptation initiale des « Services Wiko ». Elle est installée et activée quoi que l’utilisateur choisisse.

Article original : Temps maussade pour les constructeurs chinois qui exportent des smartphones en France, sous leur nom ou sous une marque française. Depuis un mois, OnePlus est sous le feu des critiques à cause d’un double problème lié à ses smartphones vendus partout dans le monde : les appareils envoient certaines données personnelles de leurs utilisateurs via une sorte de malware publicitaire et ont un accès root assimilé à une backdoor qui n’aurait jamais dû sortir des modèles testés en usine. La marque a promis de supprimer toutes ces fonctionnalités qui malheureusement entachent le lancement du très bon 5T.

Aujourd’hui, c’est Wiko qui est dans le viseur de celui qui se fait appeler Elliot Alderson, référence à la série Mr. Robot.

Alderson a en effet trouvé dans certains smartphones de la marque Wiko une application système nommée STS dont le comportement est pour le moins problématique : tous les mois, au déclenchement d’une alarme incluse dans le système, elle va envoyer en Chine et en clair plusieurs informations à un serveur hébergé par Tinno (eservice.tinno.com). Tinno est le partenaire industriel de Wiko : c’est le géant chinois qui a lancé la marque en France et produit tous les smartphones que l’on trouve chez les commerçants et e-commerçants français.

<Thread> Hi @WikoMobile ? ! Let's talk about the ApeSaleTracker and ApeStsMonths apps found in your phones.

These apps are pre-installed system apps which send regularly and silently the user infos to a Chinese 3rd party called Tinno by HTTP or SMS without user consent — Elliot Alderson (@fs0c131y) November 19, 2017

Quelles données sont envoyées ? Le numéro IMEI de l’utilisateur, le numéro de client, la GSM cell location, le numéro de série du smartphone, la version de l’OS du smartphone. Selon certaines conditions, ces informations vont être pourraient être envoyées par SMS à un numéro situé à Shenzhen, mais cette option ne semble pas utilisée en pratique. De toutes ces informations remontées, la plus gênante est probablement celle qui correspond à l’API GSM cell location : elle permet de localiser approximativement le smartphone par rapport au réseau GSM qu’il utilise. On va trouver dans l’API l’ID de la cellule utilisée et un code correspondant à sa géolocalisation.

Si cela ne suffisait pas, il n’est apparemment pas possible pour l’heure, pour l’utilisateur, de désactiver l’application STS et ses déclencheurs — après plusieurs tests avec nos confrères de FrAndroid, il semblerait que STS ne dépende pas du pack Wiko Services qui peut être désactivé. Un message d’avertissement mis en place par Wiko ne se déclenche en pratique jamais : il est stipulé qu’enregistrer son appareil permet à Wiko de proposer une assistance technique personnalisée en temps réel. Ce message qui n’apparaît jamais possède un bouton « Ok » qui ne fonctionne pas — pas de bouton pour refuser.

Nous avons reproduit la manipulation proposée qui a été faite sur un Wiko Wim sur un Wiko View et un Wiko View XL. Contacté par Numerama, le développeur derrière les révélations estime que l’application est installée sur tous les smartphones Wiko. Cela ne nous étonnerait pas, dans la mesure où l’application passe pour une assistance technique. Cela dit, comment justifier l’envoi automatique des données quand un utilisateur final n’aurait besoin de ce service que dans le cas, peut-être légitime, où il serait en contact avec l’assistance technique et aurait donc lui-même déclenché l’envoi des informations ?

Si vous souhaitez voir si l’application se trouve sur votre smartphone, il vous suffit d’aller sur l’interface où se trouve le pavé numérique pour composer un numéro de téléphone et de taper *#*#2374#*#*. L’application STS va alors se lancer.

Partager sur les réseaux sociaux Tweeter Partager Partager Partager redditer

La suite en vidéo