Wiko partage des données personnelles à votre insu

 
Certains smartphones Wiko envoient des données personnelles à leur maison-mère en Chine sans le consentement de l’utilisateur.

Mise à jour du 23 novembre : Nous avons consacré un nouvel article aux mesures annoncées par Wiko, ainsi qu’à la législation en matière de collecte de données.


Article original du 20 novembre : Nous pouvons confirmer que Wiko collecte des données même si l’utilisateur n’a pas accepté la « collecte des données anonyme ». Nous avons mis à jour l’article en conséquence.

Les applications préinstallées ne sont jamais vraiment très appréciables sur un téléphone. Quand, en plus de cela, elles sont cachées aux yeux de l’utilisateur et envoient des données personnelles sans son accord, on commence à se rapprocher de ce que l’on peut appeler un scandale.

Commençons par le début : un développeur surnommé Elliot Alderson (en référence à la série Mr. Robot) a posté une série de messages sur Twitter dans lesquels il explique comment deux applications — ApeSaleTracker et ApeStsMonths — présentes par défaut sur des appareils Wiko, envoient chaque mois diverses informations à une entreprise chinoise nommée Tinno Mobile Technology, maison-mère de Wiko. Ces applications ont les autorisations pour lire et écrire des SMS, accéder à internet, à la localisation du téléphone ou à ses identifiants.

Quelles données sont envoyées ?

En exploitant ces permissions, les applications envoient l’IMEI, un numéro de client, le modèle, l’antenne relais utilisée (mise à jour : Wiko affirme avoir finalement désactivé cette collecte) et le numéro de version. Elliot Alderson indique que Wiko peut envoyer ces informations par SMS, mais d’après nos observations, les données sont transférées uniquement via Internet (même si les applications ont l’autorisation d’envoyer des SMS), via Wi-Fi ou le cas échéant via cellulaire (attention si vous avez un tout petit forfait).

Vous pouvez avoir un aperçu de ces logiciels de tracking en allant dans l’application Téléphone et en tapant sur le clavier numérique *#*#2374#*#* ou *#*#2376#*#*. Vous verrez s’afficher un des deux écrans ci-dessous.

Ces analyses sont relativement inquiétantes, mais on pourrait contre-argumenter en affirmant que les données envoyées pour l’instant ne sont pas « trop » confidentielles. Néanmoins, il suffirait d’une simple mise à jour logicielle pour que ces applications puissent accéder à davantage d’informations telles que la géolocalisation précise de l’utilisateur.

Impossible de renoncer

Au premier démarrage de l’appareil, lors du processus de configuration, un écran intitulé « Services Wiko » demande l’autorisation de collecter des données anonymes. Là où cela coince, c’est que, comme nous l’avons vu plus haut, les fameuses données ne sont pas vraiment anonymes. Mais surtout, si on clique sur « Continuer » et non sur « Accepter », les « Services Wiko » sont bien désactivés, mais les applications STS incriminées continuent malgré tout de fonctionner. Les logs montrent que le téléphone collecte et envoie des données à chaque démarrage.

Réponse officielle de Wiko

Wiko a livré sa position officielle à 13 h 45 :

Wiko est une entreprise responsable qui a toujours placé ses clients au centre de ses préoccupations. Les smartphones Wiko sont équipés de l’application STS (Sales Tracking System) dont la finalité est d’établir des statistiques de ventes et de durée de vie des produits. Les données collectées par le système STS sont des données d’ordre technique, notamment le numéro IMEI, le numéro de série, le nom du modèle du téléphone, la version du système d’exploitation Android. L’activation se fait au premier allumage, et chaque mois, exclusivement via une connexion Internet, et jamais par SMS. Aucune donnée relative à l’utilisateur, à l’utilisation du smartphone ou des applications n’est collectée.

Wiko prend les questions relatives aux données personnelles très au sérieux et a volontairement initié en 2017 un audit de l’ensemble des traitements de données personnelles dont elle est responsable. Cet audit a été réalisé par le cabinet spécialisé CIL Consulting by TNP. Wiko a toujours eu la volonté de traiter les données clients en conformité avec la règlementation, et se prépare depuis plusieurs mois à l’entrée en vigueur du RGPD au mois de mai 2018.

Cette réponse soulève néanmoins quelques questions : le numéro IMEI n’est-il pas une donnée personnelle ? Pourquoi l’utilisateur n’est-il pas informé ? Et surtout, pourquoi des données sont collectées même si l’utilisateur l’a refusé au niveau des paramétrages des « Services Wiko » ? Nous avons transmis ces questions au constructeur.

Cette découverte n’est pas sans rappeler la récente affaire, très similaire, concernant les indiscrétions de OnePlus et d’OxygenOS.

Pour aller plus loin
Pointé du doigt, OnePlus s’explique sur les indiscrétions d’OxygenOS


Les derniers articles