Un chercheur épingle le constructeur franco-chinois de téléphones mobiles Wiko et l’accuse d’envoyer des données, non cryptées, sur la géolocalisation de ses appareils sur des serveurs situés en Chine ! La marque, si l’ingénierie et la conception sont françaises, la fabrication est, quant à elle, chinoise. Confiée à Tinno, celle-ci intègre des programmes qui remontent des informations au constructeur.
Les appareils de la marque sont vendus avec le programme « STS » (Sales Tracking System) qui, d’après le chercheur, contiendrait deux applications de « back-door » : ApeSaleTracker et ApeStsMonth. Ces dernières font remonter sur les serveurs chinois l’imei, la version d’Android installée, la version du téléphone, l’antenne-relai utilisée (cette dernière est désactivée d’après les représentants de la marque). Les soucis ne sont pas tant que des statistiques sont envoyées, c’est surtout sans le consentement de l’utilisateur, sans cryptage des données (n’importe quel pirate peut dès lors facilement exploiter les données émises par un appareil). Mais on peut également se poser la question légitime de la récupération de la position du téléphone.
La marque a répondu ce début d’après-midi à nos confrères de FrAndroid :
Wiko est une entreprise responsable qui a toujours placé ses clients au centre de ses préoccupations. Les smartphones Wiko sont équipés de l’application STS (Sales Tracking System) dont la finalité est d’établir des statistiques de ventes et de durée de vie des produits. Les données collectées par le système STS sont des données d’ordre technique, notamment le numéro IMEI, le numéro de série, le nom du modèle du téléphone, la version du système d’exploitation Android. L’activation se fait au premier allumage, et chaque mois, exclusivement via une connexion Internet, et jamais par SMS. Aucune donnée relative à l’utilisateur, à l’utilisation du smartphone ou des applications n’est collectée.
Wiko prend les questions relatives aux données personnelles très au sérieux et a volontairement initié en 2017 un audit de l’ensemble des traitements de données personnelles dont elle est responsable. Cet audit a été réalisé par le cabinet spécialisé CIL Consulting by TNP. Wiko a toujours eu la volonté de traiter les données clients en conformité avec la règlementation, et se prépare depuis plusieurs mois à l’entrée en vigueur du RGPD au mois de mai 2018.
Même si l’utilisateur refuse la collecte de données au premier démarrage de son téléphone, ses applications ne prennent pas du tout en compte ce choix et des données sont quand même envoyées ! La partie française de la marque serait en discussions avec son constructeur…