USA : des téléphones Android dotés d'une porte dérobée qui envoie des données en Chine D'autres pays et de grands opérateurs seraient concernés

 Les chercheurs de la firme de sécurité Kryptowire ont découvert une portée dérobée dans des téléphones Android vendus aux États-Unis. La faille secrète a été découverte dans les téléphones de BLU Products, une société basée en Floride. BLU Products vend des smartphones Android aux États-Unis, et environ 120 000 de ses appareils seraient dotés de cette porte dérobée, qui permet de transmettre des données à un serveur chinois.

Les appareils affectés « transmettent activement les informations de l’utilisateur et du périphérique, y compris le corps entier des messages texte, les listes de contacts, l’historique des appels avec numéros de téléphone complets, les identifiants d'appareils uniques, y compris l'IMSI (International Mobile Subscriber Identity) et l'IMEI (International Mobile Equipment Identity) », a déclaré la firme de sécurité.

D’après Kryptowire, toutes les capacités de collecte et de transmission de données que les chercheurs ont pu identifier ont été prises en charge par deux applications système (com.adups.fota.sysoper et com.adups.fota) qui ne peuvent pas être désactivées par l'utilisateur final. La transmission de données se produit toutes les 72 heures pour les messages textes et informations du journal des appels et toutes les 24 heures pour les autres informations personnellement identifiables.

La porte dérobée se présente sous forme de logiciel préinstallé développé par une société chinoise appelée Shanghai Adups Technology. À propos de cette entreprise, Kryptowire note qu’en septembre 2016, « Adups revendiquait sur son site Web une présence mondiale avec plus de 700 millions d'utilisateurs actifs et une part de marché supérieure à 70 % dans plus de 150 pays et régions avec des bureaux à Shanghai, Shenzhen, Pékin, Tokyo, New Delhi, et Miami. Le site Web d’Adups a également déclaré qu'il produit un firmware qui est intégré par plus de 400 opérateurs mobiles majeurs, fournisseurs de semi-conducteurs et fabricants de périphériques allant de wearables et mobiles aux voitures et téléviseurs. » Ce qui indique que le problème pourrait ne pas être limité aux 120 000 smartphones Android de BLU Products aux États-Unis, mais à d’autres constructeurs et bien d’autres pays. D’ailleurs, la société Adups compte parmi ses clients des fabricants de téléphones beaucoup plus importants comme ZTE et Huawei.

Parce que la porte dérobée est implémentée au niveau du firmware, elle a pu éviter d’être détectée par les logiciels antivirus, s’il faut en plus noter plusieurs niveaux de cryptage qui ont été utilisés pour masquer les données transmises : « Les informations collectées ont été chiffrées avec plusieurs couches de chiffrement et ensuite transmises via des protocoles Web sécurisés à un serveur situé à Shanghai », explique la firme de sécurité. « Ce logiciel et ce comportement contournent la détection par des outils antivirus mobiles, car ils supposent que le logiciel fourni avec le périphérique n'est pas un logiciel malveillant, il est donc mis sur liste blanche. »

Samuel Ohev-Zion, le directeur général de BLU Poducts, a fait savoir qu’il n’était pas au courant de cette porte dérobée dans ses smartphones. Après en avoir été informé, le logiciel de surveillance a donc été retiré de ses produits.

De son côté, la société rejette toute responsabilité directe. Dans le contexte de sécurité actuel, Adups a tenu d’abord à préciser qu’elle n’est en aucun cas affiliée au gouvernement chinois. « C'est une entreprise privée qui a fait une erreur », a déclaré Lily Lim, avocate en Californie, qui représente Adups. La société chinoise poursuit ensuite pour dire qu’elle n’a fait qu’exécuter la demande d’un client et que c’est le rôle de ce dernier d’informer ses utilisateurs des données collectées. D’après des documents d’Adups, le logiciel a été développé à la demande d'un fabricant chinois non identifié qui voulait la capacité de stocker des journaux d'appels, des messages textes et d'autres données, dans le cadre du support à la clientèle. « Adups était juste là pour fournir la fonctionnalité que le fabricant de téléphones a demandée », a dit l’avocate.

Travaillant également pour le département américain de la Sécurité Intérieure, la firme de sécurité a présenté sa découverte au gouvernement américain, qui dit travailler pour « identifier les stratégies d'atténuation appropriées. »

Sources : Kryptowire, New York Times