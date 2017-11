publié le 21/11/2017 à 12:58

Une fuite de données organisée tous les mois dans le plus grand secret. Célèbre pour ses mobiles design et colorés aux prix abordables, la marque française de smartphones Wiko, propriété du chinois Tinno, vient d'être épinglée par le hacker Elliot Alderson, chercheur en cybersécurité dans le civil et dont le pseudonyme est emprunté à la série Mr Robot).



Selon ce dernier, les mobiles du constructeur sont équipés d'applications préinstallées par défaut qui transmettent régulièrement des informations sur les clients à la maison-mère Tinno, basée en Chine.

Parmi les données échangées figurent le numéro de série, le code IMEI (l'identifiant du smartphone), le numéro de téléphone, la localisation de la cellule GSM et la version du système d'exploitation installée sur l'appareil. L'envoi des données se fait sans l'accord de l'utilisateur qui ne peut pas non plus désinstaller les applications mises en cause. L'expert a également découvert que ces informations étaient transmises tous les mois sans le moindre chiffrement. N'importe quel pirate interceptant les données aurait pu les lire.



Wiko minimise le problème

Créée en 2011, Wiko s'est imposée comme l'une des marques les plus dynamiques dans le marché d'entrée de gamme du mobile. L'entreprise basée à Marseille a vendu plus de 10 millions de smartphones en 2016 et revendique la cinquième place du marché européen.



Interrogée par Le Figaro, Wiko reconnaît les faits et avance une explication technique. "La finalité est d'établir des statistiques de ventes et de durée de vie des produits (...) L'activation se fait au premier allumage, et chaque mois, exclusivement via une connexion Internet et jamais par SMS", assure l'entreprise, qui promet qu'"aucune donnée relative à l'utilisateur, à l'utilisation du smartphone ou des applications n'est collectée".



Wiko a annoncé dans la foulée une mise à jour prochaine de son logiciel afin d'encadrer davantage le traitement des données. Celles-ci seront exploitées seulement lors de l'activation du téléphone et non plus tous les mois. Elles seront conservées en Europe, et non plus en Chine, conformément à l'entrée en vigueur du RGPD, le règlement européen général sur la protection des données, en mai 2018. La semaine dernière, Elliot Alderson avait déjà épinglé l'entreprise OnePlus pour l'installation d'une application destinée aux tests usine du téléphone qui permettait d'accéder à leur système d'exploitation.