Déballer un nouveau smartphone est censé être l'une des nouvelles joies de la technologie. Retirez le cellophane, retirez le haut de la boîte et allumez votre appareil vierge. Le logo de démarrage tourne dans toute sa splendeur colorée pendant que le téléphone prépare son nouveau système d'exploitation.
Mais que se passe-t-il si ce n'est pas aussi propre ? Sous cet extérieur lumineux pourrait se cacher quelque chose de plus sinistre. En fait, il y a de plus en plus de preuves que vous ne pourrez peut-être pas faire confiance à votre tout nouveau téléphone Android après tout.
Les chaînes d'approvisionnement manufacturières modernes sont compliquées. En raison de la mondialisation, il existe un marché mondial pour tout, des matières premières aux produits finis, et l'électronique grand public n'est pas différente. L'un des plus grands producteurs d'électronique est la Chine, où de nombreuses entreprises occidentales externalisent leur production depuis que son économie a commencé à se développer dans les années 1980.
Les Chinois sont également le plus grand producteur de silicium, un matériau vital dans l'électronique moderne. Le pays est responsable de la fabrication de la majorité des appareils électroniques grand public utilisés dans le monde. Les importations chinoises aux États-Unis ont totalisé 189 milliards de dollars rien qu'en 2017. Cette croissance phénoménale et cette domination du marché ont entraîné la récente guerre commerciale entre les États-Unis et la Chine, les deux pays s'imposant mutuellement de lourds droits de douane sur les produits de l'autre tout au long de l'année 2018.
Bien que la Chine contrôle une grande partie de la chaîne d'approvisionnement de fabrication, les matériaux et les composants assemblés proviennent du monde entier. C'est pour cette raison que votre Apple iDevice porte la mention "Designed in California. Assembled in China" gravée au dos. Dans son essai de 1958 "I, Pencil", l'économiste Leonard Read a détaillé le processus élaboré nécessaire pour produire un seul crayon, un produit jetable apparemment simple.
La chaîne d'approvisionnement tentaculaire et complexe de l'électronique signifie qu'une traçabilité précise est une tâche presque impossible.
L'approche mur-jardin d'Apple signifie qu'ils gardent un contrôle strict sur leur processus de fabrication. L'entreprise a été accusée dans le passé de conditions médiocres et dangereuses pour son personnel d'usine, mais elle contrôle rigoureusement le processus.
On ne peut pas en dire autant des appareils Android.
Google adopte une approche non interventionniste de son système d'exploitation mobile. Parce qu'Android est open-source, les fabricants peuvent à peu près faire ce qu'ils veulent avec, sans payer un centime. Ce modèle commercial est crédité d'avoir propulsé Android dans le courant dominant et sa domination actuelle sur le marché.
Cependant, cette approche a quelques inconvénients. Fragmentation, mises à jour lentes ou parfois inexistantes et lanceurs insensibles ou criblés de spam, pour n'en nommer que quelques-uns. Chaque fabricant et opérateur est en mesure de concevoir sur mesure le matériel et les logiciels de chaque appareil. En conséquence, il existe désormais de nombreux appareils Android différents sur le marché.
Comme la majorité du processus de fabrication se fait en Chine (c'est pourquoi l'achat de téléphones directement en Chine devient si populaire), les usines assemblent souvent des smartphones pour plusieurs fabricants. Ils peuvent même fonctionner sur la même chaîne de production avec seulement la marque modifiée. Cela a conduit de nombreux appareils à partager des logiciels, des composants et parfois même l'intégralité du produit fini.
La nature ouverte d'Android se prête aux logiciels malveillants d'une manière que les appareils soigneusement sélectionnés d'Apple ne font pas. Bien que Google ait pris des mesures au cours des dernières années pour améliorer la sécurité de la plate-forme, les mauvaises pratiques et les chaînes d'approvisionnement alambiquées des fabricants présentent une opportunité pour les attaquants malveillants.
Début 2018, un service Wi-Fi sur le Xiaomi Redmi a attiré l'attention des chercheurs de Check Point Research (CPR). Après quelques recherches, ils ont découvert qu'il ne fournissait pas du tout de services Wi-Fi. Au lieu de cela, il a demandé une longue liste d'autorisations Android sensibles, dont aucune n'était liée aux services Wi-Fi.
L'une des autorisations les plus significatives était DOWNLOAD_WITHOUT_NOTIFICATION. L'application semble utiliser cette autorisation pour télécharger des logiciels malveillants à partir d'un serveur Command &Control (C&C) après un léger délai lors de la mise sous tension initiale du téléphone. Le logiciel malveillant, connu sous le nom de RottenSys, a pu se cacher du système d'exploitation en utilisant un framework open source appelé MarsDaemon pour maintenir ses processus en vie.
Le serveur C&C a fourni les fichiers pour un réseau publicitaire malveillant, qui a été installé silencieusement sur le téléphone par le faux service Wi-Fi. Le CPR a estimé que les attaquants pourraient gagner jusqu'à 115 000 $ pour chaque dix jours d'exploitation. Les chercheurs ont également trouvé des preuves que les attaquants se préparaient à recruter des appareils infectés sur leur botnet (qu'est-ce qu'un botnet ?).
L'enquête du CPR a révélé que le grossiste en électronique Tian Pai traitait près de la moitié des appareils infectés. Bien qu'ils ne soient pas allés jusqu'à suggérer que Tian Pai était complice, ils ont conclu que le logiciel malveillant avait probablement été installé à un moment donné de la chaîne d'approvisionnement.
Le logiciel malveillant a commencé à se propager en septembre 2016 et, en mars 2018, il avait infecté près de cinq millions d'appareils dans le monde. Heureusement, la suppression de RottenSys ne prend que quelques secondes, une fois que vous savez où le trouver. Si votre nouvel appareil Android semble être criblé de logiciels publicitaires, accédez à vos paramètres et supprimez l'une des applications répertoriées dans le rapport CPR. Une fois l'application désinstallée, RottenSys devrait disparaître avec elle.
Nos smartphones génèrent et stockent de nombreuses informations personnelles et sensibles. La dernière chose que vous attendez de votre tout nouveau smartphone serait qu'il collecte toutes ces données et les envoie à un serveur chinois toutes les 72 heures.
Cependant, c'est ce que les chercheurs de la société de sécurité Kryptowire ont découvert en 2016. Le firmware concerné a été vu sur plusieurs appareils Android vendus aux États-Unis, y compris le populaire BLU R1 HD. En contournant les autorisations Android, il a obtenu un accès illimité à toutes vos données. Selon le rapport, cela comprenait :
"... les informations sur l'utilisateur et l'appareil, y compris le corps entier des messages texte, les listes de contacts, l'historique des appels avec les numéros de téléphone complets, les identifiants uniques de l'appareil, y compris l'identité internationale de l'abonné mobile (IMSI) et l'identité internationale de l'équipement mobile (IMEI)."
Il était également capable de reprogrammer à distance des appareils, d'installer des applications et de collecter des données de localisation fine. Kryptowire a retracé l'activité suspecte jusqu'à la société chinoise Shanghai AdUps Technology. La société a déclaré que la collecte de données était une erreur et que le micrologiciel n'était utilisé que pour fournir des mises à jour. Cependant, ils ont travaillé avec le gouvernement américain, Amazon, BLU et Google pour supprimer le logiciel espion.
Un an plus tard, les chercheurs ont découvert que Shanghai AdUps utilisait toujours des logiciels espions sur les appareils Android. La majeure partie du siphonnage des données avait été masquée plutôt que supprimée. Quelques fonctionnalités avaient été désactivées pour les appareils américains, mais elles renvoyaient toujours des données à la firme chinoise. Kryptowire a noté qu'AdUps continuait de collecter une liste des applications installées, des numéros de téléphone, des identifiants d'appareils et des informations sur les antennes relais.
Compte tenu de l'état des relations entre les États-Unis et la Chine, il convient de noter que Kryptowire reçoit un financement de la United States Defense Advanced Research Projects Agency (DARPA) et du Department of Homeland Security (DHS).
Faites-en ce que vous voulez.
Une grande partie de la responsabilité des logiciels malveillants préinstallés et des failles de sécurité intégrées incombe à la Chine. Il est vrai que la politique de gestion du plus grand État de surveillance au monde peut parfois se répercuter sur leurs industries manufacturières. Cependant, l'attribution est difficile et même les rapports qui nomment et blâment les parties responsables ne font généralement qu'une supposition éclairée.
Cela ne veut pas dire que la Chine devrait être totalement épargnée. Les récentes accusations portées contre Huawei signifient que vous ne devriez probablement pas acheter leurs téléphones si vous tenez à la confidentialité. Ce n'est pas non plus la première fois que Huawei se retrouve impliqué dans un scandale de sécurité.
Bien que le flux actuel de logiciels malveillants se soit jusqu'à présent limité aux appareils Android, cela ne veut pas dire qu'il le restera pour toujours. Même sous l'œil vigilant d'Apple, le risque de malware est plutôt improbable qu'impossible. Si toute cette incertitude vous donne envie de lever les bras en signe de défaite, il est peut-être temps d'envisager d'abandonner votre smartphone et d'acheter un téléphone stupide à la place.
