Déballer un nouveau smartphone est l'une des joies les plus excitantes de la technologie moderne. Vous retirez le film plastique, ouvrez la boîte et allumez votre appareil vierge. Le logo de démarrage s'affiche dans toute sa splendeur colorée tandis que le système d'exploitation se prépare.
Mais que se passe-t-il si cet appareil n'est pas aussi "neuf" qu'il y paraît ? Derrière cette apparence immaculée pourrait se cacher une menace insidieuse. De plus en plus d'indices suggèrent que vous ne pouvez pas toujours faire confiance à un tout nouveau smartphone Android.
Les chaînes d'approvisionnement manufacturières modernes sont extrêmement complexes. Grâce à la mondialisation, un marché global existe pour les matières premières comme pour les produits finis, et l'électronique grand public ne fait pas exception. La Chine est l'un des plus grands producteurs mondiaux, où de nombreuses entreprises occidentales externalisent leur production depuis les années 1980.
La Chine domine également la production de silicium, matériau essentiel à l'électronique contemporaine. Elle fabrique la majorité des appareils électroniques grand public utilisés dans le monde. En 2017, les importations chinoises aux États-Unis ont atteint 189 milliards de dollars, contribuant à la guerre commerciale de 2018 marquée par des droits de douane réciproques.
Bien que la Chine contrôle une grande partie de la fabrication, les matériaux et composants proviennent du monde entier. C'est pourquoi les iDevices Apple indiquent "Designed by Apple in California. Assembled in China". Dans son essai de 1958 "I, Pencil", l'économiste Leonard Read illustrait déjà la complexité requise pour produire un simple crayon.
Cette chaîne tentaculaire rend la traçabilité précise quasi impossible.
Apple adopte une approche "mur-jardin", contrôlant strictement sa production malgré des critiques passées sur les conditions de travail.
Les appareils Android sont bien différents.
Google suit une politique open-source pour Android, permettant aux fabricants de personnaliser librement le système sans frais. Ce modèle a propulsé Android au sommet du marché.
Cependant, cela entraîne fragmentation, mises à jour tardives et interfaces surchargées. Chaque fabricant et opérateur adapte matériel et logiciels, aboutissant à une multitude de modèles.
La production majoritairement chinoise permet des assemblages pour plusieurs marques sur les mêmes chaînes, favorisant le partage de logiciels et composants.
L'ouverture d'Android facilite l'introduction de malwares, contrairement aux iPhones verrouillés. Malgré les améliorations de Google, les pratiques laxistes et les chaînes complexes ouvrent des brèches.
En 2018, Check Point Research (CPR) a analysé un service Wi-Fi suspect sur Xiaomi Redmi. Il demandait des permissions sensibles non liées au Wi-Fi, comme DOWNLOAD_WITHOUT_NOTIFICATION, pour télécharger des malwares via un serveur C&C après démarrage.
RottenSys utilisait MarsDaemon pour persister. Il installait un réseau publicitaire malveillant, potentiellement rentable jusqu'à 115 000 $ par 10 jours. Des traces indiquaient un botnet en préparation.
Le grossiste Tian Pai gérait la moitié des appareils infectés, suggérant une contamination en chaîne d'approvisionnement. Apparu en septembre 2016, il a touché près de 5 millions d'appareils d'ici mars 2018. Suppression facile via désinstallation des apps listées par CPR.
Nos smartphones stockent des données sensibles. Pourtant, en 2016, Kryptowire a révélé un firmware sur des appareils US (dont BLU R1 HD) collectant et envoyant ces données à un serveur chinois toutes les 72 heures, contournant les permissions :
"… informations utilisateur et appareil, corps des SMS, contacts, historique appels avec numéros complets, IMSI, IMEI…"
Il permettait reprogrammation distante, installations et géolocalisation. Traçabilité : Shanghai AdUps, qui a nié mais collaboré pour suppression. Un an plus tard, des résidus persistaient. Note : Kryptowire est financé par DARPA et DHS.
La Chine porte une part de responsabilité, liée à sa surveillance étatique, mais les attributions restent spéculatives. Évitez Huawei pour la confidentialité. Le risque n'est pas exclusif à Android ; même Apple n'est pas infaillible. Envisagez un "dumbphone" pour plus de sécurité.
