Le numéro IMEI, l'historique des SMS et des appels, la position de l'appareil ou encore la liste de contacts et les applications utilisées… Autant de données collectées sur de nombreux smartphones, tablettes et objets connectés fonctionnant sur Android à travers le monde, et transmises toutes les 72 heures à un serveur localisé en Chine, sans autorisation de leurs détenteurs. Kryptowire, une entreprise spécialisée dans la sécurité informatique, a découvert cette vulnérabilité avant d'en faire part au New York Times. L'un de ses chercheurs a constaté une activité anormale d'un smartphone BLU R1 HD, avant de s'apercevoir que son appareil envoyait régulièrement des messages à un serveur basé à Shanghai.
Tracking publicitaire ou espionnage étatique? Le logiciel permettant de collecter les données a été intégré nativement sur ces appareils par la société chinoise Adups, qui revendique 700 millions de clients. Il permet en théorie de mieux comprendre les usages des détenteurs de smartphones. Parmi les téléphones concernés figurent de populaires smartphones d'entrée de gamme des marques ZTE, Huawei et BLU Products, qui a confirmé la contamination de 120.000 de ses smartphones. Son modèle BLU R1 HD a temporairement été rendu indisponible sur Amazon. BLU Products indique sur son site avoir déployé une mise à jour pour résoudre le problème.
Une installation volontaire et organisée
AdUps a réagi à la découverte de ce logiciel espion en expliquant qu'il n'était pas destiné au marché américain, mais uniquement à la Chine. L'entreprise indique également que les données récoltées n'ont pas été partagées et ont depuis été supprimées. Son outil d'analyse s'avère en tout cas bien intrusif. Ce spyware permet de suivre les déplacements d'un utilisateur de smartphone, ainsi que le contenu et les destinataires de ses messages, mais aussi d'installer et de mettre à jour à distance des applications.
Les autorités américaines se réservent le droit d'évaluer si une telle manœuvre poursuivait des fins de tracking publicitaire ou de pure et simple surveillance. Lily Lim, une avocate d'Adups vivant à Palo Alto, a démenti tout lien de son client avec le gouvernement chinois. Google, concepteur du système d'exploitation Android, a réagi à l'annonce en demandant à Adups de retirer ce système de surveillance de ses services, dont le Google Play Store.
En juillet, le fabricant chinois Xiaomi avait été accusé d'avoir installé une «porte dérobée» ou «backdoor» sur ses smartphones. Une telle technologie permet d'installer et de mettre à jour à distance des applications sur les terminaux mobiles visés.