Tout savoir sur : Que retenir de l’affaire Wiko sur le transfert de données vers la Chine ?
C’est certainement l’histoire de la semaine. Car elle est simple. Et nous savions déjà pratiquement tout ce qui a été dévoilé (pas avec ce niveau de détail, bien sûr). Et pourtant, tout le monde semble tomber des nues. Tout commence le 19 novembre dernier. Un développeur très actif sur Twitter a publié plusieurs rapports sur des applications actives en arrière-plan qui envoie par Internet (ou pas SMS, mais c’est rare), des informations non anonymisées. Deux constructeurs ont été visés : Wiko et OnePlus. Mais d’autres suivront, comme l'annonce le développeur.
Envoi mensuel d'informations chez Tinno
Dans le cas de Wiko, qui nous intéresse ici, le développeur explique que deux processus en arrière-plan envoient chaque mois des informations sur des serveurs basés à Hong-Kong appartenant à Tinno, que nous savons être la maison mère de la marque.
L’activation de ces processus s’effectue au premier démarrage du téléphone et il n’y a ni accord préalable demandé à l’usager, ni moyen de le stopper (autrement qu’en éteignant le téléphone ou en passant en mode avion) ou de le supprimer. Ces données sont de plusieurs ordres : numéro IMEI, localisation de la borne GSM, numéro de série, version de la ROM. Chaque mois, chaque mobile envoie ces informations à Tinno. Bon.
Pas d'informations nominatives
Depuis, le bad buzz s’est enclenché. Les utilisateurs de Wiko s’invectivent face à ce manquement au respect de la vie privée. Ce qui, d’une manière, est vrai : le téléphone ne demande aucune autorisation pour cela. Dans un message officiel posté sur son site global (world.wikomobile.com), la marque explique la raison de la présence de ces deux applications. Il s’agit simplement d’établir des statistiques chiffrées sur l’utilisation de ses terminaux et calculer ainsi le cycle de vie d’un produit.
Wiko dément naturellement l’envoi de données personnelles, de données sur l’utilisation ou sur les applications téléchargées. Informations qui ne sont d’ailleurs pas citées par le développeur. Difficile en effet de mettre un nom face à un IMEI et une borne GSM. En outre, Wiko aurait promis la publication d’une mise à jour de tous ses terminaux visant à demander l’autorisation aux usagers de l’envoi (ou non) de ces informations vers les serveurs de Tinno. Une façon d’être transparent, ce qui est bien.
Le cycle éternel...
Comme nous le disions en introduction, c’est une histoire assez simple, car nous n’apprenons pas grand-chose ici. Juste que Wiko fait comme tout le monde. Rappelons par exemple que Huawei (et toutes les marques chinoises) a subi une campagne de bad buzz aux États-Unis (mais aussi en Alllemagne) quand les Américains ont découvert que les terminaux de la marque uploadaient des informations vers la Chine. Nous sommes ici dans le même cas que Wiko.
Tout le monde a alors pointé du doigt «une pratique d’espionnage à grande échelle», mais finalement, tout a été vite oublié et Huawei y vend toujours des mobiles. Plus récemment, Blu Products a subi la même chose, OnePlus également. Sans oublier Xiaomi en 2014. Et, dans une certaine mesure, Apple aussi est concerné. Mais la firme de Cupertino affiche un message qui invite les utilisateurs à accepter de partager ces données anonymes. Au moins, c’est clair. Ça l’est tout autant avec Google sur les Pixel et les Nexus...
Ce n'est pas du piratage !
Nous pensons, sans vouloir enfoncer des portes ouvertes, que c’est un faux débat. Oui, des données sont transférées. Oui, les marques analysent notre comportement d’utilisateurs. Mais aucune ne semble envoyer des informations personnelles désanonymisées. Et cela nous semble bien moins grave que l’affaire d’ADUPS, ce logiciel qui servait (et qui sert parfois encore) à gérer les mises à jour OTA des firmwares. Utilisé par 43 marques dans le monde (dont Wiko, Gionee, Lenovo, ZTE, Archos, Hisense, etc.), il envoyait de façon illicite des informations personnelles toutes les 72 heures sur des serveurs loin d’être légitimes.