Les chercheurs de la société Kryptowire ont trouvé dans des smartphones une porte dérobée menant à la transmission de données vers des serveurs chinois. Un problème de sécurité confirmé par plusieurs entreprises. L'un des chercheurs, Azzedine Benameur, nous en a expliqué certains aspects.

Les chercheurs ont trouvé cette backdoor dans un composant fourni par une entreprise chinoise, Shangai AdUps Technology. Selon Kryptowire, ce composant rassemble tous les trois jours une liste d’éléments pour les envoyer vers des serveurs situés en Chine, pour une raison jusqu’à présent inconnue.

De nombreuses données émises régulièrement

Les données sont nombreuses : SMS, journal des appels, identifiants IMSI et IMEI, position géographique ou encore liste des applications installées. Toutes les 24 heures, le composant émet également des informations identifiantes sur l’utilisateur. Les capacités ne se limitent pas à l’envoi de données, puisque le composant est en théorie capable d’installer et supprimer des applications, de mettre à jour le firmware de l’appareil ou encore d’exécuter des commandes avec des droits système (un cran en-dessous des droits root).

En d’autres termes, ce composant a presque tout pouvoir. Et si les capacités sont surprenantes, sa prévalence l’est tout autant. Car selon les propres chiffres donnés par AdUps, on le retrouve sur plus de 700 millions d’appareils Android (mobiles, voitures et autres), un chiffre estimé car il est impossible de savoir avec précision combien sont en circulation.

Le constructeur américain BLU touché par le composant

La découverte a fait l’objet d’un article hier dans le New York Times. On y apprend notamment que le fabricant de smartphones BLU, basé en Floride, a utilisé ce composant dans son HD R1, a priori sans connaître sa portée. 120 000 téléphones étaient donc affectés par le problème, mais le constructeur affirme qu’une mise à jour a rapidement été déployée pour débarrasser les appareils de cette porte dérobée.

Pour convaincre BLU de la dangerosité de ce composants, Kryptowire a fourni des documents dans lesquels on trouvait certaines explications sur le composant. Le plus important était qu’il avait été conçu pour fournir à un constructeur chinois une vision des habitudes de ses clients. Par ailleurs, jamais cette version n’aurait dû a priori se retrouver dans des produits américains. Mais tout semble indiquer qu’il s’agit d’une véritable volonté de récupérer ces données, et non pas d’un bug quelconque.

Des fonctionnalités créées à la demande d'au moins un constructeur chinois

Selon les documents présentés par Kryptowire, le composant fautif aurait été initialement écrit à la demande d’un constructeur chinois, dont le nom n’apparaît pas, mais qui utiliserait ces informations pour du support client. Nos confrères se sont entretenus avec Lily Lim, avocate représentant AdUps en Californie, qui a rétorqué que les entreprises utilisant les produits de son client avaient la responsabilité d’avertir les utilisateurs des politiques de vie privée. AdUps, en tant que simple fournisseur de composants logiciels, n’y est pas tenu.

Samuel Ohev-Zion, président de BLU, a indiqué au New York Times avoir reçu l’assurance par AdUps que toutes les informations transmises avaient été détruites. Cependant, le mode opératoire laisse planer de sérieux doutes, d’autant que le site d’AdUps précise que des composants logiciels sont fournis à deux des plus gros fabricants de smartphones au monde, Huawei et ZTE. Ce qui pourrait expliquer une bonne partie des 700 millions d’appareils.

Les messages peuvent être filtrés par mots-clés avant la récolte

Nous nous sommes entretenus par ailleurs avec Azzedine Benameur, l’un des chercheurs de Kryptowire. Il nous a expliqué que le composant d’AdUps était à l’origine conçu pour se charger des mises à jour de firmwares à distance (OTA, Over The Air). « C’est une pratique courante, car tous les constructeurs n’ont pas le temps ou les moyens de travailler chaque aspect du système » nous a-t-il indiqué. Il a ajouté que « malheureusement, beaucoup ne vérifient pas le fonctionnement de ces composants ».

Dans le cas de BLU, le chercheur nous a fait part de la « vraie surprise » du constructeur : « ils ont été pris au dépourvu ». Il nous a confirmé qu’une nouvelle version du composant avait été diffusée et que ces communications n’étaient plus à l’ordre du jour. Tout du moins pour l’instant : « Il est difficile de dire en fait si une mise à jour silencieuse ne sera pas envoyée plus tard, puisque le composant en a la capacité ».

La situation reste floue, car on ne sait pas si le code envoyé par AdUps l’a été intentionnellement, ou s’il s’agit « simplement » d’une erreur, le composant ayant été a priori conçu pour le marché chinois. Mais même dans ce cas, Azzedine Benameur nous rappelle les dangers du fameux code : « Le plus impressionnant selon moi est que les messages peuvent être filtrés par mots-clés. Rien n’empêche en théorie les autorités de récupérer l’ensemble des conversations qui abordent un sujet en particulier ».

Google a-t-elle le pouvoir de remédier à la situation ? Le chercheur nous confirme que la société a été avertie et qu’elle cherche à en savoir plus. Cependant, « Google a surtout le pouvoir d’encourager les constructeurs à changer d’habitudes, mais ne peut pas vraiment forcer », du moins tant que cela ne touche pas au fonctionnement de ses propres services, ce qui est inspecté durant le processus de validation Android. Google a donc demandé à AdUps de supprimer toute capacité de surveillance sur l’ensemble des smartphones possédant les Play Services, mais de nombreux terminaux en Chine ne les ont pas.

AdUps cherche à s’expliquer

Peu après la publication de l’article du New York Times dans la matinée, AdUps a publié un communiqué pour s’expliquer et indiquer que pour mener à bien sa mission sur les mises à jour de firmwares, le composant fourni rassemble des informations techniques sur l’appareil, son statut, un « résumé » des messages, etc. Les transmissions sont chiffrées et transitent par des connexions HTTPS. AdUps assure que la sécurité des utilisateurs est une priorité depuis le début.

Les capacités de filtrage ? Simple : les constructeurs récupérant les informations ne voulaient pas crouler sous le spam et autres conversations sans importance. Ils auraient donc demandé à AdUps de mettre en place un tri par mots-clés. Rien de plus.

La société chinoise indique tout de même avoir travaillé avec BLU et Google. Avec le premier, il s’agissait comme indiqué de supprimer les capacités problématiques. Avec le second, pour s’assurer que le périmètre des données était mieux contrôlé. Comme indiqué cependant par Azzedine Benameur, ces assertions sont difficiles à contrôler, notamment parce qu’on ne connait pas la liste des smartphones embarquant le fameux composant.

Les autorités américaines informées

L’information n’est en tout cas pas prête de retomber. Les autorités américaines sont en effet au courant de la situation et enquêtent actuellement. Kryptowire est en effet lié par contrat avec le département de la Sécurité intérieure (DHS), et même si l’analyse du HD R1 de BLU a été faite indépendamment, les résultats ont quand même été remontés au gouvernement en fin de semaine dernière.

Marsha Catron, porte-parole du DHS, a indiqué au New York Times que l’agence « avait bien été informée » et qu’elle travaillait avec « les secteurs public et privé pour identifier des stratégies appropriées de réduction des risques ».

Mais la question qui reste en suspens concerne évidemment la finalité des informations envoyées. Le gouvernement américain n’a pas souhaité donner de piste, expliquant ne pas savoir si ces données servaient à des fins de support, de publicité ou pour le renseignement. L’entreprise étant chinoise, l’affaire pourrait rapidement prendre un tournant politique. Et si le DHS ne souhaite s’avancer sur aucune piste, il n’en ferme dans le même temps aucune.