Qualcomm espionnerait des millions de smartphones Android en secret
Un fabricant de smartphones ultra-sécurisés affirme que les appareils équipés de puces Qualcomm transmettraient les informations des utilisateurs à leur insu.
Mise à jour du 27/04/2023 :
Un porte-parole de Qualcomm a contacté Phonandroid pour opposer un droit de réponse aux propos que nous avons relayés. Voici la déclaration de la compagnie :
« L’article de NitroKey est truffé d’inexactitudes et semble motivé par leur désir de vendre leurs produits. Qualcomm ne recueille des informations personnelles que lorsque la loi en vigueur l’autorise.
Comme indiqué dans notre politique de confidentialité accessible au public, les technologies Qualcomm mentionnées utilisent des données techniques anonymes et non personnelles pour permettre aux fabricants de périphériques de fournir à leurs clients les applications et les services de géolocalisation que les utilisateurs finaux attendent des smartphones d’aujourd’hui ».
Article original :
NitroKey est un fabricant de smartphones qui se targue de « proposer les téléphones les plus sûrs de la planète ». Pour ce faire, les ingénieurs de la compagnie dotent leurs appareils de composants identiques à ceux du Pixel 7 Pro de Google et adoptent GrapheneOS, un système d’exploitation si sécurisé qu’il est recommandé par les plus grands experts en matière de cybersécurité. En étudiant les puces utilisées par les marques concurrentes, le constructeur allemand a découvert une spécificité des processeurs Qualcomm qui pourrait être à l'origine d'un scandale d’ampleur internationale.
Selon les chercheurs de NitroKey, « les smartphones équipés d’un processeur Qualcomm envoient en secret des données personnelles » vers les serveurs de l'entreprise. Des informations communiquées à l’insu et donc sans le consentement de l’utilisateur. Pire encore, il ne serait pas possible d’empêcher ces transmissions, car ces dernières se feraient directement depuis la puce, ce qui permettrait de contourner physiquement les « paramètres et mécanismes de protection potentiels d’Android ».
Les puces Snapdragon de Qualcomm envoient secrètement des données vers les serveurs de la compagnie
La compagnie a testé un Sony Xperia XA2 tournant sous /e/, « un système d’exploitation open source basé sur Android, exempt des produits Google et doté de ses propres services Web ». Cette configuration spéciale devrait, en théorie, lui éviter d’être traqué. En pratique, la première connexion de l’appareil se fait avec les serveurs de la firme de Mountain View et des données sont également envoyées chez Qualcomm, sur un serveur enregistré sous « Izat Cloud ». Selon les experts, absolument tous les smartphones équipés d'une puce de la marque américaine sont concernés.
S’il est de notoriété publique qu’Apple et Google exploitent les données de leurs utilisateurs à des fins marketing, on comprend moins pourquoi un fabricant de chipsets comme Qualcomm récolte ces informations. Le fait que les puces Snapdragon soient très populaires et se retrouvent dans des centaines de millions de smartphones à travers le monde, est encore plus alarmant. Selon NitroKey, les puces Qualcomm équipent 30 % des appareils Android.
Pour ne rien arranger, les communications ne sont pas sécurisées entre les smartphones « espionnés » et les serveurs de Qualcomm. Sur son site, la compagnie explique que « les paquets sont envoyés via le protocole HTTP et ne sont pas chiffrés. Pirates, agences gouvernementales, administrateurs de réseau, et autres opérateurs de télécommunications locaux ou étrangers; n’importe qui d’autre sur le réseau peut facilement nous surveiller en collectant ces données, en les stockant et en établissant un historique à partir de l’identifiant unique et du numéro de série du téléphone ».
Mis au pied du mur, Qualcomm se défend
Les chercheurs se sont bien évidemment tournés vers Qualcomm, pour obtenir plus d’informations concernant ces transmissions suspectes. Les représentants de la compagnie américaine leur ont alors confirmé que « cette collecte de données est en conformité avec la politique de confidentialité Qualcomm Xtra ». Personne chez NitroKey, qui est pourtant un fabricant de smartphones, n’a jamais entendu parler d’une telle clause.