Qualcomm espionnerait des millions de smartphones Android en secret
Un fabricant de smartphones ultra-sécurisés affirme que les appareils équipés de puces Qualcomm transmettraient les informations des utilisateurs à leur insu.
Mise à jour du 27/04/2023 :
Un porte-parole de Qualcomm a contacté Phonandroid pour opposer un droit de réponse aux propos que nous avons relayés. Voici la déclaration de la compagnie :
« L’article de NitroKey est truffé d’inexactitudes et semble motivé par leur désir de vendre leurs produits. Qualcomm ne recueille des informations personnelles que lorsque la loi en vigueur l’autorise.
Comme indiqué dans notre politique de confidentialité accessible au public, les technologies Qualcomm mentionnées utilisent des données techniques anonymes et non personnelles pour permettre aux fabricants de périphériques de fournir à leurs clients les applications et les services de géolocalisation que les utilisateurs finaux attendent des smartphones d’aujourd’hui ».
Article original :
NitroKey est un fabricant de smartphones qui se targue de « proposer les téléphones les plus sûrs de la planète ». Pour ce faire, les ingénieurs de la compagnie dotent leurs appareils de composants identiques à ceux du Pixel 7 Pro de Google et adoptent GrapheneOS, un système d’exploitation si sécurisé qu’il est recommandé par les plus grands experts en matière de cybersécurité. En étudiant les puces utilisées par les marques concurrentes, le constructeur allemand a découvert une spécificité des processeurs Qualcomm qui pourrait être à l'origine d'un scandale d’ampleur internationale.
Selon les chercheurs de NitroKey, « les smartphones équipés d’un processeur Qualcomm envoient en secret des données personnelles » vers les serveurs de l'entreprise. Des informations communiquées à l’insu et donc sans le consentement de l’utilisateur. Pire encore, il ne serait pas possible d’empêcher ces transmissions, car ces dernières se feraient directement depuis la puce, ce qui permettrait de contourner physiquement les « paramètres et mécanismes de protection potentiels d’Android ».
Les puces Snapdragon de Qualcomm envoient secrètement des données vers les serveurs de la compagnie
La compagnie a testé un Sony Xperia XA2 tournant sous /e/, « un système d’exploitation open source basé sur Android, exempt des produits Google et doté de ses propres services Web ». Cette configuration spéciale devrait, en théorie, lui éviter d’être traqué. En pratique, la première connexion de l’appareil se fait avec les serveurs de la firme de Mountain View et des données sont également envoyées chez Qualcomm, sur un serveur enregistré sous « Izat Cloud ». Selon les experts, absolument tous les smartphones équipés d'une puce de la marque américaine sont concernés.
S’il est de notoriété publique qu’Apple et Google exploitent les données de leurs utilisateurs à des fins marketing, on comprend moins pourquoi un fabricant de chipsets comme Qualcomm récolte ces informations. Le fait que les puces Snapdragon soient très populaires et se retrouvent dans des centaines de millions de smartphones à travers le monde, est encore plus alarmant. Selon NitroKey, les puces Qualcomm équipent 30 % des appareils Android.
Pour ne rien arranger, les communications ne sont pas sécurisées entre les smartphones « espionnés » et les serveurs de Qualcomm. Sur son site, la compagnie explique que « les paquets sont envoyés via le protocole HTTP et ne sont pas chiffrés. Pirates, agences gouvernementales, administrateurs de réseau, et autres opérateurs de télécommunications locaux ou étrangers; n’importe qui d’autre sur le réseau peut facilement nous surveiller en collectant ces données, en les stockant et en établissant un historique à partir de l’identifiant unique et du numéro de série du téléphone ».
Mis au pied du mur, Qualcomm se défend
Les chercheurs se sont bien évidemment tournés vers Qualcomm, pour obtenir plus d’informations concernant ces transmissions suspectes. Les représentants de la compagnie américaine leur ont alors confirmé que « cette collecte de données est en conformité avec la politique de confidentialité Qualcomm Xtra ». Personne chez NitroKey, qui est pourtant un fabricant de smartphones, n’a jamais entendu parler d’une telle clause.
Xtra est un service de GPS assisté censé améliorer la précision et la réactivité des services de géolocalisation des smartphones. Utiliser ses fonctionnalités implique de céder de nombreuses informations personnelles. En voici une liste complète :
- identifiant unique
- nom du chipset
- numéro de série du chipset
- version du logiciel XTRA
- code pays du téléphone mobile
- code du réseau mobile permettant d’identifier le pays et le FAI
- type et version du système d’exploitation
- marque et modèle de l’appareil
- temps écoulé depuis le dernier démarrage du processeur d’application et du modem
- liste des logiciels présents sur l’appareil
- adresse IP
Les responsables de NitroKey pointent du doigt la négligence de Qualcomm en matière de sécurité des transmissions de ces informations sensibles. Selon eux, peu importe que cette collecte de données soit organisée en collaboration avec des agences étatiques ou à des fins d’amélioration de la qualité de service. Le fait est que ces données ne sont pas envoyées à travers des protocoles sécurisés, ce qui signifie que « le trafic peut être intercepté par les dictateurs et autres gouvernements répressifs, sans même qu’une collaboration avec Qualcomm soit nécessaire ». Les informations délivrées par NitroKey laissent penser qu’il y a potentiellement une grave violation du RGPD appliqué en Europe. Si elles sont avérées, c’est peut-être le début d’un long imbroglio judiciaire pour Qualcomm.
