Un outil d'espionnage chinoisdans des dizaines de milliers de smartphones Android ?

Le 15 novembre dernier, les utilisateurs du smartphone Android "R1 HD" du fabricant américain Blu Products ont eu la mauvaise surprise de découvrir qu'ils étaient en fait sur écoute. L’appareil était programmé pour envoyer à intervalle régulier tout un ensemble de données sensibles vers un serveur en Chine : le nom, le numéro IMEI de l'appareil, le numéro IMSI de l'abonné, l'adresse IP, la liste des fichiers exécutables installés, l’ordre d’usage des applications, le journal d'appel et même… l'intégralité du contenu des SMS!

Cette collecte aussi mystérieuse qu'intrusive provenait en fait d’une application baptisée "Adups FOTA", installée directement dans le firmware du smartphone. C'est en effet ce que viennent de découvrir des chercheurs en sécurité de la société américaine Kryptowire. "L'un de mes collègues a voulu acheter un smartphone pas cher et débloqué pour pouvoir l'utiliser avec des cartes SIM locales lors de ses déplacements à l'étranger. En y regardant de plus près, nous sommes tombés sur cette application", raconte Azzedine Benameur, directeur de recherche chez Kryptowire.

Analyse de comportement applicatif

Les échanges vers le serveur chinois sont chiffrés en HTTPS. Les chercheurs ont mis en place une attaque par interception de type "Man in the Middle", ce qui permettait de révéler le contenu du transfert. Par ailleurs, les limiers de Kryptowire dispose d'une technologie capable d'analyser le comportement d'une application sans avoir à décortiquer le code binaire. Et là, à leur grande surprise, ils découvrent que cette application procède non seulement à des transferts de données douteux, mais bénéficie aussi d'un contrôle total du terminal. Elle permet d'exécuter n'importe quelle commande à distance et d'installer ou de supprimer n'importe quelle application. Bref, c'est le mouchard idéal.

Comment cette application se retrouve-t-elle sur ce téléphone? En réalité, Adups FOTA est une application créée par la société chinoise Adups, à qui Blu Products a délégué la procédure de mise à jour du firmware. "Le problème, c'est que les capacités de cette application vont bien au-delà de cette mission. Pour faire des mises à jour de firmware, il n'y pas besoin d'exécuter des commandes à distance, d'installer des logiciels et encore moins de collecter des SMS", souligne le directeur de recherche.

Un communiqué peu crédible

Contactée par la rédaction, la société Adups précise "ne pas organiser d'interviews pour le moment" et renvoie vers un communiqué en ligne. Mais celui-ci est loin d'être convaincant. Le prestataire passe totalement sous silence les capacités d'exécution de commande à distance et d'installation de logiciels. Il affirme que l'application intégrée dans les smartphones de Blu Products disposait malencontreusement d'une fonctionnalité qui a été développée pour d'autres clients et qui servait à "détecter des appels et des envois de texte non désirés de la part de publicitaires". En somme, il s'agirait d'une regrettable erreur de paramétrage.

Mais pour Azzedine Benameur, cet argument ne tient pas debout. "Pour faire ce type de détection, il suffit de s'appuyer sur des listes noires. Il n'y a pas lieu de transférer l'intégralité des SMS, ce que personne ne fait d'ailleurs. Sans parler du fait que l'application permet également de sélectionner des SMS en fonction du numéro du destinataire ou d'un mot clé. En fait, cela ressemble beaucoup à une outil d'espionnage", souligne le directeur de recherche.

L'impact est difficile à évaluer

Combien de terminaux sont réellement concernés par ce mouchard? C'est difficile de le savoir. Interrogé par The New York Times, le fabricant Blu Products explique de 120.000 terminaux étaient impactés. Depuis la révélation, le firmware de l'appareil a été mis à jour et ne disposerait plus des fonctionnalités d'espionnage. Mais qu'en est-il des autres? Sur son site web, Adups explique être présent dans plus de 200 pays et revendique un portefeuille client constitués de "plus de 400 opérateurs mobiles, fabricants de semi-conducteurs et fabricants de terminaux". En particulier, Adups travaillerait pour les deux géant chinois Huawei et ZTE. Il est donc probable que l'ampleur des dégâts soit beaucoup plus grande.

Malheureusement, en tant qu'utilisateur, il n'est pas facile de se rendre compte de la présence d'une telle application. Le mieux, c'est encore de se tourner vers le fabricant. "Le problème, c'est que les fabricants ne savent pas vraiment avec qui ils travaillent. Ils vérifient rapidement que les choses fonctionnent, et c'est tout. Quand nous avons contacté Blu Products, ils étaient stupéfaits de notre découverte. Ils n'y croyaient pas", ajoute Azzedine Benameur, qui précise que son entreprise compte analyser d'autres smartphones pour détecter les applications suspectes.

En tous les cas, ce n'est pas la première fois que de tels mouchards se retrouvent dans des smartphones. En 2011, un expert en sécurité avait détecté Carrier IQ, un logiciel qui exfiltrait lui aussi quantité d'informations d'un terminal mobile pour les transférer aux opérateurs mobiles. Néanmoins, il n'était clairement pas aussi instrusif. Il ne permettait pas l'exécution de commande à distance ou l'installation de logiciels.