Avec un smartphone, on a tendance à prendre énormément de photos et d’échanger d’innombrables messages. Bref, une foultitude d’informations nous concernant résident sur cet appareil qui nous suit partout. Et c’est bien pour protéger sa vie privée que l’on utilise des mots de passe, des lecteurs d’empreintes ou des technologies de reconnaissance faciale.
Or, si un téléphone sécurisé par un code secret est facilement piratable, cela pose évidemment de gros soucis. Et c’est le nouveau problème auquel est confronté Wiko. Pour rappel, la marque marseillaise avait déjà été pointée du doigt pour avoir cruellement manqué de transparence sur les données récoltées sur ses appareils et envoyées à sa maison-mère chinoise, Tinno. L’entreprise avait réagi pour faire amende honorable — nous avons relayé sa réponse ici — et une mise à jour logicielle majeure va bientôt remédier à ce problème.
Sauf que Wiko s’est fait épingler sur une autre affaire, dans laquelle ce n’est pas la collecte de données de la marque qui est mise en cause, mais la sécurité du téléphone lui-même. Le développeur spécialiste de la sécurité qui se fait appeler « Elliot Alderson » sur Twitter a en effet posté une série de messages où il explique à quel point le Wiko Freddy — sorti en 2016 et vendu aujourd’hui aux alentours de 100 euros — est très poreux en termes de sécurité.
Le fameux Elliot Alderson dénonce trois vulnérabilités de très grosse envergure et qui pourraient gravement nuire si le téléphone tombait entre de mauvaises mains. Nous les avons listées ci-après avec quelques explications :
ADB utilisable en mode charge
L’outil ADB (Android Debug Bridge) est un programme pour les bidouilleurs qui permet d’accéder au stockage du téléphone depuis un ordinateur relié par le câble USB. Pour en profiter, il faut activer les options développeurs sur le téléphone et cocher « Déboggage USB ». Or, avec le Wiko Freddy, Elliot Alderson a remarqué qu’en éteignant le smartphone, on pouvait utiliser ADB depuis le mode de recharge — sans avoir activé l’option Déboggage USB et sans avoir autorisé la connexion à l’ordinateur.
Autrement dit, si un Freddy est volé ou trouvé par un hacker mal intentionné, ce dernier n’aura pas de difficulté à accéder au système, même si le téléphone est protégé par un mot de passe.
Déverrouiller le bootloader sans supprimer les données
Pour celles et ceux qui n’y sont pas initiés, le bootloader est le programme qui permet de lancer le système d’exploitation Android. Pour opérer de profondes modifications sur son téléphone, il faut le déverrouiller.
Ce qu’il faut savoir, c’est que le déverrouillage du bootloader entraîne habituellement la suppression de toutes les informations enregistrées sur le terminal. Mais, toujours d’après le lanceur d’alerte, quand on redémarre le Wiko Freddy en mode bootloader, il suffit d’utiliser la commande « fastboot oem unlock-tinno » (c’est donc bien Tinno qui a laissé cet outil-là) pour déverrouiller le bootloader sans supprimer les données stockées sur le smartphone.
Droits administrateur faciles d’accès
Pour exploiter cette dernière faille, il faut que l’option Déboggage USB soit activée, ce qui la rend moins probable. Néanmoins, il reste bon de la mentionner. Elliot Alderson s’est rendu compte qu’en lançant la commande ADB « shell setprop persist.tinno.debug » (là encore, il s’agit d’un outil de débugage oublié par Tinno) sur le Wiko Freddy, il pouvait obtenir ADB root. C’est-à-dire, que grâce à cela, il pouvait obtenir les droits d’administrateur et passer outre les protections sans avoir à déverrouiller le bootloader et et ainsi rooter le téléphone.
Les contenus ainsi accessibles peuvent ensuite être enregistrés sur un ordinateur.
Uniquement le Wiko Freddy ?
Dans tous les cas de figure mentionnés, le hacker doit avoir le téléphone en sa possession. Par ailleurs, Elliot Alderson a signalé ces failles uniquement sur le Wiko Freddy. Celui-ci serait donc a priori le seul concerné, du moins pour l’instant et il faut espérer que ces négligences n’ont pas été reproduites sur d’autres modèles.
Nous avons demandé un retour à Wiko afin d’en savoir plus et de connaître ses arguments contre ces allégations. Dès que nous aurons leur retour, nous mettrons à jour cet article.
Pour rappel, l’internaute Elliot Alderson était déjà à l’origine des accusations à l’encontre de Wiko concernant la collecte de données. Il s’était également attaqué à OnePlus et la marque chinoise a fourni une réponse satisfaisante, mais pas encore tout à fait complète.
Si vous voulez recevoir les meilleures actus Frandroid sur WhatsApp, rejoignez cette discussion.
meme le Wiko FEVER il y passe
D'autres Wiko de la série les noms en "y" et au moins le Rainbow Jam 4G ont les mêmes "vulnérabilités" que je vois surtout comme un régal pour qui veut les rooter. En ces temps où toutes les marques s'acharnent à nous rendre la chose la plus difficile possible, moi je dis "merci" !
Reste à espérer qu’il s’agit du seul téléphone de la marque à souffrir de ces faiblesses. Qu'il s'agisse
Pas de soucis, la prochaine mise à jour règlera tous ces problèmes :^)
Celui qui aime les griffes...
Effectivement, ce titre traduit bien le coup de griffe ds la réputation déjà pas brillante de Wiko...
Google suit ça de très très très près !
Kler car pour avoir les services Google sur les Wiko, les temps ont dû passer les certifications chez Google non ? Pour l'équipe de frandoid avez vous interrogé Google là dessus ?
Oh non, ce n'est pas le premier...
C'est marrant, quand c'est à d'autres marques que ça arrive, le traitement est différent, en particulier dans les commentaires. On trouve ça génial que le terminal puisse être aussi accueillant pour toutes les bidouilles...
Les fétichistes des oreilles de lapin sur Snapchat ont leurs raisons.
De quoi se plaint on ? C'est le premier smartphone à offrir le root par défaut sans besoin de rechercher une faille extérieure ??? ;-)))
Par exemple "ADB utilisable en mode charge" comme écrit plus bas dans l'article :p
Une question me taraude : qui aurait un quelconque intérêt à pirater un Wiko Freddy ?
Ils doivent être contents chez Wiko qu'on parle autant d'eux !
heureusement que Google suit ça de près ! Bon sinon par rapport à ça "Or, si un téléphone sécurisé par un code secret est facilement piratable, cela pose évidemment de gros soucis" on peut en savoir plus ?
Joli titre
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix