Failles de sécurité : le cauchemar de Wiko s’appelle Freddy

 
À cause de plusieurs négligences, la sécurité du Wiko Freddy est extrêmement faible et des failles permettent d’accéder facilement aux données stockées sur l’appareil. Reste à espérer qu’il s’agit du seul téléphone de la marque à souffrir de ces faiblesses.

Avec un smartphone, on a tendance à prendre énormément de photos et d’échanger d’innombrables messages. Bref, une foultitude d’informations nous concernant résident sur cet appareil qui nous suit partout. Et c’est bien pour protéger sa vie privée que l’on utilise des mots de passe, des lecteurs d’empreintes ou des technologies de reconnaissance faciale.

Or, si un téléphone sécurisé par un code secret est facilement piratable, cela pose évidemment de gros soucis. Et c’est le nouveau problème auquel est confronté Wiko. Pour rappel, la marque marseillaise avait déjà été pointée du doigt pour avoir cruellement manqué de transparence sur les données récoltées sur ses appareils et envoyées à sa maison-mère chinoise, Tinno. L’entreprise avait réagi pour faire amende honorable — nous avons relayé sa réponse ici — et une mise à jour logicielle majeure va bientôt remédier à ce problème.

Sauf que Wiko s’est fait épingler sur une autre affaire, dans laquelle ce n’est pas la collecte de données de la marque qui est mise en cause, mais la sécurité du téléphone lui-même. Le développeur spécialiste de la sécurité qui se fait appeler « Elliot Alderson » sur Twitter a en effet posté une série de messages où il explique à quel point le Wiko Freddy — sorti en 2016 et vendu aujourd’hui aux alentours de 100 euros — est très poreux en termes de sécurité.

Le fameux Elliot Alderson dénonce trois vulnérabilités de très grosse envergure et qui pourraient gravement nuire si le téléphone tombait entre de mauvaises mains. Nous les avons listées ci-après avec quelques explications :

ADB utilisable en mode charge

L’outil ADB (Android Debug Bridge) est un programme pour les bidouilleurs qui permet d’accéder au stockage du téléphone depuis un ordinateur relié par le câble USB. Pour en profiter, il faut activer les options développeurs sur le téléphone et cocher « Déboggage USB ». Or, avec le Wiko Freddy, Elliot Alderson a remarqué qu’en éteignant le smartphone, on pouvait utiliser ADB depuis le mode de recharge — sans avoir activé l’option Déboggage USB et sans avoir autorisé la connexion à l’ordinateur.

Autrement dit, si un Freddy est volé ou trouvé par un hacker mal intentionné, ce dernier n’aura pas de difficulté à accéder au système, même si le téléphone est protégé par un mot de passe.

Déverrouiller le bootloader sans supprimer les données

Pour celles et ceux qui n’y sont pas initiés, le bootloader est le programme qui permet de lancer le système d’exploitation Android. Pour opérer de profondes modifications sur son téléphone, il faut le déverrouiller.

Ce qu’il faut savoir, c’est que le déverrouillage du bootloader entraîne habituellement la suppression de toutes les informations enregistrées sur le terminal. Mais, toujours d’après le lanceur d’alerte, quand on redémarre le Wiko Freddy en mode bootloader, il suffit d’utiliser la commande « fastboot oem unlock-tinno » (c’est donc bien Tinno qui a laissé cet outil-là) pour déverrouiller le bootloader sans supprimer les données stockées sur le smartphone.

Droits administrateur faciles d’accès

Pour exploiter cette dernière faille, il faut que l’option Déboggage USB  soit activée, ce qui la rend moins probable. Néanmoins, il reste bon de la mentionner. Elliot Alderson s’est rendu compte qu’en lançant la commande ADB « shell setprop persist.tinno.debug » (là encore, il s’agit d’un outil de débugage oublié par Tinno) sur le Wiko Freddy, il pouvait obtenir ADB root. C’est-à-dire, que grâce à cela, il pouvait obtenir les droits d’administrateur et passer outre les protections sans avoir à déverrouiller le bootloader et et ainsi rooter le téléphone.

Les contenus ainsi accessibles peuvent ensuite être enregistrés sur un ordinateur.

Uniquement le Wiko Freddy ?

Dans tous les cas de figure mentionnés, le hacker doit avoir le téléphone en sa possession. Par ailleurs, Elliot Alderson a signalé ces failles uniquement sur le Wiko Freddy. Celui-ci serait donc a priori le seul concerné, du moins pour l’instant et il faut espérer que ces négligences n’ont pas été reproduites sur d’autres modèles.

Nous avons demandé un retour à Wiko afin d’en savoir plus et de connaître ses arguments contre ces allégations. Dès que nous aurons leur retour, nous mettrons à jour cet article.

Pour rappel, l’internaute Elliot Alderson était déjà à l’origine des accusations à l’encontre de Wiko concernant la collecte de données. Il s’était également attaqué à OnePlus et la marque chinoise a fourni une réponse satisfaisante, mais pas encore tout à fait complète.


Des invités passionnants et des sujets palpitants ! Notre émission UNLOCK est à retrouver un jeudi sur deux en direct, de 17 à 19h sur Twitch. Pensez aussi aux rediffusions sur YouTube !

Les derniers articles