OnePlus sur la sellette : le fabricant aurait installé un spyware dans ses smartphones

C’est un « very bad buzz » pour OnePlus; le fabricant chinois est en effet accusé d’espionner ses utilisateurs après que le développeur Chris D. Moore ait découvert un spyware bien caché dans l’un des smartphones de la marque. Le spyware intégré au smartphone enverrait des paquets importants de données – en dehors de toute utilisation de l’appareil donc  – à un serveur hébergé sur le service Amazon AWS Server. Dans le détail, l’adresse de réception des paquets de données (sur le service d’Amazon) est open.oneplus.net, ce qui ne laisse aucun doute quant au fait que OnePlus récupère bel et bien certaines données de ses utilisateurs, et à leur insu qui plus est.

Intrigué par sa découverte, Chris D. Moore est allé un peu plus loin dans ses investigations, et a fini par en savoir plus sur le type de données récupérées par le fabricant chinois; ainsi, l’identifiant IMEI, les adresses MAC, le numéro de téléphone, les SSID ainsi que la liste des réseaux Wi-Fi sont transmis directement du smartphone à l’adresse open.oneplus.net. Pire encore, il s’avère que OnePlus récupère aussi la liste des applications qui ont été lancées sur le smartphones ainsi que les créneaux horaires de leur utilisation !

Interrogé sur ce cas « espionnage », le support de OnePlus ne s’est pas montré très réactif …dans un premier temps; car après que le bad buzz se soit répandu sur la toile, la firme a fini par sortir de son silence pour fournir une explication à ces envois de données : « Nous transmettons en toute sécurité des analyses dans deux flux différents via HTTPS vers un serveur Amazon. Le premier flux est l’analyse de l’utilisation, que nous collectons afin de pouvoir affiner plus précisément notre logiciel en fonction du comportement de l’utilisateur. Cette transmission de l’activité d’utilisation peut être désactivée en accédant à ‘Paramètres’ -> ‘Avancé’ -> ‘Rejoindre le programme d’expérience utilisateur’. Le deuxième flux concerne les informations sur les périphériques, que nous collectons afin de fournir un meilleur support après-vente. » Malgré ces « justifications », on peut toutefois se demander pourquoi la récupération de données est activée par défaut, et pourquoi le système ne demande pas l’autorisation à l’utilisateur lors du paramétrage initial du mobile.