Wiko, la tête de pont française du constructeur chinois Tinno, est au cœur d'une grosse controverse concernant la récolte de données des utilisateurs de ses smartphones. Elliot Alderson, un bidouilleur anonyme qui se cache derrière le pseudo d'un personnage de la série Mr. Robot, a débusqué deux applications étranges et bien indiscrètes dans les smartphones Wiko.
ApeSaleTracker et ApeStsMonths sont préinstallés dans le système des terminaux Android, et ils envoient régulièrement des informations sur les serveurs chinois de Tinno. Le tout, sans le consentement des utilisateurs. Les données en question sont le numéro IMEI, le numéro de série, la localisation GSM, le numéro de client, ainsi que la version du système. Et ce, une fois par mois.
Voilà qui ne fait pas très sérieux, dans un contexte de méfiance de la part des utilisateurs, et alors que Wiko tente de s'imposer en tant que constructeur français. L'entreprise admet récolter des données via l'application STS (Sales Tracking System), qui vise à « établir des statistiques de ventes ». Le constructeur confirme aussi recueillir l'IMEI, le numéro de série, le nom du modèle du téléphone, ainsi que la version Android.
« L’activation se fait au premier allumage, et chaque mois, exclusivement via une connexion Internet, et jamais par SMS », indique aussi Wiko, démentant une des informations soulevées par Elliot selon lequel des données sont transférées par SMS. L'entreprise chiffre aussi les données avant l'envoi, avec l'algorithme RSA.
Le bidouilleur, qui met à disposition le code source décompilé, persiste sur plusieurs points : les apps en question transmettent des informations via SMS, parmi lesquelles des données de localisation GSM. « Aucune donnée relative à l’utilisateur, à l’utilisation du smartphone ou des applications n’est collectée », assure de son côté le fabricant, qui rappelle avoir « volontairement initié en 2017 un audit de l’ensemble de ses traitements de données personnelles ».
À 01net, Wiko — un peu gêné aux entournures visiblement — a indiqué qu'après l'audit, une version « allégée » de l'application mouchard remplacera la version actuelle. L'envoi de données serait non plus mensuelle mais unique (au moment de la mise en service) et les informations seront collectées sur des serveurs français, ce qui est la moindre des choses.