Ouvrir à un démarcheur publicitaire ou un pirate le carnet d’adresses, les informations GPS et la liste des applications installées : c’est ce que permettent les téléphones HTC utilisant Android, d’après des informaticiens.

au sommaire


    L'Evo 3D, un des derniers modèles de HTC, est concerné par cette possible faiblesse. © HTC

    L'Evo 3D, un des derniers modèles de HTC, est concerné par cette possible faiblesse. © HTC

    • À lire, notre dossier sur la sécurité des smartphones

    Le blog d'Android Police explique comment les derniers smartphones Android du taïwanais HTC (comme les ThunderboltThunderbolt et Evo) ouvrent toutes grandes les portesportes des données personnelles. Le logiciel HtcLogger serait le coupable. Son objet est en lui-même inquisiteur puisqu'il collecte toutes sortes de données pour les envoyer au constructeur à des fins statistiques, pour améliorer ses produits. HtcLogger récupère les numéros de téléphone, la dernière position GPS, les connexions réalisées, les applications installées, celles en cours d'utilisation et la configuration matérielle.

    Il est possible de désactiver ces envois qui ne sont destinés qu'à HTC. Mais la collecte, elle, est toujours réalisée et, de plus, une autre application ouvrirait une faille béante, selon les investigations publiées par AndroidAndroid Police. Elle s'appelle AndroidVNCServer. Comme l'indiquent les trois lettres VNCVNC (Virtual Networking Computing), elle crée une fonction de serveur local permettant de prendre le contrôle à distance d’un ordinateur, en l'occurrence le smartphone.

    Portes ouvertes

    Or, expliquent Artem Russakovskii, Justin Case et Trevor Eckhart, plusieurs fonctions de HtcLogger peuvent s'utiliser sans contrôle d'aucune sorte. En conséquence, une applicationapplication tierce, que l'on vient de télécharger, ou une publicité, peuvent accéder aux informations personnelles du smartphone. En informatique, on appelle cela une faille ou une vulnérabilité, comme on voudra.

    L'éventualité d'un piratage semble à prendre au sérieux. On se souvient que cette année, GoogleGoogle avait supprimé des applications transportant un cheval de Troie destiné aux téléphones Android. Plus étonnant, l'entreprise avait littéralement nettoyé les smartphones à distance en supprimant les applications infectées à l'intérieur. 

    D'après The Tech Herald, l'entreprise taïwanaise a promis de s'intéresser au problème et même de publier une mise à jour « dès que nous aurons pu vérifier l'exactitude de cette réclamation ».