Le chinois OnePlus est connu pour fabriquer des smartphones intéressants sans frais. Mais le prix d’un appareil de marque ne peut être payé uniquement en espèces : l’expert en sécurité Chris Moore affirme que son OnePlus 2 collecte diverses données privées sans son consentement. Le problème, selon lui, pourrait toucher tous les utilisateurs de la marque.
Après des tests avec OnePlus 2, M. Moore a constaté que le système d’exploitation de l’appareil, OxygenOS (qui est basé sur Android), se connecte périodiquement au domaine open.oneplus.net, qui pointe vers un serveur hébergé chez Amazon.
Les résultats de l’analyse indiquent que les données envoyées au serveur contiennent des détails tels que IMEI dispositif, numéro de téléphone, adresses MAC, noms de réseaux Wi-Fi, temps et fréquence de déverrouillage des écrans, informations sur les applications (combien de temps elles sont restées au premier plan, par exemple), etc.
Il est courant que les données des appareils soient collectées à des fins statistiques, d’études comportementales, d’amélioration des ressources, entre autres. Habituellement, l’utilisateur donne son autorisation pour cette collection lors de la première configuration du smartphone, en pouvant désactiver la ressource à tout moment dans les paramètres du système d’exploitation.
Mais selon M. Moore, OnePlus collecte des données sans préserver l’anonymat de l’utilisateur : des informations telles que l’IMEI et le numéro de téléphone permettent d’identifier l’utilisateur. La norme du marché consiste à ne collecter que des données non sensibles, c’est-à-dire des données qui ne permettent pas d’identifier et de retrouver une personne particulière en croisant les informations.
Un autre facteur aggravant signalé par l’expert est que OnePlus ne demande apparemment pas explicitement à l’utilisateur d’autoriser la collecte de ces informations, et ne fonctionne pas de manière à faire apparaître clairement que des données aussi sensibles sont collectées.
Wanted, OnePlus a reconnu que ses appareils envoient des données à un serveur sur Amazon, avec deux flux : le premier, avec les statistiques d’utilisation, aide à optimiser le logiciel ; le second, selon les termes de l’entreprise, contient des informations sur l’appareil qui aident au service après-vente.
OnePlus a également indiqué que la connexion au serveur est effectuée de manière sécurisée afin d’éviter les fuites de données. En outre, la société a souligné qu’il est possible de désactiver la collecte de données dans les paramètres du système.
Toutefois, cette mesure ne fait que désactiver le premier flux. Pour l’instant, il n’est possible d’interdire complètement la collection qu’en appliquant des paramètres qui ne sont pas du tout triviaux pour l’utilisateur moyen.
