Alors que le Freedom Phone a été présenté comme le smartphone qui devrait permettre aux utilisateurs de se libérer de l’emprise (siphonnage de données, monopole, etc.) des GAFA, il s'est finalement révélé être un smartphone Android chinois bon marché et un cauchemar en matière de sécurité. Un nouveau rapport paru ce mois-ci sur le Freedom confirme ces allégations et indique que "le Freedom Phone n'est pas du tout une alternative efficace en matière de confidentialité". Il embarque un fork de l'application de messagerie chiffrée Signal qui aurait des comportements douteux.Le Freedom Phone est l’une des dernières tentatives visant à mettre sur pied une plateforme technologique alternative à celles proposées par les GAFA. Il propose aux utilisateurs les éléments suivants : boutique d’application non censurée, système d’exploitation orienté « liberté d’expression » développé par les soins de l’entreprise, matériel comparable aux meilleurs smartphones sur le marché. Seulement, l'appareil présente une quantité importante de signaux d'alarme. Primo, son nom qui est susceptible de faire l'objet de plainte pour violation de marque. Le site Web ne fournit pas assez d'informations techniques sur l'appareil lui-même.
Le Freedom Phone propose une boutique d'applications appelée PatriApp qui donne accès à toutes les applications Google Play courantes auxquelles on peut s'attendre : YouTube, Google Photos, Instagram, Facebook, Netflix, Spotify, Snapchat, etc. Ce qui amène à se demander si la boutique PatriApp n'est rien d’autre que le Google Play Store. En creusant plus loin, Matthew Garrett, développeur mobile, a découvert que contrairement à ce que prétend le Freedom Phone, il n'est pas une solution crédible en matière de protection de la vie privée. Le smartphone embarquerait des applications "suspectes" et sur lesquelles il n’y a presque pas d'informations.
Comme indiqué sur la page des caractéristiques, le Freedom Phone fonctionne sous ClearOS, un système d'exploitation Android produit par ClearUnited (ou peut-être l'une des nombreuses sociétés associées). Selon Garrett, le Freedom Phone est annoncé comme incluant Signal (une application open source disponible sur Android et iOS et permettant de communiquer de façon chiffrée), mais ce qui est livré ne serait pas la version disponible sur le site Web de Signal ou sur un quelconque magasin d'applications officiel. À la place, il s'agirait d'un fork de Signal appelé "ClearSignal". Garrett a fait plusieurs remarques sur cette application.
« La première chose à noter à propos de ClearSignal est que le lien vers la politique de confidentialité de cette page se termine par 404, ce qui n'est pas un bon début. La deuxième chose est qu'il a un numéro de version de 5.8.14, ce qui est étrange, car le logiciel en amont est passé de 5.8.10 à 5.9.0. La troisième est que, bien que Signal soit sous GPL 3, il n'y a pas de code source disponible. J'ai donc pris Jadx [NDLR : un décompilateur pour Java qui permet d'extraire le code source de fichiers de classe] et j'ai commencé à chercher les différences entre ClearSignal et la version amont 5.8.10. Les résultats ont été, euh, surprenants », a-t-il déclaré.
Tout d'abord, Garrett estime qu'il semble que les développeurs de ClearSignal aient intégré ACRA, un framework de rapport d'accident. Ce qui signifie que l'application collecte et envoie les données des utilisateurs à un tiers, mais que l'on ignore la nature de ces données. « Cela semble un peu étrange. En l'absence d'une politique de confidentialité, il n'est pas clair quelles informations sont collectées et comment elles sont stockées. Le fait qu'un logiciel de protection de la vie privée télécharge automatiquement des informations sur ce que vous faisiez en cas d'accident, sans autre notification qu'un toast indiquant "Crash Report", est un peu douteux », a-t-il déclaré.
Ensuite, Signal (pour des raisons assez évidentes) vous avertit lorsque votre version n'est pas à jour et finit par refuser de fonctionner si vous ne la mettez pas à jour. ClearSignal aurait réglé ce problème en supprimant tout simplement ce code. Selon le rapport de Garrett, la version macOS de ClearSignal semble être dérivée d'une version de septembre dernier, ce qui, pour une application basée sur Electron, semble être une idée assez "terrible". Il a ajouté que "bizarrement, pour Windows, le lien renvoie à une version binaire officielle datant de février 2021, et pour Linux, le lien indique comment utiliser correctement le dépôt en amont".
« Je n'ai aucune idée de ce qui se passe ici », a déclaré Garrett. Les développeurs de ClearSignal auraient également ajouté la prise en charge des sauvegardes réseau de vos données. Selon le rapport de Garrett, cela implique que les sauvegardes soient transférées vers un conteneur Amazon S3 en utilisant des informations d'identification qui sont statiquement disponibles dans l'application. « C'est bon, cependant, chaque téléchargement a une sorte d'identifiant nominalement unique associé à lui, il n'est donc pas trivial de simplement télécharger les sauvegardes d'autres personnes », a commenté le développeur mobile.
Cependant, d'où vient cet identifiant ? Selon Garrett, il s'avère que ClearCenter, une autre entreprise de la famille Clear, emploie un certain nombre de personnes pour travailler sur un ClearID, une sorte de système décentralisé qui semble être basé sur KERI. Garrett indique que ClearCenter a publié un document qui présente cet identifiant, mais qu’il n'explique pas dans les détails comment ClearID fonctionne. Il a déclaré : « il n'y a aucune sorte d'examen par les pairs, mais c'est la seule chose qui empêche n'importe qui sur Internet de s'emparer de vos sauvegardes Signal. Alors quelle importance cela peut-il avoir ? ».
Enfin, Garrett a remarqué que les développeurs de ClearSignal ont étendu la prise en charge des invitations de Signal pour encourager les utilisateurs à inciter d'autres personnes à s'inscrire à ClearUnited. Selon le rapport, il existerait un point de terminaison d'une API appelé "get_user_email_by_mobile_number" qui fait exactement ce à quoi vous vous attendez : si vous lui donnez un numéro de téléphone enregistré, elle vous renvoie l'adresse e-mail associée. Garrett estime que cela ne nécessite aucune authentification. Cependant, il ajoute que ce n'est pas tout. L'application aurait d'autres comportements "suspects".
Par exemple, il explique que l'API permettant de générer un lien de parrainage à envoyer à d'autres personnes envoie le nom et le numéro de téléphone de toutes les personnes figurant dans la liste de contacts de votre téléphone. « Donc, du point de vue de la protection de la vie privée, on peut dire que les choses sont loin d'être idéales », a déclaré Garrett. Mais quel est le lien entre toutes ces entreprises ?
Le rapport de Garrett indique qu'elles semblent toutes être liées à Michael Proper, qui a fondé la Clear Foundation en 2009. Elles seraient fortement investies dans le domaine de la blockchain, tandis que ClearUnited semble également être une sorte de système de marketing multiniveaux (MLM). « Quoi qu'il en soit, nous avons une société qui semble combiner blockchain et MLM, qui a des opinions sur l'intrication quantique et qui a fondé la sécurité de sa plateforme sur un ensemble de primitives cryptographiques novatrices qui semblent n'avoir fait l'objet d'aucun examen externe », a fait remarquer Garrett.
« L'entreprise a également mis en œuvre une API qui distribue simplement des informations personnelles sans aucune authentification et une application qui semble plus qu'heureuse de télécharger toutes vos coordonnées sans vous en parler au préalable, qui n'a pas réussi à mettre à jour cette application pour suivre les mises à jour de sécurité en amont et qui viole la licence en amont. Si c'est l'idée qu'ils se font du "respect de la vie privée d'abord", je n'ose pas imaginer à quoi ressemblera leur code lorsque le respect de la vie privée viendra plus loin dans la liste », a-t-il conclu.
Rappelons qu'en juillet dernier, un rapport avait fait état de ce que le Freedom Phone s’appuyait sur un processeur Helio P60 de MediaTek. Cependant, cette puce est vulnérable à des attaques par contournement d’authentification. En gros, le Freedom Phone demeure un smartphone Android qui soulève la question de savoir quelle est sa réelle plus-value par rapport à l’existant. Tout, de la limitation du suivi en ligne à l’ajout d’applications bannies sur une boutique d’applications, est faisable avec un smartphone Android tiers. Le Google Play Store par exemple offre aux utilisateurs la possibilité de télécharger des clients de courriel chiffrés et des VPN.
Sources : Matthew Garrett, ClearID, Clear Foundation
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous des observations de Garrett sur le Freedom Phone ?Voir aussi
Le « Freedom Phone » est un smartphone Android chinois bon marché et un cauchemar en matière de sécurité, d'après des chercheurs spécialistes de la filière Le Freedom Phone est en réalité un smartphone chinois à 120 dollars proposé à 500 $, le tout pour une solution discutable voire désastreuse Signal, une application de messagerie rapide et sécurisée, approuvée par Snowden, mais est-elle vraiment plus sécurisée que ses concurrents ? Fairphone annonce un tout nouveau produit : le Fairphone 4, livré avec Android 11, il apporte un nouveau design et de meilleures spécifications