Nitrokey, entreprise spécialisée dans la sécurité informatique, révèle que les smartphones équipés d’une puce Qualcomm envoie des données chiffrées à un serveur de Qualcomm sans le consentement de l’utilisateur. Ces données pourraient contenir des informations sensibles comme la localisation, les contacts, les messages, les appels, les applications installées, etc.Nitrokey affirme que les chercheurs en sécurité de Nitrokey ont découvert que la puce Qualcomm Snapdragon 888 envoie des données cryptées à un serveur de Qualcomm sans le consentement de l’utilisateur.
« Au cours de nos recherches sur la sécurité, nous avons découvert que les smartphones équipés d'une puce Qualcomm envoient secrètement des données personnelles à Qualcomm. Ces données sont envoyées sans le consentement de l'utilisateur, en clair, et même lorsqu'il utilise une distribution Android exempte de Google », affirme l’entreprise sur son site officiel. « Cela est possible parce que le logiciel propriétaire de Qualcomm, qui fournit le support matériel, envoie également les données. Les smartphones concernés sont le Sony Xperia XA2 et probablement le Fairphone, ainsi que de nombreux autres téléphones Android qui utilisent les puces Qualcomm les plus répandues », poursuit-elle.
Nitrokey est l’un des leaders du matériel de sécurité open source au monde. Il développe du matériel de sécurité informatique pour le chiffrement des données, la gestion des clés et l'authentification des utilisateurs. La société a été fondée à Berlin, en Allemagne, en 2015 et peut déjà compter sur dix milliers d'utilisateurs, dont de nombreuses entreprises internationales de renom issues de divers secteurs d'activité.
Qualcomm permet l'émergence d'un monde où tout et chacun peut être connecté de manière intelligente. Vous interagissez tous les jours avec des produits et des technologies rendus possibles par Qualcomm, notamment des smartphones compatibles 5G qui servent d'appareils photo et de dispositifs de jeu de niveau professionnel, des véhicules et des villes plus intelligents. Ses puissantes solutions de connectivité permettent de rester connecté, même dans les zones reculées.
Qualcomm équipe la plupart des modèles haut de gamme, comme le Samsung Galaxy S21, le OnePlus 9 ou le Xiaomi Mi 11. Il souligne que Qualcomm a une position dominante sur le marché et qu’il impose ses conditions aux fabricants de smartphones, qui doivent accepter ses licences et ses services. Il ajoute que Qualcomm a été accusé à plusieurs reprises de pratiques anticoncurrentielles et de violation de brevets.
Toutefois, Nitrokey estime que les données de Qualcomm pourraient contenir des informations sensibles comme la localisation, les contacts, les messages, les appels, les applications installées, etc. L’entreprise explique que cette fuite de données est due à une fonctionnalité appelée Qualcomm Telemetry qui est activée par défaut sur les smartphones Android utilisant la puce Snapdragon 888. Cette fonctionnalité est censée améliorer les performances et la stabilité du système, mais elle pose un risque pour la vie privée et la sécurité des utilisateurs.
Il existe également le Qualcomm Snapdragon 888 Plus 5G Mobile Platform qui est une puce pour smartphones haut de gamme qui offre des performances et des fonctionnalités améliorées par rapport au Snapdragon 888.
La puce se compose d’un processeur Kryo 680 qui atteint 3 GHz de vitesse d’horloge, d’un moteur d’intelligence artificielle Hexagon 780 qui fournit 32 TOPS de puissance de calcul, d’un modem Snapdragon X60 5G qui assure une connectivité sans fil rapide et fiable avec la 5G sub-6 GHz et mmWave, le Wi-Fi 6E et le Bluetooth 5.2, et d’un processeur graphique Adreno 660 qui supporte les jeux et les vidéos en haute définition et en fréquence d’images élevée.
Nitrokey décrit la méthode utilisée par ses chercheurs pour détecter la fuite de données. Il explique qu’ils ont utilisé un outil appelé Wireshark, qui permet d’analyser le trafic réseau d’un appareil connecté à Internet. Il précise qu’ils ont testé deux smartphones identiques, l’un avec la version originale d’Android et l’autre avec /e/OS, une version open-source d’Android dégooglisée développée par /e/ Foundation.
Ils ont comparé les requêtes DNS (Domain Name System) émises par les deux smartphones lors du démarrage et de l’utilisation de certaines applications. Les requêtes DNS sont des demandes qui permettent de traduire un nom de domaine en une adresse IP.
Nitrokey expose ensuite les résultats obtenus par les chercheurs de Nitrokey. Il révèle qu’ils ont constaté que le smartphone avec la version originale d’Android se connectait à un serveur appartenant à Qualcomm via l’hôte android.clients.google.com. Il précise que cette connexion était chiffrée avec le protocole HTTPS (Hypertext Transfer Protocol Secure) et qu’elle transmettait des données dont le contenu était inconnu.
Nitrokey aurait réussi à désactiver la fonctionnalité Qualcomm Telemetry sur son NitroPhone 2, un smartphone basé sur le Pixel 6 et GrapheneOS, une version durcie d’Android sans Google. L’entreprise recommande aux utilisateurs de choisir des smartphones qui respectent leur vie privée et leur sécurité.
Source : Nitrokey
Et vous ?
Croyez-vous à la rigueur et la neutralité de l’étude de Nitrokey ? Selon vous, Nitrokey pourrait-il avoir des conflits d’intérêts qui pourraient influencer ses conclusions ? Quelle est la fiabilité et la validité de l’outil Wireshark pour analyser le trafic réseau ? Est-ce que Wireshark peut détecter toutes les formes de communication entre le smartphone et Qualcomm ou d’autres serveurs ? À votre avis, pourquoi Qualcomm n’informe pas les utilisateurs de l’existence et du fonctionnement de Qualcomm Telemetry ? Selon vous, pourquoi Qualcomm ne permet pas aux utilisateurs de désactiver facilement Qualcomm Telemetry ? Quelle peut être la responsabilité de Qualcomm en cas de fuite ou d’abus des données collectées par Qualcomm Telemetry ? Voir aussi :
Le marché mondial des smartphones a connu un cinquième trimestre consécutif de baisse, reculant de 12% au Q1 2023, Samsung est revenu à la première place, suivi d'Apple et de Xiaomi Comment les forces de l'ordre ont utilisé des téléphones chiffrés pour infiltrer et démanteler des réseaux criminels. Les téléphones chiffrés, une arme à double tranchant pour les criminels 
