La Commission fédérale du commerce américaine, la FTC, a trouvé vendredi 22 février un accord avec le fabricant taïwanais HTC sur la sécurité très insuffisante de ses smartphones. Selon l’autorité, HTC a introduit de nombreuses failles de sécurité dans ses appareils par des modifications des systèmes Android de Google et Windows Phone de Microsoft ainsi que par l’ajout de logiciels propriétaires. La commission surveillera ainsi, sur les vingt prochaines années, les terminaux HTC, qui ne répondraient pas aux normes de sécurité minimales, notamment celles fixées par Google.

Selon le régulateur américain, la mise en œuvre des systèmes mobiles et le développement des outils propriétaires, censés différencier les terminaux HTC de ses concurrents, n’auraient subi aucune supervision en matière de sécurité. Le code des logiciels ne répondrait d’ailleurs à aucune des bonnes pratiques habituelles en matière de sécurité, les développeurs n’y ayant pas été formés. De plus, aucun test de pénétration, c’est-à-dire de vérification de la résistance de ces logiciels aux attaques, n’aurait été mené. La FTC juge également les manuels des appareils "trompeurs".

Accès aux données personnelles
La mauvaise mise en œuvre d’Android permettrait ainsi à des applications de passer outre le système strict de permissions du système, qui les empêche d’accéder à certaines données (carnet d’adresses, localisation...) si elle ne l’a pas explicitement demandé à l’utilisateur à l’installation. Sur Android et Windows Phone, les logiciels propriétaires en cause sont notamment les applications de remontée de problèmes HTC Logger et Tell HTC, dont l’un des buts premiers est de collecter des données pour les équipes du constructeur taïwannais. Ces erreurs permettraient ainsi d’accéder aux données personnelles, aux SMS ou encore à la localisation de l’utilisateur.
Si HTC ne reconnaît pas ces mauvaises pratiques, il a tout de même accepté les conditions de la FTC. La firme devra ainsi rendre un employé responsable de la sécurité des terminaux vendus. Il sera notamment chargé d’évaluer les risques que présentent les pratiques de développement et les terminaux actuels, de préparer des mesures de secours en cas de problème de sécurité et de former les ingénieurs aux bonnes pratiques, comme la mise à jour des logiciels. Ces mesures devront être vérifiées par un consultant externe et faire l’objet d’un rapport annuel à la FTC, sur les vingt années à venir.