HTC America a réglé avec la FTC (Federal Trade Commission) ses préoccupations concernant le fait que la société met en péril les informations personnelles de millions de clients en mettant en œuvre des logiciels non sécurisés sur ses appareils. La FTC a constaté que HTC n’avait pas pris un soin raisonnable lors de la mise en œuvre des meilleures pratiques de codage et de sécurité lors de la création de logiciels pour ses appareils, ce qui suit:
"n’a pas fourni à son personnel technique une formation adéquate en matière de sécurité, n’a pas examiné ou testé le logiciel de ses appareils mobiles pour détecter les éventuelles vulnérabilités en matière de sécurité, n’a pas suivi les pratiques de codage sécurisé bien connues et généralement acceptées et n’a pas établi de traiter les rapports de vulnérabilité émanant de tiers."
Ce sont des mots plutôt forts pour la société, mais ce qui frappe vraiment, ce sont les problèmes des consommateurs causés par ce manque de surveillance. La FTC explique que l'implémentation de Carrier IQ et de HTC Logger par HTC sur ses appareils laissait les données des clients vulnérables aux attaques, ainsi que des erreurs laissant des tiers contourner le système de permissions intégré d'Android.
La deuxième partie de la plainte de la FTC est que HTC a été trompeuse en informant les consommateurs des risques liés à la mise en œuvre de ses logiciels, en indiquant que les manuels d'utilisation et l'interface de l'application "Tell HTC" étaient trompeurs. Ces deux problèmes de mise en œuvre auraient sapé le mécanisme de consentement normal d'Android qui aurait protégé les données des utilisateurs.
Alors qu'est-ce que cela signifie pour HTC? La FTC exige que la société développe et publie des correctifs logiciels pour ses appareils affectés par ces vulnérabilités, et HTC a indiqué qu’il avait déjà publié certains correctifs à ce stade. En outre, HTC devra se soumettre à des "évaluations de sécurité indépendantes" tous les 2 ans au cours des 20 prochaines années. Il sera également interdit à HTC de faire des déclarations trompeuses concernant la sécurité de ses appareils et des données de l'utilisateur à l'avenir.
C'est une assez grosse conclusion de la FTC, mais ce n'est pas nécessairement rare. Bien que leurs exploits ne tirant pas parti de ces failles de sécurité ne soient peut-être pas généralisés, il est important que HTC apporte des modifications pour améliorer la sécurité. Nous aurions préféré si HTC appliquait les meilleures pratiques au lieu de faire l’objet d’une enquête de la FTC.
Source: FTC
