En 2024, je vous parlais de The Phone, un (mauvais) smartphone pour les collégiens, pour les parents paranoïaques. Je ne vais pas vous refaire l’histoire, mais le concept est idiot à mon avis : c’est un smartphone d’entrée de gamme, sans appareil photo, qui ne propose que quelques fonctions, téléphoner et envoyer des SMS. L’idée est d’empêcher les adolescents d’utiliser des apps comme TikTok, WhatsApp ou un navigateur. Le problème, c’est que c’est voué à l’échec : j’avais hacké The Phone en une matinée. Ils avaient sorti une mise à jour (et m’avaient appelé, aussi) qui bloquait ma méthode… mais j’en ai trouvé une autre, encore plus simple. Et pour être clair, je ne cherche pas à hacker le smartphone : c’est juste un message d’un parent démuni qui m’a intrigué, avec un début d’explication sur la méthode découverte par son ado.
Petit préambule : si vous avez des enfants, tenter de les empêcher d’installer des trucs avec un smartphone limité comme The Phone, c’est globalement peine perdue (la preuve : cet article a été inspiré par un ado). Il est préférable de discuter et (surtout) de bien mettre en place le contrôle parental. Quoi que vous puissiez penser, le contrôle parental est efficace s’il est configuré correctement et si le smartphone est à jour. Si votre enfant arrive à passer outre, la raison probable est qu’il connaît votre mot de passe. Je vous conseille le fil de Teli sur le sujet pour quelques informations.
La faille de la virgule
Bonjour ! Mon fils m’a montré fièrement qu’il avait activé le Wi-Fi ainsi que le mode partage de connexion… youpi , tout ça en quelques minutes, « accidentellement » en restant appuyé sur la virgule du clavier… et il se souvient de toutes les manip qu’il a fait … il m’a donc montré ce qu’il savait/pouvait faire… comment se sentir très con devant son fils.
Ça, c’est le message dans les commentaires. J’ai donc allumé mon The Phone, qui avait été mis à jour. Cette mise à jour était une réponse à mon hack basique en 2024, et elle bloque la première méthode, tout en remettant le smartphone à zéro, d’ailleurs. Bref, de fait, presser quelques secondes la touche de virgule affiche une icône d’engrenage qui permet d’aller dans les réglages de Simple Keyboard, le clavier. On peut changer la couleur du clavier, modifier quelques réglages, etc. Rien de bien intéressant au premier abord, mais c’est un point d’entrée pour sortir de l’interface propriétaire.
La faille de la virgule
Deuxième étape, choisir License ou Privacy Policy. Si vous avez un navigateur installé (ce qui n’est pas le cas par défaut), ça va ouvrir une page web. Sans navigateur, on va juste revenir à l’interface. Mais il faut le faire une seconde fois… ce qui va planter le clavier. Et en cliquant sur Infos sur l’appli, on se retrouve dans les paramètres d’Android.
Le menu
C’est planté
Une fois qu’on est là, on peut faire plein de choses, comme chercher les réglages du Wi-Fi pour l’activer, par exemple. Ce sont des choses que j’avais déjà expliquées dans le premier sujet.
Les réglages
On peut atteindre les réglages Wi-Fi du smartphone sans Internet
Je pense que l’ado du commentaire n’est pas allé plus loin, pour une raison simple : les développeurs de The Phone ont visiblement désactivé le mode développeur. Par défaut, dans la majorité des smartphones, il est possible de l’activer pour accéder à certains réglages d’Android. Il faut en théorie aller dans Paramètres -> À propos du téléphone et taper sept fois sur le Numéro de build. Avec la version à jour de The Phone, ça ne fonctionne pas.
Une porte béante
Sans le mode développeur, il n’est pas possible d’activer le débogage USB. Et sans débogage USB, il n’est pas possible d’envoyer des fichiers .apk (les applications Android) vers le smartphone. Vraiment ? Après environ 15 minutes de recherche, j’ai trouvé une solution, et elle est idiote. La mise à jour de The Phone ajoute une nouvelle fonction dans ses réglages : Connexion PC. Elle est là pour permettre de mettre à jour le smartphone sans le remettre à zéro. Et je me suis rendu compte que quand ce réglage est actif, le débogage USB l’est aussi.
La nouvelle fonction
De façon très concrète, il suffit d’installer les outils de Google (adb), de brancher le smartphone en USB et d’envoyer un fichier .apk avec la commande adb install nom_de_l_apk. Pour bien comprendre le truc : en voulant bloquer le simple hack que j’avais trouvé, ils ont mis en place une porte d’entrée béante pour permettre d’installer n’importe quel fichier, sans vérifications, avec un simple câble USB. Il suffit de cliquer sur Autoriser les mises à jour.
Vous pouvez mettre à jour. Ou installer des apps.
Retour à la faille de la virgule
Une fois un programme installé, il suffit de profiter de la faille de la virgule. Vous allez dans les messages (par exemple), vous pressez la virgule quelques secondes, et vous faites la même manipulation que dans les paragraphes précédents. C’est même encore plus simple si vous avez installé un navigateur (comme Firefox) : le bouton License ouvre directement le navigateur. Si vous avez d’autres applications, il suffit d’aller dans les paramètres de Firefox et de chercher un peu, il est possible de faire apparaître les réglages du smartphone en quelques secondes.
Les photos le montrent, je suis allé sur Internet, j’ai installé WhatsApp et j’aurais pu installer des jeux ou aller sur des sites pour adultes. Et c’est un problème : le The Phone n’a pas de contrôle parental, vu qu’il n’est en théorie pas capable d’aller sur Internet.
J’ai installé WhatsApp
Et je dois encore être clair sur quelques points. Premièrement, je n’ai pas trouvé ça tout seul : c’est un ado qui était fier de montrer ses prouesses à ses parents qui en est à l’origine. Deuxièmement, on en revient au problème de base : croire qu’un appareil (mal) bridé va empêcher des adolescents d’aller sur Internet ou de tenter de faire des choses qu’on leur interdit, c’est illusoire. Le contrôle parental d’iOS ou d’Android n’est pas parfait à 100 %, mais c’est en réalité beaucoup plus efficace qu’une interface bridée qui va inciter les adolescents à essayer de trouver une faille.
Pour le premier hack, j’avais effacé la méthode exacte, en partie parce qu’avoir des appels de gens outrés qu’on montre les défauts de leurs produits, ça m’agace. Mais ici, de toute façon, c’est un adolescent qui a trouvé la faille et je peux supposer qu’elle était donc déjà connue. Et la solution pour installer les applications, elle est directement dans le smartphone, sans aucune manipulation nécessaire. Astuce tout de même pour les parents : installer un contrôle parental aussi sur l’ordinateur, ça empêchera l’installation des applications.
Enfin, je ne peux pas vous dire si ça fonctionne sur la nouvelle version du smartphone (The Phone+), mais je suppose que c’est le cas. Et évidemment… il fait tourner Doom.
