Suivez-nous

Actualités

De graves accusations de confidentialité plongent Xiaomi dans la tourmente

Une enquête révèle que Xiaomi enregistrerait toute l’activité de ses clients sur leur smartphone, et enverrait cette data sur des serveurs à Singapour et en Russie.

Il y a

  

le

 
Xiaomi Espionnage Accusations
© Presse-citron.net avec Unsplash / Nadine Shaabana

C’est à un « grave problème de confidentialité » que les clients de Xiaomi pourraient avoir affaire. Dans une enquête publiée par le magazine Forbes, le fabricant électronique chinois vient d’être pointé du doigt pour avoir enregistré l’activité de millions de ses clients, dans les moindres détails de l’utilisation de leur smartphone. Jeudi 30 avril, l’article de nos confrères new-yorkais a fait état d’une situation « inquiétante ». Xiaomi fait partie des quatre principales marques de smartphones au monde, et en vue de ses prix plutôt attractifs, Forbes craint que la perte totale de confidentialité soit le véritable prix à payer pour les clients.

Le magazine s’est appuyé sur Gabi Cirlig pour pouvoir avancer une telle découverte. L’homme est un chercheur en cybersécurité, décrit comme à la genèse de cette enquête. Au cours de son investigation, Cirlig a découvert qu’une « quantité inquiétante des données de ses comportements était suivie ». L’œil de Xiaomi sur l’activité de ses clients concernerait les requêtes sur le web, mais également l’ensemble des pages ouvertes sur le reste du smartphone, jusqu’aux simples ouvertures du tiroir de notifications. Le smartphone serait surveillé dans son intégralité, et Gabi Cirlig a noté que l’utilisation du mode de navigation privé ou encore du moteur de recherche « DuckDuckGo » (qui ne stocke aucune information personnelle concernant les utilisateurs) ne faisait absolument pas barrière à l’enregistrement de l’activité.

Cette précision concernant les moteurs de recherche est l’un des points essentiels des accusations de Forbes. Il montre – pour l’une des premières fois dans l’actualité de la cybersécurité – que de potentielles récupérations des données personnelles seraient enregistrées directement par le smartphone, et non par les applications tierces installées. Un risque encore plus grand que lorsqu’il s’agit de problèmes de confidentialité dans le cadre de l’usage d’une seule application.

Les données ne seraient pas anonymes

Au départ, l’investigation de Gabi Cirlig s’est cantonnée au Redmi Note 8, un smartphone de Xiaomi lancé en août 2019, et qui vient de connaître son remplaçant hier. Il s’agissait du smartphone personnel de l’expert en cybersécurité. Peu après, son enquête s’est élargie à d’autres modèles, y compris les Xiaomi MI 10, Xiaomi Redmi K20 et Xiaomi Mi MIX 3. L’un de ses collègues, Andrew Tierney (qui travaille également pour Forbes), a surenchéri en montrant de son côté que les navigateurs de Xiaomi Mi Browser Pro et Mint Browser (15 millions de téléchargements sur le Play Store) seraient également responsables de la collecte des données.

Plus grave encore, Gabi Cirlig informe qu’il a été en mesure de constater que les données enregistrées possédaient un cryptage très simple et pouvant facilement être contourné. Une fois lisibles, ces informations lui ont permis de montrer que les données d’activité ne sont pas rendues anonymes. « Ma principale préoccupation pour la confidentialité est que les données envoyées à leurs serveurs puissent être très facilement corrélées avec un utilisateur spécifique » s’inquiète l’homme. Les serveurs en questions, qui sont situés en Russie et à Singapour, appartiendraient à Xiaomi mais seraient loués à un autre géant de la technologie chinoise : Alibaba, toujours selon l’enquête.

À quoi servent ces données ?

Avant sa publication dans Forbes jeudi, l’enquête a été envoyée à Xiaomi, afin que la société puisse s’expliquer. Xiaomi a nié les faits, en expliquant que ces « allégations de recherche sont fausses » et que « la confidentialité et la sécurité sont des préoccupations majeures ». Mais les déclarations d’un porte-parole de la marque ont pris une autre tournure : Forbes explique que Xiaomi s’est défendu en précisant que des informations de navigation étaient effectivement enregistrées, mais rendues anonymes. Un point que Gabi Cirlig ne croit pas, alors qu’il a clairement pu retrouver les numéros pour identifier chaque appareil, pouvant « être facilement corrélés avec un humain réel derrière l’écran ».

Depuis 2015, une société d’analyse comportementale appelée Sensors Analytics a levé près de 100 millions de dollars. Dans son article, Forbes a mentionné son nom, alors que Xiaomi travaillerait depuis quelque temps avec, avec pour mission de « mieux comprendre le comportement de ses utilisateurs ». Les données enregistrées et envoyées sur ses serveurs à l’extérieur de la Chine pourraient aller en direction de cette startup chinoise. Une piste que Xiaomi a également niée, malgré la reconnaissance du porte-parole qu’une relation entre les deux entreprises existe bel et bien. Le flou est encore total, mais cette première investigation pourrait mener à de nouvelles enquêtes.

« Le pire de tous les navigateurs »

Dans la vidéo publiée par l’auteur de l’article de Forbes, une démonstration est effectuée sur la base d’une requête sur le navigateur de Xiaomi. Le mode de navigation privé activé, et après une recherche pour la requête « PornHub », un bloc de donnée est enregistré par Xiaomi. En décryptant son contenu, les données de la requête sont rapidement retrouvées. Les deux experts en cybersécurité à l’origine de l’enquête ont fait part de leur consternation, en expliquant que cet espionnage allait au-delà des enregistrements de données sur les navigateurs Google Chrome et Safari (Apple). « C’est bien pire que tous les navigateurs traditionnels que j’ai vus », a déclaré Tierney, avant d’expliquer que « beaucoup d’entre eux (des navigateurs ndlr) utilisent l’analyse, […] mais prendre le comportement du navigateur, y compris les URL, sans consentement explicite et en mode de navigation privée, est le pire ».

Xiaomi répond sur son blog, en reprenant les accusations de Forbes

Déclaration de Xiaomi en réponse à un article de Forbes publié le 30 avril (copier-coller du blog de Xiaomi).

« Xiaomi a été déçu de lire le récent article de Forbes. Nous pensons qu’ils ont mal compris ce que nous avons communiqué concernant nos principes et notre politique de confidentialité des données. La confidentialité de nos utilisateurs et la sécurité Internet sont de la plus haute priorité chez Xiaomi ; nous sommes convaincus que nous suivons strictement et sommes pleinement conformes aux lois et réglementations locales. Nous avons contacté Forbes pour clarifier cette malheureuse interprétation. »

Ce qui suit fournit des détails sur la façon dont Xiaomi collecte les données et protège la confidentialité des utilisateurs:

Il existe deux types de collecte de données:

1..Collection de données agrégées de statistiques d’utilisation – Les données (telles que les informations système, les préférences, l’utilisation des fonctionnalités de l’interface utilisateur, la réactivité, les performances, l’utilisation de la mémoire et les rapports d’erreur) sont agrégées et ne peuvent pas à elles seules être utilisées pour identifier une personne.

Un exemple de scénario d’utilisation: l’URL est collectée pour identifier les pages Web qui se chargent lentement; cela nous donne un aperçu de la meilleure façon d’améliorer les performances globales de navigation.

2..Synchronisation des données de navigation des utilisateurs – Les données de navigation des utilisateurs (historique) d’un individu sont synchronisées lorsque:

  • L’utilisateur est connecté sur Mi Account; et
  • La fonction de synchronisation des données est réglée sur «Oui» sous Paramètres

Il est possible de retrouver l’ensemble de la déclaration de Xiaomi, avec des captures d’écran à l’appui, en se rendant sur leur blog disponible ici. En deux jours, les médias internationaux ont partagé l’enquête de Forbes. À l’avenir, d’autres enquêtes devraient permettre de clarifier la situation.

Cliquez pour commenter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Les bons plans

Dernières news

Newsletter 🍋 Inscrivez-vous à la newsletter tout juste sortie du four, rien que pour vous

Les tests