Actualités

Xiaomi enregistrerait des millions d’utilisateurs à leur insu

Xiaomi est dans la tourmente avec une polémique de taille suite à la découverte, par le chercheur américain Gabi Cirlig, d’une « backdoor » ou porte dérobée au sein de son propre téléphone, un Redmi Note 8. Une nouvelle qui risque bien de faire du bruit et dont Donald Trump ne manquera probablement pas de s’emparer, le président américain multipliant les attaques contre la Chine ces derniers temps.

Xiaomi transfère les données de millions d’utilisateurs vers des serveurs Alibaba

Trouvant que son Redmi Note 8 se montrait quelque peu indiscret sur ses habitudes, le chercheur en sécurité Gabi Cirlig a poussé un peu ses investigations et remarqué que son smartphone enregistrait des informations telles que les dossiers ouverts, sa navigation au sein des menus et des paramètres, les affichages de sa barre d’état, mais qu’il allait encore plus loin lorsqu’il utilisait le navigateur installé par défaut par Xiaomi.

Pour en avoir le cœur net, Cirlig a utilisé tour à tour les moteurs de recherche Google et DuckDuckGo, et bien que ce dernier soit axé sur la confidentialité et le respect de la vie privée, son Redmi Note 8 continuait d’enregistrer l’ensemble de ses requêtes et les sites web visités. Même en navigation privée, ou mode « incognito », Xiaomi collecte donc des informations. Même chose pour la musique écouté ou le fil d’actualité proposé dans le smartphone, la firme chinoise semble s’intéresser à tout.

« […] ces données seraient regroupées puis envoyées sur des serveurs distants situés à Singapour ou en Russie et loués auprès du géant chinois Alibaba » Les Alexiens

Selon Forbes, qui révèle l’information dans un article exclusif, toutes ces données seraient regroupées puis envoyées sur des serveurs distants situés à Singapour ou en Russie et loués auprès du géant chinois Alibaba. Les serveurs en question pointeraient vers des domaines web enregistrés à Beijing et appartenant à Xiaomi.

D’autres smartphones Xiaomi concernés

Gabi Cirlig s’est donc penché sur d’autres modèles de smartphone et affirme que les Xiaomi Mi 10, Redmi K20 ou encore Mi MIX 3 feraient de même, le code de leur navigateur étant en tout point identique, ce qui laisse penser que bien d’autres modèles seraient touchés, pour ne pas dire l’intégralité de la flotte du constructeur chinois.

A la demande de Forbes, le chercheur en cybersécurité Andrew Tierney s’est également lancé dans de plus amples investigations et a découvert, à son tour, que deux navigateurs Internet proposés par Xiaomi sur le Google Play Store se comportent de la même façon, en l’occurrence le Mi Browser Pro et le Mint Browser, collectant un nombre considérables d’informations sur ses utilisateurs très nombreux à en croire les 15 millions de téléchargements affichés sur le Play Store.

Outre le transit de ses données, qui n’est malheureusement pas que le fait des constructeurs chinois, Cirlig a précisé que sa « principale préoccupation pour la confidentialité [était] que les données envoyées à leurs serveurs peuvent être très facilement corrélées avec un utilisateur spécifique » puisqu’elles ne seraient que vulgairement chiffrée en Base64, un encodage très facilement déchiffrable basé sur 64 caractères et que tout un chacun est en mesure de pouvoir déchiffrer sur le web en quelques secondes.

 

Xiaomi dément les allégations de Forbes et des chercheurs américains

En réponses aux allégations de Forbes, Xiaomi a déclaré que « les allégations de recherche sont fausses » et que la « confidentialité et la sécurité sont des préoccupations majeures » de l’entreprise, ajoutant que sa pratique est « pleinement conforme aux lois et règlements locaux sur les questions de confidentialité des données des utilisateurs », les utilisateurs ayant préalablement consenti à cette collecte de données.

En effet, Xiaomi ne réfute pas totalement ces allégations et reconnait collecter des données comme le fait également Google sur son navigateur Chrome, mais précise qu’elles sont anonymisées et ne servent qu’à améliorer l’expérience utilisateur, ce que Cirlig contexte arguant que les données qu’il a pu consulter étaient liées aux identifiants uniques de son appareil et qu’il serait donc relativement facile de remonter à lui.

Xiaomi, qui se serait bien passée de cette publicité, a longuement expliqué, code à l’appui, sa façon de collecter les données dans un article de blog paru il y a quelques heures, réitérant sa position selon laquelle « la confidentialité de nos utilisateurs et la sécurité Internet sont de la plus haute priorité chez Xiaomi ; nous sommes convaincus que nous suivons strictement et sommes pleinement conformes aux lois et réglementations locales. »

Les Alexiens, pour leur part, continueront de vous proposer de superbes tests de domotique agrémentés de magnifiques photos prises avec un Redmi Note 8 qui, il faut le reconnaître, présente un rapport qualité/prix indéniable.

194,00€
in stock
2 new from 194,00€
6 used from 145,25€
as of 29 septembre 2020 8 h 03 min
Amazon.fr
Free shipping

Source
ForbesXiaomi Blog

Alexien Modo

Fasciné par Alexa depuis le jour où je l'ai reçue en bêta test, je me suis peu à peu passionné pour le sujet, avant de me décider à aller plus loin en créant un site avec Jean-Christophe. Une activité qui me permet d'étancher ma soif de nouvelles technologies et de partager mes découvertes sur la plus sympathique des communautés : Les Alexiens.

Laisser un commentaire

Bouton retour en haut de la page