Xiaomi au coeur d’une polémique pour collecte abusive des données

Sécurité

Par Remi Lou le

Dans un rapport de Forbes publié ce week-end, plusieurs chercheurs en cybersécurité pointent du doigt une collecte abusive des données sur les smartphones de Xiaomi. La plupart des données de navigation – y compris celles générées en mode navigation privée – transiteraient vers des serveurs à l’étranger que la marque loueraient au géant chinois Alibaba.

Avec d’excellents appareils à prix contenu, Xiaomi s’est très rapidement taillé une part de lion sur le marché du smartphone dans nos contrées. Néanmoins, si vous avez fait l’acquisition d’un smartphone de la marque, vous devriez peut-être vous inquiéter, si l’on en croit ces accusations compilées dans un rapport de Forbes. Selon eux, les smartphones de Xiaomi enverraient directement vos données de navigation sur des serveurs étrangers, et cela à l’insu de leurs utilisateurs.

Les données de navigation circuleraient vers des serveurs loués auprès d’Alibaba

L’affaire a débuté lorsqu’un chercheur en sécurité répondant au nom de Gabi Cirlig a détecté quelques anomalies sur son Redmi Note 8 personnel, l’un des smartphones phares de la marque. Il a remarqué que le smartphone enregistrait beaucoup d’informations sur sa navigation au sein de celui-ci. Même le lecteur musical intégré aurait collecté toutes ses informations, de la musique écouté jusqu’à l’heure à laquelle celle-ci a été écouté. Surtout, il a découvert que le navigateur par défaut de Xiaomi enregistrait toutes ses données de navigation, tels que les sites visités, ou ses recherches, et cela même en passant par le mode « incognito » – soit la navigation privée – qui n’est pas censé conserver de traces de navigation. Le chercheur en cybersécurité a alors poussé son investigation et soupçonne que ces données aient été envoyées vers des serveurs de Xiaomi, situés à l’étranger, lesquelles seraient loués par la marque à Alibaba, l’équivalent chinois d’Amazon. Cirlig a par la suite regardé du côté du firmware des autres appareils de la marque, et affirme que leurs navigateurs web contiendraient ce même type de backdoors.

Forbes a par la suite missionné un autre chercheur en cybersécurité de mener, lui aussi, son enquête. Celui-ci est parvenu aux mêmes conclusions, et estimerait même que d’autres applications de Xiaomi – notamment Mi Browser Pro et Mint Browser – et distribuées librement sur le Google Play Store, présenteraient ce même problème de confidentialité.

Xiaomi réagit, avant de fournir un correctif

Le géant chinois n’a pas attendu bien longtemps avant de réagir aux accusations proférées dans le rapport de Forbes. Xiaomi a affirmé que « la confidentialité et la sécurité sont des préoccupations majeures », tout en rejetant en bloc ces accusations. La firme a également précisé que certaines données étaient effectivement collectées, afin d’améliorer l’expérience utilisateur, mais qu’elles étaient parfaitement anonymisées, contrairement à ce que Cirlig prétend. Celui-ci affirmait en effet que ces données collectées étaient effectivement chiffrées, mais avec une forme d’encodage répondant au nom de base64, qu’il est parvenu à cracker facilement pour révéler ses informations personnelles.

Mais si Xiaomi s’est défendu avec hargne, la firme a néanmoins livré un correctif afin de corriger le tir, et bloquer la collecte des données en mode « incognito » sur son navigateur. Comme le note Frandroid, cette mise à jour doit être installée depuis le Play Store, mais les données seront toujours envoyés sur ces serveurs par défaut. Il faudra donc aller manuellement stopper cette collecte en passant par les paramètres de confidentialité. De là, il est même possible de faire cesser l’envoi de données sur l’ensemble de l’OS.

Source: Forbes