Passer au contenu

Xiaomi au coeur d’une polémique pour collecte abusive des données

Dans un rapport de Forbes publié ce week-end, plusieurs chercheurs en cybersécurité pointent du doigt une collecte abusive des données sur les smartphones de Xiaomi. La plupart des données de navigation – y compris celles générées en mode navigation privée – transiteraient vers des serveurs à l’étranger que la marque loueraient au géant chinois Alibaba.

Avec d’excellents appareils à prix contenu, Xiaomi s’est très rapidement taillé une part de lion sur le marché du smartphone dans nos contrées. Néanmoins, si vous avez fait l’acquisition d’un smartphone de la marque, vous devriez peut-être vous inquiéter, si l’on en croit ces accusations compilées dans un rapport de Forbes. Selon eux, les smartphones de Xiaomi enverraient directement vos données de navigation sur des serveurs étrangers, et cela à l’insu de leurs utilisateurs.

Les données de navigation circuleraient vers des serveurs loués auprès d’Alibaba

L’affaire a débuté lorsqu’un chercheur en sécurité répondant au nom de Gabi Cirlig a détecté quelques anomalies sur son Redmi Note 8 personnel, l’un des smartphones phares de la marque. Il a remarqué que le smartphone enregistrait beaucoup d’informations sur sa navigation au sein de celui-ci. Même le lecteur musical intégré aurait collecté toutes ses informations, de la musique écouté jusqu’à l’heure à laquelle celle-ci a été écouté. Surtout, il a découvert que le navigateur par défaut de Xiaomi enregistrait toutes ses données de navigation, tels que les sites visités, ou ses recherches, et cela même en passant par le mode « incognito » – soit la navigation privée – qui n’est pas censé conserver de traces de navigation. Le chercheur en cybersécurité a alors poussé son investigation et soupçonne que ces données aient été envoyées vers des serveurs de Xiaomi, situés à l’étranger, lesquelles seraient loués par la marque à Alibaba, l’équivalent chinois d’Amazon. Cirlig a par la suite regardé du côté du firmware des autres appareils de la marque, et affirme que leurs navigateurs web contiendraient ce même type de backdoors.

Forbes a par la suite missionné un autre chercheur en cybersécurité de mener, lui aussi, son enquête. Celui-ci est parvenu aux mêmes conclusions, et estimerait même que d’autres applications de Xiaomi – notamment Mi Browser Pro et Mint Browser – et distribuées librement sur le Google Play Store, présenteraient ce même problème de confidentialité.

Xiaomi réagit, avant de fournir un correctif

Le géant chinois n’a pas attendu bien longtemps avant de réagir aux accusations proférées dans le rapport de Forbes. Xiaomi a affirmé que « la confidentialité et la sécurité sont des préoccupations majeures », tout en rejetant en bloc ces accusations. La firme a également précisé que certaines données étaient effectivement collectées, afin d’améliorer l’expérience utilisateur, mais qu’elles étaient parfaitement anonymisées, contrairement à ce que Cirlig prétend. Celui-ci affirmait en effet que ces données collectées étaient effectivement chiffrées, mais avec une forme d’encodage répondant au nom de base64, qu’il est parvenu à cracker facilement pour révéler ses informations personnelles.

Mais si Xiaomi s’est défendu avec hargne, la firme a néanmoins livré un correctif afin de corriger le tir, et bloquer la collecte des données en mode « incognito » sur son navigateur. Comme le note Frandroid, cette mise à jour doit être installée depuis le Play Store, mais les données seront toujours envoyés sur ces serveurs par défaut. Il faudra donc aller manuellement stopper cette collecte en passant par les paramètres de confidentialité. De là, il est même possible de faire cesser l’envoi de données sur l’ensemble de l’OS.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

3 commentaires
  1. Quelques précisions à propos de cette info relayée sur tous les sites Tech :

    – Combien de personnes utilisent les navigateurs de base ?
    – Quand on utilise Chrome, pensez-vous que nos données ne sont pas traitées par Google sur des serveurs étrangers ?
    – Comme pour Google, il est possible de désactiver l’envoie de ces informations dans les paramètres.

    Il serait intéressant d’avoir des comparatifs par rapport aux autres marques de Smartphone et aux autres navigateurs pour se faire une opinion.

  2. Petite précision :
    “une forme d’encodage répondant au nom de base64, qu’il est parvenu à cracker facilement”
    Alors euh en fait le base64 ne se crack pas vu que c’est comme indiqué, un encodage ^^ ce n’est pas du chiffrement !
    En gros :
    – encodage = changer la façon de représenter la données à l’aide d’une méthode connue et réversible facilement (aussi facilement que de l’encoder, par exemple pour le base64 le bout de code en PHP serait base64_encode(…) ou base64_decode(…)),
    – chiffrement (ou cryptage) = brouiller la donnée par soucis de sécurité afin qu’elle ne puisse être lue qu’à l’aide d’une clé/d’un code spécifique (mais là techniquement ils pourraient utiliser cette méthode ça changerait rien, si tu utilise leur matériel/application, ils ont presque tous les pouvoirs sur ce qu’il s’y passe ^^)

    Après, ayant bossé en tant que presta pour un géant du télécom dont le nom correspond à une couleur (mais chut on pas qui c’est 😁), je suis pas étonné, souvent dans ce secteur c’est “faites le même si c’est illégal, au pire on s’excusera et on corrigera plus tard” (à peu de chose près ce qui a été dit en réunion quand on a répondu “euh vous êtes sûr qu’on a le droit de faire ça ?” à une demande d’un responsable).

    Et comme dit dans l’autre commentaire, c’est la même chose chez Google et les autres (Google par défaut enregistre la position des téléphones android et on peut retracer tous son parcours, combien de personnes ne le savent pas ou ne savent pas le désactiver ?).

    La question est : vous préférez que ce soit quelle boîte qui sache tout sur vous ? 😜

    Bienvenue dans le monde du digital 😁

  3. Le problème est la potentielle revente des informations à des tiers.

    Sinon oui, nombreux sont ceux qui collectent/utilisent les données, Apple Google Amazon etc…
    Gmail scannent même le contenus des mails à des fins publicitaires (envoyez un mail “je veux acheter un smartphone” à un ami et observez le résultat si vous n’avez pas de bloqueur de pubs).

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *