Xiaomi est dans la tourmente avec une polémique de taille suite à la découverte, par le chercheur américain Gabi Cirlig, d’une « backdoor » ou porte dérobée au sein de son propre téléphone, un Redmi Note 8. Une nouvelle qui risque bien de faire du bruit et dont Donald Trump ne manquera probablement pas de s’emparer, le président américain multipliant les attaques contre la Chine ces derniers temps.
Xiaomi transfère les données de millions d’utilisateurs vers des serveurs Alibaba
Trouvant que son Redmi Note 8 se montrait quelque peu indiscret sur ses habitudes, le chercheur en sécurité Gabi Cirlig a poussé un peu ses investigations et remarqué que son smartphone enregistrait des informations telles que les dossiers ouverts, sa navigation au sein des menus et des paramètres, les affichages de sa barre d’état, mais qu’il allait encore plus loin lorsqu’il utilisait le navigateur installé par défaut par Xiaomi.
Pour en avoir le cœur net, Cirlig a utilisé tour à tour les moteurs de recherche Google et DuckDuckGo, et bien que ce dernier soit axé sur la confidentialité et le respect de la vie privée, son Redmi Note 8 continuait d’enregistrer l’ensemble de ses requêtes et les sites web visités. Même en navigation privée, ou mode « incognito », Xiaomi collecte donc des informations. Même chose pour la musique écouté ou le fil d’actualité proposé dans le smartphone, la firme chinoise semble s’intéresser à tout.
« […] ces données seraient regroupées puis envoyées sur des serveurs distants situés à Singapour ou en Russie et loués auprès du géant chinois Alibaba » Les Alexiens
Selon Forbes, qui révèle l’information dans un article exclusif, toutes ces données seraient regroupées puis envoyées sur des serveurs distants situés à Singapour ou en Russie et loués auprès du géant chinois Alibaba. Les serveurs en question pointeraient vers des domaines web enregistrés à Beijing et appartenant à Xiaomi.
D’autres smartphones Xiaomi concernés
Gabi Cirlig s’est donc penché sur d’autres modèles de smartphone et affirme que les Xiaomi Mi 10, Redmi K20 ou encore Mi MIX 3 feraient de même, le code de leur navigateur étant en tout point identique, ce qui laisse penser que bien d’autres modèles seraient touchés, pour ne pas dire l’intégralité de la flotte du constructeur chinois.
A la demande de Forbes, le chercheur en cybersécurité Andrew Tierney s’est également lancé dans de plus amples investigations et a découvert, à son tour, que deux navigateurs Internet proposés par Xiaomi sur le Google Play Store se comportent de la même façon, en l’occurrence le Mi Browser Pro et le Mint Browser, collectant un nombre considérables d’informations sur ses utilisateurs très nombreux à en croire les 15 millions de téléchargements affichés sur le Play Store.
Outre le transit de ses données, qui n’est malheureusement pas que le fait des constructeurs chinois, Cirlig a précisé que sa « principale préoccupation pour la confidentialité [était] que les données envoyées à leurs serveurs peuvent être très facilement corrélées avec un utilisateur spécifique » puisqu’elles ne seraient que vulgairement chiffrée en Base64, un encodage très facilement déchiffrable basé sur 64 caractères et que tout un chacun est en mesure de pouvoir déchiffrer sur le web en quelques secondes.
Xiaomi dément les allégations de Forbes et des chercheurs américains
En réponses aux allégations de Forbes, Xiaomi a déclaré que « les allégations de recherche sont fausses » et que la « confidentialité et la sécurité sont des préoccupations majeures » de l’entreprise, ajoutant que sa pratique est « pleinement conforme aux lois et règlements locaux sur les questions de confidentialité des données des utilisateurs », les utilisateurs ayant préalablement consenti à cette collecte de données.
En effet, Xiaomi ne réfute pas totalement ces allégations et reconnait collecter des données comme le fait également Google sur son navigateur Chrome, mais précise qu’elles sont anonymisées et ne servent qu’à améliorer l’expérience utilisateur, ce que Cirlig contexte arguant que les données qu’il a pu consulter étaient liées aux identifiants uniques de son appareil et qu’il serait donc relativement facile de remonter à lui.
Xiaomi, qui se serait bien passée de cette publicité, a longuement expliqué, code à l’appui, sa façon de collecter les données dans un article de blog paru il y a quelques heures, réitérant sa position selon laquelle « la confidentialité de nos utilisateurs et la sécurité Internet sont de la plus haute priorité chez Xiaomi ; nous sommes convaincus que nous suivons strictement et sommes pleinement conformes aux lois et réglementations locales. »
Les Alexiens, pour leur part, continueront de vous proposer de superbes tests de domotique agrémentés de magnifiques photos prises avec un Redmi Note 8 qui, il faut le reconnaître, présente un rapport qualité/prix indéniable.
Répondre