Le chercheur en sécurité Gabi Cirlig a déclaré à Forbes qu'il avait découvert comment son Redmi Note 8 transférait un nombre singulièrement grand de données vers les serveurs d'Alibaba. Les serveurs eux-mêmes se trouvaient en Russie et à Singapour, mais les domaines associés étaient enregistrés à Pékin.

Tous les sites web visités étaient tenus à jour, tout comme les infos visionnées dans le flux de nouvelles du logiciel de Xiaomi. Les commandes de recherche, en ce compris celles via Google et du moteur de recherche DuckDuckGo plus confidentiel, transitent elles aussi par des serveurs mis en place par Xiaomi. Ce qui rend la chose encore plus sensible, c'est que ces données sont également tenues à jour en mode incognito.

Suite à cette découverte, Cirlig est allé visionner le firmware d'autres appareils de Xiaomi et y a constaté la présence du même code de navigation sur le Mi 10, le Redmi K20 et sur le Mi MIX 3 notamment. De même le Mi Browser Pro et le Mint Browser, tous deux de Xiaomi et présents dans le Play Store, collectent les données de navigation.

Mais cela ne s'arrête pas aux activités du navigateur, puisque des données de dossiers ouverts, de balayage d'écrans, en ce compris la barre de statut et les paramètres, sont également transférées. Il en va de même pour les chansons et les habitudes d'écoute de l'utilisateur.

Xiaomi: 'Ce n'est pas vrai, mais on le fait quand même'

Xiaomi même dément partiellement le problème. Dans un premier temps, l'entreprise avait déclaré à Forbes que ces affirmations n'étaient pas vraies, que le respect de la vie privée et la sécurité étaient une top-priorité et qu'elle tenait compte de la législation locale. Ces deux dernières réactions sont entre-temps devenues des propos par défaut utilisés par des entreprises confrontées à des problèmes de confidentialité.

Mais le quatrième plus important fabricant de téléphones au monde confirme cependant que des données de navigation sont bien collectées, mais sous forme 'anonymisée' et avec l'autorisation de l'utilisateur. Mais il faut croire que l'entreprise n'a quand même guère confiance dans cette autorisation et cette 'anonymisation', puisqu'entre-temps, elle annonce une mise à jour permettant aux utilisateurs de bloquer explicitement ce transfert de données via le navigateur.

Ce faisant, l'entreprise n'aborde qu'une partie du problème. Car le numéro d'identification unique, la version Android et d'autres éléments aisément associables à un individu sont aussi transférés.

Xiaomi nie en outre que les données de navigation en mode incognito soient tenues à jour. C'est faux. Des chercheurs en sécurité qui ont collaboré avec Forbes, démontrent en effet comment quelqu'un qui recherche du contenu porno en mode incognito via Google, clique ensuite vers Pornhub. Ces données peuvent être aisément déduites sur base de ce qui a été transféré par le téléphone.

Le risque existe en outre que tout cela ne soit pas espionné que par Xiaomi. Selon l'entreprise, les données sont cryptées, mais pour Cirlig, Xiaomi utilise dans ce but du code Base64 qui peut être craqué en quelques secondes, après quoi on peut en extraire des informations lisibles.

Chaque appli contrôlée

Mais ces pratiques ne s'arrêtent pas là. Cirlig a aussi observé que des données sont également envoyées vers les serveurs de Xiaomi chaque fois qu'une appli était ouverte. Ici, Xiaomi a une explication un tantinet plus sensée: elle collabore en effet avec Sensor Analytics, aussi connue sous l'appellation Sensors Data, une jeune pousse chinoise qui aide à analyser les données d'utilisation. Selon l'entreprise, cela se fait aussi de manière anonyme et sans partage avec d'autres firmes.

En résumé, un appareil de Xiaomi semble y transférer beaucoup de données. L'entreprise affirme que c'est moins grave qu'il n'y paraît, mais ne dément pas la collecte de données. Le fait qu'elle nie que des données soient envoyées aussi en mode incognito, alors qu'il est démontré noir sur blanc qu'elle le fait, génère pas mal de questions quant à ce qui est vraiment actualisé ou dans quelle mesure Xiaomi tient vraiment compte du respect de la vie privée et de la sécurité des utilisateurs.

Le chercheur en sécurité Gabi Cirlig a déclaré à Forbes qu'il avait découvert comment son Redmi Note 8 transférait un nombre singulièrement grand de données vers les serveurs d'Alibaba. Les serveurs eux-mêmes se trouvaient en Russie et à Singapour, mais les domaines associés étaient enregistrés à Pékin.Tous les sites web visités étaient tenus à jour, tout comme les infos visionnées dans le flux de nouvelles du logiciel de Xiaomi. Les commandes de recherche, en ce compris celles via Google et du moteur de recherche DuckDuckGo plus confidentiel, transitent elles aussi par des serveurs mis en place par Xiaomi. Ce qui rend la chose encore plus sensible, c'est que ces données sont également tenues à jour en mode incognito.Suite à cette découverte, Cirlig est allé visionner le firmware d'autres appareils de Xiaomi et y a constaté la présence du même code de navigation sur le Mi 10, le Redmi K20 et sur le Mi MIX 3 notamment. De même le Mi Browser Pro et le Mint Browser, tous deux de Xiaomi et présents dans le Play Store, collectent les données de navigation.Mais cela ne s'arrête pas aux activités du navigateur, puisque des données de dossiers ouverts, de balayage d'écrans, en ce compris la barre de statut et les paramètres, sont également transférées. Il en va de même pour les chansons et les habitudes d'écoute de l'utilisateur.Xiaomi: 'Ce n'est pas vrai, mais on le fait quand même'Xiaomi même dément partiellement le problème. Dans un premier temps, l'entreprise avait déclaré à Forbes que ces affirmations n'étaient pas vraies, que le respect de la vie privée et la sécurité étaient une top-priorité et qu'elle tenait compte de la législation locale. Ces deux dernières réactions sont entre-temps devenues des propos par défaut utilisés par des entreprises confrontées à des problèmes de confidentialité.Mais le quatrième plus important fabricant de téléphones au monde confirme cependant que des données de navigation sont bien collectées, mais sous forme 'anonymisée' et avec l'autorisation de l'utilisateur. Mais il faut croire que l'entreprise n'a quand même guère confiance dans cette autorisation et cette 'anonymisation', puisqu'entre-temps, elle annonce une mise à jour permettant aux utilisateurs de bloquer explicitement ce transfert de données via le navigateur.Ce faisant, l'entreprise n'aborde qu'une partie du problème. Car le numéro d'identification unique, la version Android et d'autres éléments aisément associables à un individu sont aussi transférés.Xiaomi nie en outre que les données de navigation en mode incognito soient tenues à jour. C'est faux. Des chercheurs en sécurité qui ont collaboré avec Forbes, démontrent en effet comment quelqu'un qui recherche du contenu porno en mode incognito via Google, clique ensuite vers Pornhub. Ces données peuvent être aisément déduites sur base de ce qui a été transféré par le téléphone.Le risque existe en outre que tout cela ne soit pas espionné que par Xiaomi. Selon l'entreprise, les données sont cryptées, mais pour Cirlig, Xiaomi utilise dans ce but du code Base64 qui peut être craqué en quelques secondes, après quoi on peut en extraire des informations lisibles.Chaque appli contrôléeMais ces pratiques ne s'arrêtent pas là. Cirlig a aussi observé que des données sont également envoyées vers les serveurs de Xiaomi chaque fois qu'une appli était ouverte. Ici, Xiaomi a une explication un tantinet plus sensée: elle collabore en effet avec Sensor Analytics, aussi connue sous l'appellation Sensors Data, une jeune pousse chinoise qui aide à analyser les données d'utilisation. Selon l'entreprise, cela se fait aussi de manière anonyme et sans partage avec d'autres firmes.En résumé, un appareil de Xiaomi semble y transférer beaucoup de données. L'entreprise affirme que c'est moins grave qu'il n'y paraît, mais ne dément pas la collecte de données. Le fait qu'elle nie que des données soient envoyées aussi en mode incognito, alors qu'il est démontré noir sur blanc qu'elle le fait, génère pas mal de questions quant à ce qui est vraiment actualisé ou dans quelle mesure Xiaomi tient vraiment compte du respect de la vie privée et de la sécurité des utilisateurs.