Des analystes ont découvert que Xiaomi collectait des données très personnelles, sans même les protéger suffisamment. L’entreprise chinoise s’en défend.

Utilisateurs d’un smartphone Xiaomi, votre téléphone n’est peut-être pas le meilleur ami à qui confier vos secrets. C’est ce que tend à prouver un rapport édifiant de Forbes, publié le 30 avril et dans lequel on découvre que deux analystes en cybersécurité ont rassemblé des preuves indiquant que la firme chinoise collecterait des données, notamment pendant la navigation. « C’est un backdoor, avec des fonctionnalités de smartphone », clame Gabi Cirlig à propos de son Redmi Note 8. Mais il pense que ce modèle n’est pas le seul concerné, ayant repéré les mêmes lignes de code dans le code source des systèmes d’exploitation d’autres modèles.

Xiaomi s’est d’ores et déjà défendu face à ces allégations sur sa politique en matière de protection des données. « Notre politique en matière de confidentialité et de sécurité constitue une priorité et elle est en stricte conformité avec les lois locales et la protection des données des utilisateurs », défend un porte-parole. Néanmoins, Xiaomi assume collecter des données sur la navigation web, lesquelles seraient anonymes. L’entreprise a également publié un long plaidoyer sur son blog.

Redmi Note 8 Pro groupe

Ce qui cloche avec la collecte des données de Xiaomi

Selon les découvertes de Gabi Cirlig, un smartphone Xiaomi serait donc susceptible de surveiller et enregistrer beaucoup des usages web, même quand le mode Incognito est activé (ce que Xiaomi conteste) : navigation web, ouverture des fichiers, recherches effectuées sur les moteurs de recherche (Google, DuckDuckGo), etc. Mais cela va plus loin, puisque le système collecte aussi d’autres éléments liés aux applications : lecture de musique, version d’Android installée, gestion des paramètres… Les données seraient envoyées à des serveurs situés à Singapour et en Russie, loués par Xiaomi auprès du conglomérat Alibaba. 

Les deux enquêteurs pointent également du doigt le caractère invasif de Xiaomi. « C’est pire que les navigateurs web populaires [Google Chrome, Apple Safari] que je connais. Beaucoup d’entre eux collectent des données, mais elles portent sur les usages et les bugs. S’en prendre au comportement de navigation, incluant les URLs, sans consentement explicite et même en mode d’usage privé, ce n’est pas bien », clame Andrew Tierney. 

Il y aurait aussi un problème avec la manière dont les données seraient transférées par Xiaomi. Même si la multinationale assure qu’elles sont suffisamment chiffrées, le chiffrement serait trop facile à détourner : l’un des chercheurs aurait réussi à lire en clair un jeu de données chiffré envoyé par son appareil « en quelques minutes ». 

Pour Xiaomi, toutes ces données collectées permettent de faire des analyses comportementales, en collaboration avec Sensors Analytics, spécialiste du domaine. « Bien que Sensors Analytics fournit une solution d’analyse pour Xiaomi, les données collectées anonymement sont stockées sur les serveurs de Xiaomi et ne sont pas partagées avec Sensors Analytics, ou d’autres entreprises tierces », assume la firme chinoise. Mais les données collectées et envoyées n’ont aucun intérêt pour l’expérience utilisateur : savoir ce que vous tapez dans un moteur de recherche ne regarde que vous et n’influencera pas le développement des prochains smartphones Xiaomi.

D’après Frandroid, l’envoi de ces données pourrait être stoppé en ajustant une option de collecte dans les paramètres de votre smartphone.

Source : Numerama

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !