Parlant de son Xiaomi Redmi Note 8, Gabi Cirlig a déclaré : « c'est une porte dérobée avec des fonctionnalités de téléphone », ironise Gabi Cirlig à propos de son nouveau téléphone. Il s’est entretenu avec des médias après avoir découvert que son smartphone Redmi Note 8 regardait une grande partie de ce qu'il faisait sur son écran. Ces données étaient ensuite envoyées à des serveurs distants hébergés par une autre grande enseigne chinoise de technologie, Alibaba, qui étaient ostensiblement loués par Xiaomi.Le chercheur chevronné en cybersécurité a découvert qu'une quantité inquiétante de son comportement était suivie, tandis que divers types de données sur les appareils étaient également collectés, laissant Cirlig imaginer que son identité et sa vie privée pouvaient être exposées à la société chinoise.
Lorsqu'il a parcouru le Web depuis le navigateur Xiaomi par défaut de l'appareil, l’appareil a enregistré tous les sites Web qu'il a visités, y compris les requêtes des moteurs de recherche, que ce soit avec Google ou avec le DuckDuckGo axé sur la confidentialité, et chaque élément consulté sur une fonctionnalité de fil d'actualité du logiciel Xiaomi. Ce suivi semblait se produire même s'il utilisait le mode soi-disant « incognito » privé.
L'appareil enregistrait également les dossiers qu'il ouvrait et où il se rendait (sur son smartphone), y compris la barre d'état et la page des paramètres. Toutes les données étaient regroupées et envoyées à des serveurs distants à Singapour et en Russie, bien que les domaines Web qu'ils hébergeaient étaient enregistrés à Pékin.
Pour vérifier ses assertions, Forbes a demandé au chercheur en cybersécurité Andrew Tierney de mener son enquête. Ce dernier a également découvert que les navigateurs fournis par Xiaomi sur Google Play - Mi Browser Pro et Mint Browser - collectaient les mêmes données. Ensemble, ils ont plus de 15 millions de téléchargements, selon les statistiques de Google Play.
Beaucoup plus de millions de personnes sont susceptibles d'être affectées par ce que Cirlig a décrit comme un grave problème de confidentialité, bien que Xiaomi ait nié l'existence d'un problème. Avec une capitalisation boursière de 50 milliards de dollars, Xiaomi est l'un des quatre principaux fabricants de smartphones au monde en termes de part de marché, derrière Apple, Samsung et Huawei. Les plus grandes ventes de Xiaomi lui parviennent de ses appareils d’entrée et milieu de gamme qui apportent de nombreuses fonctionnalités présentées par des smartphones haut de gamme. Mais pour les clients, ce faible coût pourrait avoir un prix élevé : leur vie privée.
Cirlig pense que les problèmes affectent beaucoup plus de modèles que celui qu'il a testé. Il a téléchargé le firmware d'autres téléphones Xiaomi, y compris les appareils Xiaomi MI 10, Xiaomi Redmi K20 et Xiaomi Mi MIX 3. Il a ensuite confirmé qu'ils avaient le même code de navigateur, ce qui l’a conduit à penser qu'ils ont les mêmes problèmes de confidentialité.
Et il semble y avoir des problèmes avec la façon dont Xiaomi transfère les données vers ses serveurs. Bien que la société chinoise ait affirmé que les données étaient chiffrées lors de leur transfert dans le but de protéger la vie privée des utilisateurs, Cirlig a découvert qu'il était en mesure de voir rapidement ce qui était transféré de son appareil en décodant un bloc d'informations qui était caché avec une forme d’encodage facilement décodable (il s’agissait notamment de base64). Il a fallu quelques secondes à Cirlig pour transformer les données tronquées en morceaux d'informations lisibles.
« Ma principale préoccupation pour la confidentialité est que les données envoyées à leurs serveurs peuvent être très facilement corrélées avec un utilisateur spécifique », a averti Cirlig.
La réponse de Xiaomi
En réponse à ses affirmations et résultats, Xiaomi a déclaré: « les allégations de recherche sont fausses » et « la confidentialité et la sécurité sont des préoccupations majeures», ajoutant qu'il « suit strictement et est pleinement conforme aux lois et règlements locaux sur les questions de confidentialité des données des utilisateurs ». Mais un porte-parole a confirmé qu'il collectait des données de navigation, affirmant que les informations étaient anonymisées et n'étaient liées à aucune identité. Il a indiqué que les utilisateurs avaient consenti à un tel suivi.
Mais, comme l'ont souligné Cirlig et Tierney, ce n'est pas seulement le site Web ou la recherche Web qui a été envoyé au serveur. Xiaomi collectait également des données sur le téléphone, y compris des numéros uniques pour identifier l'appareil spécifique et la version Android. Cirlig a déclaré que ces « métadonnées » pourraient « être facilement corrélées avec un humain réel derrière l'écran ».
Le porte-parole de Xiaomi a également nié que les données de navigation soient enregistrées en mode navigation privée. Cependant, Cirlig et Tierney ont découvert dans leurs tests indépendants que leurs habitudes Web étaient envoyées à des serveurs distants, quel que soit le mode de navigation du navigateur, fournissant des photos et des vidéos comme preuve.
Lorsque Forbes a fourni à Xiaomi une vidéo réalisée par Cirlig montrant comment sa recherche Google pour « porno » et une visite sur le site PornHub ont été envoyées à des serveurs distants, même en mode incognito, le porte-parole de la société a continué de nier que les informations étaient enregistrées . « Cette vidéo montre la collecte de données de navigation anonymes, qui est l'une des solutions les plus couramment adoptées par les sociétés Internet pour améliorer l'expérience globale des produits de navigation en analysant les informations non personnellement identifiables », a-t-il assuré.
Cirlig et Tierney ont déclaré que le comportement de Xiaomi était plus invasif que d'autres navigateurs comme Google Chrome ou Apple Safari. « C'est bien pire que tous les navigateurs grand public que j'ai vus », a déclaré Tierney. «Beaucoup d'entre eux prennent des données pour analyse, mais il s'agit d'analyse sur une utilisation qui a conduit à un plantage. Prendre le comportement du navigateur, y compris les URL, sans consentement explicite et en mode de navigation privée, est le plus mauvais comportement possible ».
Cirlig soupçonnait également que son utilisation d’applications était surveillée par Xiaomi, car chaque fois qu'il ouvrait une application, un bloc d'informations était envoyé à un serveur distant. Un autre chercheur qui avait testé des appareils Xiaomi, mais qui était sous accord de non-divulgation quant à une discussion ouverte sur la question, a déclaré qu'il avait vu le téléphone du fabricant recueillir de telles données. Xiaomi n'a pas répondu aux questions à ce sujet.
« Analytique comportementale »
Xiaomi semble avoir une autre raison de collecter les données : pour mieux comprendre le comportement de ses utilisateurs. Il utilise les services d'une société d'analyse comportementale appelée Sensors Analytics. La start-up chinoise, également connue sous le nom de Sensors Data, a levé 60 millions de dollars depuis sa création en 2015, plus récemment 44 millions de dollars dans une ronde dirigée par la société de capital-investissement new-yorkaise Warburg Pincus, qui a également bénéficié d'un financement de Sequoia Capital China. Comme décrit dans Pitchbook, un outil de suivi du financement des entreprises, Sensors Analytics est un « fournisseur d'une plateforme d'analyse approfondie du comportement des utilisateurs et de services de conseil professionnels ». Ses outils aident ses clients à « explorer les histoires cachées derrière les indicateurs en explorant les comportements clés des différentes entreprises ».
Cirlig et Tierney ont découvert que leurs applications Xiaomi envoyaient des données à des domaines qui semblaient faire référence à Sensors Analytics, y compris l'utilisation répétée de SA. Lorsque vous cliquez sur l'un des domaines, la page contient une phrase: « Sensors Analytics est prêt à recevoir vos données! »
Le porte-parole de Xiaomi a confirmé la relation avec la startup: « Alors que Sensors Analytics fournit une solution d'analyse de données pour Xiaomi, les données anonymes collectées sont stockées sur les propres serveurs de Xiaomi et ne seront pas partagées avec Sensors Analytics, ou toute autre société tierce ».
C’est la deuxième fois en deux mois qu’une grande entreprise de technologie chinoise observe les habitudes téléphoniques des utilisateurs. Une application de sécurité avec un navigateur «privé» conçue par Cheetah Mobile, une société publique cotée à la Bourse de New York, a été surprise en train de collecter des informations sur l'utilisation du Web, les noms des points d'accès Wi-Fi et des données plus granulaires comme la façon dont un utilisateur fait défiler les pages Web. Cheetah a fait valoir qu'il devait collecter les informations pour protéger les utilisateurs et améliorer leur expérience.
Plus tard dans ses recherches, Cirlig a également découvert que l'application de lecteur de musique de Xiaomi sur son téléphone collectait des informations sur ses habitudes d'écoute: quelles chansons étaient jouées et quand. Le message était clair pour le chercheur: lorsque vous écoutez, Xiaomi écoute aussi.
Source : Forbes
Et vous ?
De quel(s) smartphone(s) disposez-vous ? Quels sont les critères qui vous encouragent à en acheter un ? Avez-vous déjà utilisé le Xiaomi Redmi Note 8 ? Qu'en pensez-vous ? Que pensez-vous de ces allégations ? La réponse de Xiaomi vous semble-t-elle rassurante ? 
Envoyé par Stéphane le calme
