Xiaomi est accusé de collecter une myriade de données privées de ses clients via des backdoors. Les données seraient transférées sur des serveurs appartenant au constructeur, clame un chercheur en sécurité qui a confié au site Forbes avoir rassemblé suffisamment de preuves pour appuyer ses allégations.

Xiaomi est embourbé dans une nouvelle polémique de taille. Un chercheur en sécurité du nom de Gabi Cirlig vient de publier un rapport qui accuse le constructeur de transférer différentes données de ses clients vers des serveurs à l’étranger. À travers ce rapport rendu public sur le site Forbes, le chercheur affirme que toutes les applications de Xiaomi, y compris ses navigateurs, collectaient puis transmettaient ces données personnelles à l’insu des utilisateurs.

Cirlig explique avoir découvert le pot au rose sur son Redmi Note 8 qui se montrait un peu trop indiscret sur ses habitudes. Le smartphone enregistrait des informations telles que les dossiers qu'il ouvrait, les différentes parties du smartphone auxquelles il accédait, y compris la barre d'état et le menu des paramètres, mais aussi des références uniques pour identifier l'appareil spécifique ainsi que la version d'Android installée.

En parcourant le web avec le navigateur de Xiaomi installé par défaut sur tous ses smartphones, le chercheur a également remarqué que ce dernier enregistrait les sites web visités, ses requêtes sur les moteurs de recherche. L'expérience a été faite avec Google et DuckDuckGo, un navigateur pourtant axé sur la vie privée des utilisateurs.

Le suivi semblait d'autre part se produire même quand il utilisait le mode « incognito » censé ne conserver aucune trace de ses activités. Cirlig a également découvert que le lecteur de musique de Xiaomi collectait des informations sur ses habitudes d'écoute : quelles chansons étaient jouées et quand. Toutes ces données seraient archivées puis transférées sur des serveurs loués auprès d'un autre géant chinois : Alibaba. Les serveurs en question sont situés à Singapour et en Russie, mais pointeraient vers des domaines web enregistrés à Pékin et qui appartiendraient à Xiaomi.

D'autres smartphones sont potentiellement touchés

À la demande de Forbes, un autre chercheur en cybersécurité, Andrew Tierney a mené une enquête parallèle. Il a affirmé de son côté que d'autres navigateurs fournis par Xiaomi sur le Google Play Store, en l’occurrence Mi Browser Pro et Mint Browser collectaient et transmettaient les mêmes types de données. Le site ne précise par les modèles utilisés par le chercheur.

Cirlig en ce qui le concerne pense que des smartphones autres que celui qu'il a testé sont également affectés. Il explique avoir examiné le firmware d'autres smartphones Xiaomi, y compris le Xiaomi Mi 10, le Redmi K20 et le Xiaomi Mi MIX 3. Le code du navigateur du constructeur est exactement le même, ce qui laisse penser selon le chercheur que ces modèles pourraient être affectés par les mêmes problèmes de confidentialité.

La réaction de Xiaomi

Réagissant au rapport qui l'incrimine, Xiaomi a déclaré que les allégations des chercheurs sont fausses et que « la confidentialité et la sécurité sont des préoccupations majeures» pour la marque. Le constructeur dit être « strictement en conformité avec les lois locales sur les questions de confidentialité des données d'utilisateurs ». Il reconnait toutefois que des données de navigation sont collectées, mais elles seraient anonymisées.

Il n'y aurait donc aucun moyen de les lier à l’identité d'un quelconque utilisateur, chose que Cirlig contexte. Le chercheur affirme par ailleurs avoir réussi à casser le chiffrement en décodant des blocs d'informations qui étaient chiffrées avec une forme d'encodage facilement craquable, connue sous le nom de base64.

Source : Forbes