Quand la collecte de données fait tache sur les smartphones Xiaomi : abusive, non anonymisée et mal chiffrée

On vous explique comment bloquer cette collecte

 
Un expert en cybersécurité vient de mettre le doigt sur plusieurs failles de sécurité dans la collecte de données sur les smartphones Xiaomi. Les données seraient transférées via un chiffrement partiel laisseraient des informations visibles qui permettraient d’identifier utilisateur. Plus grave encore, ces données sont aussi collectées en navigation privée sur les navigateurs Mi Browser Pro et Mint Browser.
Xiaomi Mi Note 10

C’est une enquête que l’on peut lire sur Forbes qui a collaboré avec un chercheur spécialisé en cybersécurité nommé Gabi Cirlig. Après avoir analysé plusieurs modèles de smartphones Xiaomi, il explique que ces smartphones enregistrent et partagent sur des serveurs distants une quantité importante de données personnelles qui ne sont ni anonymisées ni correctement chiffrées. L’accusation est grave.

Mise à jour : Xiaomi précise sa position après la publication de l’enquête de Forbes, nous avons repris certains points dans cet article.

Xiaomi a été déçu de lire le récent article de Forbes. Nous avons le sentiment qu’ils ont mal compris ce que nous avons communiqué concernant nos principes et notre politique en matière de protection des données. La protection de la vie privée de nos utilisateurs et la sécurité sur Internet sont des priorités absolues chez Xiaomi ; nous sommes convaincus que nous suivons strictement et que nous nous conformons pleinement aux lois et réglementations locales. Nous avons pris contact avec Forbes afin de clarifier cette interprétation erronée.

Des données ni anonymes ni correctement chiffrées

Le chercheur spécialiste en cybersécurité a observé ce comportement sur les navigateurs développés par Xiaomi — Mi Browser Pro et Mint Browser — et cela même en navigation privée. D’autres données seraient également collectées, l’appareil enregistre et envoie les données également des dossiers qu’il ouvrait, de la navigation dans les menus et les applications, de la barre d’état et des pages des paramètres ouverts. Selon ses observations, toutes les données sont regroupées et envoyées à des serveurs distants à Singapour et en Russie.

Cette vidéo réalisée par Gabi Cirlig montre comment les termes d’une recherche peuvent être retrouvés dans les données envoyées aux serveurs distants de collecte, même en navigation privée.

Initialement menée sur un Redmi Note 8, l’analyse a été poussée sur d’autres appareils du constructeur chinois : Xiaomi Mi 10, Xiaomi Redmi K20 et Xiaomi Mi Mix 3. L’observation est la même sur tous ces appareils. Les données transférées sont chiffrées, mais il est possible d’extraire et d’analyser un bloc d’informations caché sous une forme d’un encodage facilement accessible (base64), comme vous pouvez le constater en vidéo.

https://twitter.com/cybergibbons/status/1255970009203032071

L’observation a pu être faite par d’autres utilisateurs, on peut clairement retrouver les termes recherchés sur le moteur de recherche, même en navigation privée. Comme vous pouvez le voir, les données intègrent également l’UUID du téléphone (identifiant unique) qui permettent d’identifier un appareil précis.

Xiaomi, interrogé par Forbes, nie les déclarations du chercheur. Selon le constructeur chinois, la confidentialité et la sécurité sont des préoccupations majeures, d’ailleurs aucune donnée ne serait recueillie en navigation privée. Le constructeur de smartphones confirme la collecte de données, qui l’est car les utilisateurs ont consenti à un tel suivi. Xiaomi en profite pour rappeler que les données collectées sont chiffrées et anonymisées.

Pourtant, le chercheur spécialisé en cybersécurité déclare que de nombreuses données personnelles sont transférées, y compris des identifiants qui permettraient de lier un appareil à un individu.

Pourquoi Xiaomi collecte-t-il ces données ?

L’analyse de données est couramment utilisée par les constructeurs de smartphones pour mieux comprendre le comportement des utilisateurs. C’est ce que l’on appelle de l’analyse comportementale, Xiaomi travaille avec Sensors Analytics sur ce sujet. Lorsque vous configurez votre smartphone Xiaomi pour la première, le constructeur chinois recueille votre consentement avant d’activer cette collecte.

La start-up chinoise, également connue sous le nom de Sensors Data, a levé 60 millions de dollars depuis sa création en 2015, et plus récemment 44 millions de dollars. Sensors Analytics est un « fournisseur d’une plate-forme d’analyse approfondie du comportement des utilisateurs et de services de conseil professionnels ». Ses outils aident ses clients à « explorer les histoires cachées derrière les indicateurs en explorant les comportements clés des différentes entreprises ».

Le chercheur en cybersécurité a retrouvé les traces d’une API appelée SensorDataAPI sur les serveurs qui reçoivent les données envoyées par les téléphones. Xiaomi confirme d’ailleurs collaborer avec Sensors Analytics. Les données des navigateurs web, de comportement de navigation dans le téléphone, de la musique que vous lancez avec le lecteur par défaut… ont pour objectif d’améliorer les produits Xiaomi.

Comment empêcher la collecte de données sur les Xiaomi ?

Si vous voulez bloquer la collecte de ces données par Xiaomi, il y a une option assez simple d’accès sur votre smartphone. Il faut accéder au programme d’expérience utilisateur dans Paramètres > Mots de passe et sécurité > Paramètres de confidentialité > Programme d’expérience utilisateur.

Il faut aller dans Paramètres > Mots de passe et sécurité > Paramètres de confidentialité > Programme d’expérience utilisateur

Vous pouvez également en profiter pour désactiver les services publicitaires, cela permet de bloquer les encarts publicitaires.

Vous pouvez en profiter pour stopper les encarts publicitaires

 


Si vous voulez recevoir les meilleures actus Frandroid sur WhatsApp, rejoignez cette discussion.