Coup dur pour Xiaomi ? Le quatrième constructeur de smartphones dans le monde en 2019 (derrière Samsung, Huawei et Apple selon le Gartner) est pris dans la tempête de l'exploitation des données personnelles en masse de ses utilisateurs. En particulier des données privées (répertoires ouverts, parcours entre les différents écrans...) et de navigation (URL, mots clés de recherche...) effectuées par le biais des navigateurs web Mint et Mi Browser Pro.
« C'est un backdoor dans une fonctionnalité du téléphone », a cinglé Gabriel Cirlig chercheur en sécurité chez White Ops en parlant de son téléphone Xiaomi Redmi Note 8, qui a levé le voile sur cette collecte de données en masse aux côtés d'un autre consultant en sécurité chez Pen Test Partners, Andrew Tierney. Les résultats de leurs recherches ont été relayés dans un article de Forbes qui a fait réagir le constructeur chinois. « Xiaomi a examiné un récent article de Forbes sur nos politiques de confidentialité et estime qu'il n'est pas représentatif des faits. Chez Xiaomi, la confidentialité et la sécurité de nos utilisateurs sont de la plus haute priorité. Nous suivons strictement et sommes pleinement conformes aux lois et réglementations sur la protection de la vie privée des utilisateurs dans les pays et régions dans lesquels nous opérons ». Un jour après cette déclaration, Xiaomi a annoncé une mise à jour de Mint et Mi Browser Pro incluant désormais une option permettant de stopper le partage de données agrégées dans le mode Incognito, démontrant par la même occasion que cela n'était pas le cas jusqu'alors.
Des données officiellement non partagées avec Sensors Analytics
Le chercheur en sécurité Andrew Tierney a aussi enquêté sur la façon dont le navigateur Xiaomi Mint envoie les URL visités à des serveurs distants aussi bien en mode navigation normale ou privée. (crédit : D.R.)
Selon Gabriel Cirlig, le navigateur Xiaomi enregistre en effet - même avec le mode incognito activé - tous les sites web visités, incluant des requêtes tapées dans Google ou sur DuckDuckGo ainsi que « n'importe quel item visualisé sur un flux de news du logiciel Xiaomi ». De nombreux terminaux sur lesquels les navigateurs Xiaomi sont installés sont concernés par ce problème, incluant les modèles MI10, Redmi K20, Li MIX 3... Plus embêtant encore, alors que le constructeur chinois indique faire le nécessaire pour protéger les données privées de ses clients, il s'avère que le décodage des informations de navigation exportées s'avèrent très simples, étant cachées dans une forme facilement craquable d'encodage, connue en tant que base64. « Ma principale préoccupation en termes de données personnelles est que les données envoyées sur leurs serveurs peuvent être très facilement corrélées avec un utilisateur spécifique », a prévenu Gabriel Cirliq. Outre ce chercheur, Andrew Tierney a également fait état dans une vidéo sur la façon dont le navigateur Xiaomi Mint et plusieurs autres produits Xiaomi envoient les URL visités à des serveurs distants aussi bien en mode navigation normale ou privée.
Autre souci notable : les données privées et de navigation seraient remontées sur des serveurs distants qui seraient installés notamment à Singapour et en Russie, mais aussi vers Sensors Analytics spécialisée dans l'analytique comportemental, créé par Sang Wenfeng à l'origine de la plateforme big data de logs utilisateurs de Baidu. « Alors que Sensors Analytics fournit une solution d'analyse de données pour Xiaomi, les données anonymes collectées sont stockées sur les propres serveurs de Xiaomi et ne seront pas partagées avec Sensors Analytics, ou toute autre société tierce », a tenu à rassurer un porte-parole de Xiaomi à Forbes. Reste à savoir si cela sera suffisant.