« C’est une porte dérobée avec des fonctionnalités téléphoniques », plaisante Gabi Cirlig à propos de son nouveau téléphone Xiaomi. Il ne plaisante qu’à moitié.
Gabi Cirlig s’entretient avec Forbes après avoir découvert que son smartphone Redmi Note 8 surveillait une grande partie de ce qu’il faisait au téléphone. Ces données étaient ensuite envoyées à des serveurs distants hébergés par un autre géant technologique chinois, Alibaba, qui étaient ostensiblement loués par Xiaomi.
Le chercheur chevronné en cybersécurité a découvert qu’une quantité inquiétante de son comportement était suivie, tandis que divers types de données de l’appareil étaient également récoltées, laissant Gabi Cirlig effrayé que son identité et sa vie privée soient exposées à la société chinoise.
Lorsqu’il regardait sur le web avec le navigateur Xiaomi par défaut de l’appareil, celui-ci enregistrait tous les sites web qu’il avait visités, y compris les requêtes des moteurs de recherche, qu’il s’agisse de Google ou de DuckDuckGo, qui est axé sur la protection de la vie privée, et chaque article consulté sur une fonction de fil d’actualité du logiciel Xiaomi. Ce suivi semblait se produire même s’il utilisait le mode « incognito », soi-disant privé.
L’appareil enregistrait également les dossiers qu’il ouvrait et les écrans qu’il consultait, y compris la barre d’état et la page des paramètres. Toutes les données étaient rassemblées et envoyées à des serveurs distants à Singapour et en Russie, bien que les domaines Web qu’ils hébergeaient aient été enregistrés à Pékin.
Entre-temps, à la demande de Forbes, le chercheur en cybersécurité Andrew Tierney a poursuivi ses recherches. Il a également découvert que les navigateurs proposés par Xiaomi sur Google Play-Mi Browser Pro et le Mint Browser – collectaient les mêmes données. Ensemble, ils ont plus de 15 millions de téléchargements, selon les statistiques de Google Play.
Beaucoup plus de millions sont susceptibles d’être affectés par ce que Gabi Cirlig a décrit comme un grave problème de vie privée, bien que Xiaomi ait nié qu’il y ait un problème. Evaluée à 50 milliards de dollars, Xiaomi est l’un des quatre premiers fabricants de smartphones au monde par sa part de marché, derrière Apple, Samsung et Huawei. Les appareils les plus vendus de Xiaomi sont des appareils bon marché qui ont en grande partie les mêmes qualités que les smartphones haut de gamme. Mais pour les clients, ce faible coût pourrait s’accompagner d’un prix élevé : leur vie privée.
Gabi Cirlig pense que les problèmes touchent beaucoup plus de modèles que celui qu’il a testé. Il a téléchargé les microprogrammes d’autres téléphones Xiaomi, dont les appareils Xiaomi MI 10, Xiaomi Redmi K20 et Xiaomi Mi MIX 3. Il a ensuite confirmé qu’ils avaient le même code de navigateur, ce qui l’a amené à penser qu’ils avaient les mêmes problèmes de confidentialité.
Et il semble qu’il y ait des problèmes avec la façon dont Xiaomi transfère les données sur ses serveurs. Bien que la société chinoise ait affirmé que les données étaient cryptées lors de leur transfert afin de protéger la vie privée des utilisateurs, Gabi Cirlig a découvert qu’il était capable de voir rapidement ce qui était pris de son appareil en décodant un morceau d’information qui était caché par une forme de codage facilement craquable, connue sous le nom de base64. Il n’a fallu que quelques secondes à Gabi Cirlig pour transformer les données brouillées en informations lisibles.
« Ma principale préoccupation en matière de respect de la vie privée est que les données envoyées à leurs serveurs peuvent être très facilement corrélées à un utilisateur spécifique », a averti Gabi Cirlig.
La réponse de Xiaomi
En réponse aux conclusions, Xiaomi a déclaré : « Les affirmations de la recherche sont fausses », et « La vie privée et la sécurité sont des préoccupations majeures », ajoutant qu’elle « suit strictement et est pleinement conforme aux lois et règlements locaux sur les questions de confidentialité des données des utilisateurs ». Mais un porte-parole a confirmé qu’elle recueillait des données de navigation, affirmant que les informations étaient anonymes et n’étaient donc pas liées à une identité. Ils ont dit que les utilisateurs avaient consenti à ce suivi.
Mais, comme l’ont souligné Gabi Cirlig et Andrew Tierney, ce n’est pas seulement le site web ou la recherche sur le web qui a été envoyé au serveur. Xiaomi recueillait également des données sur le téléphone, notamment des numéros uniques permettant d’identifier l’appareil en question et la version d’Android. Gabi Cirlig a déclaré que ces « métadonnées » pouvaient « facilement être corrélées avec un véritable humain derrière l’écran ».
Le porte-parole de Xiaomi a également nié que les données de navigation étaient enregistrées en mode « incognito ». Gabi Cirlig et Andrew Tierney, cependant, ont tous deux constaté dans leurs tests indépendants que leurs habitudes de navigation sur le web étaient envoyées à des serveurs distants, quel que soit le mode sur lequel le navigateur était réglé, en fournissant à la fois des photos et des vidéos comme preuve.
Lorsque Forbes a fourni à Xiaomi une vidéo réalisée par Gabi Cirlig montrant comment sa recherche de « porno » sur Google et une visite du site PornHub ont été envoyées à des serveurs distants, même en mode incognito, le porte-parole de l’entreprise a continué de nier que l’information était enregistrée. « Cette vidéo montre la collecte de données de navigation anonymes, qui est l’une des solutions les plus courantes adoptées par les sociétés Internet pour améliorer l’expérience globale des produits de navigation par l’analyse d’informations non personnelles », ont-ils ajouté.
Cirlig et Tierney ont tous deux déclaré que le comportement de Xiaomi était plus invasif que celui d’autres navigateurs comme Google Chrome ou Apple Safari. « C’est bien pire que tous les navigateurs que j’ai vus », a déclaré Andrew Tierney. « Beaucoup d’entre eux prennent des analyses, mais c’est une question d’utilisation et de plantage. Prendre le comportement du navigateur, y compris les URL, sans consentement explicite et en mode de navigation privée, est à peu près aussi mauvais que cela puisse l’être ».
Gabi Cirlig soupçonnait également que l’utilisation de son application était surveillée par Xiaomi, car à chaque fois qu’il ouvrait une application, un gros morceau d’information était envoyé à un serveur distant. Un autre chercheur qui avait testé les appareils de Xiaomi, bien qu’il ait été soumis à un accord de confidentialité pour discuter ouvertement de la question, a déclaré qu’il avait vu le téléphone du fabricant collecter de telles données. Xiaomi n’a pas répondu aux questions sur ce sujet.
Analyse comportementale
Xiaomi semble avoir une autre raison de recueillir ces données : mieux comprendre le comportement de ses utilisateurs. Elle utilise les services d’une société d’analyse comportementale baptisée Sensors Analytics. La start-up chinoise, également connue sous le nom de Sensors Data, a levé 60 millions de dollars depuis sa fondation en 2015, dont 44 millions de dollars lors d’un tour de table mené par la société de capital-investissement new-yorkaise Warburg Pincus, qui a également bénéficié d’un financement de Sequoia Capital China. Comme décrit dans Pitchbook, un suivi du financement des entreprises, Sensors Analytics est un « fournisseur d’une plateforme d’analyse approfondie du comportement des utilisateurs et de services de conseil professionnel ». Ses outils aident ses clients à « explorer les histoires cachées derrière les indicateurs en explorant les comportements clés des différentes entreprises ».
Cirlig et Tierney ont tous deux constaté que leurs applications Xiaomi envoyaient des données à des domaines qui semblaient faire référence à Sensors Analytics, y compris l’utilisation répétée de SA. En cliquant sur l’un des domaines, la page contenait une phrase : « Sensors Analytics est prêt à recevoir vos données ! » Il existait une API appelée SensorDataAPI – une API (interface de programmation d’applications) étant le logiciel qui permet à des tiers d’accéder aux données des applications. Xiaomi est également répertorié comme client sur le site web de Sensors Data.
Le fondateur et PDG de Sensors Data, Sang Wenfeng, a une longue expérience dans le suivi des utilisateurs. Selon la biographie de son entreprise, il a construit une grande plateforme de données pour les journaux des utilisateurs de Baidu, chez le géant chinois de l’internet Baidu.
Le porte-parole de Xiaomi a confirmé la relation avec la start-up : « Bien que Sensors Analytics fournisse une solution d’analyse de données pour Xiaomi, les données anonymes collectées sont stockées sur les propres serveurs de Xiaomi et ne seront pas partagées avec Sensors Analytics, ou toute autre société tierce ».
C’est la deuxième fois en deux mois qu’une énorme société technologique chinoise surveille les habitudes téléphoniques des utilisateurs. Une application de sécurité avec un navigateur « privé », réalisée par Cheetah Mobile, une société publique cotée à la bourse de New York, a été vue en train de collecter des informations sur l’utilisation du web, les noms des points d’accès Wi-Fi et des données plus granulaires comme la façon dont un utilisateur a fait défiler les pages web visitées. Cheetah a fait valoir qu’elle devait collecter ces informations pour protéger les utilisateurs et améliorer leur expérience.
Vers la fin de ses recherches, Gabi Cirlig a également découvert que l’application de Xiaomi pour le lecteur de musique de son téléphone recueillait des informations sur ses habitudes d’écoute : quelles chansons étaient jouées et à quel moment.
Un message était clair pour le chercheur : quand vous écoutez, Xiaomi écoute aussi.
MISE À JOUR : Xiaomi a publié un blog dans lequel elle a défini comment et quand elle collecte les URL visitées par ses utilisateurs. Lisez-le dans son intégralité ici.
L’entreprise a rappelé que les données transférées à partir des appareils et des navigateurs de Xiaomi étaient anonymes et n’étaient associées à aucune identité.
Le 3 mai, Xiaomi a annoncé que dans sa prochaine mise à jour de navigateur, elle permettrait aux clients d’empêcher l’envoi de leurs sites web visités vers les serveurs de la société chinoise.
Les navigateurs incluront « une option en mode incognito … pour activer/désactiver la collecte de données agrégées, dans un effort pour renforcer le contrôle que nous accordons aux utilisateurs sur le partage de leurs propres données avec Xiaomi ». Les mises à jour du logiciel seront soumises à Google Play pour approbation dans le courant de la journée ».
« Nous pensons que cette fonctionnalité, associée à notre approche consistant à conserver les données agrégées sous une forme non identifiable, va au-delà de toute exigence légale et démontre l’engagement de notre société en faveur de la confidentialité des utilisateurs », a ajouté Xiaomi.
