Selon un rapport de Forbes publié le 30 avril, le géant chinois récupérerait les données personnelles à distance des utilisateurs de ses smartphones.
Deux analystes en cybersécurité ont découvert que l’entreprise collecterait en effet des données, notamment pendant la navigation. Le Redmi Note 8 ferait partie des modèles concernés mais ce ne serait pas le seul, d’autres auraient les mêmes lignes de code dans le code source de leurs systèmes d’exploitation. Les Xiaomi Mi 10, Xiaomi Redmi K20 et Xiaomi Mi MIX 3 pourraient également avoir des problèmes de confidentialité.
Les données collectées par Xiaomi poseraient problème
Selon le chercheur en cybersécurité Gabi Cirlig cité par Forbes, le Redmi Note 8 serait “un backdoor avec fonction smartphone”. Il pense qu’un smartphone Xiaomi est capable de surveiller et enregistrer de nombreux usages web (navigation, ouverture des fichiers, recherches effectuées sur les moteurs de recherche…), et cela même quand le mode Incognito est activé.
Le système collecte également des données liées aux applications des smartphones du géant chinois comme la lecture de musique, la version d’Android installée et la gestion des paramètres… pour être ensuite envoyées à des serveurs à Singapour et en Russie (loués par Xiaomi auprès du géant Alibaba) malgré des domaines basés à Pékin.
“S’en prendre au comportement de navigation, incluant les URLs, sans consentement explicite et même en mode d’usage privé, ce n’est pas bien”.
Andrew Tierney, un des analystes en cybersécurité
Le chiffrement concernant la manière dont les données sont transférées par Xiaomi serait également trop facile à détourner selon les analystes.
Xiaomi se défend et réfute les accusations
Accusée, la firme chinoise a déjà contre-attaqué en réfutant toutes ces accusations en matière de protection des données. Se voulant rassurante et transparente, elle démonte chacune des accusations et assume collecter des données sur la navigation web, des données qui seraient anonymes.
“Notre politique en matière de confidentialité et de sécurité constitue une priorité et elle est en stricte conformité avec les lois locales et la protection des données des utilisateurs”.
Un porte-parole de Xiaomi
Xiaomi a même rapidement publié un article sur son blog officiel pour se défendre par rapport à cette affaire de collecte de données personnelles. Ces données serviraient selon la firme à faire des analyses comportementales en collaboration avec Sensors Analytics.
Selon l’entreprise, “Bien que Sensors Analytics fournit une solution d’analyse pour Xiaomi, les données collectées anonymement sont stockées sur les serveurs de Xiaomi et ne sont pas partagées avec Sensors Analytics, ou d’autres entreprises tierces“. Les données ne transiteraient que vers ses propres serveurs, donc.
Toutes les données d’utilisation collectées seraient basées, selon Xiaomi, sur des permissions et consentements explicitement accordés par les utilisateurs. Elles seraient uniquement récoltées si l’utilisateur est connecté à son compte Mi et s’il a accepté au préalable le partage d’informations avec la marque.
Xiaomi qui a répondu à chacune des accusations portées par Forbes et les analystes en cybersécurité, achève sa note de blog en affirmant avoir obtenu les félicitations de diverses entreprises comme TrustArc et British Standard Institution, pour le respect de la vie privée de ses utilisateurs et la sécurisation des données.
