La nouvelle a été rapportée par Gabi Cirlig, un chercheur roumain en cybersécurité, propriétaire d’un smartphone Xiaomi, le Redmi Note 8. Il s’est entretenu avec Forbes pour raconter comment ses données de navigation, ses dossiers et ses photos seraient collectés puis envoyés sur des serveurs d’Alibaba, loués par le fabricant chinois de smartphones.

Les données de navigation, mais pas que

Xiaomi est en pleine ascension. L’entreprise chinoise prévoit d’investir 7 milliards de dollars dans l’IoT, la 5G, l’IA pour continuer de se développer… Pourtant, un chercheur en cybersécurité pourrait mettre un coup d’arrêt au développement effréné de l’entreprise. Gabi Cirlig estime qu’une quantité importante de données ont été collectées à son insu. Le navigateur de Xiaomi, installé par défaut sur son smartphone, enregistrait l’ensemble des sites web visités, mais aussi les requêtes inscrites dans le moteur de recherche.

Il a ensuite vérifié si cette fuite de données était possible avec les moteurs de recherche de Google et de DuckDuckGo. La réponse est oui. Notons que le traçage était effectif malgré le mode privé activé. Les données de navigation sont collectées, mais aussi l’ensemble des tâches effectuées sur le smartphone, en dehors d’Internet. Le problème ne viendrait donc pas du moteur de recherche de Xiaomi mais directement du smartphone du fabricant. Les données seraient envoyées vers des serveurs basés à Singapour ou en Russie, malgré des domaines basés à Pékin.

Xiaomi, quatrième vendeur de smartphones au monde

Andrew Tierney, un autre chercheur en cybersécurité a décidé d’enquêter suite à cette première découverte. Il fait le même constat que son homologue roumain. Xiaomi, quatrième vendeur de smartphones au monde derrière Apple, Samsung et Huawei, ne respecterait pas la vie privée de ses utilisateurs. Le prix des smartphones de ce géant chinois est réellement moins élevé que celui de ses concurrents alors les fonctionnalités des appareils sont quasiment similaires. Un faible coût pour les propriétaires Xiaomi qui pourrait s’accompagner d’un autre prix à payer : celui de la protection de leur vie privée.

Après une faille de sécurité révélée sur les trottinettes M365 du fabricant chinois, les smartphones Xiaomi pourraient donc être également un point sensible. Si le problème a été soulevé pour le modèle Redmi Note 8, les chercheurs pensent que cette faille pourrait se vérifier sur de nombreux autres smartphones du fabricant. Notamment les appareils Xiaomi MI 10, Xiaomi Redmi K20 et Xiaomi Mi MIX 3. Gabi Cirlig a confirmé qu’ils avaient tous le même code de navigateur, que le Redmi Note 8. Un signe qui laisse penser que ces smartphones pourraient avoir les mêmes problèmes de confidentialité.

Les données transférées ne seraient pas non plus chiffrées

Autre problème : si Xiaomi affirme que les données transférées vers ses serveurs sont chiffrées, Gabi Cirlig a rapidement réussi à prouver le contraire. Il ne lui aura fallu que quelques secondes pour transformer des données brouillées en informations lisibles. Il précise que : « ma principale préoccupation en matière de respect de la vie privée est que les données envoyées vers les serveurs de Xiaomi peuvent être très facilement lues, malgré ce que dit l’entreprise ».

Xiaomi a répondu à ces accusations. Un porte-parole affirme que : « les affirmations qui ressortent de cette enquête sont fausses. La vie privée et la sécurité sont nos deux préoccupations majeures. Nous suivons strictement les lois et les règlements locaux sur les questions de confidentialité des données des utilisateurs ». L’entreprise a néanmoins reconnu que certaines informations étaient bien recueillies. Notamment les données de navigation. Des données anonymes et non liées à une identité. Xiaomi dit ses utilisateurs ont consenti à ce suivi.