Un rapport accable Xiaomi sur une fuite de données personnelles sur ses smartphones Redmi Note 8

04 mai 2020 à 08h03
53
Xiaomi Redmi Note 8
Le Xiaomi Redmi Note 8

Le fabricant chinois a été épinglé par un chercheur en cybersécurité roumain, qui explique comment ses données ont été captées puis envoyées sur des serveurs Cloud d'Alibaba.

Gabi Cirlig, spécialiste réputé en cybersécurité, a fait une étonnante découverte qui place le constructeur de smartphones Xiaomi dans l’œil du cyclone. Le chercheur roumain explique qu'une grande partie de son activité via son Redmi Note 8 était épiée par le fabricant. Plus clairement, ses données de navigation, ses dossiers ouverts sur son smartphone, ses photos et ses paramètres ont transité par des serveurs distants appartenant à un autre mastodonte chinois, Alibaba, dont Xiaomi est un important client. Sans respecter la confidentialité de ces données. La firme pékinoise a répondu à Cirlig sur son blog.

La firme reconnaît une collecte en navigation privée

Pour Gabi Cirlig, son identité était exposée et le respect de sa vie privée bafoué par Xiaomi. Le chercheur explique que tous les sites web visités durant sa navigation étaient enregistrés, que ce soit sur le navigateur par défaut du smartphone, via Google ou même DuckDuckGo , pourtant assimilé respectueux de la confidentialité des utilisateurs.

Même les mouvements effectués en navigation privée étaient suivis, un élément à moitié confirmé par Xiaomi, via une note publiée le 2 mai sur son blog : « En mode navigation privée, les données de navigation des utilisateurs ne sont pas synchronisées, mais des données agrégées de statistiques d'utilisation sont toujours collectées ».

Il n'y a donc pas que les données de navigation qui étaient collectées mais aussi les dossiers ouverts par l'utilisateur, la barre d'état et la page des paramètres. Cirlig précise que les informations transitaient par des serveurs hébergés à Singapour et en Russie, mais que les domaines web, eux, sont bien enregistrés à Pékin, où se trouve le siège de Xiaomi. Potentiellement, cette ponction des données personnelles toucherait des millions de clients de la marque dans le monde.

Xiaomi annonce mettre à jour ses navigateurs web

Gabi Cirlig va même plus loin dans son rapport en indiquant que d'autres modèles que le Redmi Note 8, sorti en 2019, pourraient être touchés par la faille. Il pense notamment aux Xiaomi Redmi K20 , Xiaomi MI 10 et Mi MIX 3 , qui auraient tous un code de navigateur identique à celui du Redmi Note 8.

En conséquence, et preuve que Xiaomi prend cette affaire très au sérieux, malgré le déni assumé d'un défaut de protection de la confidentialité des utilisateurs, la firme a annoncé, le 3 mai, l'ajout d'une fonctionnalité majeure dès la prochaine mise à jour des navigateurs Mint Browser et Mi Browser, épinglés par un autre chercheur en cybersécurité, Andrew Tierney. Le logiciel « comprendra une navigation en mode navigation privée pour l'ensemble des utilisateurs des deux navigateurs, qui pourront activer et désactiver la collecte de données agrégées », et ce dans un effort de « renforcer le contrôle que nous accordons aux utilisateurs sur le partage de leurs propres données avec Xiaomi », écrit le fabricant.

Xiaomi, qui se défend également en indiquant procéder au chiffrement des données émises vers ses serveurs pour protéger la vie privée des utilisateurs, se heurte au contre-témoignage de Gabi Cirlig, qui n'aura mis que quelques secondes à déchiffrer les données, pour en obtenir de réelles informations.

Du côté de Xiaomi, on doit se dire qu'on n'avait pas besoin d'une polémique ces temps-ci. Le fabricant, qui dispose d'une enveloppe de 7 milliards de dollars pour développer la 5G, l'IA et l'IoT sur ces cinq prochaines années, ne vivait pas si mal le moment présent, avec des ventes en progression (+9 %, 30,2 millions de smartphones vendus) au premier trimestre 2020, malgré une chute des ventes de smartphones . Sur fond de coronavirus , Xiaomi fait figure d'ovni de la croissance face à des concurrents en perdition (-17% pour Samsung et Huawei) et occupe aisément la place de troisième constructeur de smartphones mondial, avec 11,1 % de parts de marché (derrière Apple et ses 13,6% de PDM).

Source : Forbes

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
53
34
SPH
Moi qui avait confiance !.. Trop tard, le mal est fait…
Matrix-7000
Encore une bonne raison de ne pas acheter de produits technologiques fabriqués par des entreprises chinoises. Malheureusement, la majorité des composants aussi, sont fabriqué chez eux. A quand une réindustrialisation de nos pays européens, et une indépendance technologique? Il est grand temps que l’on ai des smartphones et des tablettes avec un système complètement open source sur du matos inventé et fabriqué chez nous. En Allemagne, ils ont de nombreuses marques d’électronique et matériel informatique, comme « AVM/fritz », un fabricant de matériel réseau et télécoms pour les particuliers, qui utilise Linux sur tous ses produits. De nombreuses petites entreprises allemandes, utilisent leurs produits.
toNNio
C’est scandaleux ! J’ai un Redmi Note 8…Quelles sont les solutions ? (à part le mettre à la poubelle…)
Fatima
Je rappel que la majorité des iPhones et Appareils Android ,les données transit dans les serveurs états-uniens et vos données sont analysés que se soit pour le gouvernement usa ou sociétés privées, mais apparemment sa dérange peu de monde depuis des années .<br /> Apple et Microsoft inclus
Goodbye
C’est vrai, mais c’est pas le même chiffrement quand même
loracle
C’est ce qui se passe quand on met tous les œufs dans le même panier, que ça soit au niveau de la Chine ou les Etats-unis, il est temps que ça change.
Fulmlmetal
Si on devait arrêter une marque parce qu’ils nous espionnent on n’achèterai plus rien.<br /> Google nous espionnent et nous traque, Microsoft nous espionne, Apple, Huawei, Xiaomi, et tous les autres aussi. Faut pas rêver. Les américains sont les champions de l’espionnage, meme envers leur allié, ne croyez pas que les chinois et les russes sont les seuls.<br /> A partir du moment où on met les pieds dans les réseaux on est surveillé, tracé, identifié, analysé. Arrêtez d’être naif en faisant croire que vous découvrez ça.
kellog89
Install une autre Rom
toNNio
Merci pour cette info très pertinente. On va commencer par le rooter…
soaf78
C’est vrai que la NSA, le fsb et la dgsi ne le font pas
soaf78
Si tu lis l’article, seuls les browsers de la marque sont concernés
toNNio
C’est vrai que la Gendarmerie Royale du Canada a rapidement mis fin aux activités de Phantom Secure qui vendait des Blackberry modifiés. Et nos chers dirigeants,…c’est quoi leur marque préférée ?
Blap
Au premier demarrage du telephone on te demande clairement si tu veux de ce truc, c’est beaucoup de drama pour pas grand chose (meme s’il faut pas oublier que ca reste de la m*rde), au moins ils laissent le choix au contraire des autres.<br /> Tu peux d’ailleurs le desactiver/activer a tout moment dans les preferences.
Bombing_Basta
Tu désactives l’envoie de données à Xiaomi…<br /> Frandroid – 1 May 20<br /> Quand la collecte de données fait tache sur les smartphones Xiaomi : abusive,...<br /> Un expert en cybersécurité vient de mettre le doigt sur plusieurs failles de sécurité dans la collecte de données sur les smartphones Xiaomi. Les données seraient transférées via un chiffrement partiel laisseraient des informations visibles qui...<br /> 1200×777 79.8 KB<br /> Il faut aller dans Paramètres &gt; Mots de passe et sécurité &gt; Paramètres de confidentialité &gt; Programme d’expérience utilisateur<br />
Zakalwe
J’ai déconseillé les mobiles chinois. Si il était montré qu’Apple faisait la même chose, ce serait un gros choc pour certains. Ouéoué est en train de montrer qu’il est possible de se débarrasser du playstore. On se rappelle qu’Android est un logiciel libre et donc n’a pas besoin de gogole…
Bombing_Basta
Je ne le répèterai jamais assez, quand on veut un système où l’on est maitre de ses données, de son matériel, de ses applications, on ne choisit pas un système qui est basé sur l’exact opposé.<br /> Bref, on n’a que ce que l’on choisit, et si’lon choisit les GAFAM, faut pas venir pleurer ensuite.<br /> Xiaomi n’est qu’un GAFAM chinois qui se sert de l’outil d’un GAFAM américain.<br /> Maintenant si vous voulez vraiment une vie privée, une non obsolescence logicielle programmée, et la liberté de mettre ce que vous voulez sur vos appareil, bah optez du matos et du logiciel [réellement] libre.
Bombing_Basta
Qui te dit qu’i n’y a pas des backdoors dans les micrologiciel closed source indispensables pour faire tourner le hardware de ton matos rooté et romé?<br /> Ces micrologiciels, seul le fabriquant du smartphone peut les fournir.<br /> La seule solution, c’est du matos libre et du logiciel 100% libre pour tout driver, de la puce à l’OS.
Strat0s
cool ca moi qui voulait en commander un pour changer mon vieux oneplus5T qui est tout cassé. Avec toute cette histoire il sera peut etre encore moins cher
loracle
Faut arrêter de nier l’évidence, nos données seront récoltées qu’ont le veuillent ou non, point barre.
Pernel
Parce que tu penses que les autres sont mieux ?<br /> MicroSoft, Google, Apple, NVidia, Facebook, Twitter etc.
KlingonBrain
Maintenant si vous voulez vraiment une vie privée, une non obsolescence logicielle programmée, et la liberté de mettre ce que vous voulez sur vos appareil, bah optez du matos et du logiciel [réellement] libre.<br /> Tout à fait.<br /> Tant qu’on acceptera des machines ou la communauté ne peut pas contrôler facilement ce qui tourne dessus, on ne pourra jamais s’assurer que notre vie privée est respectée.<br /> Le logiciel libre est la seule voie réaliste, au moins pour tout ce qui est système.
oudiny
Les amerloques c’est nos copains pas les chinois semble t il ^^<br /> Et puis les amerloques vivent dans une démocratie pas les chinois !
oudiny
Mouaaaahhhh … ahhhh merci l’ami j’ai bien rit ça fait du bien dans le contexte actuel … je suis fan
GRITI
Il n’y a qu’une solution:<br /> image794×653 253 KB<br /> Framboise 314, le Raspberry Pi à la sauce française.... – 28 Apr 14<br /> PiPhone un téléphone portable à base de Raspberry Pi - Framboise 314, le...<br /> Vous en avez rêvé ? Il l'a fait ! Sur le blog de David HUNT, vous trouverez la description de ce smartphone DIY (Do It Yourself = Fézitoimême). David a<br />
bmustang
tous les produits connectés chinois sont bannir des territoires qui protègent et défendent la liberté.
Luke
Et si au lieu d’utiliser le navigateur natif, surfer sur le réseau Tor ne pourrait-il pas solutionner le problème de la collecte de données tout en conservant l’anonymat ? …
mcbenny
Je pense qu’il y a un petit glissement sémantique de certains qui mène droit à la paranoia…<br /> Les GAFAM ne nous « espionnent » pas.<br /> Les GAFAM veulent faire du fric. Pour ça ils ont besoin de connaître leurs utilisateurs =&gt; les GAFAM observent les actions de chacun, pas de manière particulièrement nominative, cela n’a que peu d’intérêt, et en tirent des conclusions sur des comportements, des préférences, des choses qu’on est prêts à faire ou pas.<br /> A partir de là, ils conçoivent des produits, services, systèmes qui servent leurs intérêts financiers.<br /> Les états, eux, ont un intérêt à nous « espionner ». L’état cherche généralement à contrôler ses citoyens, donc savoir ce que chacun fait devient un outil de contrôle possible. S’ils peuvent le faire, cela ne signifie pas pour autant qu’ils le font ou qu’ils le font en permanence, sur toute leur population.<br /> Au final, la collecte de données peut servir les GAFAM et les états mais ce n’est tout de même pas la même chose.
Blues_Blanche
Le problème c’est qu’il n’y a pas de sanction. Une interdiction stricte de vente en Europe pendant 1 an, l’obligation de mettre en conformité et une loi qui interdise l’utilisation des données sans contrôle et autorisation pour une durée limitée.
jeroboam64
Ça m’intéresse installer une nouvelle room, a.tu une.adresse ou télécharger le fichier<br /> Merci par avance
jlee
infos parue depuis le 1 et qui a déjà été pris en charge par xiaomi<br /> Android 237 – 1 May 20<br /> Des révélations extrêmement inquiétantes sur la collecte de données à partir...<br /> Xiaomi également dans le collimateur de Washington ?<br />
Peter_Vilmen
Non, plus les utilisateurs seront sensibles à la question, et plus les experts en cyber sécurité veilleront, et plus les utilisateurs pourront se tourner vers des fabricants respectueux de la vie privée.
Peter_Vilmen
Ils sont probablement mieux. Microsoft ne pompe pas toutes tes photos, vidéos et tout ton historique de navigateur sans ton autorisation. Ici Xiaomi prend tout ce qu’il veut que tu lui donne ton autorisation ou non.
lightness
Forcément, a Partir du moment où un grand groupe touche 7 milliards au détriment d’un autre un chercheur en cybersecurité lui cherche des noises. Et tout le monde ressort la même chose : je jette mon smartphone, il va être moins, ça arrive chez les autres aussi. Bon reprenons : le type fait son boulot pour une société roumaine (supposons une division d’avast), le smartphone à une faille même plusieurs sur ces navigateurs car il vend des infos bah oui comme tout les sites internet que vous visitez, MSN, M6, Clubic, touslesdrivers… (ce qui est inhérent à leur régie publicitaire pas à eux au passage) en plus de l’antivirus que vous utilisez (qui vend vos infos à des sociétés tiers afin de créer des nouveaux virus, ce qui n’est pas vrai bien entendu)… Enfin bref et même en désactivant le partage d’informations vous continuerez de les partager pour la NSA ou le FBI, le ministère de la défense. Alors finalement pas de quoi s’affoler nous sommes toutes et tous des moutons.
kellog89
Me promener avec un raspberry pi à l’oreille, ça me ferait un peu bizarre qd même
chaton51
et tu paieras ton smartphone 2 500 euros
sharky172
D’après ce que je comprends Xiaomi fait de la collecte de données mais en respectant les législation locales. Donc la meilleur solution pour être tranquille est de bien installer la ROM officielle en version EEA (version européenne respectant la RGPD), et d’utiliser un navigateur alternatif à celui par défaut comme Firefox.
loracle
Salut, faudrait voir si ton smartphone est compatible:<br /> https://download.lineageos.org/
loracle
Fabricants respectueux ça n"existe pas.
toNNio
Effectivement, j’ai la version GLOBAL et non la EEA. Merci
Bombing_Basta
C’est sensé être une blague ou tu es vraiment si peu informé sur les offres alternatives existantes en terme de hardware et software?
toNNio
Merci de l’info pertinente ! J’ai vérifié et les deux curseurs étaient déjà OFF, sans doute parce que lors de la mise en service, j’ai refusé le partage d’information. Quant au Navigateur MIUI11, il est définitivement désactivé.
Bombing_Basta
toNNio:<br /> sans doute parce que lors de la mise en service, j’ai refusé le partage d’information<br /> C’est la moindre des choses, du sens commun, que malheureusement beaucoup de gens sont incapables d’appréhender, cliquant oui sur tout et n’importe-quoi sans même réfléchir à pourquoi ils le font et ce que ça peut entrainer derrière.<br /> Depuis la mise en place de la RGPD par exemple, si un site ne me permet pas de refuser les cookies, et ce de manière simple (et non pas une liste de 150 fournisseurs à refuser un par un ou pire des liens vers des sites externes), bah je ne le visite pas/plus. Certains cliquent sur accepter comme des robots.
jyg06
Tous les services de renseignement de la planète nous espionne en permanence et d’une nettement plus agressive pour le respect de la vie privé alors arrêter de geindre.<br /> D’autre part impossible de trouver le moindre renseignement sur ce Gabi Cirlig : étrange ?
Pernel
Pas vraiment non, pas pire mais pas mieux, surtout quand tu te penches sur le cas ici présent, c’est un faux problème, si tu n’acceptes pas la collecte (chose qu’on te demande en premier au passage), alors il n’y a aucun souci, c’est pareil avec Windows par exemple (mais c’est pas chinois, donc c’est mieux …)
GRITI
jyg06:<br /> Gabi Cirlig<br /> Pour ceux qui ont un compte linkedin, ça doit être lui:<br /> image939×198 24.9 KB<br />
nordic16
Tout à fait et d’ailleurs qui encore aujourd’hui peut croire en la « gratuité » totale de logiciels ou d’un fureteur et son service de recherche, les entreprises les fournissant devant se financer si elles veulent vivre et continuer d’offrir leur service. Si elles ne se font payer par abonnements n’affichent de la publicité elles accaparent nos données personnelles qu’elles revendent par la suite. Remplacer les entreprises américaines ou chinoises par des françaises n’y changera absolument rien pour vivre elles devront faire comme les autres.
Nyzen
" A quand une réindustrialisation de nos pays européens, et une indépendance technologique? "<br /> Y’en aura une quand la main d’oeuvre française et les prélèvements obligatoires de nos entreprises s’aligneront sur les pays du tiers-monde. C’est à dire jamais.
SPH
… jusqu’à ce qu’on trouve d’autres espionnages
MOB59
Vous êtes niais à ce point, tous les produits Us que vous achetez (soft ou hard) sont concernés aussi par ce genre de méthode.
oudiny
bienvenue parmis nous Luke
Luke
Merci
Styxou
Un peu en retard mais je laisse ça là au cas où.<br /> C’ets un peu limite de comparer la Chine aux Etats-Unis, oui les deux pratiquent l’espionnage (c’est évident pour la Chine en Chine et en dehors de la Chine, l’expérience dans cet article le prouve malgré les dénégations ridicules du constructeur ; et ça l’est aussi pour les Etats-Unis comme l’a montré Snowden), MAIS, il faut quand même se rendre compte que d’un côté on a une démocratie, imparfaite comme toutes les démocraties, et de l’autre une dictature !<br /> Si vous aviez de la famille en Chine vous comprendriez peut-être mieux ! Vous pouvez ouvrir un blog et critiquer ouvertement le président américain, bah vous n’allez pas être interdit d’entrée sur le territoire américain. Mais si vous faites la même chose sur le président chinois, bah vous risquez fortement d’être arrêté à l’aéroport et de disparaître quelques semaines. Votre famille sera menacée et vous devrez arrêter d’écrire sur la politique chinoise.<br /> Alors non ! C’est pas exactement la même chose !
Voir tous les messages sur le forum

Actualités du moment

EasyDK : la plateforme Cloud multimédia désormais accessible sur Raspberry Pi
Pack Samsung : Smart TV QLED 4K UHD 65
La NASA a besoin de vos cerveaux pour aider à sauver la faune sous-marine
Le Samsung Galaxy Z Flip aura bien un triple module photo
Sonos : la Playbar préparerait son grand retour
Apple retire discrètement le serveur web Zoom caché via une mise à jour sur Mac
Black Friday Amazon : Microsoft Surface Pro 7 à 799€ au lieu de 1069€
Comment régler les couleurs de son écran PC ?
4 techniques simples pour nettoyer son PC
Alimentation de 850 W pour le multi-GPU chez Corsair
Haut de page