Malwares dans les smartphones Xiaomi Mi 4 ? Méfiez-vous des contrefaçons

Accusé la semaine dernière par l'expert en sécurité Bluebox de mettre à mal la sécurité des utilisateurs de son smartphone Mi4, le constructeur chinois Xiaomi a clarifié la situation : non, ses terminaux ne cachent pas de malwares. Les modèles testés étaient des contrefaçons !

Parfois, les smartphones contrefaits sont tellement crédibles que même les experts en sécurité s'y laissent prendre : l'entreprise Bluebox, spécialisée dans la sécurité des données mobiles, en a fait les frais ces jours-ci.

Bluebox a publié la semaine dernière un rapport dans lequel elle accusait Xiaomi de vendre des terminaux Mi4 embarquant des malwares, cachés dans des applications prenant l'apparence de services Google. Au programme, des adwares visant à contrôler les publicités affichées sur les smartphones, et des chevaux de Troie permettant à des pirates d'avoir la main sur certaines fonctions des téléphones. Rien de bien réjouissant pour les utilisateurs du Mi4, ni pour Xiaomi qui a rapidement annoncé le lancement d'une enquête, soupçonnant au passage Bluebox d'avoir fait ses tests sur une contrefaçon.

« Une excellente contrefaçon »

Parmi les points problématiques dès le départ pour Xiaomi : le terminal utilisé par Bluebox était rooté, ce qui n'est pas le cas des modèles vendus par le fabricant. L'autre hypothèse évoquée penchait vers une modification logicielle opérée entre la réception du téléphone par le détaillant et sa revente au public.

La conclusion est arrivée le 8 mars : le smartphone utilisé par Bluebox était bien un faux. « L'appareil est une contrefaçon, vraiment excellente » explique l'expert, citant les représentants de Xiaomi. L'application de vérification du constructeur a même été « trompée en premier lieu » par ce terminal imitant le Mi 4 presque à la perfection.

Il a donc fallu aller en profondeur dans le logiciel et le matériel utilisés dans le smartphone pour déterminer son origine. Le numéro IMEI relevé l'avait déjà été dans d'autres contrefaçons, et la version d'Android utilisée par Xiaomi, MIUI, n'était pas celle présente dans le terminal.

Des tests au-delà du possible pour l'utilisateur

Bluebox a publié une mise à jour sous la forme d'un mea culpa, mais précise que « l'effort déployé pour authentifier l'appareil va bien au-delà de ce que peut faire un utilisateur normal pour s'assurer que son achat est fiable ». Xiaomi, comme tous les constructeurs, possède des applications qui permettent de tester un smartphone, mais certaines ont été trompées par le terminal contrefait.

L'expert en sécurité en profite donc pour mettre en garde les consommateurs face à des copies de smartphones toujours plus poussées et potentiellement dangereuses pour les acheteurs. Que ces derniers soient au courant ou non qu'ils achètent une contrefaçon, ils doivent aussi avoir conscience des risques encourus quant à la présence potentielle de logiciels malveillants au sein du système d'exploitation. Xiaomi, de son côté, s'est engagé à être plus vigilant concernant la production et la commercialisation de ses terminaux, et compte également revoir les performances de ses logiciels de tests à la hausse.

A lire également : Xiaomi MI4 : le plus redoutable des smartphones chinois ?