Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Des chercheurs préviennent que Xiaomi a enregistré les habitudes de millions d'utilisateurs
    Des chercheurs préviennent que Xiaomi a enregistré les habitudes de millions d'utilisateurs,
    aussi bien lorsqu'ils allaient sur le web que lorsqu'ils se servaient de leur dispositif

    Parlant de son Xiaomi Redmi Note 8, Gabi Cirlig a déclaré : « c'est une porte dérobée avec des fonctionnalités de téléphone », ironise Gabi Cirlig à propos de son nouveau téléphone. Il s’est entretenu avec des médias après avoir découvert que son smartphone Redmi Note 8 regardait une grande partie de ce qu'il faisait sur son écran. Ces données étaient ensuite envoyées à des serveurs distants hébergés par une autre grande enseigne chinoise de technologie, Alibaba, qui étaient ostensiblement loués par Xiaomi.

    Le chercheur chevronné en cybersécurité a découvert qu'une quantité inquiétante de son comportement était suivie, tandis que divers types de données sur les appareils étaient également collectés, laissant Cirlig imaginer que son identité et sa vie privée pouvaient être exposées à la société chinoise.

    Lorsqu'il a parcouru le Web depuis le navigateur Xiaomi par défaut de l'appareil, l’appareil a enregistré tous les sites Web qu'il a visités, y compris les requêtes des moteurs de recherche, que ce soit avec Google ou avec le DuckDuckGo axé sur la confidentialité, et chaque élément consulté sur une fonctionnalité de fil d'actualité du logiciel Xiaomi. Ce suivi semblait se produire même s'il utilisait le mode soi-disant « incognito » privé.


    L'appareil enregistrait également les dossiers qu'il ouvrait et où il se rendait (sur son smartphone), y compris la barre d'état et la page des paramètres. Toutes les données étaient regroupées et envoyées à des serveurs distants à Singapour et en Russie, bien que les domaines Web qu'ils hébergeaient étaient enregistrés à Pékin.

    Pour vérifier ses assertions, Forbes a demandé au chercheur en cybersécurité Andrew Tierney de mener son enquête. Ce dernier a également découvert que les navigateurs fournis par Xiaomi sur Google Play - Mi Browser Pro et Mint Browser - collectaient les mêmes données. Ensemble, ils ont plus de 15 millions de téléchargements, selon les statistiques de Google Play.

    Beaucoup plus de millions de personnes sont susceptibles d'être affectées par ce que Cirlig a décrit comme un grave problème de confidentialité, bien que Xiaomi ait nié l'existence d'un problème. Avec une capitalisation boursière de 50 milliards de dollars, Xiaomi est l'un des quatre principaux fabricants de smartphones au monde en termes de part de marché, derrière Apple, Samsung et Huawei. Les plus grandes ventes de Xiaomi lui parviennent de ses appareils d’entrée et milieu de gamme qui apportent de nombreuses fonctionnalités présentées par des smartphones haut de gamme. Mais pour les clients, ce faible coût pourrait avoir un prix élevé : leur vie privée.

    Cirlig pense que les problèmes affectent beaucoup plus de modèles que celui qu'il a testé. Il a téléchargé le firmware d'autres téléphones Xiaomi, y compris les appareils Xiaomi MI 10, Xiaomi Redmi K20 et Xiaomi Mi MIX 3. Il a ensuite confirmé qu'ils avaient le même code de navigateur, ce qui l’a conduit à penser qu'ils ont les mêmes problèmes de confidentialité.

    Et il semble y avoir des problèmes avec la façon dont Xiaomi transfère les données vers ses serveurs. Bien que la société chinoise ait affirmé que les données étaient chiffrées lors de leur transfert dans le but de protéger la vie privée des utilisateurs, Cirlig a découvert qu'il était en mesure de voir rapidement ce qui était transféré de son appareil en décodant un bloc d'informations qui était caché avec une forme d’encodage facilement décodable (il s’agissait notamment de base64). Il a fallu quelques secondes à Cirlig pour transformer les données tronquées en morceaux d'informations lisibles.

    « Ma principale préoccupation pour la confidentialité est que les données envoyées à leurs serveurs peuvent être très facilement corrélées avec un utilisateur spécifique », a averti Cirlig.


    La réponse de Xiaomi

    En réponse à ses affirmations et résultats, Xiaomi a déclaré: « les allégations de recherche sont fausses » et « la confidentialité et la sécurité sont des préoccupations majeures», ajoutant qu'il « suit strictement et est pleinement conforme aux lois et règlements locaux sur les questions de confidentialité des données des utilisateurs ». Mais un porte-parole a confirmé qu'il collectait des données de navigation, affirmant que les informations étaient anonymisées et n'étaient liées à aucune identité. Il a indiqué que les utilisateurs avaient consenti à un tel suivi.

    Mais, comme l'ont souligné Cirlig et Tierney, ce n'est pas seulement le site Web ou la recherche Web qui a été envoyé au serveur. Xiaomi collectait également des données sur le téléphone, y compris des numéros uniques pour identifier l'appareil spécifique et la version Android. Cirlig a déclaré que ces « métadonnées » pourraient « être facilement corrélées avec un humain réel derrière l'écran ».

    Le porte-parole de Xiaomi a également nié que les données de navigation soient enregistrées en mode navigation privée. Cependant, Cirlig et Tierney ont découvert dans leurs tests indépendants que leurs habitudes Web étaient envoyées à des serveurs distants, quel que soit le mode de navigation du navigateur, fournissant des photos et des vidéos comme preuve.

    Lorsque Forbes a fourni à Xiaomi une vidéo réalisée par Cirlig montrant comment sa recherche Google pour « porno » et une visite sur le site PornHub ont été envoyées à des serveurs distants, même en mode incognito, le porte-parole de la société a continué de nier que les informations étaient enregistrées . « Cette vidéo montre la collecte de données de navigation anonymes, qui est l'une des solutions les plus couramment adoptées par les sociétés Internet pour améliorer l'expérience globale des produits de navigation en analysant les informations non personnellement identifiables », a-t-il assuré.


    Cirlig et Tierney ont déclaré que le comportement de Xiaomi était plus invasif que d'autres navigateurs comme Google Chrome ou Apple Safari. « C'est bien pire que tous les navigateurs grand public que j'ai vus », a déclaré Tierney. «Beaucoup d'entre eux prennent des données pour analyse, mais il s'agit d'analyse sur une utilisation qui a conduit à un plantage. Prendre le comportement du navigateur, y compris les URL, sans consentement explicite et en mode de navigation privée, est le plus mauvais comportement possible ».

    Cirlig soupçonnait également que son utilisation d’applications était surveillée par Xiaomi, car chaque fois qu'il ouvrait une application, un bloc d'informations était envoyé à un serveur distant. Un autre chercheur qui avait testé des appareils Xiaomi, mais qui était sous accord de non-divulgation quant à une discussion ouverte sur la question, a déclaré qu'il avait vu le téléphone du fabricant recueillir de telles données. Xiaomi n'a pas répondu aux questions à ce sujet.

    « Analytique comportementale »

    Xiaomi semble avoir une autre raison de collecter les données : pour mieux comprendre le comportement de ses utilisateurs. Il utilise les services d'une société d'analyse comportementale appelée Sensors Analytics. La start-up chinoise, également connue sous le nom de Sensors Data, a levé 60 millions de dollars depuis sa création en 2015, plus récemment 44 millions de dollars dans une ronde dirigée par la société de capital-investissement new-yorkaise Warburg Pincus, qui a également bénéficié d'un financement de Sequoia Capital China. Comme décrit dans Pitchbook, un outil de suivi du financement des entreprises, Sensors Analytics est un « fournisseur d'une plateforme d'analyse approfondie du comportement des utilisateurs et de services de conseil professionnels ». Ses outils aident ses clients à « explorer les histoires cachées derrière les indicateurs en explorant les comportements clés des différentes entreprises ».

    Cirlig et Tierney ont découvert que leurs applications Xiaomi envoyaient des données à des domaines qui semblaient faire référence à Sensors Analytics, y compris l'utilisation répétée de SA. Lorsque vous cliquez sur l'un des domaines, la page contient une phrase: « Sensors Analytics est prêt à recevoir vos données! »

    Le porte-parole de Xiaomi a confirmé la relation avec la startup: « Alors que Sensors Analytics fournit une solution d'analyse de données pour Xiaomi, les données anonymes collectées sont stockées sur les propres serveurs de Xiaomi et ne seront pas partagées avec Sensors Analytics, ou toute autre société tierce ».

    C’est la deuxième fois en deux mois qu’une grande entreprise de technologie chinoise observe les habitudes téléphoniques des utilisateurs. Une application de sécurité avec un navigateur «privé» conçue par Cheetah Mobile, une société publique cotée à la Bourse de New York, a été surprise en train de collecter des informations sur l'utilisation du Web, les noms des points d'accès Wi-Fi et des données plus granulaires comme la façon dont un utilisateur fait défiler les pages Web. Cheetah a fait valoir qu'il devait collecter les informations pour protéger les utilisateurs et améliorer leur expérience.

    Plus tard dans ses recherches, Cirlig a également découvert que l'application de lecteur de musique de Xiaomi sur son téléphone collectait des informations sur ses habitudes d'écoute: quelles chansons étaient jouées et quand. Le message était clair pour le chercheur: lorsque vous écoutez, Xiaomi écoute aussi.

    Source : Forbes

    Et vous ?

    De quel(s) smartphone(s) disposez-vous ?
    Quels sont les critères qui vous encouragent à en acheter un ?
    Avez-vous déjà utilisé le Xiaomi Redmi Note 8 ? Qu'en pensez-vous ?
    Que pensez-vous de ces allégations ? La réponse de Xiaomi vous semble-t-elle rassurante ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Chroniqueur Actualités

    Xiaomi met à jour ses navigateurs Mi Browser et Mint pour permettre de désactiver la collecte de données
    Xiaomi met à jour ses navigateurs Mi Browser et Mint pour permettre de désactiver la collecte de données en navigation privée,
    après avoir été accusé d'espionner ses utilisateurs

    Parlant de son Xiaomi Redmi Note 8, Gabi Cirlig a déclaré : « c'est une porte dérobée avec des fonctionnalités de téléphone », ironise Gabi Cirlig à propos de son nouveau téléphone. Il s’est entretenu avec des médias après avoir découvert que son smartphone Redmi Note 8 regardait une grande partie de ce qu'il faisait sur son écran. Ces données étaient ensuite envoyées à des serveurs distants hébergés par une autre grande enseigne chinoise de technologie, Alibaba, qui étaient ostensiblement loués par Xiaomi.

    Le chercheur chevronné en cybersécurité a découvert qu'une quantité inquiétante de son comportement était suivie, tandis que divers types de données sur les appareils étaient également collectés, laissant Cirlig imaginer que son identité et sa vie privée pouvaient être exposées à la société chinoise.

    Lorsqu'il a parcouru le Web depuis le navigateur Xiaomi par défaut de l'appareil, l’appareil a enregistré tous les sites Web qu'il a visités, y compris les requêtes des moteurs de recherche, que ce soit avec Google ou avec le DuckDuckGo axé sur la confidentialité, et chaque élément consulté sur une fonctionnalité de fil d'actualité du logiciel Xiaomi. Ce suivi semblait se produire même s'il utilisait le mode soi-disant « incognito » privé.

    Le chercheur en cybersécurité Andrew Tierney a lui aussi mené son enquête. Ce dernier a également découvert que les navigateurs fournis par Xiaomi sur Google Play - Mi Browser Pro et Mint Browser - collectaient les mêmes données. Ensemble, ils ont plus de 15 millions de téléchargements, selon les statistiques de Google Play.


    « Ma principale préoccupation pour la confidentialité est que les données envoyées à leurs serveurs peuvent être très facilement corrélées avec un utilisateur spécifique », a précisé Cirlig.

    Un porte-parole de Xiaomi a réfuté l'allégation selon laquelle les données de navigation soient enregistrées en mode navigation privée. Cependant, Cirlig et Tierney ont découvert dans leurs tests indépendants que leurs habitudes Web étaient envoyées à des serveurs distants, quel que soit le mode de navigation du navigateur, fournissant des photos et des vidéos comme preuve.

    Lorsqu'une vidéo réalisée par Cirlig montrant comment sa recherche Google pour « porno » et une visite sur le site PornHub ont été envoyées à des serveurs distants, même en mode incognito, a été fournie à Xiaomi, le porte-parole de la société a continué de nier que les informations étaient enregistrées . « Cette vidéo montre la collecte de données de navigation anonymes, qui est l'une des solutions les plus couramment adoptées par les sociétés Internet pour améliorer l'expérience globale des produits de navigation en analysant les informations non personnellement identifiables », a-t-il assuré.


    Cirlig et Tierney ont déclaré que le comportement de Xiaomi était plus invasif que d'autres navigateurs comme Google Chrome ou Apple Safari. « C'est bien pire que tous les navigateurs grand public que j'ai vus », a déclaré Tierney. « Beaucoup d'entre eux prennent des données pour analyse, mais il s'agit d'analyse sur une utilisation qui a conduit à un plantage. Prendre le comportement du navigateur, y compris les URL, sans consentement explicite et en mode de navigation privée, est le plus mauvais comportement possible ».

    Et il semble y avoir des problèmes avec la façon dont Xiaomi transfère les données vers ses serveurs. Bien que la société chinoise ait affirmé que les données étaient chiffrées lors de leur transfert dans le but de protéger la vie privée des utilisateurs, Cirlig a découvert qu'il était en mesure de voir rapidement ce qui était transféré de son appareil en décodant un bloc d'informations qui était caché avec une forme d’encodage facilement décodable (il s’agissait notamment de base64). Il a fallu quelques secondes à Cirlig pour transformer les données tronquées en morceaux d'informations lisibles.

    Depuis, le constructeur a déployé une mise à jour de ses navigateurs pour permettre aux utilisateurs de désactiver la collecte de données « anonymes », en navigation privée uniquement. Mais elle n’est pas active par défaut et nécessite de parcourir les paramètres pour la trouver.

    Dans un billet de blog détaillant l'évolution de sa réponse, Xiaomi a d'abord indiqué le 3 mai 2020 :

    « Nous aimerions exprimer notre appréciation pour l’engagement des chercheurs, la discussion passionnée et constructive.

    « Compte tenu de notre objectif de fournir des services et des produits sécurisés de classe mondiale à tous les utilisateurs, notre prochaine mise à jour du logiciel Mint Browser et Mi Browser comprendra une option en mode navigation privée pour tous les utilisateurs des deux navigateurs pour activer / désactiver la collecte de données agrégées, dans un effort pour renforcer encore le contrôle que nous accordons aux utilisateurs sur le partage de leurs propres données avec Xiaomi. Les mises à jour logicielles seront soumises à Google Play pour approbation dans la journée (3 mai, GMT + 8).

    « Nous pensons que cette fonctionnalité, combinée à notre approche de conservation des données agrégées sous une forme non identifiable, va au-delà de toute exigence légale et démontre l'engagement de notre entreprise envers la confidentialité des utilisateurs.

    « Comme toujours, Xiaomi invite les utilisateurs à participer au développement et à l'avancement de nos produits. Écouter les commentaires des utilisateurs et les laisser participer à l'avenir de Xiaomi a été au cœur de notre entreprise depuis le début ».

    Puis aujourdhui, Xiaomi a indiqué que l'outil était déjà disponible :

    « les mises à jour logicielles sont disponibles pour nos produits de navigation, notamment Mi Browser préchargé, Mi Browser Pro sur Google Play et Mint Browser sur Google Play.

    « Les dernières versions sont: Mi Browser / Mi Browser Pro (v12.1.4) et Mint Browser (v3.4.3).

    « Ces mises à jour logicielles incluent une option en mode navigation privée pour tous les utilisateurs des deux navigateurs pour activer / désactiver la collecte de données agrégées.

    « Nous vous remercions tous pour votre attention, vos suggestions et votre dévouement au cours des derniers jours afin d'améliorer encore l'expérience utilisateur globale de nos produits et services ».

    Source : Xiaomi

    Et vous ?

    Que pensez-vous de cette réponse de Xiaomi ?
    Avez-vous déjà utilisé l'un de ses navigateurs ? Qu'en pensez-vous ?

    Voir aussi :

    Des chercheurs préviennent que Xiaomi a enregistré les habitudes de millions d'utilisateurs, aussi bien lorsqu'ils allaient sur le web que lorsqu'ils se servaient de leur dispositif
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  3. #3
    Candidat au Club
    J'aimerais qu'on m'explique...
    J'aimerai qu'on m'explique la différence entre ce que fait Xiaomi, et, par exemple Facebook ? Le fait que Xiaomi nous piste à notre insu serait plus critiquable que Facebook ou autre GAFAM sous prétexte qu'avec eux nous le savons ?

  4. #4
    Membre éprouvé
    Citation Envoyé par skaarj Voir le message
    J'aimerai qu'on m'explique la différence entre ce que fait Xiaomi, et, par exemple Facebook ? Le fait que Xiaomi nous piste à notre insu serait plus critiquable que Facebook ou autre GAFAM sous prétexte qu'avec eux nous le savons ?

    facebook est américain....
    Aillez le courage de justifier vos -1.
    http://www.laboiteaprog.com/ - http://www.solutions-norenda.com/

  5. #5
    Membre extrêmement actif
    Citation Envoyé par Stéphane le calme Voir le message
    Lorsqu'il a parcouru le Web depuis le navigateur Xiaomi par défaut de l'appareil, l’appareil a enregistré tous les sites Web qu'il a visités, y compris les requêtes des moteurs de recherche, que ce soit avec Google ou avec le DuckDuckGo axé sur la confidentialité, et chaque élément consulté sur une fonctionnalité de fil d'actualité du logiciel Xiaomi. Ce suivi semblait se produire même s'il utilisait le mode soi-disant « incognito » privé.
    Je suis déçu de voir que des entreprises chinoises se comportent comme Microsoft, Google, Apple, Facebook, etc.
    Les entreprises aspirent, vendent et achètent des données privées.
    Keith Flint 1969 - 2019

  6. #6
    Futur Membre du Club
    Si Xiaomi ne se vante pas de la liberté de nos données ce qu'il le font. C'est devenu basique d'utilisé les données utilisateurs, au point que ne pas le faire est devenu incroyable et un argument de vente