Quand vous naviguez sur le Web à partir d’un smartphone Xiaomi, vous n’êtes pas tout seul. Selon Forbes, les chercheurs en sécurité Gabi Cirlig et Andrew Tierney ont trouvé que le fabricant collectait en permanence les URLs parcourues par les utilisateurs.
À chaque visite, les navigateurs Mi Browser Pro et Mint Browser envoient un paquet d’informations encodées en base64 vers les serveurs de Xiaomi dans lequel on retrouve l’URL, un identifiant unique et des données techniques sur le terminal. Comme la totalité de l’URL est collectée, l’entreprise chinoise peut même récupérer les mots-clés utilisés dans les recherches. De plus, cette collecte est réalisée même lorsque le mode « Incognito » est activé.
Dans une vidéo YouTube, Andrew Tierney montre comment cette collecte d’URL est réalisée. Selon lui, Xiaomi dépasse clairement les bornes.
« C’est bien pire que tous les navigateurs grand public que j’ai vus. Beaucoup d’entre eux collectent des données, mais c’est pour analyser des usages et des plantages. Collecter le comportement du navigateur, y compris les URL, sans consentement explicite et en mode de navigation privée, c’est le pire que l’on puisse faire », estime-t-il auprès de Forbes.
De son côté, Xiaomi réfute toutes ces allégations. Dans une note de blog datée du 2 mai, le fabricant explique que ces données sont collectées pour analyser l’usage des utilisateurs et que cette collecte repose sur le consentement des utilisateurs.
« Nous assurons que tout le processus est anonyme et chiffré », explique l’entreprise chinoise. D’après les chercheurs, toutefois, cet anonymat est loin d’être garanti dans la mesure où chaque visite est liée à un identifiant unique.
Deux jours plus tard, Xiaomi a finalement fait une (petite) concession en introduisant une option de « collecte de données agrégées » pour le mode Incognito de ses navigateurs web.
Mais là encore, les chercheurs estiment que ce n’est pas assez, car l’agrégation des données devrait être la règle pour toutes les visites, que ce soit en mode Incognito ou pas.
Enfin, cette collecte d’URL n’est qu’un aspect des choses. Selon les chercheurs, Xiaomi surveille également l’usage des applications. À chaque fois qu’une application est ouverte ou qu’un dossier est consulté, un paquet d’informations est envoyé vers des serveurs de Xiaomi sur lesquels était installé un logiciel de tracking comportemental édité par la société chinoise Sensors Data.
Un porte-parole de Xiaomi a néanmoins précisé que les données collectées n’étaient pas partagées avec Sensors Data ou une autre entreprise.
Ce n’est pas la première fois que Xiaomi est épinglé pour la sécurité. En 2016, un hacker avait détecté une backdoor dans une application d’analyse installée sur les smartphones de ce fabricant. Cette porte dérobée permettait d’installer n’importe quel logiciel à distance.