Xiaomi se veut rassurant sur sa collecte de données et apporte des réponses - Android

Xiaomi a rapidement réagi à la suite de l'enquête du média Forbes. Point par point, le groupe chinois apporte des réponses via son blog : anonymat, chiffrement et navigation privée.

Xiaomi // Source : Unsplash

Suite à l’enquête de Forbes en collaboration avec un spécialiste en cybersécurité, Xiaomi a pris la décision de réagir via son blog. Pour rappel, l’enquête s’est intéressée au programme de collecte de données des utilisateurs.

Xiaomi collecte en effet des données utilisateurs via son programme d’expérience utilisateur, qui permet à l’entreprise de faire de l’analyse comportementale comme la plupart des constructeurs de smartphones. Cependant, le chercheur en cybersécurité a mis en évidence plusieurs points critiques sur la méthode de collecte : le premier est que la collecte s’effectuerait également en navigation privée sur les navigateurs web, le second point est lié à des informations envoyées dans lesquelles on retrouve certains identifiants qui permettraient de faire le lien entre les informations collectées et les utilisateurs.

Xiaomi contre-attaque

Sur son blog, Xiaomi rappelle son engagement vis-à-vis de la confidentialité de ses utilisateurs, « toutes les données d’utilisation collectées sont basées sur une permission et un consentement donnés explicitement par nos utilisateurs ». Les données collectées sont des données de statistiques d’utilisation (les informations système, les préférences, l’utilisation des fonctionnalités de l’interface utilisateur, la réactivité, les performances, l’utilisation de la mémoire et les rapports de bug). Parmi les exemples donnés, Xiaomi récupère les URL des sites qui se chargent trop lentement. Ces données sont uniquement récupérées si vous êtes connecté avec votre compte Mi et que vous avez donné votre consentement dans les paramètres du smartphone (on vous explique comment gérer ces paramètres dans notre article).

Il faut aller dans Paramètres > Mots de passe et sécurité > Paramètres de confidentialité > Programme d’expérience utilisateur

Des réponses à tous les points abordés par le spécialiste en cybersécurité

Xiaomi explique qu‘il génère des identifiants uniques aléatoires qui ne permettent pas de faire le lien avec un individu (sous le terme de UUID ce qui peut être troublant). Ces données seraient d’ailleurs envoyées sur les serveurs de Xiaomi et non directement à son partenaire Sensor Analytics. Pour justifier cela, Xiaomi a même posté des morceaux de son code utilisé pour la collecte. Dans le code ci-dessous, l’UUID serait ainsi généré aléatoirement par une fonction dédiée. Les données sont ensuite transmises via un protocole sécurisé HTTPS avec un chiffrement TLS 1.2. Pour la navigation privée, Xiaomi explique que les données ne sont pas collectées dans ce mode de navigation web, toujours en apportant la preuve avec un bout de code.

L’UUID généré serait aléatoire // Source : Xiaomi

Pour terminer, Xiaomi rappelle encore une fois l’importance de ce sujet pour l’entreprise, quatre certifications ont d’ailleurs été obtenues via des firmes spécialisées dans la gestion des données personnelles : TrustArc et British Standard Institution (BSI).