Xiaomi accusé de collecter les données de ses utilisateurs, même en navigation privée
Xiaomi est au cœur d'un scandale de sécurité. Selon le site de Forbes, le constructeur chinois récolterait plus de données que nécessaires auprès de ses utilisateurs.
C'est un spécialiste en cybersécurité qui a découvert qu'une quantité inquiétante de données de navigation était happée par le constructeur à travers ses navigateurs Mi Browser Pro et Mint. Pire encore, ces récoltes se font même en navigation privée.
L'appareil enregistrait les pages consultées, les dossiers ouverts ainsi que l'utilisation de certaines applications comme le lecteur de musique. Toutes les données sont ensuite rassemblées et envoyées à des serveurs distants à Singapour ou en Russie, indique la publication.
Bien que Xiaomi affirme que les données sont chiffrées lors de leur transfert, « afin de protéger la vie privée des utilisateurs », le spécialiste s'est aperçu qu'il s'agissait en réalité d'un encodage Base64 facilement lisible. « Ma principale préoccupation en matière de respect de la vie privée est que les données envoyées à leurs serveurs peuvent être très facilement corrélées à un utilisateur spécifique », a-t-il déclaré. L'enquête révèle également que ces données, pas si anonymes que ça donc, sont partagées avec Sensors Analytics, une société d'analyse comportementale.
Contacté par Forbes, Xiaomi réfute totalement ces accusations et indique que « la vie privée et la sécurité sont des préoccupations majeures. » La société affirme être « pleinement conforme avec les lois et règlements locaux sur les questions de confidentialité des données des utilisateurs. » Toutefois, un porte-parole confirme que la société recueille des données de navigation, affirmant que les informations sont anonymes.
Peu après la publication de l'enquête, la société a publié une note dans laquelle elle précise comment et à quel moment les données de ses utilisateurs sont récoltées. L'entreprise a également déployé une mise à jour permettant d'activer ou de désactiver la collecte de données en navigation privée « dans un effort pour renforcer le contrôle que nous accordons aux utilisateurs sur le partage de leurs propres données avec Xiaomi » a-t-elle précisé.
@armandgz123
Mais oui sacrifions notre vie privée contre des smartphones moins cher. C'est typiquement de la stupidité... comme ceux qui disent "Oh je m'en fous, je n'ai rien à cacher". Grâce à tous ces données ont va vous vendre des assurances à la carte si vous prenez des risques, vous prenez plein pot. Bref plus de discrimination.
Si vous n'avez rien à cacher, enlever votre porte, fenêtre, rideau, placard, et on vous filme. La vie privée est un droit fondamental. L'inverse est un moyen de contrôle oppressif.
@victoireviclaux
> Mais oui sacrifions notre vie privée contre des smartphones moins cher.
Chacun est libre de faire ses choix.
Ce n'est pas parce que vous vous ne voulez pas échanger des données personnelles contre un service gratuit ou moins cher que cela vous autorise à décider à la place des autres ce que eux veulent faire ou pas de leurs données personnelles.
> La vie privée est un droit fondamental.
Certes. Mais un autre droit fondamental est celui de pouvoir décider au final si l'on souhaite l'exercer ou pas.
> L'inverse est un moyen de contrôle oppressif.
L'inverse de "la vie privée est un droit fondamental" c'est "la vie publique n'est pas un droit fondamental". Je vois pas en quoi c'est un moyen de contrôle oppressif.
Ce qui l'est c'est de contraindre l'abandon contre son gré d'un droit fondamental.
Mais interdire à quelqu'un qui le souhaite est également oppressif, ironiquement.
@byte_order
Voilà donc en disant que chacun est libre de faire ses choix, tu laisses la porte ouverte à l'entreprise de faire n'importe quoi. C'est au consommateur d'agir et de se renseigner et non à Xiaomi d'être réglo. Bla-bla-bla ! Avec des raisonnements comme ça, tu serais capable de défendre le fabricant de l'eau de javel qui a été bue par un illétré. Il n'avait qu'à apprendre à lire n'est-ce pas ?
@MrTom
> Voilà donc en disant que chacun est libre de faire ses choix,
> tu laisses la porte ouverte à l'entreprise de faire n'importe quoi.
Ah bon ?
Depuis quand défendre l'idée du libre arbitre individuel c'est défendre forcément également la loi de la jungle pour les entreprises !?!
Les entreprises doivent respecter le *droit* à la vie privée, et les consommateurs doivent avoir le droit effectif de l'exercer ou d'accepter d'y renoncer si cela leur convient. Ce sont *leur* vie privée, donc leur choix. Mais qu'on leur laisse, quel qu'il soit.
> tu serais capable de défendre le fabricant de l'eau de javel qui a été bue par un illétré.
> Il n'avait qu'à apprendre à lire n'est-ce pas ?
Le fabricant d'eau javel est tenu d'avoir des symboles indiquant le risque d'ingestion.
Mais il appartient à la personne qui a fait le *choix* d'en boire (comme ces américains qui ont pris le "conseil" de Trump de boire du détergeant...) d'assumer les conséquences de leur choix. En juridique, le concept de responsabilité individuelle ça compte. Y'a pas toujours qu'une seule responsabilité totale d'un côté et rien de l'autre, hein.
L'illétré n'est pas tenu de savoir lire, mais s'il a bu sans savoir ce que signifiait les pictogrammes, le fabricant n'est pas le seul responsable non plus.
Pour revenir à une situation plus raisonnée, ici, l'utilisateur du Xiaomi a consenti à la collecte de données d'utilisation (je me souviens plus si elles sont dites anonymisées ou pas par Xiaomi, mais je sais qu'il y a une demande de permission à lire lors de l'installation initiale, qu'on peu parfaitement refuser - y compris à postériori). Et il fait le surpris que cette collecte à lieu avec le navigateur web préinstallé.
Autant le mode incognito pose problème, l'encodage en base64 aussi, mais le principe même de la collecte, c'est pas caché par Xiaomi, elle est annoncé et soumise à une acceptation volontaire. Faut repositionner le sujet dans la réalité, hein.
@armandgz123
On peut être d’accord avec ton 1), et ton 2), mais ton 3 : no way.
Le seul téléphone qui ne contient que des infos basiques, et à condition qu’on n’écoute pas tes conversations, c’est un dumb phone. Et encore, pas sous Android.
Pas très judicieux comme choix...
Samsung, le meilleur moyen d'avoir une mauvaise impression d'Android et revenir sur iOS en critiquant....
Les applications pénibles, les paramètres dans tous les sens, c'est malheureusement celui qui a le plus de ventes, mais pas le plus représentatif
@Godverdomme
« Pas très judicieux comme choix...
Samsung, le meilleur moyen d'avoir une mauvaise impression d'Android et revenir sur iOS en critiquant.... »
Ben tout a fait et c’est bien le problème.
Merci de le mettre en évidence
Dans le monde android c’est plus difficile de faire le bon choix.
Il faut se donner du mal. Ce que tout le monde n’est pas prêt à faire car les priorités ne sont pas les mêmes.
« Les applications pénibles, les paramètres dans tous les sens, c'est malheureusement celui qui a le plus de ventes, mais pas le plus représentatif »
Ben voilà , pas le mieux mais le mieux vendu.
Ça donne à réfléchir 🤔
Et tu propose quoi comme smartphone sous Android ?
@p@t72
"Et tu propose quoi comme smartphone sous Android ? "
Pour qui ?
Ah ah ah, et ça vous étonne ! 😂
"L'entreprise a également déployé une mise à jour permettant d'activer ou de désactiver la collecte de données en navigation privée"
----------------------
Ah tiens, ben pourquoi ?
Si "La société affirme être « pleinement conforme avec les lois et règlements locaux sur les questions de confidentialité des données des utilisateurs. »"
Bizarre...
@MarcMame
> Ah tiens, ben pourquoi ?
Parce que le dev de Mi Browser testait uniquement si l'option de collecte était on ou off, et peu importe si l'utilisateur était en mode incognito.
> Si "La société affirme être « pleinement conforme avec les lois et règlements locaux
> sur les questions de confidentialité des données des utilisateurs. »"
L'option autorisant la collecte était déjà présente. Mais a priori les gens qui l'autorisent (probablement sans l'avoir lu, mais bon, vu qu'ils n'installent pas d'apps alternatives de navigateur ou de lecteur de musique, ils lisent pas quoi que ce soit, franchement) s'attendent à ce que cela se coupe automatiquement en mode incognito.
Apple disait aussi que le bridage par iOS des performances était pleinement conforme aux lois et réglements, et pourtant cela ne l'a pas empêcher de pousser une modification apportant plus de contrôle et plus de clarté sur ce "mécanisme". Bizarre ?
@byte_order
« le constructeur chinois récolterait plus de données que nécessaires auprès de ses utilisateurs. » oups 🙊
@Krysten2001
Voir mon commentaire plus haut sur ce "nécessaire" qui, selon moi, n'est pas défini.
Mais si la demande d'autorisation affirmait que les données étaient anonymisées, là d'accord.
Je n'ai pas cette information pour l'instant, si vous la trouvez (et pas en recopiant encore et encore la même phrase du même article, qui ne présente aucun détail pour démontrer l'aspect "plus que nécessaire" qui serait illégal), je suis preneur.
@byte_order
« Mais si la demande d'autorisation affirmait que les données étaient anonymisées, là d'accord. » je pensais que votre fils avait ce type de smartphone ? Donc vous devez le savoir 🤔 et regarder aussi l’article de Forbes alors si je ne peux pas vous recopier des extraits du texte
@Krysten2001
> Je pensais que votre fils avait ce type de smartphone ?
Oui. Mais je n'ai pas accès à son téléphone actuellement. Pas avant plusieurs jours.
> regarder aussi l’article de Forbes alors si je ne peux pas vous recopier des extraits du texte
Justement, y'a rien de plus dans l'article source.
@MarcMame
Tu peux être pleinement dans la légalité, tout en collectants les données en navigation privée !
La navigation privée ne privatise pas tes données, elle fait juste en sorte qu’il n’y ai pas d’historique de ta navigation, de tes recherches et des informations en remplissage automatique sur ta machine.
Et tu peux être dans la légalité si tu annonces dans tes conditions d’utilisation et déclarations de confidentialité que tu vas récupérer ces données même en navigation privée.
C’est toute l’ambiguïté du terme « navigation privée » ! Et c’est valable pour la plupart des navigateurs. D’ailleurs Google Chrome t’annonce :
Votre activité peut rester visible par :
Les sites Web que vous consultez
Votre employeur ou votre établissement scolaire
Votre fournisseur d'accès à Internet
Perso je me demande si toutes ces informations ne font pas partie d’une sorte de guerre commerciale venant des États Unis contre la Chine. Huawei hier. Xiaomi aujourd’hui... Histoire de créer une défiance auprès de la clientèle occidentale.
@JCKrow
Je suis du même avis.
@ JCKrow : "je me demande si toutes ces informations ne font pas partie d’une sorte de guerre commerciale venant des États Unis contre la Chine."
-------------
Possible, mais ça ne change strictement rien au fond de l'affaire. Juste à la la forme.
@JCKrow
Information ou pas c’est un fait puisque Xiaomi réagit.
@Seb42
Je ne réagissais pas au fait mais à la manière de le traiter.
@JCKrow
Mais je ne comprends pas ou est le problème ?
Ne me dis pas qu’il ne faut plus critiquer les chinois.
Tu dois quand même te rendre compte qu’ils sont potentiellement très dangereux dans leur manière de procéder.
Qu’est ce que les américains ont avoir la dedans ? Ça n’a rien avoir avec la fameuse micro puce que personne n’a trouvé.
Tu crois vraiment que Huawei est blanc comme neige ?
Tu crois encore qu’ils n’ont eu que 4200 morts du COVID ?
@Seb42
Ah je ne sous estime pas le risque, je me permettais juste d’appréhender ça de manière géopolitique. Pour Huawei, je crois que la réaction américaine a été disproportionnée. Si nous devions réagir comme ça pour toutes les entreprises américaines qui pillent nos données... Mais c’est normal, nos informations sont forcément orientées par l’atlantisme.
Quant au covid, je n’en sais rien, peut être aussi qu’il faut mettre les choses dans leur contexte. A ma connaissance la province touchée par le covid en chine compte 11 millions d’habitants. Proportionnellement, 4200 morts, ce n’est pas incohérent. Le confinement a été autrement mieux gérée que chez nous avec les masques, notamment. Mais je ne tirerai aucune conclusion.
@Seb42
> Ne me dis pas qu’il ne faut plus critiquer les chinois.
> Qu’est ce que les américains ont avoir la dedans ?
Article de source américaine concernant une marque chinoise qui produit, en autre chose, des smartphones, et donc en concurrence avec une marque américaine.
Derrière le blocus de Huawei, y'a autant un soucis de souveraineté que de protectionnisme de Cisco, Apple, hein, faut pas se voiler la face.
@JCKrow
Bravo: quelqu’un qui élève le débat.
@JCKrow
Sans doute mais je penche plutôt vers le fait que les compagnies chinoises n’ont sans doute pas la même relation avec leur gouvernement qu’ici. Voir les déboires avec Stopcovid par exemple.
@iPop
Mouais. En France peut-être, mais les outils que nous utilisons tous les jours sont pour la plupart Américains. Quant est-il des relations de ces entreprises avec le gouvernement et les autorités Américaines? Je crois que c’est pas fameux non-plus. Je ne leur fait pas plus confiance. J’ai plus peur de ce que peuvent faire les américains et leurs vassaux avec mes données que ce que pourrait faire les Chinois franchement. On attise les peurs au final, et je pense, mais je me trompe peut être, que ce n’est pas anodin ni dénué d’une quelconque stratégie commerciale.
Édit: je parle ici de manière générale, pas forcément du cas Xiaomi spécifiquement.
@JCKrow
Idem, je n’ai pas plus confiance aux américains qu’au chinois, ou autre d’ailleurs. Surtout c’est certainement les mêmes qui tirent les ficelles (bon je m’écarte là).
Ben comme par hasard.
De toute manière dès que l’on est connecté on est suivi que ce soit xiaomi, Apple , huawei etc...
Xiaomi prend des part de marché donc les américains dénoncent sur un phénomène qui peut mettre le doute.
Vive la guerre commerciale.
@ Jswat : "De toute manière dès que l’on est connecté on est suivi"
--------------------
Entre ta réponse et celle des "j'ai rien à cacher", la collecte des données a encore des jours magnifiques devant elle.
@MarcMame
Je suis de l’avis de protéger les donnes personnelles. Mais il ne faut pas croire que Apple ne collecte rien juste parce qu’il le dit .
@Jswat
Tu ne penses pas qu’avec une entreprise si exposée on le saurait depuis longtemps ?
Apple connecte des données d’utilisation anonymisées et c’est écrit noir sur blanc à la configuration du produit. Et on peut d’ailleurs refuser.
Pareil pour Siri. Depuis un scandale certes
@Rifilou
> c’est écrit noir sur blanc à la configuration du produit. Et on peut d’ailleurs refuser.
Pareil ici. L'utilisateur n'a juste pas bien fait gaffe.
A la limite, même en laissant cette collecte autorisée, valeur par défaut, le mode incognito devrait en effet être respecté.
Je n'ai pas vu sur le Xiaomi du fiston qu'ils affirmaient que les données étaient anonymisées, mais je regarderais la prochaine fois, tiens.
> Apple connecte des données d’utilisation anonymisées
Vu qu'elle s'en sert pour proposer de la pub ciblée, je vois mal comment elle peut être véritablement anonymisée à 100%. Il faut bien que quelque part Apple soit capable de rapprocher le profil "anonymisé" du compte de l'utilisateur en train de faire une recherche sur l'AppStore...
@byte_order
« Vu qu'elle s'en sert pour proposer de la pub ciblée, je vois mal comment elle peut être véritablement anonymisée à 100%. Il faut bien que quelque part Apple soit capable de rapprocher le profil "anonymisé" du compte de l'utilisateur en train de faire une recherche sur l'AppStore... » lire les règles de l’app store 😉 c’est anonyme
@Krysten2001
> lire les règles de l’app store 😉 c’est anonyme
Euh, j'ai déjà dit que les données collectées étaient anonymisées.
Mais y'a pas que ça que fait Apple avec ces données. Elle est visiblement capable de les rattacher à un compte Apple ID individuel, puisqu'elle lui propose des pubs contextualisées.
Ce rattachement, lui, constitue bien un lien non anonyme : il rattache un profil, certes plus générique, mais à vous, Apple sachant qui est derrière un compte Apple ID.
Que cela reste chez Apple ne change pas le fait qu'Apple dispose bien d'information à caractère personnel sur vous.
@byte_order
« Nous utilisons les informations concernant votre appareil, votre compte, vos achats et vos téléchargements, ainsi que les termes recherchés dans l’App Store afin de garantir la pertinence des publicités affichées dans l’App Store. Nous créons des groupes de personnes, appelés segments, rassemblant des caractéristiques similaires et utilisons ces groupes pour proposer des publicités ciblées. Les données vous concernant sont utilisées pour déterminer à quel segment vous appartenez et de fait, quelles publicités vous recevez. Pour protéger votre confidentialité, les publicités ciblées ne sont diffusées que si au moins 5 000 personnes répondent aux critères de ciblage » « Ces informations sont agrégées avec celles d’autres utilisateurs de sorte qu’elles ne permettent pas de vous identifier. »
Ouais, ça c'est ce que dit Apple faire.
Mais comme y'a aucun moyen de savoir ce que conserve réellement Apple sur ses propres serveurs, on peut pas vérifier. Tout ce que l'on peu vérifier, c'est les données qui partent et arrivent entre Apple et un iPhone.
Apple disait également ne conserver l'historique de navigation dans iCloud que 30j.
Mais en fait, c'était pas le cas.
@byte_order
Sauf que si c’est faux, son image s’effondre. Preuve de ce que vous avancez ?
@krysten2001
> Preuve de ce que vous avancez ?
Non. Et vous de ce que vous avancez ?
Au final, ni vous ni moi ne pouvons vérifier ce qu'affirme faire Apple des données collectées depuis iOS qu'elle traite sur ses serveurs.
Comment on peut vérifier que c'est vrai ou faux alors qu'on ne peut pas accéder aux serveurs d'Apple ?
Donc, on en revient à la confiance qu'on accorde sur les déclarations d'une marque.
C'est aussi simple que ça.
@byte_order
"Non. Et vous de ce que vous avancez ?"
Décidément ....
C’est un tic ?
@fifounet
> C’est un tic ?
Désolé d'avoir souligner qu'on ne peut pas contrer un argument parce qu'on a pas de preuve par un autre argument dont on a pas plus de preuve.
Si pour vous c'est avoir un tic, alors j'ai ce tic, oui.
@byte _order
Chez fifounet c'est plutôt "toc":trouble obsessionnel compulsif !
@p@t72
"Chez fifounet c'est plutôt "toc":trouble obsessionnel compulsif ! "
Au fait qu’est ce qui t’est arrivé ?
T’étais confiné dans tes toilettes ?
@ Jswat : "Je suis de l’avis de protéger les donnes personnelles. Mais il ne faut pas croire que Apple ne collecte rien juste parce qu’il le dit ."
-------------------
Je pense que tu fais fausse route.
Le problème n'est pas tant la collecte des données que ce que l'on en fait.
On pourrait en faire un point Godwin si tu veux mieux comprendre.
> L'appareil enregistrait les pages consultées, les dossiers ouverts ainsi que
> l'utilisation de certaines applications comme le lecteur de musique.
L'utilisation du terme "appareil" est erroné. Ce n'est ni l'appareil ni la version d'Android sur cet appareil, mais bien les navigateurs Web développés par Xiaomi qui collectent ces données.
Certes, Mi Browser est préinstallé comme navigateur web par défaut par Xiaomi sur ses smartphones, mais il serait bon de rappeler que cela n'a rien de définitif sur Android, on peut parfaitement NE PAS utiliser Mi Browser quand bien même on a acheté un smartphone Xiaomi.
@ byte_order
Ah pardon, tout va bien alors ?
@MarcMame
Non. Le non respect du mode incognito lorsque que la collecte est autorisée pose en effet question sur la compréhension du mot par le développeur de Mi Browser.
L'encodage des données en base64 aussi.
Mais cela n'autorise pas pour autant l’imprécision au point de laisser croire que c'est carrément l'appareil qui fait ça lui même, ni même que ce soit caché dans l'OS.
On parle d'apps préinstallés et d'options de collecte qui sont, par défaut, activées.
Faire croire qu'il y aucun accord préalable à cette collecte et qu'elle est de bas niveau, c'est pas factuel.
@byte_order
L'appareil enregistrait les pages consultées, les dossiers ouverts ainsi que l'utilisation de certaines applications comme le lecteur de musique. » il n’y a pas que le navigateur.
C'est pas l'appareil, non.
Les pages consultées et les recherches faite dans la searchbar sont collectées par le navigateur Mi Browser quand la collecte est autorisée par l'utilisateur, par exemple à l'installation du smartphone.
Les dossiers ouverts et les apps utilisées sont collectés lorsque que la collecte dite "d'amélioration de l'expérience utilisateur" ou un truc comme ça (y'a le screenshot sur un site récent, je crois) est autorisé par l'utilisateur, par exemple à l'installation du smartphone.
C'est pas "l'appareil", genre en douce, de manière non autorisé, qui le fait.
Pages