Xiaomi accusé en Lituanie d'avoir un outil de censure dans ses smartphones- Le fabricant répond

Les différentes agences de presse comme Reuters ont fait état de la publication ce mercredi 22 septembre d'un rapport du NCSC, le conseil national de cybersécurité, rattaché au ministère de la Défense lithunien, sur la sécurité des smartphones 5G vendus en Lituanie. Ce rapport est disponible en intégralité via le site officiel du NCSC (en anglais). 

Le ministère de la Défense Lituanien a publié sur son compte Twitter officiel un communiqué résumant les conclusions du rapport du NCSC et donc des accusations portées à l'encontre de Xiaomi mais aussi Huawei. Les deux fabricants ont réagi en réfutant ces accusations tout en rappelant leurs engagements pris en matière de protection des données. Nous avons inclus leurs réponses plus bas dans cet article.

Lithuanian @cert_lt investigated 5G cell phones made by 🇨🇳 manufacturers Xiaomi, Huawei & OnePlus. The initial results of the investigation show some cyber and personal data security risks. Study was initiated to ensure the safe use of 5G mobile devices and software sold in 🇱🇹. pic.twitter.com/ukw7InzQAk

— Lithuanian MOD (@Lithuanian_MoD) September 21, 2021 

D'où sortent ces accusations contre Xiaomi? 

Concrètement, le rapport publié ce mercredi 22 septembre vient conclure une enquête sur la cybersécurité liée aux smartphones 5G chinois vendus en Lituanie en 2020-2021. L'étude s'est concentrée sur 3 fabricants, Xiaomi, Huawei et OnePlus, et sur 1 de leurs modèles de smartphones 5G chacun, les Xiaomi Mi 10T 5G, le Huawei P40 5G et le OnePlus 8T 5G. 

Le rapport précise ensuite que l'étude s'est penchée principalement sur 4 types de risques de cybersécurité liés à la sécurité des applications installées par défaut, les fuite de données personnelles et les restrictions à la liberté d'expression.

"Une analyse de décomposition effectuée sur des appareils fabriqués par Huawei, Xiaomi et OnePlus a identifié 10 cas de risque accru en matière de cybersécurité", peut-on lire dans le rapport. Le NCSC a effectué ses tests sur les versions européennes de chaque smartphone avec la ROM globale installée pour chacun d'entre eux. 

Qu'est qui est reproché à Xiaomi?

Le NCSC reproche dans un premier temps au fabricant que certaines de ses applications installées par défaut "envoient des données statistiques sur l'activité de certaines applications installées sur l'appareil aux serveurs du fournisseur chinois de services en cloud Tencent, situés à Singapour, aux États-Unis, au Royaume-Uni, aux Pays-Bas, en Allemagne et en Inde."

Mais le plus gros reproche fait par le NCSC à Xiaomi est l'implémentation d'une liste noire de mots-clés pouvant servir à la censure de contenus multimédia. Les applications natives de Xiaomi (Sécurité, MiBrowser, Cleaner, MIUI Package Installer et Themes) téléchargeraient régulièrement un fichier de configuration mis à jour par le fabricant intitulé "MiAdBlacklistConfig" depuis un serveur situé à Singapour.

Ce fichier contiendrait une liste de titres, noms et autres informations sur divers groupes religieux et politiques et de mouvements sociaux (449 éléments ont été identifiés dans le fichier MiAdBlacklistConfig durant l'enquête). Selon l'autorité de cybersécurité Lituanienne, cela permettrait aux applications natives de Xiaomi de filtrer le contenu multimédia en fonction des mots-clés contenus dans la black list et de le bloquer.

Le rapport précise toutefois que la fonctionnalité de filtrage du contenu a été désactivée sur les téléphones Xiaomi vendus en Lituanie et dans l'UE en général. Mais il affirme également que Xiaomi a la possibilité d'activer cette fonction à distance.

Le rapport s'alarme également de la quantité de données collectées par le Mi Browser et de l'envoi d'un SMS chiffré depuis l'appareil de l'utilisateur lors de l'inscription au service cloud de Xiaomi. Dans ce dernier cas, l'organisme de cybersécurité estime qu'il y a un risque de fuite de données personnelles car il n'y a aucun moyen de savoir ce qui est exactement envoyé dans le message.

Ces accusations contre Xiaomi sont-elles fondées?

Futur (et nouveau) scandale pour Xiaomi autour des questions de vie privée et de confidentialté? Ou accusation politique motivée par des tensions entre deux pays qui s'affrontent depuis cet été autour de la question de Taïwan? Difficile de trancher sur l'intention et les éventuelles conséquences des révélations faites par le NCSC, le conseil national de cybersécurité de Lituanie. 

Mais avant de se lancer dans de la spéculation, reposons quelques faits (parce que je vous vois venir les MiFans). Le NCSC est une autorité de cybersécurité qui opère sous l'égide du ministère de la Défense lithunanien. On ne parle donc pas d'un rapport d'une agence privée avec des intérêts privés mais bien d'une entité publique sous régie d'un Etat, la Lituanie, qui fait partie de l'Union européenne depuis 2004. 

Le rapport du NCSC fait d'ailleurs écho à une déclaration du Conseil européen du 19 juillet dernier appelant, au nom de l'UE et de ses Etats-membres, les autorités chinoises à prendre des mesures contre les cyberattaques opérées en Europe depuis la Chine.

Voilà, il était nécessaire de poser les bases pour qu'on soit tous bien d'accord que le rapport du NCSC n'est pas un simple pamphlet rédigé à l'arrache par une entreprise privée avec un potentiel conflit d'intérêt.

Les zones grises du rapport du NCSC Lituanien

Il faut néanmoins garder en tête que ce rapport intervient à un moment où les tensions diplomatiques entre la Lituanie et la Chine sont au plus fort. Les deux pays s'écharpent autour de la question de Taïwan, et de la relation que l'Etat européen entretien avec Taiwan, que la Chine considère comme partie intégrante de son territoire et refuse d'en reconnaître le statut. 

La Chine a d'ailleurs pris des sanctions économiques contre la Lithunie en août dernier. Personnellement, et cela n'engage que moi, j'ai du mal à ne pas supposer que la publication du rapport du NCSC, un peu moins d'un mois après les sanctions économiques de la Chine, soit pour le moins opportune.

On peut également nuancer que la plupart des fabricants Android ont des applications pré-installées sur leurs smartphones, cela n'est pas exclusif à Xiaomi. Et toutes ces applications analysent plus ou moins ce que l'utilisateur fait sur son smartphone. Même Apple scanne depuis au moins un an vos photos, c'est vous dire. En revanche, il faut tout de même rappeler que Xiaomi a été épinglé l'an dernier sur la question des données personnelles via son Mi Browser. 

Le fait que le fameux fichier de mots-clés bannis s'appelle "MiAdBlocklist" peut aussi semer quelques doutes quant à l'intention derrière cette black list. Le mot "ad" peut très bien faire référence à la publicité et on sait que Xiaomi propose des options pour filtrer les pubs qu'il affiche lui-même dans sa propre interface. 

• Lire aussi: Xiaomi: Comment désactiver les publicités dans l'interface MIUI?

Enfin, prenons Huawei. Il est reproché au fabricant de rediriger ses utilisateurs vers des stores d'APK tiers lorsqu'une application souhaitée n'est pas trouvée sur l'AppGallery, et que nombre de ces stores tiers contiennent des applications malveillantes. Mais le rapport ne semble pas tenir compte du fait que Huawei n'a pas le choix et que cet état de fait est une conséquence de l'embargo américain dont Huawei fait l'objet depuis maintenant presque 3 ans.

Xiaomi et Huawei réfutent ces accusations

Xiaomi a réagi le jour même de la publication du rappor lituanien et donc de notre article. Selon le fabricant, "Les appareils de Xiaomi ne censurent pas les communications à destination ou en provenance de ses utilisateurs. Xiaomi n'a jamais restreint ni bloqué les comportements personnels des utilisateurs de ses smartphones, tels que les recherches, les appels, la navigation sur Internet ou l'utilisation de logiciels de communication tiers et ne le fera jamais."

Nous respectons et nous nous engageons à protéger entièrement les droits légaux de notre communauté. Xiaomi respecte pleinement le règlement général sur la protection des données (RGPD) de l'Union européenne.

Huawei a réagi le lendemain en nous transmettant également une réponse officielle selon laquelle "Huawei a toujours adhéré au principe d’intégrité, respecté les lois et réglementations des pays et régions du monde où notre entreprise opère, et considéré la cybersécurité et le respect de la vie privée comme la plus grande des priorités."

"Huawei a une très grande expérience en matière de cybersécurité dans plus de 170 pays et régions et s’est occupé de plus de 3 milliards d’utilisateurs. Les données ne sont jamais traitées à l’extérieur des produits Huawei. Huawei agit en toute transparence lorsque la collecte de données est nécessaire et les conserve le moins de temps possible et ce dans le but d’améliorer la personnalisation et l’expérience utilisateur."

Au sujet de l’utilisation des données des smartphones Huawei, l’AppGallery collecte et traite uniquement les données nécessaires pour permettre aux utilisateurs de rechercher, installer et gérer les applications tierces et ce de la même manière que les autres boutiques d’applications du marché. Petal Search et AppGallery ont été certifiées par l’organisme European Privacy Seal pour leur respect du RGPD.

"Huawei procède à un test de sécurité pour s’assurer que l’utilisateur puisse uniquement télécharger des applications qui soient sûres et fonctionnelles sur les appareils Huawei Mobile Services. Nous respectons les lois dans chaque pays et région dans lesquels nous opérons et nous portons la plus grande des attentions à nos clients, partenaires et à tous ceux qui utilisent nos technologies."