Le gouvernement lituanien alerte au sujet de risques de cybersécurité avec un smartphone de Xiaomi. Un module de censure activable à distance est notamment pointé du doigt, en plus d'envois suspects à des serveurs.

" Xiaomi n'a jamais restreint ni bloqué les comportements personnels des utilisateurs de ses smartphones, comme la recherche, les appels, la navigation sur le Web ou l'utilisation de logiciels de communication tiers, et ne le fera jamais. "

Le fabricant chinois ajoute respecter et protéger pleinement les droits légaux de tous les utilisateurs, et se conformer au Règlement général sur la protection des données de l'Union européenne (RGPD).

Cette réaction de Xiaomi fait suite à la publication d'un audit de cybersécurité pour le compte du ministère lituanien de la Défense. Il a porté sur une évaluation de trois smartphones 5G de fabricants chinois : Huawei P40 5G , OnePlus 8T 5G et Xiaomi Mi 10T 5G. Trois risques de cybersécurité ont été identifiés dans le smartphone de Xiaomi, un dans celui de Huawei et aucun dans le smartphone de OnePlus.

Ce que reproche le rapport

Pour Huawei, c'est la sécurité de l'AppGallery qui est mentionnée avec une recherche qui peut rediriger les utilisateurs vers des alternatives malveillantes de stores tiers quand des applications n'y sont pas présentes. Huawei se défend en soulignant notamment des contrôles de sécurité réguliers.

Le rapport évoque un risque de sécurité pour les données personnelles avec le service Xiaomi Cloud, dont l'activation nécessite l'envoi d'un mystérieux SMS chiffré aux serveurs de Xiaomi et caché à l'utilisateur.

Des données sur une soixantaine de paramètres concernant les activités de l'utilisateur sur l'appareil sont recueillies via le navigateur Mi Browser, et avec un envoi à un compte Google Analytics et à des serveurs de Xiaomi à Singapour, ce qui n'est pas couvert par le RGPD.

Sur la question de la censure, l'audit révèle que plusieurs applications système du smartphone de Xiaomi, dont Mi Brower, téléchargent une liste de mots clés interdits depuis un serveur à Singapour. " Si le contenu téléchargé par l'utilisateur contient des mots clés de la liste, il est automatiquement bloqué. "

Lors de l'analyse, un fichier de configuration MiAdBlacklistConfig contenait 449 mots clés interdits en caractères chinois. Une liste composée de " titres, noms et autres informations de divers groupes religieux, politiques et mouvements sociaux " qui rappelle la censure exercée par les autorités chinoises.

Le module de censure est désactivé en Lituanie, mais les listes de mots clés sont pour autant mises à jour périodiquement. " L'appareil est techniquement capable d'activer la fonctionnalité à distance à tout moment, sans l'autorisation de l'utilisateur et de commencer à censurer le contenu téléchargé. Nous n'excluons pas que la liste des mots clés interdits puisse être établie en utilisant des caractères latins et pas seulement chinois. "

" Notre recommandation est de ne pas acheter de nouveaux smartphones chinois et de vous débarrasser de ceux que vous avez déjà achetés aussi vite que possible ", a déclaré le vice-ministre de la Défense de Lituanie. Il a indiqué que le rapport a été partagé avec des responsables de la cybersécurité d'autres pays de l'Union européenne et des États-Unis.