Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Données personnelles envoyées en Chine : Xiaomi s’explique et corrige le tir

Si on en profitait pour chiffrer les numéros de téléphone... Bonne idée !

Données personnelles envoyées en Chine : Xiaomi s'explique et corrige le tir

Le 12 août 2014 à 14h02

Il y a quelques jours, F-Secure indiquait un fait étrange : le smartphone RedMi 1S de Xiaomi envoie des données personnelles à des serveurs de la marque en Chine. Hugo Barra, ancien de chez Google et vice-président de Xiaomi, confirme, s'explique et indique d'une mise à jour va rapidement être déployée.

Alors que les révélations liées à l'affaire Edward Snowden n'en finissent pas, de nombreuses sociétés sont pointées du doigt pour avoir plus ou moins sciemment ouvert leurs serveurs à la NSA. Dans ce climat tendu, F-Secure faisait il y a quelques jours une annonce qui a de quoi inquiéter certains : des données personnelles des utilisateurs d'un smartphone RedMI 1S de Xiaomi, entre autres, sont envoyées sur des serveurs en Chine, et ce, sans que l'utilisateur en soit informé. Si la marque n'est pas encore très connue en France, sachez qu'elle occupe désormais la première place du marché des smartphones en Chine.

 

Hugo Barra, ancien vice-président chargé du développement des produits Android de Google et actuel vice-président de Xiaomi au niveau mondial, s'est fendu d'un billet sur Google+ sous la forme d'une foire aux questions. Il indique que « ces faits se rapportent au service MIUI Cloud Messaging » qui est activé par défaut. Cela ne touche donc pas seulement le RedMI 1S, mais tous les terminaux équipés de la messagerie maison.

 

Il ajoute que « ce service utilise la carte SIM et les identifiants de l'appareil (numéro de téléphone, IMSI et IME) pour faire transiter les messages entre deux utilisateurs, de la même manière que certaines messageries populaires. [...] Les données présentes dans le répertoire téléphonique ainsi que le graphe social (c'est-à-dire les liens entre les différents contacts) ne sont jamais sauvegardées dans les serveurs de Cloud Messaging et le contenu du message (sous forme chiffrée) n'est conservé que le temps nécessaire afin d'assurer sa livraison au destinataire ».

 

Xiaomi

 

Pour faire simple, Hugo Barra confirme donc que des informations circulent entre les smartphones des clients et des serveurs en Chine, mais que rien n'est conservé. Sur ce point, impossible de vérifier ses dires par contre.

 

Bien évidemment, une mise à jour est en cours de préparation afin de ne plus activer par défaut la messagerie de Xiaomi sur les nouveaux smartphones ou lors d'une remise à zéro du firmware. Elle permettra également de la désactiver pour les anciens clients. Cette mise à jour en profitera pour chiffrer les numéros de téléphone lorsqu'ils seront envoyés vers les serveurs du fabricant... on se demande d'ailleurs pourquoi cela n'était pas le cas auparavant.

Commentaires (34)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

c’est ecrit dans la notice ca ?

non

quiid du faire use des forfait ? car le tel envoie des données avec 3G/4G.



il consomme de la batterie aussi :

si je resume :



ils m’espionne et me vol et de l’electricité et mon quotas de forfait.



Y a quelques americains qui vont se faire plaisir a porter plaine, et ils auraient bien raison

PS: c’est aussi valable pour les autres marques

votre avatar







fraoch a écrit :



c’est ecrit dans la notice ca ?

non

quiid du faire use des forfait ? car le tel envoie des données avec 3G/4G.



il consomme de la batterie aussi :

si je resume :



ils m’espionne et me vol et de l’electricité et mon quotas de forfait.



Y a quelques americains qui vont se faire plaisir a porter plaine, et ils auraient bien raison

PS: c’est aussi valable pour les autres marques





Stop les délires.

Le MIUI Cloud Messaging n’est activé que lorsque l’utilisateur le valide, le seul point chiant c’est qu’il re-demande si on veut l’utiliser à chaque redémarrage du téléphone si on le refuse … et encore en cherchant ça doit pouvoir se désactiver.

C’est un hoax à la limite de l’escroquerie : “Monsieur, j’ai activé le cloud pour mes messages et mes messages sont envoyés sur le cloud, je comprends pas”.


votre avatar







fraoch a écrit :



c’est ecrit dans la notice ca ?

non

quiid du faire use des forfait ? car le tel envoie des données avec 3G/4G.



il consomme de la batterie aussi :

si je resume :



ils m’espionne et me vol et de l’electricité et mon quotas de forfait.



Y a quelques americains qui vont se faire plaisir a porter plaine, et ils auraient bien raison

PS: c’est aussi valable pour les autres marques





Tu as une gestion assez fine de la consommation data / utilisation de l’accès au net par les applications sur MIUI. Donc non, et en plus Xiaomi ne vend pas officiellement aux USA.

Et je viens de passer en V17 sur mon Redmi, et j’ai bien pour chaque action liée au cloud Xiaomi ou autre service externe (messagerie, sauvegarde cloud, appli musique, …) une demande d’acceptation des conditions d’utilisations.


votre avatar







glassman a écrit :



Tu as une gestion assez fine de la consommation data / utilisation de l’accès au net par les applications sur MIUI. Donc non, et en plus Xiaomi ne vend pas officiellement aux USA.

Et je viens de passer en V17 sur mon Redmi, et j’ai bien pour chaque action liée au cloud Xiaomi ou autre service externe (messagerie, sauvegarde cloud, appli musique, …) une demande d’acceptation des conditions d’utilisations.







oui oui je sais, mais c’etait juste un coup de gueule de maniere generale, meme pas contre Xiaomi en particulier


votre avatar







fraoch a écrit :



quiid du faire use des forfait ? car le tel envoie des données avec 3G/4G.





Il me semble qu’on ne paye pas l’upload, enfin qu’il n’y a pas de décompte de l’ul.


votre avatar







overdrives a écrit :



Stop les délires.

Le MIUI Cloud Messaging n’est activé que lorsque l’utilisateur le valide, le seul point chiant c’est qu’il re-demande si on veut l’utiliser à chaque redémarrage du téléphone si on le refuse … et encore en cherchant ça doit pouvoir se désactiver.

C’est un hoax à la limite de l’escroquerie : “Monsieur, j’ai activé le cloud pour mes messages et mes messages sont envoyés sur le cloud, je comprends pas”.





Tu as lu l’article en source de F-Secure ? Parce que non, l’utilisateur n’a pas activé le Cloud, il a :

• Mis sa carte SIM

• Connecté le WiFi

• Autorisé le GPS (pourquoi ? je n’en sais rien)

• Ajouté un contact

• Envoyé et reçu un SMS

• Fait et reçu un appel



Dès le boot le tél communique avec api.account.xiaomi.com en envoyant son nom telco et son IMEI.

Ensuite dès qu’il a enregistré un numéro et envoyé un SMS ça a été envoyé sur le même serveur.



Ensuite il se sont log au Cloud et répété l’opération, c’était pareil. Donc connecté ou non, ils reçoivent tes données.


votre avatar







Niktareum a écrit :



Il me semble qu’on ne paye pas l’upload, enfin qu’il n’y a pas de décompte de l’ul.







ok d’accord, j’ai toujours cru que le faire use marchait dans les deux sens


votre avatar







Niktareum a écrit :



Il me semble qu’on ne paye pas l’upload, enfin qu’il n’y a pas de décompte de l’ul.





Tu es certain de ça ? Si c’est vrai, c’est de première bourre !

Pourquoi continuer à s’emmerder avec des UP pourris en ADSL alors qu’en 4G c’est tout bon.

Ça veut dire que pour mes gros FTP montants (qq gigas), je passe par mon téléphone ?


votre avatar







Slash a écrit :



C’est bien du opt-out, donc pas du opt-in, le service ne s’active pas par défaut et c’est bien ce que je voulais dire.





Si le service ne s’active pas par défaut c’est donc que c’est du opt-in.



Opt-in : option d’adhésion, c’est à dire que tu dois cocher une case pour activer le service.

Opt-out : option de retrait, c’est à dire que tu dois cocher un case pour ne pas activer le service, sinon il est activé par défaut.



Enfin c’est comme ça que je l’ai toujours compris.


votre avatar







Mowee a écrit :



Si si <img data-src=" />







Nonon <img data-src=" />


votre avatar







chef500 a écrit :



Donc un appel en bluethoo ne peut aboutir depuis la voiture faute de pouvoir valider l accord comme le mobile Sosh avec une carte Free en itinérant ?







<img data-src=" /> keskidi ?


votre avatar







glassman a écrit :



<img data-src=" /> keskidi ?





J ai un mobile Sosh (idol mini avec surcouche orange) .

pour passer un appel avec une sim free mobile un message apparait indiquant qu on est en itinerance est que cela va engendre des frais.pour que l appel aboutisse on doit validé ce message(avertissement desactivable en version Alcatel mais la surcouche Orange ressemble a de l anti Free).en voiture a cause de cela impossible de passer un appel !

Comme le Mi3 me séduit et envisage de l offrir je demande plus de précision


votre avatar







Khalev a écrit :



Opt-in : option d’adhésion, c’est à dire que tu dois cocher une case pour activer le service.

Opt-out : option de retrait, c’est à dire que tu dois cocher un case pour ne pas activer le service, sinon il est activé par défaut.



Enfin c’est comme ça que je l’ai toujours compris.







En fait, c’est plus complexe que ça apparemment, et j’ai toujours inversé les deux, mais la nuance est bien plus complexe et je pense que pas beaucoup la maitrise:



D’après JDN:



1/ L’opt-in actif: l’internaute doit volontairement cocher une case ou faire défiler un menu déroulant pour que son adresse (ou d’autres données) soient utilisées ultérieurement à des fins commerciales.

2/ L’opt-in passif: une case est déjà précochée ou un menu déroulant déjà positionné sur oui (à la question voulez-vous recevoir des sollicitations ultérieures ?). Avec l’opt-in, l’accord de l’internaute est explicite.

3/ L’opt-out actif: Il faut cocher une case ou sélectionner un menu déroulant pour ne pas recevoir de message ultérieurement. On considère l’accord de l’internaute comme acquis par défaut, comme implicite.

4/ L’opt-out passif: en s’inscrivant à un service, l’internaute est automatiquement inscrit à une liste de diffusion sans qu’il ait la possibilité de changer cela au moment de l’inscription. La désinscription ne peut se faire qu’après l’inscription. L’accord de l’internaute est demandé a posteriori.



Ici ce serait donc de l’opt-in passif ou de l’opt-out actif vu que de toute façon la connexion aux serveurs xiaomi se fait quand même.


votre avatar







chef500 a écrit :



J ai un mobile Sosh (idol mini avec surcouche orange) .

pour passer un appel avec une sim free mobile un message apparait indiquant qu on est en itinerance est que cela va engendre des frais.pour que l appel aboutisse on doit validé ce message(avertissement desactivable en version Alcatel mais la surcouche Orange ressemble a de l anti Free).en voiture a cause de cela impossible de passer un appel !

Comme le Mi3 me séduit et envisage de l offrir je demande plus de précision







Ok, je comprends mieux. Je n’ai aps de SIM Free, mais même en Allemagne, il ne m’a demandé qu’une fois à la première visite, depuis plus. Il y a une case à cocher dans les paramètres avec “Afficher rappel pour l’itinérance”, et avec les choix “Toujours/Une fois/Jamais”


votre avatar







chef500 a écrit :



en voiture a cause de cela impossible de passer un appel !



en même temps téléphoner au volant, c’est être à la fois suicidaire et meurtrier potentiel volontaire (que tu aies le téléphone à l’oreille ou que tu sois en mains libres, aucune différence, tu es concentré sur la conversation et pas sur la route)… <img data-src=" />

et seulement 135€ d’amende contre ce truc ultra-dangereux, ca reste super léger comme amende, vivement qu’ils la montent encore!


votre avatar







Slash a écrit :



En fait, c’est plus complexe que ça apparemment, et j’ai toujours inversé les deux, mais la nuance est bien plus complexe et je pense que pas beaucoup la maitrise:



D’après JDN:



1/ L’opt-in actif: l’internaute doit volontairement cocher une case ou faire défiler un menu déroulant pour que son adresse (ou d’autres données) soient utilisées ultérieurement à des fins commerciales.

2/ L’opt-in passif: une case est déjà précochée ou un menu déroulant déjà positionné sur oui (à la question voulez-vous recevoir des sollicitations ultérieures ?). Avec l’opt-in, l’accord de l’internaute est explicite.

3/ L’opt-out actif: Il faut cocher une case ou sélectionner un menu déroulant pour ne pas recevoir de message ultérieurement. On considère l’accord de l’internaute comme acquis par défaut, comme implicite.

4/ L’opt-out passif: en s’inscrivant à un service, l’internaute est automatiquement inscrit à une liste de diffusion sans qu’il ait la possibilité de changer cela au moment de l’inscription. La désinscription ne peut se faire qu’après l’inscription. L’accord de l’internaute est demandé a posteriori.



Ici ce serait donc de l’opt-in passif ou de l’opt-out actif vu que de toute façon la connexion aux serveurs xiaomi se fait quand même.



vu que ca envoie des données mêmes si tu refuses, c’est de l’opt-out passif sans possibilité de le supprimer <img data-src=" />


votre avatar

xiaomi est tout de meme parmis les premier constructeur de smartphone au monde, samsung se mefie beaucoup de cette marque qui pourrait voller la vedette au prochain samsung galaxy s6

votre avatar



Hugo Barra, ancien de chez Google et vice-président de Xiaomi, confirme, s’explique et indique d’une mise à jour va rapidement être déployée.



Lire plutot ceci:



Hugo Barra, ancien de chez Google et vice-président de Xiaomi, confirme, s’explique et indique d’une mise à jour va rapidement être déployée pour que l’envoie de données soit beaucoup plus discret aux yeux de l’utilisateur et au defenseurs de la vie privée.


votre avatar







Niktareum a écrit :



Il me semble qu’on ne paye pas l’upload, enfin qu’il n’y a pas de décompte de l’ul.







Si si <img data-src=" />


votre avatar







Héphaïstos a écrit :



Tu es certain de ça ? Si c’est vrai, c’est de première bourre !

Pourquoi continuer à s’emmerder avec des UP pourris en ADSL alors qu’en 4G c’est tout bon.

Ça veut dire que pour mes gros FTP montants (qq gigas), je passe par mon téléphone ?







ca depend, si tu l’utilises sur batterie tu auras pas le temps de finir UL que le tel s’éteindra ….


votre avatar

quel bel internet internet on va léguer à nos enfants <img data-src=" />



bien joli, de partage, accueillant tout ça quoi …


votre avatar







ledufakademy a écrit :



quel bel internet internet on va léguer à nos enfants <img data-src=" />



bien joli, de partage, accueillant tout ça quoi …







c’est pas faux


votre avatar

Beaucoup de fouin pour pas grand chose… il est proposé à l’utilisateur d’utiliser ou non le MIUI cloud messenging au démarrage d’un téléphone Xiaomi, ce n’est même pas du opt-in… <img data-src=" />



A côté de ce qu’il se passe sur le play store google pour les accès des applis qu’on installe c’est de la rigolade (ça ne vous choque pas qu’un jeu ait accès à votre liste de contact ?), puis MIUI permet de justement gérer plus finement ces droits (ce que devrait de base faire android…)

votre avatar

whatsapp fait pareil pour identifier les users

votre avatar







Slash a écrit :



Beaucoup de fouin pour pas grand chose… il est proposé à l’utilisateur d’utiliser ou non le MIUI cloud messenging au démarrage d’un téléphone Xiaomi, ce n’est même pas du opt-in… <img data-src=" />





<img data-src=" /> C’est pas ce que dit F-Secure.

https://www.f-secure.com/weblog/archives/00002731.html



Et je pense que tu voulais dire opt-out.


votre avatar







Slash a écrit :



(ça ne vous choque pas qu’un jeu ait accès à votre liste de contact ?)





Si.

et c’est pour cela que j’ai pas beaucoup de jeux


votre avatar







Slash a écrit :



Beaucoup de fouin pour pas grand chose… il est proposé à l’utilisateur d’utiliser ou non le MIUI cloud messenging au démarrage d’un téléphone Xiaomi, ce n’est même pas du opt-in… <img data-src=" />





relis bien:http://www.f-secure.com/weblog/archives/00002731.html

Les gars utilisent un téléphone neuf et refusent la fonfig de comptes / cloud et, oh magie, y’a quand-même des connections vers les serveurs chinois de xiaomi <img data-src=" />



PS: pour les applis sur le gstore, il suffit de ne pas installer n’importe quoi, en plus, les permissions des apps sont bien écrit avant que tu les installent (et au pire, y’a LBESM pour limiter les dégâts)


votre avatar







glassman a écrit :



Tu as une gestion assez fine de la consommation data / utilisation de l’accès au net par les applications sur MIUI. Donc non, et en plus Xiaomi ne vend pas officiellement aux USA.

Et je viens de passer en V17 sur mon Redmi, et j’ai bien pour chaque action liée au cloud Xiaomi ou autre service externe (messagerie, sauvegarde cloud, appli musique, …) une demande d’acceptation des conditions d’utilisations.









glassman a écrit :



Tu as une gestion assez fine de la consommation data / utilisation de l’accès au net par les applications sur MIUI. Donc non, et en plus Xiaomi ne vend pas officiellement aux USA.

Et je viens de passer en V17 sur mon Redmi, et j’ai bien pour chaque action liée au cloud Xiaomi ou autre service externe (messagerie, sauvegarde cloud, appli musique, …) une demande d’acceptation des conditions d’utilisations.









glassman a écrit :



Tu as une gestion assez fine de la consommation data / utilisation de l’accès au net par les applications sur MIUI. Donc non, et en plus Xiaomi ne vend pas officiellement aux USA.

Et je viens de passer en V17 sur mon Redmi, et j’ai bien pour chaque action liée au cloud Xiaomi ou autre service externe (messagerie, sauvegarde cloud, appli musique, …) une demande d’acceptation des conditions d’utilisations.









glassman a écrit :



Tu as une gestion assez fine de la consommation data / utilisation de l’accès au net par les applications sur MIUI. Donc non, et en plus Xiaomi ne vend pas officiellement aux USA.

Et je viens de passer en V17 sur mon Redmi, et j’ai bien pour chaque action liée au cloud Xiaomi ou autre service externe (messagerie, sauvegarde cloud, appli musique, …) une demande d’acceptation des conditions d’utilisations.





Donc un appel en bluethoo ne peut aboutir depuis la voiture faute de pouvoir valider l accord comme le mobile Sosh avec une carte Free en itinérant ?


votre avatar

Chez Apple et Google, on n’appelle pas ça du stockage de données personnelles, mais de la “synchronisation”…

votre avatar







Groumfy a écrit :



Chez Apple et Google, on n’appelle pas ça du stockage de données personnelles, mais de la “synchronisation”…







et c’est pour notre bien


votre avatar







Khalev a écrit :



Et je pense que tu voulais dire opt-out.







C’est bien du opt-out, donc pas du opt-in, le service ne s’active pas par défaut et c’est bien ce que je voulais dire.



Par contre que le téléphone envoie des données avant même d’avoir activé le cloud messenging ce n’est effectivement pas très normal, à suivre…


votre avatar







Slash a écrit :



Beaucoup de fouin pour pas grand chose… il est proposé à l’utilisateur d’utiliser ou non le MIUI cloud messenging au démarrage d’un téléphone Xiaomi, ce n’est même pas du opt-in… <img data-src=" />



A côté de ce qu’il se passe sur le play store google pour les accès des applis qu’on installe c’est de la rigolade (ça ne vous choque pas qu’un jeu ait accès à votre liste de contact ?), puis MIUI permet de justement gérer plus finement ces droits (ce que devrait de base faire android…)





Com #6…


votre avatar



Pour faire simple, Hugo Barra confirme donc que des informations circulent entre les smartphones des clients et des serveurs en Chine, mais que rien n’est conservé





Sur les serveurs de xiaomi, peut être reste à voir si les données ne vont pas ailleurs.

votre avatar







Héphaïstos a écrit :



Tu es certain de ça ? Si c’est vrai, c’est de première bourre !

Pourquoi continuer à s’emmerder avec des UP pourris en ADSL alors qu’en 4G c’est tout bon.

Ça veut dire que pour mes gros FTP montants (qq gigas), je passe par mon téléphone ?





Je confirme <img data-src=" />

J’avais 25Go de données à faire passer sur un FTP, et j’ai pu le faire en 3G sans péter mon fair use chez Sosh. Entre faire du 100 ko/s et du 400, j’ai vite choisi <img data-src=" />

(Pour le coup, c’était pas avec le téléphone, mais avec la SIM directement dans l’ordi, mais c’est pareil)

Par contre, il est très probable que les ACK soit décomptés sur forfait quand même (donc une légère utilisation du down aussi).


Données personnelles envoyées en Chine : Xiaomi s’explique et corrige le tir

Fermer