NEW DELHI – La semaine dernière, l’Armée de l’air indienne a envoyé à ses employés et les membres de leurs familles un avertissement de ne pas utiliser les smartphones de la société chinoise Xiaomi.

«Ce n’était ni une obligation ni un ordre», a déclaré la commandant d’escadre Rochelle D’Silva, responsable des relations publiques de l’Armée de l’air indienne dans un communiqué envoyé par courrier électronique.

Interrogée sur la raison pour laquelle l’armée de l’air avait émis cet avertissement, Mme D’Silva a répondu: «L’entreprise de sécurité F-Secure a effectué un test sur le Xiaomi Redmi 1S, le smartphone premier prix de Xiaomi, et a constaté que ce téléphone transférait à Pékin le nom de l’utilisateur, son numéro de téléphone, le code IMEI (l’identifiant de l’appareil), ainsi que les données du carnet d’adresse et les messages texte.»

F-Secure, une société de sécurité basée en Finlande, a constaté que les informations, en plus d’être envoyées vers des serveurs en Chine, sont transmises sans cryptage, ce qui en fait une cible facile pour les pirates informatiques.

Lundi dernier, Xiaomi a publié une déclaration selon laquelle le groupe envisage d’installer un centre de données en Inde l’année prochaine afin de s’éloigner des installations de Pékin et compléter les centres déjà installés aux États-Unis et à Singapour, où les données sont actuellement transférées.

Xiaomi a également tenté de regagner la confiance du public en adaptant son service de messagerie sur le cloud, la source du problème selon l’entreprise, afin que les utilisateurs puissent choisir de transmettre ou non les données de leur messagerie.

F-Secure a reconnu plus tard qu’après cette mise à jour, les téléphones qui ont désactivé l’application de messagerie par le cloud ne semblaient plus envoyer de données vers des serveurs distants.

Hugo Barra, le vice-président de Xiaomi, a écrit dans un message sur Facebook: «Nous prenons des précautions rigoureuses afin d’assurer que toutes les données soient sécurisées une fois transmises sur les serveurs Xiaomi et qu’elles ne soient pas stockées au-delà du temps nécessaire.»

Mais de nombreux experts en cyber-sécurité craignent encore que cela n’ait pas résolu le vrai problème.

Envoi de données en Chine

Selon Rishi Kant, directeur général de Secure Vision Lab, une société de cyber-sécurité basée à New Delhi, les téléphones Xiaomi ont une porte dérobée dans leur micrologiciel permettant l’envoi des données de l’utilisateur vers les serveurs de Pékin, quelles que soient les mises à jour logicielles faites par l’utilisateur.

M. Kant explique que les entreprises utilisent des applications pirates pour voler les données des utilisateurs et s’en servir pour leurs recherches et le développement de leurs marchés ou partager ces données avec un  gouvernement à des fins d’espionnage.

Les entreprises chinoises sont régulièrement accusées d’espionnage dans le monde entier et la pensée qu’une entreprise chinoise, même privée comme Xiaomi, puisse avoir accès aux données personnelles ne réjouit pas de nombreux utilisateurs.

Récemment, le site web «The Hacker News» a rapporté qu’un expert taïwanais de la sécurité a réussi à pirater le site de Xiaomi et obtenir l’accès à des millions de comptes d’utilisateurs que cette société stockerait.

Cet expert aurait du présenter ses découvertes lors du Sommet Ground Zero, une conférence de hackers organisée à New Delhi en novembre, mais sa présentation a été suspendue, «jusqu’à ce que Xiaomi enquête sur cette faille de données et les accusations portées par le chercheur», a dit l’organisateur de Ground Zero à Hacker News.

L’expert en sécurité a contacté «The Hacker News» et leur a présenté un extrait de ses conclusions, qui ont été postées sur le site.

D’après «The hacker News», Xiaomi a déclaré dans un communiqué que les conclusions de l’expert sont «un canular» et qu’il sera poursuivi en justice.

Centre de données indien

Rishi Kant n’est pas convaincu qu’un centre de données en Inde contribuerait  à la sécurité, puisqu’il serait probablement toujours supervisé par Xiaomi.

«Il n’y a aucune garantie que les données n’aillent pas en Chine, car c’est un serveur de distribution qui sera relié à des serveurs en Chine. En Inde, nous ne disposons pas d’un système pour le surveiller en continu», a-t-il déclaré. 

«Ils [le gouvernement indien] peuvent installer un système manuel [de surveillance], mais pour combien de temps», a interrogé M. Kant en confiant  que son pays n’est actuellement pas capable de le surveiller électroniquement.

«L’entreprise [Xiaomi] utilise cette situation pour faire parler d’elle sur le marché indien. Une fois qu’elle sera établie, il sera impossible de la surveiller tout le temps», a averti M.Kant.

Ces derniers mois,  Xiaomi a été confronté à de nombreuses allégations de failles de sécurité. Le gouvernement taïwanais enquête actuellement sur les téléphones Xiaomi pour déterminer s’ils représentent une menace pour la sécurité et devrait prendre une décision le mois prochain.

Version originale: Chinese Xiaomi Smartphones a Security Threat for India