Le NCSC de Lituanie a publié un rapport de sécurité sur trois smartphones chinois. Ils donnent l’alerte sur les Huawei P40 5G et Xiaomi Mi 10T pour des questions de confidentialité et censure. Le One Plus 8T 5G ne présenterait pas de risques.
Mise à jour : suite à la publication de notre article, Huawei et Xiaomi nous ont fait parvenir des déclarations visant à renouveler la confiance que les consommateurs peuvent porter en ces marques. RGPD et protection des droits et respect des utilisateurs sont les grandes lignes des réponses de Huawei et Xiaomi que vous trouverez dans leur entièreté en bas de cet article.
Le Centre National de Cybersécurité (NCSC) lituanien a publié un rapport de sécurité sur les smartphones chinois: le Xiaomi Mi 10T 5G, le Huawei P40 5G et le OnePlus 8T 5G. D’après ce rapport, deux de ces smartphones présentent des problèmes de sécurité.
Le smartphone de Xiaomi présente de sérieuses failles de sécurité. Il transfère des données aux autorités chinoises, via un serveur situé à Singapour (pays non couvert par le Règlement Général sur la Protection des Données). Un module (Sensor Data) peut collecter des informations sur 61 paramètres, le temps passé sur une application et la langue utilisée. Le serveur reçoit également le numéro de téléphone de l’utilisateur, grâce à un SMS crypté automatique.
Ce SMS est invisible pour l’utilisateur. Enfin, ils ont aussi identifié une liste noire (MiAdBlackListConfig) contenant 449 requêtes, sur la politique ou la religion, sujets jugés sensibles par la Chine. Les résultats de ces requêtes sont censurés. La liste est mise à jour régulièrement. La censure semble être désactivée sur les téléphones enregistrés dans l’Union Européenne. Mais les téléphones continuent à télécharger cette liste noire. Et Xiaomi peut la réactiver à tout moment.
Qu’en est-il de Huawei et OnePlus ?
Pour le Huawei P40 5G, le problème est différent. En effet, Huawei a sa propre plateforme de téléchargement d’applications, l’AppGallery. D’après le rapport, si l’utilisateur recherche une application qui n’a pas d’équivalent dans l’App Gallery, il va être redirigé sans s’en rendre compte, vers une application tierce, une autre plateforme de téléchargement. Il en existe plusieurs, dont APKmonk, APKPure et Aptoide. En scannant différentes applications installées via l’AppGallery, le NCSC a découvert un virus potentiel sur plusieurs applications, dont Messenger. Le rapport ne précise pas la nature du risque. Cependant, il met en garde sur le fait qu’une redirection silencieuse vers une application tierce est potentiellement dangereuse pour la sécurité des données.
En conclusion, le rapport dit que pour Huawei, il s’agit principalement d’un manque d’antivirus. Concernant le OnePlus 8T 5G, le NCSC n’a rien trouvé d’alarmant. Le smartphone a l’excellent rapport performance/prix de 2020 est le seul à passer le test. C’est surtout pour le smartphone de Xiaomi le NCSC insiste sur la mise en garde. Ils mettent en avant que même si la liste noire de requêtes est inactive, elle continue de se mettre à jour. Dans un contexte délicat entre la Lituanie et la Chine, le Ministre de la Défense Lituanien a demandé aux lituaniens de ne pas acheter de smartphone Xiaomi. Il invite d’ailleurs les possesseurs de Xiaomi à se débarrasser de leur téléphone.
Déclaration de Huawei : “Huawei a toujours adhéré au principe d’intégrité, respecté les lois et réglementations des pays et régions du monde où notre entreprise opère, et considéré la cybersécurité et le respect de la vie privée comme la plus grande des priorités.
Huawei a une très grande expérience en matière de cybersécurité dans plus de 170 pays et régions et s’est occupé de plus de 3 milliards d’utilisateurs. Les données ne sont jamais traitées à l’extérieur des produits Huawei. Huawei agit en toute transparence lorsque la collecte de données est nécessaire et les conserve le moins de temps possible et ce dans le but d’améliorer la personnalisation et l’expérience utilisateur.
Au sujet de l’utilisation des données des smartphones Huawei, l’AppGallery collecte et traite uniquement les données nécessaires pour permettre aux utilisateurs de rechercher, installer et gérer les applications tierces et ce de la même manière que les autres boutiques d’applications du marché. Petal Search et AppGallery ont été certifiées par l’organisme European Privacy Seal pour leur respect du RGPD.
Huawei procède à un test de sécurité pour s’assurer que l’utilisateur puisse uniquement télécharger des applications qui soient sûres et fonctionnelles sur les appareils Huawei Mobile Services. Nous respectons les lois dans chaque pays et région dans lesquels nous opérons et nous portons la plus grande des attentions à nos clients, partenaires et à tous ceux qui utilisent nos technologies.“
Déclaration de Xiaomi : “Les appareils de Xiaomi ne censurent pas les communications à destination ou en provenance de ses utilisateurs. Xiaomi n’a jamais restreint ni bloqué les comportements personnels des utilisateurs de ses smartphones, tels que les recherches, les appels, la navigation sur Internet ou l’utilisation de logiciels de communication tiers et ne le fera jamais. Nous respectons et nous nous engageons à protéger pleinement les droits légaux de notre communauté. Xiaomi se conforme au règlement général sur la protection des données (RGPD) de l’Union européenne.”
Source: arstechnica