Xiaomi répond à la circulaire de l'armée de l'air indienne la qualifiant de menace pour la sécurité

Plus tôt dans la journée, un rapport de The Sunday Standard a commencé à circuler sur Twitter, citant une circulaire de l’armée de l’air indienne (IAF) qualifiant Xiaomi de menace pour la sécurité. La circulaire aurait apparemment été envoyée par l’IAF à son personnel et à leurs membres de famille, leur avertissant de ne pas utiliser les appareils et dispositifs fabriqués par le géant technologique émergent. Xiaomi a répondu en rejetant les préoccupations.

Dans sa circulaire, l’IAF avait accusé Xiaomi d’envoyer des données utilisateur vers des serveurs distants situés en Chine. La note a été préparée par l’unité de renseignement sur la base des informations de l’équipe indienne d’intervention d’urgence en informatique (CERT-In), et cite plusieurs rapports passés qui ont soulevé des doutes sur la gestion des données privées des utilisateurs par Xiaomi.

“F-secure, une entreprise de solutions de sécurité de premier plan, a récemment effectué un test du Xiaomi Redmi 1s, le smartphone économique de l’entreprise, et a découvert que le téléphone transmettait le nom de l’opérateur, le numéro de téléphone, l’IMEI (l’identifiant de l’appareil) ainsi que des numéros du carnet d’adresses et des messages texte vers Pékin,” indique la note de l’IAF.

S’exprimant auprès de Technology Personalized, Manu Jain, directeur général et responsable des opérations en Inde de Xiaomi, a tenté de défendre l’entreprise et de clarifier quelques points.

Tout d’abord – nous sommes extrêmement prudents quant à la protection des données des utilisateurs ; nous sommes conformes à 100 % à toutes les lois locales, y compris celles relatives à la sécurité des données.

C’est assez similaire à ce que Xiaomi a dit depuis que les préoccupations ont éclaté plus tôt cette année. Manu a poursuivi en disant :

Nous offrons divers services basés sur Internet tels que Mi Cloud, des messages basés sur le cloud, etc., qui nécessitent que les données soient stockées dans le cloud. Cependant, nous prenons des mesures rigoureuses pour garantir que les données sont cryptées et sécurisées lors de leur envoi au serveur, et ne sont pas stockées au-delà du temps requis. En fait, nous avons apporté des modifications à notre système pour garantir que Mi Cloud est désactivé par défaut et n’envoie pas de données aux serveurs automatiquement. Ce n’est que lorsque qu’un consommateur active consciemment les services Mi Cloud que les données sont sauvegardées.

Les changements qu’il mentionne ci-dessus sont intervenus juste après le rapport de F-secure en août de cette année, que l’IAF cite dans sa note. Ci-dessous, les deux articles de blog de Hugo Barra, le visage mondial de Xiaomi, qui détaillent les changements effectués.

30 juillet 2014 – https://plus.google.com/+HugoBarra/posts/9GL9h2fT8H6
20 août 2014 – https://plus.google.com/+HugoBarra/posts/bkJTXzyXXmj
F-secure a précisé dans un rapport suivant que la mise à jour OTA publiée par Xiaomi avait en fait répondu aux préoccupations en matière de confidentialité, en particulier celle qui concernait le service de messagerie Mi Cloud. Nous ne savons pas exactement quand la note de l’IAF a été publiée, mais elle n’inclut pas les références aux changements apportés par l’entreprise depuis août de cette année. Fait intéressant, Hugo Barra vient de publier une annonce concernant la décision de Xiaomi de déplacer ses centres de données et serveurs en dehors de la Chine. Est-ce une simple coïncidence ou Xiaomi a-t-elle été forcée d’annoncer cela après que la nouvelle concernant la note de l’IAF a été médiatisée ? Votre avis vaut autant que le mien. Dans son post, Hugo Barra explique -

Au début de 2014, nous avons lancé un effort interne massif pour étendre notre infrastructure de serveurs à l’échelle mondiale afin de mieux servir les fans de Mi partout… Notre objectif principal en passant à une architecture de serveur multi-sites était d’améliorer la performance de nos services pour les fans de Mi dans le monde entier, de réduire la latence et de diminuer les taux d’échec. En même temps, cela nous permet également de maintenir des normes de confidentialité élevées et de respecter les réglementations locales sur la protection des données. Xiaomi prévoit le processus de migration des serveurs et des données en trois phases – migration du commerce électronique, migration des services MIUI et centres de données locaux. Pour ce faire, Xiaomi envisage de déplacer les serveurs de données vers Amazon Web Services (AWS) basé en Californie, aux États-Unis. D’ici la fin de cette année, les services MIUI et les données correspondantes de tous les utilisateurs non chinois devraient être déplacés de Pékin vers les centres de données AWS d’Amazon dans l’Oregon (États-Unis) et à Singapour. C’est un mouvement significatif pour répondre aux préoccupations en matière de confidentialité des utilisateurs. Le marché indien est assez important pour Xiaomi et ils ne peuvent tout simplement pas continuer avec des préoccupations en matière de sécurité et de confidentialité au-dessus de leur tête. Il est vrai que l’entreprise a réagi rapidement pour publier des correctifs pour la plupart de ces problèmes, mais elle n’a pas vraiment réussi à expliquer ou à se défendre sur la raison pour laquelle un tel problème était présent en premier lieu. Actuellement, l’entreprise fait face à une enquête sur la cybersécurité à Taïwan pour des raisons similaires. Selon la loi en Chine continentale, les entreprises stockant des données sur le sol chinois doivent se conformer à toute demande de données du gouvernement. En déplaçant complètement les données en dehors des territoires chinois, Xiaomi montrera le sérieux associé à de telles questions. Bien qu’elle ait lancé ses opérations en Inde avec style, Xiaomi a une énorme tâche à accomplir pour se débarrasser complètement de ses étiquettes chinoises et être perçue comme une entreprise mondiale. Selon Hugo Barra, en 2015, l’entreprise prévoit de travailler avec des fournisseurs de centres de données locaux pour localiser complètement l’infrastructure des serveurs, en particulier en Inde et au Brésil. En plus d’accélérer le service pour les utilisateurs dans ces marchés, cela peut espérons-le couper l’angle chinois, du moins dans une certaine mesure. De simples discours sur la valorisation de la sécurité des données des utilisateurs ne suffiront pas. De réelles actions comme celles prévues ci-dessus sont nécessaires.