Ma mésaventure avec Xiaomi

Cette histoire s’est déroulée à l’automne 2018. A cette époque je souhaitais m’offrir une montre connectée qui ait un design similaire à celui de l’Apple Watch et qui fournirait des services similaires.

J’avais alors étudié de nombreux modèles et l’un d’eux avait retenu mon attention pour son autonomie de presque 2 mois. Son prix était également très attractif. Il s’agissait de l’Amazfit bip lite qui était produite par la filiale Huami et intégrée à l’écosystème Xiaomi via son application Mi fit.

J’étais très satisfait de ce produit. L’autonomie était effectivement remarquable, le capteur cardiaque et le podomètre semblaient relativement fiables. Et le point que j’appréciais le plus, on pouvait recevoir les notifications de son téléphone dessus.

Jusque là aucun problème.

Durant cette période j’avais installé une application d’anti-tracking (bloqueur publicitaire) sur mon téléphone. Il s’agissait de Blokada. Blokada agit comme un VPN local sur le téléphone et analyse le trafic réseau du téléphone pour bloquer certains domaines affiliés à des publicitaires.

Vous commencez a voir le tableau.

Les premiers jours suivant cette installation je regardais le journal des événements de Blokada pour voir quels domaines étaient bloqués et quelles étaient les applications liées à des publicitaires.

J’ai commencé à remarquer que pour chacune des notifications reçues sur la montre, une requête était envoyée à un domaine, à savoir :

fr-app-chat-global-xiaomi-net-1516654448.eu-central-1.elb.amazonaws.com

Le nom était suffisament évocateur, mes notifications étaient transférées sur un serveur amazon en europe qui récoltait les données des notifications (à cette époque je n’avais pas pensé à vérifier le niveau de chiffrement des échanges mais cela aurait pu être intéressant au vu des surpirises plus récentes avec la marque).

En consultant d’autres forums spécialisés dans ces requêtes j’ai remarqué que je n’étais pas un cas isolé et que ces requêtes étaient également visibles sur des téléphones de la marque Xiaomi.

En analysant la déclaration de confidentialité de l’application Mi fit, on pouvait lire que certaines données pouvaient être récoltées en vu d’améliorer les produits de la marque telles que les données biométriques, les pas, …. Avec ce genre de déclaration, on est loin de s’imaginer que les messages privés sont récoltés et pourtant tout se cache dans les points de suspension.

J’avais alors envoyé un e-mail au service privacy :

Celui-ci m’avait répondu que cette collecte était nécessaire à l’affichage des informations sur l’écran de la montre. Tout en me rassurant que mes données n’étaient pas transmises à qui que ce soit.

Voulant alors pousser le jeu plus loin, j’avais tout simplement bloqué les requêtes sur mon bloqueur de publicités Blokada. Et là quelle surprise, les notifications fonctionnaient toujours. Je ne prétends pas être un expert dans le domaine ni que la réponse de Xiaomi correspondait parfaitement à ma question mais cela me semblait clairement louche.

J’ai alors alerté la CNIL sur ce type de pratiques et celle-ci a bien jugé le caractère intrusif de la collecte. Ma plainte a bienété acceptée et traitée par le service. Je n’ai cependant pas eu de suite à ce jour sur l’issue de l’histoire.

Quoi qu’il en soit Xiaomi a modifié depuis sa déclaration de confidentialité par un message encore plus flou indiquant que la nature de la collecte des données peut varier en fonction des produits utilisés. Sachez toutefois, que la marque, dans cette même déclaration de confidentialité, indique que des données peuvent être transmises à des tiers ou même à des services de police. Vos données et vos messages ne sont donc pas si privés lorsque vous utilisez ces services. Méfiez vous donc des objets connectés de toute nature qu’ils soient. Lisez bien le traitement de vos donnée qui s’opère car il en va de votre vie privée (même si cela vous semble fastidieux). Le plus dommage avec ce genre de gadgets est qu’ils paraissent inoffensifs mais cachent en réalité une nébuleuse plus que douteuse.

Pour pallier ce problème, j’avais à l’époque remplacé l’application Mi Fit par Gadgetbridge qui est open source et qui ne collecte pas vos données. Ne vous attendez toutefois pas à une appplication au design aussi réussi mais c’est le prix à payer pour la tranquilité d’esprit.

Aujourd’hui cette affaire me pousse à regarder plusieurs fois avant de choisir un produit high tech. J’ai depuis abandonné de nombreuses autres applications propriétaires peu scrupuleuses. J’ai aussi banni au maximum de mon quotidien les objets connectés, véritables mouchards.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *