au sommaire
Carrier IQ : pratiquement inconnu il y a peu, ce nom est passé à la postérité en quelques jours. Pourtant l'éditeur de ce logiciel de « diagnosticdiagnostic d'utilisation réseau » pour téléphones mobiles se serait bien passé d'une telle notoriété. Car elle vire au scandale, avec plaintes collectives à l'appui.
Son logiciel est en effet au cœur d'une tourmente née des découvertes d’un chercheur nommé Trevor Eckhart, publiées la semaine dernière. Il affirme que cette applicationapplication installée sur les smartphones Android fonctionne comme un logiciel espionlogiciel espion de type rootkit. C'est-à-dire qu'elle transmet sans le consentement de l'utilisateur (qui, de toute façon, ne peut agir sur son action), des informations sur l'usage du téléphone : localisation GPS, applications lancées, pages Web visitées, touches du clavier utilisées, etc.
Face à la grogne des utilisateurs qui crient au scandale, Carrier IQ s'est défendu de deux manières. Premier argument de l'éditeur : son logiciel fonctionne de façon transparente pour l'utilisateur et se contente de retours sur la qualité des échanges sur le réseau et sur le fonctionnement du smartphone. Et d'ajouter que seuls les opérateurs et constructeurs ont la possibilité de l'intégrer de façon plus poussée et plus discrète dans le smartphone, tout en dopant ses capacités de surveillance. Second argument, Carrier iQ certifie que les données recueillies, certes hébergées sur des serveurs sécurisés chez lui, ne sont lues et utilisées que par ces mêmes opérateurs et constructeurs, qui doivent le faire dans le respect de la loi. Et pour appuyer le tout, il insiste sur le fait que seules les informations techniques les intéressent vraiment, pour améliorer la qualité des connexions et des communications.
Carrier IQ enregistre même les appuis sur le clavier
Concrètement, dans d'autres explications qui ont convaincu Dan Goodin, journaliste spécialisé en la matièrematière, Andrew Coward, un dirigeant de Carrier IQ explique qu'environ 200 Ko de données, soit l'équivalent de 200 chaînes de 1.024 caractères, sont recueillies chaque jour depuis les téléphones. Et que 80 % de ces 200 Ko concernent les « conditions radio » dans lesquelles se sont déroulées des conversations téléphoniques ou des échanges de données et de SMSSMS, qui ne sont d'ailleurs jamais lus ni stockés.
La surveillance des touches, elle, ne servirait qu'à vérifier l'efficacité de manipulations demandées par le service d'assistance de l'opérateur en cas de problème sur le smartphone. Et M. Coward d'affirmer que toutes les données qui ne concernent pas la technique sont automatiquement supprimées, leur stockage n'étant d'aucune utilité.
Un exemple de listing de données fourni aux opérateurs téléphoniques par Carrier IQ via son application cachée dans un smartphone. © Career IQ
Carrier IQ se défausse donc sur les constructeurs et les opérateurs. Ceux-ci sont désormais dans le collimateur de la justice : les constructeurs HTC et SamsungSamsung, ainsi que les opérateurs AT&TT, Verizon, Sprint et T-Mobile, sont visés comme Carrier IQ, par des class actions (plaintes collectives) dans les États américains de l'Illinois et du Delaware et placés sous surveillance du Sénat qui leur demande des explications. Mais le scandale, qui toucherait potentiellement 141 millions de smartphones, pourrait également éclabousser AppleApple, qui avait déjà suscité de telles réactions après la révélation que les données de géolocalisation des utilisateurs étaient régulièrement transmises. Apple vient de reconnaître que des modèles d'iPhoneiPhone avaient intégré l'application de Carrier IQ mais qu'elle était en phase de disparition grâce à des mises à jour du système d'exploitationsystème d'exploitation iOSiOS 5.
Repérée également sur des téléphones Nokia et BlackBerry, elle ne concerne cependant pas l'Europe où opérateurs comme constructeurs se défendent de l'avoir jamais utilisée. Ce qui n'empêche pas des organes officiels comme le Bavarian State Office for Data Protection en Allemagne, l'Information Commissioner's Office au Royaume-Uni et l'association européenne de consommateurs BEUC de demander des explications aux différentes sociétés mises en cause.
La question de la vie privée des utilisateurs de smartphones
Cette affaire qui est loin d'être terminée pose le problème de la connivence entre les éditeurs comme Carrier IQ, les opérateurs téléphoniques, les constructeurs et même les éditeurs de systèmes d'exploitation comme Google pour Android (déjà dans le collimateur avec HTC depuis octobre).
Ces retours s'effectuent le plus souvent au mépris de la sécurité des appareils et de la vie privée des utilisateurs. Et si, comme cela semble se confirmer, HTC et Samsung ont intégré l'application de Carrier IQ dans leurs smartphones à la demande d'opérateurs comme AT&T et Verizon, on peut se demander jusqu'où ce genre d'arrangement peut aller.
Plutôt inquiétant lorsqu'on sait que des experts de l'université de Caroline du Nord viennent de découvrir une nouvelle faille dans Android, permettant à une application bien programmée d'avoir accès à toutes les données stockées sur un smartphone. Il ne manquerait plus qu'un pirate se cache chez un opérateur...