Depuis que le chercheur en sécurité Trevor Eckhart a affirmé qu'un bout de code du logiciel d'analyse de l'éditeur Carrier IQ agissait comme un logiciel malveillant, de nombreux utilisateurs de téléphones portables se demandent si leurs appareils sous iOS, Android, Nokia et BlackBerry sont espionnés. Selon le chercheur, le logiciel développé par Carrier IQ et installé sur les périphériques par les fabricants et les opérateurs enregistrerait des données à l'insu de l'utilisateur, comme des frappes au clavier et l'historique de navigation Internet.

De son côté, l'éditeur Carrier IQ nie les allégations du chercheur en sécurité et affirme que sa technologie est utilisée uniquement à des fins de diagnostic pour améliorer les performances du terminal et la qualité du réseau.

Alors, est-ce que les intentions de Carrier IQ sont bonnes ou mauvaises ? Est-ce que ce logiciel collecte plus d'informations sur nos terminaux que nécessaire ? Où s'agit-il simplement d'un gros malentendu sur ce que fait vraiment le logiciel de Carrier IQ ?

Voici ce que nous savons aujourd'hui :

1 - Qu'a découvert Trevor Eckhart ?

Mi-novembre, le chercheur en sécurité a publié un rapport sur un morceau de code du logiciel développé par Carrier IQ. Normalement, ce logiciel est un outil de diagnostic censé aider les constructeurs et les opérateurs à améliorer la qualité de leurs services. Mais Trevor Eckhart a affirmé que le logiciel de Carrier IQ était en réalité un « rootkit » ou « outil de dissimulation d'activité », autrement dit, un mouchard, qui enregistre secrètement l'activité du téléphone sur lequel il est installé. Or le logiciel de diagnostic de Carrier IQ est installé sur de nombreux téléphones tournant sous Android, Nokia et BlackBerry. Celui-ci a également été identifié sur des appareils tournant sous l'iOS d'Apple. Mais selon certains, son action semble plus inoffensive sur ces terminaux.

2 - Que fait le logiciel ?

Trevor Eckhart a posté une vidéo sur YouTube montrant comment fonctionne un logiciel - présenté comme Carrier IQ par le chercheur - sur un téléphone HTC. Dans la vidéo, on peut voir le logiciel enregistrer des frappes, y compris sur le pavé numérique du téléphone, les messages SMS, les données de localisation, et l'historique de navigation Web, notamment les données cryptées transitant en https (SSL). On ne sait pas très bien si ces données sont ou non transmises à l'éditeur.

3 - Carrier IQ se comporte-t-il de la même manière sur tous les téléphones ?

La démonstration de Trevor Eckhart montre uniquement le comportement de Carrier IQ sur un téléphone HTC. Mais, toujours selon le chercheur, il semble que des terminaux Samsung enregistrent les mêmes informations, y compris les tapes d'écran et les URL de navigateur.

Un autre développeur, Grant Paul (sans rapport avec l'auteur) prétend que sur les appareils iOS, le logiciel Carrier IQ accède à un nombre plus limité d'informations, comme le numéro de téléphone, le nom de l'opérateur, le pays, et quand un appel est actif, la localisation, si l'option est activée dans les préférences du terminal.

Le site The Verge rapporte que le logiciel Carrier IQ n'est pas installé sur le Xoom de Motorola ou les téléphones Android Nexus, à savoir le Nexus One, le Nexus S, et le Galaxy Nexus.

4 - Est-il possible de désinstaller Carrier IQ ?

Il ne semble pas être possible de supprimer ce logiciel sur un téléphone Android sauf à pouvoir entrer en mode « root ». Selon Grant Paul, il est possible de désactiver Carrier IQ sur les terminaux sous iOS 5. Dans la rubrique Réglages/Général/Informations/Diagnostic et utilisation, il suffit de choisir : « Ne pas envoyer. » Et dans la prochaine mise à jour d'iOS 5, Apple a déjà fait savoir qu'il allait supprimer le service proposé par Carrier IQ.

[[page]]

5 - Qui est Carrier IQ ?

Carrier IQ est une société basée en Californie qui propose de fournir aux opérateurs et aux fabricants de terminaux des « données pertinentes et en temps réel » pour les aider à améliorer leurs services. Les données de Carrier IQ sont extraites par un logiciel de diagnostic embarqué sur les terminaux vendus par les opérateurs et/ou les constructeurs de terminaux à leurs clients. Carrier IQ affirme que son logiciel de diagnostic fournit de l'« intelligence décisionnelle » pour améliorer la qualité du réseau, comprendre les problèmes qui se posent sur les terminaux, et finalement, améliorer l'expérience utilisateur. Le logiciel de Carrier IQ est embarqué sur plus de 140 millions de combinés dans le monde.

6 - La réponse de Carrier IQ

L'entreprise californienne affirme que son logiciel n'enregistre pas les frappes, et n'analyse et ne rend compte d'aucun contenu, que ce soit ceux des messages SMS ou des e-mails. Carrier affirme également qu'elle ne fournit pas d'outils permettant le pistage et qu'elle ne vend pas les données qu'elle recueille à des tiers. Au contraire, l'entreprise affirme que son logiciel identifie les problèmes de performance du terminal comme les coupures d'appels et les mauvaises performances du réseau.

Carrier IQ nie également fournir « des données en temps réel à un quelconque client. » Mais sur son site, l'entreprise fait valoir qu'elle est capable de fournir à ses clients des données provenant directement du terminal des utilisateurs : « Fini les conjectures, notre solution intelligente fait remonter automatiquement des informations en temps réel directement depuis la source : le téléphone de vos clients. »

7 - Carrier IQ a fait autre chose ?

Le 16 novembre, l'entreprise a adressé à Trevor Eckhart une lettre lui demandant de mettre un terme à ses allégations. Ce courrier exigeait du chercheur qu'il retire son rapport publié sur Internet et qu'il le remplace par une déclaration rédigée par l'entreprise dans laquelle elle réfute toutes les affirmations du chercheur.

L'entreprise a également demandé au chercheur de retirer le matériel copyrighté Carrier IQ qu'il a posté sur son site web, y compris les documents de formation jusque-là disponibles sur le site même de l'entreprise. Carrier IQ a également demandé au chercheur de lui fournir la liste de toutes les personnes (et leurs coordonnées) avec lesquelles il a partagé ces informations. Entre temps, le 21 novembre, le chercheur a reçu le soutien de l'Electronic Frontier Foundation. Deux jours plus tard, Carrier IQ abandonnait ses demandes et adressait ses excuses à Trevor Eckhart.

8 - Que va-t-il arriver ?

On ne sait pas si le rapport de Trevor Eckhart aura des conséquences et lesquelles. Carrier IQ affirme qu'elle prévoit de discuter de son logiciel avec l'Electronic Frontier Foundation, laquelle pourrait donner son avis en la matière. Certainement, des questions importantes ont besoin de réponses. Dont, l'une d'elles, et pas la moindre, est : « Si le logiciel Carrier IQ n'exploite pas les frappes, alors pourquoi a-t-il l'air de les identifier en premier lieu ? »

Nous avons demandé aux trois principaux opérateurs français s'ils travaillaient avec Carrier IQ en France. Les services de presse de SFR, Orange et Bouygues Telecom nous ont répondu qu'ils n'utilisaient pas les services de ce logiciel.