Carrier IQ enregistre les numéros composés sur l'écran tactile.
MÉMO TECHNO - Un chercheur américain en sécurité informatique a découvert sur son téléphone un outil capable de tracer les communications, les envois de messages et les pages consultées.
• La découverte. Un chercheur américain en sécurité informatique, Trevor Eckhart, a découvert sur son smartphone HTC un programme caché, Carrier IQ. Dans un billet de blog publié mi-novembre puis dans une vidéo mise en ligne lundi (et vue plus d'un million de fois depuis), il a montré comment ce logiciel pouvait mémoriser l'ensemble des textes entrés sur le clavier, les touches pressées, les adresses des pages Internet visitées, les numéros composés et le contenu des SMS reçus. Et les transférer vers des serveurs distants, à son insu.
• D'où vient ce Carrier IQ? Trevor Eckhart accuse Carrier IQ d'être un «mouchard», un logiciel espion. La société qui le développe et porte le même nom le décrit comme un «outil d'analyse». Carrier IQ s'adresse en fait aux opérateurs téléphoniques. Il leur permet de mesurer la fiabilité de leurs services, en leur donnant toute une série d'informations sur les usages de leurs clients. Problème : l'outil décelé par Trevor Eckhart est déployé sans que les utilisateurs en soient jamais informés. Il touche à des données sensibles et ne peut pas être désactivé simplement.
• Quels sont les téléphones touchés? Sur son site Internet, Carrier IQ revendique plus de 140 millions d'installations de son logiciel dans le monde. Ce sont les opérateurs qui en imposent l'installation, se défend-il. Deux d'entre eux aux États-Unis, AT&T et Sprint, ont admis recourir à Carrier IQ. En Europe, tous les opérateurs qui se sont prononcés jusqu'à présent, dont SFR en France et Orange, ont affirmé qu'ils ne faisaient pas installer Carrier IQ sur les smartphones.
Côté terminaux, le «mouchard» a notamment été implanté sur des smartphones HTC et Samsung, fonctionnant sous Android et vendus aux États-Unis. Un programme de Carrier IQ a aussi été embarqué, dans une version allégée et devant être manuellement activée, sur la plupart des iPhone avant la mise à jour iOS 5 en octobre, a reconnu Apple. Research In Motion a dit en revanche qu'il ne l'autorisait pas sur ses BlackBerry. Microsoft et Nokia qu'ils n'y recouraient pas non plus. Sur Android, une application permet de voir si son téléphone est touché.
• Que deviennent ces informations? Dans un communiqué publié jeudi, Carrier IQ s'est attaché à minimiser l'importance des données recueillies. «Notre logiciel n'enregistre, ne stocke et ne transmet aucun contenu des SMS, emails, photographies, sons et vidéos», a-t-il dit. L'observation du clavier ne servirait qu'à repérer des combinaisons de touches lors de conversations avec le service client. Quant aux données récoltées, elles seraient transmises aux opérateurs sous forme cryptée et généralement effacées au bout de trente jours.
Ces explications n'ont cependant pas rassuré tous les défenseurs des libertés sur Internet. Trevor Eckhart a prouvé que les transferts n'étaient pas si protégés, ce qui pourrait ouvrir la voie à de l'espionnage par d'autres sources. De plus, le logiciel peut bel et bien enregistrer les textes entrés sur le clavier. Bref, il subsiste beaucoup zones d'ombre autour de ce logiciel.
• Quelles vont être les suites données à ces découvertes? Un sénateur américain, le démocrate Al Franken, a demandé jeudi des explications à la société Carrier IQ. Toujours aux États-Unis, une action de groupe vient d'être lancée contre Samsung et HTC pour dissimulation. Dans le même temps, un régulateur allemand souhaite qu'Apple se prononce à nouveau sur le sujet. Contactée, la Commission nationale de l'informatique et des libertés (Cnil) n'avait pas encore donnée suite vendredi soir.
La vidéo de Trevor Eckhart (en anglais):
Aucun commentaire:
Enregistrer un commentaire