DR

 

« Voyez précisément comment vos clients interagissent avec leur téléphone ; identifiez les services qu’ils utilisent et les contenus qu’ils consultent, même sur Internet ! » Contrairement aux apparences, cette accroche publicitaire n’est pas fictive, ni humoristique. Publiée sur le site de Carrier IQ, éditeur de logiciels pour smartphones, elle s’adresse aux opérateurs mobiles et tente de les inciter à installer un petit programme nommé « Insight Experience Manager » sur les appareils qu’ils vendent à leurs clients. Ils pourront ainsi récolter des statistiques en temps réel sur les « appuis de bouton » ou les « anomalies rencontrées », par exemple, pour améliorer la qualité du service et la satisfaction de la clientèle. N’est-ce pas merveilleux ?

Ce le serait, en effet, si les logiciels de Carrier IQ s’adonnaient à leur petit espionnage technique avec le consentement des utilisateurs concernés, dans le cadre d’un panel de test. Mais Trevor Eckhart, un expert en sécurité informatique âgé de 25 ans, a découvert il y a quelques mois que le programme informatique est utilisé à très large échelle sur les téléphones Android, Nokia et BlackBerry, à l’insu de leurs propriétaires. Installés par les opérateurs américains (Sprint et Verizon, notamment) avec la complicité des fabricants de smartphones, ils se comportent comme des spywares malveillants : ils fonctionnent en permanence, de manière invisible, ne peuvent pas être désinstallés, ni arrêtés manuellement. Bref : à côté du dossier Carrier IQ, l’affaire des mouchards pisteurs sur les iPhone est un épisode des Bisounours.

À première vue, le logiciel paraît inoffensif : il permet notamment, comme on le voit sur l’image ci-contre, d’envoyer des rapports de plantage à son opérateur téléphonique quand le smartphone ou la tablette rencontre un problème lié à une application, un appel, une session de surf sur Internet, etc. « Super ! Moins d’appels coupés, un meilleur réseau : ça paraît très bien en surface », commente Trevor Eckhart dans l’analyse détaillée qu’il a publiée. Mais « malheureusement », il est possible de configurer l’application de manière à ce qu’elle soit totalement cachée aux yeux de l’utilisateur.

En visionnant les vidéos explicatives fournies par Carrier IQ sur son site, Eckhart a compris le fonctionnement du logiciel et l’a étudié en profondeur. « Tout le processus repose sur deux catégories d’informations : les mesures et les déclencheurs. Les mesures sont les données enregistrées, les déclencheurs sont le moment où elles sont enregistrées. » Par exemple, Carrier IQ peut enregistrer la mesure « géolocalisation » liée au déclencheur « appel reçu », et donc savoir où se trouvait le propriétaire du téléphone quand il a décroché.

Quelques autres « déclencheurs » identifiés sur les téléphones HTC et Samsung :
- Pression sur une touche numérotée dans le clavier d’appel
- Ouverture d’application
- Réception de SMS
- Allumage et extinction de l’écran
- Etat de la batterie
- Pression digitale sur l’écran
- Caractères tapés sur le clavier tactile
- Envoi de requête HTTP (= lancement d’une page sur le navigateur)

 

Aperçu partiel de la liste des catégories de « mesures » que Carrier IQ peut collecter

 

« IQ Insight Experience Manager enregistre des données directement depuis le mobile pour donner un aperçu précis de la façon dont les services et applications sont utilisées, même quand le téléphone n’est pas connecté au réseau », note Eckhart. Et quand la connexion est rétablie, il peut cafter à l’opérateur tout ce qui s’est passé entre temps.

Les travaux de l’expert en sécurité n’ont pas tardé à faire le tour de quelques blogs d’actualité technologique, avant de remonter aux oreilles de Carrier IQ… qui n’a pas apprécié la mauvaise publicité. Sous prétexte qu’Eckhart avait frauduleusement utilisé des documents protégés par le droit d’auteur (les vidéos explicatives qu’il avait trouvées sur le site de Carrier IQ), l’entreprise lui a ordonné (PDF) le 16 novembre de retirer son analyse de son blog, de demander aux sites ayant repris l’information de faire de même, et de publier un communiqué réfutant toutes les accusations, le tout dans un délai de 24 heures, sous peine de poursuite judiciaires.

L’intimidation n’a pas marché. Immédiatement, Trevor Eckhart a contacté l’Electronic Frontier Foundation, importante ONG militant pour la liberté d’expression, qui l’a aidé à se défendre en expliquant la notion de fair use à Carrier IQ. Cette exception américaine à la protection du droit d’auteur stipule que toute œuvre protégée peut tout de même être utilisée à des fins de recherche (entre autres). L’EFF en a profité pour mettre un petit coup de pression en étalant l’affaire sur la place publique.

Le 23 novembre, Carrier IQ a retiré sa mise en demeure et présenté des excuses publiques (PDF) « pour tous les problèmes que notre lettre a pu causer à M Eckhart. » Dans le même document, l’entreprise avance que son logiciel « ne fournit pas d’outils de pistage » des utilisateurs, « n’enregistre pas les lettres et chiffres tapés sur le clavier du téléphone », « ne surveille ni ne rapporte à l’opérateur le contenu des communications telles qu’e-mails et SMS », et ne vend pas les informations collectées à des tierces parties.

Ok pour le dernier point, car Trevor Eckhart n’a aucun moyen de vérifier quel usage les opérateurs américains font de ces informations. Mais pour prouver que Carrier IQ ment sur le type de données collectées, il a lancé hier une nouvelle offensive, en vidéo cette fois :

 

En 17 minutes de démonstration détaillée, Trevor Eckhart montre comment chaque action effectuée sur son smartphone Android, même la plus insignifiante, est soigneusement décortiquée par l’application de Carrier IQ et stockée dans un « log », un fichier d’archive. Chaque clic sur le bouton « Home » ou « retour », par exemple, engendre une ligne de code. Quand Eckhart compose un numéro comme pour passer un appel, chacune des touches pressées est enregistrée et associée à un chiffre : « 50 » pour la touche 2, « 51 » pour la touche 3… On peut ainsi reconstituer le numéro composé en lisant le log.

Plus inquiétant encore, Carrier IQ collecte la géolocalisation de l’appareil lorsque l’utilisateur surfe sur Internet, enregistre les mots tapés dans une recherche Google même quand le protocole est censé être crypté (HTTPS), et archive le contenu des SMS reçus.

La vidéo se termine sur « quatre questions auxquelles j’aimerais avoir une réponse » :
- « Pourquoi les appuis sur les touches du clavier sont-ils associés à ces codes uniques permettant de les identifier ? »
- « Pourquoi la fonction SMSNotify transmet les textos à Carrier IQ ? »
- « Pourquoi l’application activée sans le consentement de l’utilisateur et pourquoi elle est si difficile à désinstaller ? »
- « Pourquoi surveille-t-elle le contenu transitant par mon navigateur Internet, et particulièrement les requêtes HTTPS quand je suis connecté sur mon Wi-Fi domestique ? »

La balle est dans la camp de Carrier IQ… et le coup de la dénégation et des excuses publiques ne marchera pas une seconde fois.

Source ecrans.fr