Carrier IQ, un mouchard caché au cur des smartphones

Un bidouilleur a découvert que certains smartphones Android abritaient un drôle d'intrus : un logiciel qui rapporte de nombreuses informations à l'opérateur de téléphonie, quasiment invisible pour l'utilisateur.
Voilà plusieurs mois que l’expert en sécurité Trevor Eckhart, qui avait récemment analysé une faille sur les mobiles HTC, travaille sur un dossier sensible. Il a découvert, dans certains mobiles Samsung et HTC, tournant avec Android et proposés par des opérateurs américains, un logiciel au fonctionnement proche de celui d’un rootkit. Carrier IQ fonctionne en effet à la manière d’un logiciel malveillant : invisible pour l’utilisateur, qui ne peut ni le désinstaller ni l’arrêter, il enregistre et transmet de nombreuses données à son insu.

Ce ne sont pas des cybercriminels qui l'on installé… Mais les opérateurs de téléphonie mobile (Sprint et Verizon, dans les cas étudiés par Trevor Eckhart) avec le concours du fabricant du portable. Carrier IQ leur sert à « surveiller » les mobiles pour optimiser leur réseau. « Notre solution vous offre la possibilité unique d’analyser en détail les scénarios d’usage et les conditions d’erreur par type, lieu, application et performance réseau, [avec] un compte rendu détaillé de l’expérience mobile telle qu’elle est livrée sur le terminal », précise Carrier IQ pour promouvoir son offre sur son site.
Un mouchard de poche
Autrement dit, Carrier IQ est en mesure de savoir presque tout ce que vous faites avec votre téléphone. « Ce logiciel a des droits de type "root" sur le terminal mobile, ce qui signifie qu’il peut faire tout ce qu’il lui plaît », peut-on lire sur XDA-developers.com, royaume des bidouilleurs de téléphones Android et site fétiche de Trevor Eckhart. Et effectivement, à y regarder de plus près, Carrier IQ peut surveiller à peu près toute activité sur le mobile. L’étude des événements qui déclenchent un enregistrement et un transfert des données chez l’opérateur est étonnante. Il suffit de lancer ou de fermer une appli, de recevoir un SMS ou un appel, d’ouvrir une page Web et on en passe…
L’outil devient alors un vrai mouchard, qui transmet, à la suite de certains événements, de nombreuses informations à l’opérateur. « Lorsqu’un utilisateur navigue sur une page, les infos du "header http" peuvent être récupérées, avec des informations détaillées sur cette page, et Carrier IQ peut enregistrer les touches du clavier entrées sur cette page. Quand on change de localisation, le téléphone peut le reporter », détaille Trevor Eckhart sur son blog. Idem quand un appel et passé ou qu’un transfert de données est lancé.
Toutes ces informations arrivent chez l’opérateur, qui peut regarder, appareil par appareil, tout ce qui se déroule sur son réseau. Et la précision est diabolique : « Ils savent ou se trouve M. Dupont à chaque instant, ce qu’il fait tourner sur son appareil, les touches sur lesquelles il appuie », assène l'expert en sécurité.
Une publicité dont Carrier IQ se serait bien passé
Bien entendu, les travaux de Trevor Eckhart ne sont pas passés inaperçus. Voici deux jours, Carrier IQ a entamé une procédure judiciaire contre notre hacker. Pour une bête violation de copyright. Celui-ci a en effet récupéré sur le site de l’entreprise des vidéos de formation à son logiciel – pourtant en libre accès – et les a postés sur le Web.
Mais si Carrier IQ souhaitait faire taire le jeune bidouilleur avec ces poursuites, c’est raté. Celui-ci a appelé la puissante Electronic Frontier Foundation, qui a rapidement conclu que l’entreprise « avait pour véritable objectif de supprimer les recherches d’Eckhart et d’empêcher à d’autres de vérifier ses découvertes ». Devant la pression, Carrier IQ a retiré sa plainte hier, mercredi 23 novembre, et s’est même excusé platement dans un communiqué.
L’entreprise en a profité pour rappeler qu’elle n’enregistrait aucun texte entré au clavier, ne fournissait aucun outil de traçage, ne lisait pas les e-mails ni les SMS et ne vendait pas d’informations à des tiers. Ouf ! Au contraire, Carrier IQ écrit que son logiciel « améliore le fonctionnement du téléphone » notamment en « identifiant les appels coupés et une mauvaise réception » ou encore en repérant « les problèmes qui nuisent à l’autonomie du téléphone. »
En résumé, que leur solution « permet d’identifier rapidement les problèmes qui grandissent afin d’aider les opérateurs à éviter qu’ils ne se répandent davantage ». Un mea-culpa qui ne change pas le fond de l’affaire : des dizaines de milliers d’Américains ont une forme de rootkit dans leur téléphone qui envoie de nombreuses données à leur opérateur sans leur consentement.
Follow @01net-
bdarm
Ben justement, tu n'as pas la change d'etre dans les bonnes statistiques!
Ta borne/antenne locale n'interresse donc pas son proprio car pas asse de traffic, t'es tout seul et on s'en fout car tu rapportes pas asse d'argent.
Il te reste donc la solution de changer de reseau en esperant que la borne/antenne est mieux situee et le signal meilleur... Bienvenue dans le monde de l'argent ou le reseau n'est ameliore que l'a ou il y a de l'argent a se faire ou a ne pas perdre. -
bdarm
De meme sur les mobiles Apple, Blackberry et autres.
C'est une question de reseaux (BOUYGUES/SFR/ORANGE) Pour eviter que ce genre de details ne soit transmis acheter votre mobile en dehors des reseaux et vous aurez moins de chance d'avoir ce genre d'info transmis aux reseaux. -
kinomo
Je ne comprends pas où il y a à s’offusquer. Les téléphones Androïde collecte des informations pour les envoyer à Google. Google tire plus de 90% de ses revenues de la pub. Il doit donc cibler le consommateur. Donc, à l’instar de Facebook, il collecte le max de données sur chaque utilisateur. Au début, le site Google, était sans pub. Dès qu’il y a eu assez d’utilisateurs, la pub est arrivée. Idem sur Gmail, et encore plus flagrant sur Youtube. Quand ça arrivera sur les téléphones Androïde, n’est qu’une question de temps. En attendant, il collecte des infos.
Donc par conséquent, en choisissant un téléphone Androïde, on accepte d’être fliqué et balancer des infos perso, je ne vois donc pas pourquoi on s’offusque si une autre société en plus de Google en profite. On l’a cherché non ?! -
Speederr
J'ai ris en lisant cette partie: "Au contraire, Carrier IQ écrit que son logiciel « améliore le fonctionnement du téléphone » notamment en « identifiant les appels coupés et une mauvaise réception » ou encore en repérant « les problèmes qui nuisent à l'autonomie du téléphone. »"
Les appels coupés et une mauvaise réception? La solution est de mettre une nouvelle antenne.
Je paie 30?/mois pour avoir un réseau quasi nul! Il faut mettre son portable a tel endroit pour pouvoir envoyer un SMS ou en recevoir, appeler avec? N'y comptez même pas.
Ce genre d'argument est vraiment faux, on le sait très bien. Ils savent aussi où il manque d'antennes. -
ragdol
Effectivement, il est utile de faire des stats, mais cela peut rester anonyme.
Pour faire des stats sur le nb de SMS, les données sur le serveur suffisent... On voit ce qui est effectivement traité par l'opérateur... (c'était bien le but initial non ? :) )
De même, pour les bus, il n'y a pas besoin d'être fiché... faire des stats sur le nb de personnes qui monte à quelle heure ok, mais cela peut rester anonyme. D'ailleurs, il y a quelques années, on faisait juste un relevé des valideurs de tickets dans les bus... ce qui donne les même resultats (mm si ok c'est pas de l'info temps réel).
Par conséquent oui, il y a trop d'accès aux données persos et le motif de "l'amélioration de la qualité de service" est un argument fallacieux. En effet, c'est toujours plus facile d'aller à la pêche aux infos directement à la source...
M'enfin, ce n'est que mon opinion... -
gdgdsgdsgd
En même temps, même si cela peut être utile, nécessaire pour les opérateurs, dans d'autres domaines aux éditeurs de logiciels, pour améliorer, soit le réseau soit les bug's de logiciels...
La moindre des choses c'est de demander clairement le consentement à l'utilisateur, s'il souhaite participer à ce genre "d'amélioration".
Parce que les "on vous surveille", mais "c'est pour votre bien", c'est un peu trop facile, pour se permettre tout et n'importe quoi.
Mais là évidemment le gouvernement, avec son Hadopi, logiciel de surveillance (pas obligatoire), n'intervient pas pour nous pondre une loi, imposant d'obtenir le consentement éclairé de tous les utilisateurs, avant d'avoir même le droit d'installer ce genre d'application sur les mobiles, ou autres type de machine vendue en France sous peine d'interdiction de vente sur le territoire Français.
Et, moi, je ne vois pas ce qu'il y aurait de choquant, de devoir OBLIGATOIREMENT obtenir le consentement de l'utilisateur, même si une application d'amélioration peut avoir son utilité, à condition que l'utilisateur puisse aussi voir le rapport qui est transmis. -
kilkenny___86
Tient, un gars qui répond alors qu'il n'a lu que la première ligne...
Le fait de logger les plantages, les coupure de connexion, les temps d'appels, non ce n'est pas choquant, c'est nécessaire pour améliorer son service. Si si peu t'offusque et si tu savais a quel point ce genre de pratique et répandu dans tous les domaines, tu n'oserais même plus sortir de chez toi.
Après il est évident que cette applis va trop loin en loggant les applis qui se lance, les headers http, l'allumage de l'écran, les sorties de veilles, etc. (voir les screens de log sur xda).
Sérieusement, comment crois-tu que les opérateur nous sorte à chaque nouvelle année, le nombre de sms envoyé, le nombre qui se sont perdu pour la nouvelle année. Ces infos sont loggé du coté des infrastructure réseau et coté terminal. De la mm façon quand tu prends le bus ou le metro, toutes les données relative à une carte sont conservés, on est capable de retracer tous les trajet que tu fais, mais le seul but et faire des stats, savoir la charge du réseau suivant l'heure (afin de mettre le nombre de bus/ métro nécessaire). -
-
kilkenny__86
Le fait qu'un opérateur mette ce genre d'applis n'est pas choquant en soit. Cela est nécessaire s'ils veulent un feedback sur leur installation, de cette manière ils peuvent savoir, par exemple, que sur tel relais, avec tel marque de tel ils ont un taux d'échec d'appel important et avoir des infos sur la puissance du signal reçu, etc. Ce genre d'application est présent dans tous les domaine ou il a de l'électronique et de l'informatique.
Mais il est évident que l'on peu facilement dépasser la ligne jaune et le travail des experts en sécu (ou tout autre hackers) est essentiel. Si ce chercheur à des preuves solides sur cette applis potentiellement intrusive et qu'il y a plainte, la société devra fournir les sources pour l'enquête (qui seront recompilées et les binaires comparés) pour vérifier le comportement de celle ci. -
ortograff
Il s'agit de l'Electronic Frontier Foundation et non Electronic Fountier Foundation.
Votre opinion