Un développeur américain a constaté que même avec le nombre croissant d’attaques sur les plateformes mobiles, il n’est pas nécessaire qu’un programme soit installé sur le mobile pour saisir les données de l’utilisateur et les envoyer à un serveur distant. Il a récemment révélé CarrierIQ, un programme qui remplit cette fonction et qui fonctionne secrètement sur presque tous les appareils sur diverses plateformes, y compris les appareils Android, iOS et Nokia.
La découverte a été faite par Trevor Eckhart en octobre, date à laquelle la première vidéo qu’il a réalisée a été diffusée. La société qui a créé le programme, qui porte également le nom de CarrierIQ, a tenté de le poursuivre en justice à l’époque pour empêcher la divulgation des informations qu’il avait obtenues. De toute évidence, la tactique était aussi efficace que d’essayer d’éteindre un incendie avec un gallon d’essence. C’est pourquoi, après une aide juridique de l’EFF, il a publié cette semaine une nouvelle vidéo montrant comment le logiciel agit chez les appareils Android.
C’est 17 minutes de vidéo avec des détails minutieux, mais voici un résumé pour ceux qui n’ont pas beaucoup de temps : CarrierIQ est un programme qui capture toutes les actions effectuées sur Android, des numéros composés, des sites accédés aux SMS et aussi des informations envoyées par des connexions considérées comme sécurisées, avec le protocole HTTPS. Il peut enregistrer ces informations dans des connexions cryptées car elles se trouvent dans la couche située entre les applications et l’utilisateur.
Où vont ces données ? Personne ne sait. Trevor a montré qu’ils sont capturés et envoyés à un serveur CarrierIQ, mais nous ne savons pas quelles personnes ou entreprises y ont accès. En fait, il n’est même pas possible de savoir quelles données sont envoyées, bien qu’elles soient toutes saisies par le programme. En réponse à cette découverte, CarrierIQ déclare (PDF) qu’ils vendent leur programme aux opérateurs pour offrir une meilleure expérience aux utilisateurs et qu’ils n’enregistrent pas les données de l’appareil. Mais la vidéo montre que ce n’est manifestement pas le cas.
Ce n’est pas seulement les appareils Android. Trevor affirme que des appareils tels que les BlackBerry et les Nokias équipés de SymbianOS intègrent également CarrierIQ, bien qu’aucune preuve n’ait encore été trouvée. Cependant, lorsque j’ai entendu parler de cette déclaration, le bureau de presse de Nokia aux États-Unis a répondu à M. Gizmodo en disant que leurs téléphones sont vendus sans le programme, et que nous pourrions donc avoir une différence d’information à ce sujet. RIM, le fabricant de BlackBerry, n’a encore rien déclaré à ce sujet.
En outre, le développeur Grant Paul, connu dans le domaine des évasions de prison pour les appareils iOS, a déclaré dans son blog (merci, Scott !) que toutes les versions d’iOS ont également leur propre version de CarrierIQ. Mais contrairement aux appareils Android, il semble enregistrer moins de données et semble être désactivé lorsque l’outil de diagnostic est éteint. Le développeur déclare également que le téléphone Windows semble être la seule plateforme qui ne soit pas livrée avec ce logiciel intégré. Oui, il y a beaucoup d’hypothèses dans ce paragraphe, mais c’est ce que nous avons quand il n’y a pas de données concrètes ou de preuves factuelles.
Comment la désactiver ? Ce n’est pas possible, du moins pas sur le système de Google. Sauf si vous installez une ROM personnalisée sur Android et qu’elle ne contient pas ce programme. CarrierIQ est un processus qui s’exécute sur une couche si profonde du système qu’il est impossible de le forcer à s’arrêter. Il ne serait cependant pas sur tous les appareils Android : selon une source anonyme de The Verge, la gamme d’appareils Nexus et le Xoom original ont été développés comme des modèles appareils Android “phares” et ne contiennent donc pas ce logiciel.
Le fait est que CarrierIQ enregistre une quantité effrayante de données sans la permission explicite des utilisateurs et les envoie à un serveur de sorte qu’il n’y a aucun moyen de les éviter. Et si ce n’est pas quelque chose dont il faut s’inquiéter, je ne sais pas ce que c’est.
