Smartphones : Big Brother fait Carrier

par Camille Gévaudan
publié le 5 décembre 2011 à 17h32
(mis à jour le 6 décembre 2011 à 19h15)

Sur la page d'accueil de son site, le développeur de logiciels Carrier IQ appelle les visiteurs à lire «une clarification importante» ( PDF ). La publication d'une réaction officielle devenait plus que nécessaire. En effet, la société américaine est actuellement accusée par un expert en sécurité informatique de collecter toute une série de données privées sur les utilisateurs américains de smartphones Android, via une petite application installée à leur insu.

«Notre logiciel n'enregistre, ne stocke ni ne transmet les SMS, e-mails, photos, sons et vidéos de votre téléphone» , assure Carrier IQ. On aimerait bien les croire, mais la vidéo de démonstration publiée par Trevor Eckhart semble indiquer tout à fait le contraire. On y voit le chercheur connecter son smartphone à un écran d'ordinateur où il fait défiler, et commente ligne par ligne, toutes les données gérées par l'application-espion en temps réel. À 12 min et 27 secondes du début de la vidéo, par exemple, le fichier d'archive de Carrier IQ note qu'un SMS a été reçu par le téléphone, et que son contenu, retranscrit en clair, est : «Hello World».

Trevor Eckhart affirme que Carrier IQ surveille et enregistre également tous les évènements qui se produisent sur le smartphone lorsqu'il est allumé : mise en veille de l'écran, utilisation du clavier numérique, réception ou émission d'un appel... Le spyware sait même reconnaître les touches du clavier alphabétique tactile au fur et à mesure que l'utilisateur appuie dessus. Il peut ainsi reconstituer les phrases envoyées par e-mail, ou les requêtes tapées dans Google.

Même dénégation de la part de Carrier IQ sur cet aspect-là : Rebecca Bace, une «experte reconnue» en sécurité informatique que l'entreprise cite dans son communiqué, «pense» , après avoir examiné le logiciel, que «les allégations» d'Eckhart sur un éventuel enregistrement des touches sont sans fondement.

Class actions

Qui croire ? Pour départager les deux protagonistes qui jurent chacun leur bonne foi, il faudrait une enquête menée par un tiers indépendant et qualifié, suivie d'un procès en bonne et due forme. Et c'est bien devant les tribunaux que se finira l'affaire, vu que deux actions collectives ( class actions ) ont été déposées cette semaine aux Etats-Unis par des associations de consommateurs.

Dans le viseur : Carrier IQ, qui a créé le logiciel, mais aussi HTC et Samsung, qui l'installent sur une grande partie de leurs smartphones vendus aux États-Unis sur demande des opérateurs téléphoniques. Car ce sont les opérateurs qui tirent les ficelles de cette surveillance généralisée : selon les recherches de Trevor Eckhart, ils reçoivent régulièrement et automatiquement les données collectées par Carrier IQ sur leurs abonnés, pour mieux connaître leurs usages et garantir un «service optimal» .

De son côté, Al Franken, un sénateur américain, a sommé Carrier IQ de fournir des explications plus détaillées sur le fonctionnement de son mouchard. Il estime que la quantité d'informations collectées est disproportionnée par rapport au but recherché -- l'amélioration de la qualité du réseau --, et que cela pourrait violer les lois américaines.

La commission fédérale du commerce (FTC) a été saisie par un élu démocrate du Massachusetts, Edward Markey, pour une enquête approfondie.

3 opérateurs et 4 constructeurs concernés

Fabricants de smartphones, opérateurs téléphoniques : de nombreuses entreprises sont mises en cause dans l'affaire Carrier IQ, qui peut porter un gros coup à leur réputation. Ces derniers jours, chacune s'est donc fendu d'une réaction plus ou moins détaillée pour préciser la nature exacte de ses liens -- ou de son absence de liens -- avec le logiciel espion.

Du côté des opérateurs :

Verizon, Bell, Rogers et Cincinnati Bell jurent qu'ils n'ont pas recours à Carrier IQ.

T-Mobile US, AT&T; et Sprint installent Carrier IQ sur les téléphones qu'ils vendent, mais uniquement «pour améliorer le réseau sans-fil et la performance des services» . Sprint précise qu'il collecte «assez d'informations pour comprendre les usages des clients sur le réseau et résoudre les problèmes de connexion» , mais qu'il n'a «pas accès aux contenus des messages, photos et vidéos du téléphone» .

Du côté des fabricants :

Ce sont les fabricants de téléphones tournant sous Android qui étaient principalement montrés du doigt par Trevor Eckhart. HTC et Samsung, qui produisent de tels appareils, reconnaissent installer le mouchard à la demande des opérateurs sus-cités mais déclinent toute responsabilité dans l'usage que ces derniers font des données collectées. Ils précisent tous deux qu'ils ne voient jamais la couleur de ces données : ils ne font qu'installer l'application.

Cités par Trevor Eckhart comme potentiellement liés à Carrier IQ, Nokia et RIM (BlackBerry) nient tout. Microsoft, que personne n'avait accusé de quoi que ce soit, tient également à préciser qu'il n'installe pas Carrier IQ sur les Windows Phones. Idem pour Hewlett Packard.

Certains mobinautes, alertés par l'affaire Carrier IQ, ont décortiqué le contenu de leur iPhone et découvert qu'ils possédaient, eux aussi, l'application espion. Apple a confirmé l'information. Carrier IQ est bel et bien installé sur les iPhone. Mais pour éviter une seconde polémique embarrassante après l'affaire du mouchard de géolocalisation , la firme à la pomme a promis de réagir rapidement : «nous avons cessé d'utiliser Carrier IQ sur iOS 5, et nous le supprimerons entièrement dans une future mise à jour. (...) De toute façon, les données envoyés aux opérateurs sont anonymes et cryptées, et elle n'incluent aucune information personnelle.» Apple indique également que la version iPhone de Carrier IQ n'enregistre pas les frappes de clavier et les messages.

Sony Ericsson installe également Carrier IQ sur ses smartphones américains destinés aux réseaux T-Mobile US, AT&T; et Sprint.

Et en Europe ?

A priori, Carrier IQ ne sévit qu'aux États-Unis. Mais pour s'en assurer, plusieurs instances européennes de régulation des télécoms, notamment en Allemagne, ont lancé une investigation auprès des opérateurs.

En France, Orange, SFR et Bouygues ont expliqué à 01Net qu'ils n'avaient pas recours au mouchard. La CNIL enquête.

À lire également :

Lire les réactions à cet article.

Pour aller plus loin :

Dans la même rubrique

Les plus lus