Un développeur de 25 ans spécialisé sur la plate-forme Android vient de démontrer qu’un logiciel espion installé à l’insu des utilisateurs traque les données de 140 millions d’utilisateurs de portables aux Etats-Unis. Si les faits sont avérés, ils sont gravissimes.
L’affaire Carrier IQ vient de démarrer et elle va certainement faire grand bruit. Trevor Eckhart, un développeur situé dans le Connecticut vient de publier des informations assorties de preuves en vidéo (disponible ci-dessous) qui montre que les opérateurs américains espionnent pratiquement tout ce que vous faites avec un téléphone Android, Blackberry ou Nokia.
Dans un premier temps, M. Eckhart a publié de premières informations et a baptisé « rootkit » le logiciel Carrier IQ. Ceci lui a valu les foudres de la société éponyme, conceptrice du logiciel, le menacant d’actions en justice et d’amendes record. L’Electronic Frontier Foundation est venue au secours du jeune empêcheur d’espionner tranquillement ce qui a conduit la société à faire machine arrière dans ses menaces, voire à se confondre en excuses.
Rien de méchant, assure-t-on
Toutefois, reconnaissant l’existence de ce logiciel, Carrier IQ tenait à préciser que cette application était destinée aux opérateurs afin que ces derniers puissent établir des statistiques d’utilisation mais que jamais – ô grand jamais – le logiciel n’enregistrait les touches qui étaient pressées, pas plus que le contenu des communications ou des messages électronique ou SMS. Bref, tout ceci n’était qu’une gentille petite application permettant aux opérateurs d’améliorer le service aux clients. Bé, tiens !
Le problème est que, poursuivant ses investigations (Trevor Eckhart est du genre têtu comme pas mal de ses collègues développeurs), notre homme a réalisé de nouvelles analyses qui montrent que le communiqué de Carrier IQ est un nouveau mensonge et que toutes ces informations sont bien enregistrées et envoyées aux serveurs de Carrier IQ, le tout secrètement. Plus encore, le logiciel continue à fonctionner même si vous remplacez le système d’exploitation de votre téléphone, si vous stoppez la connexion GSM et utilisez uniquement le mode Wi-Fi, voire le mode « avion » des appareils lequel permet théoriquement (très théoriquement) de le déconnecter des réseaux. Ajoutons que l’utilisation du protocole HTTPS sur Google qui permet (toujours théoriquement) d’avoir une connexion empêchant de connaître par exemple ce que l’on va chercher sur Google ne pose aucun problème à Carrier IQ qui récupère ces informations.
Pour le moment, il semble que les opérateurs européens n’utilisent pas cette application ou un logiciel similaire. Il semble également que les iPhone ne soient pas concernés.(Mise à jour de 18h20. Dans un article publié sur le MagIT et accessible à cette adresse, notre confrère Valery Marchive indique qu'"un contrat a été signé en 2009 entre Vodafone Portugal et Carrier IQ et que ce dernier dispose d'équipes en Europe, dont un président EMEA basé au Luxembourg". Il indique également que ce même opérateur était présent au dernier Mobile World Congress de Barcelone en février grand raout de la téléphonie mobile. Dans ces conditions, des contacts ont été pris et il convient maintenant de savoir si de telles applications sont opérationnelles en Europe. Notre confrère précise avoir interrogé les principaux opérateurs français et attend les réponses).
Du Watergate au Phonegate ?
En tout état de cause, cette nouvelle affaire d’espionnage nous semble gravissime car ce procédé viole toutes les lois américaines en matière de protection de la vie privée et aucun consommateur américain n’en a jamais été informé. Espérons qu’elle ne reste pas en l’état et que l’on découvre ce qui se cache derrière Carrier IQ. Espérons enfin que les développeurs européens fassent preuve d’autant de pugnacité que leur confrère yankee et explorent les entrailles de nos mobiles afin de s’assurer que nous ne subissons pas les mêmes avanies.
A la fin du célèbre film Les hommes du Président relatif au Watergate, le rédacteur en chef Ben Bradlee tance gentiment ses deux reporters (Robert Redford / Bob Woodward et Dustin Hoffman / Sam Berstein) en leur expliquant que tout cela n’est pas grave mais remet juste en cause la constitution américaine, les libertés individuelles et l’avenir de la démocratie. De notre point de vue, nous n’en sommes pas loin avec cet épisode, à la différence que celui qui sort l’affaire n’est pas un journaliste mais un informaticien. A nous désormais de prendre le relais et de faire notre boulot pour savoir ce qu’il y a derrière.
La vidéo ci-dessous est en anglais et dure 17 minutes. Le propos est relativement aride, en tout cas beaucoup moins rigolo qu’un bon film comique, mais beaucoup plus inquiétant.
Source
