Première publication le 30 novembre 2011
Carrier IQ : des détails accablants sur le mouchard des smartphones
L’expert en sécurité informatique qui a mis au jour Carrier IQ publie une vidéo sidérante qui confirme ses découvertes.
Trevor Eckhart est tenace. Après avoir révélé les secrets de Carrier IQ, l’expert en sécurité revient à la charge contre ce curieux mouchard. Installé discrètement par les fabricants dans au moins 130 millions de mobiles à travers le monde, celui-ci est censé fournir aux opérateurs des données leur permettant d’améliorer leurs réseaux.
L’éditeur du logiciel, embarrassé par cette publicité intempestive, avait rapidement réagi à la publication des découvertes d’Eckhart. Il avait notamment publié une vidéo sur YouTube afin d’expliquer son activité. Et, dans un communiqué, il avait insisté sur le fait qu’il « n’enregistr[ait] pas les frappes au clavier ni ne fournissait d’outil de traçage ». La firme se défendait également de lire les e-mails et les SMS.
Dans une nouvelle vidéo, très longue et détaillée, Trevor Eckhart montre que la société est pourtant bel et bien en mesure de faire tout cela, même si – la précision est importante – il ne prouve pas que Carrier IQ transmet les informations recueillies à ses clients.
Eckhart revient d’abord sur la discrétion du programme : tel un rootkit, il est invisible aux yeux de l’utilisateur. Pour en trouver une trace, il faut afficher la liste des applications tournant en tâche de fond. Eckhart en repère deux : HTC IQ Agent et IQRD. « IQRD tourne en permanence parce qu’il a été réglé pour se lancer automatiquement au démarrage », indique l’expert sur son blog.
Un programme très difficile à désactiver
L’OS propose bien de « forcer à quitter » ce programme, mais, lorsque l’on appuie sur le bouton, rien ne se passe : IQRD continue à tourner et à enregistrer dans le détail l’activité du téléphone. Eckhart s’interroge sur « la longue liste de permissions de sécurité Android accordées à IQRD, qui devrait éveiller des soupçons, étant donné que c’est un logiciel contrôlé à distance. L’accès à des choses telles que la lecture de données de contact, l’enregistrement audio (?!?!?) et l’écriture et la modification des réglages du sans-fil semble un peu excessif ».
L’expert précise que le code de Carrier IQ « est caché partout dans le téléphone, dans la plupart des applications installées : navigateur, outil de numérotation, SMS, lecteur de médias, dans le noyau ». Dans sa vidéo, il montre ensuite à quel point le logiciel est efficace dans son rôle de mouchard.
Le moindre appui sur un bouton ou touche de l’écran tactile est mémorisé, mais aussi nombre de données personnelles : Carrier IQ peut ainsi enregistrer le contenu d’un SMS et tout ce que vous faites avec votre navigateur, y compris en HTTPS !
S’il n’accuse pas Carrier IQ d’espionnage, Eckhart estime que l’application pose tout de même de sérieux problèmes. Et qu’elle ne respecte pas la vie privée des utilisateurs de mobile, puisqu’elle est impossible à désactiver « et à supprimer à moins de reconstruire le logiciel depuis le code source […]. Une application ne devrait jamais être aussi complexe à supprimer pour des raisons de sécurité […], et son usage devrait se faire sur le principe de l’opt-in UNIQUEMENT », conclut-il.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.