Carrier IQ : premières plaintes et de nouvelles explications

Sécurité : Deux actions collectives (class-action) ont été déposées aux Etats-Unis, contre l'éditeur mais aussi contre HTC et Samsung.

Par Olivier Chicheportiche

  • 3 min

rootkit-carrierIQ-184×138

Le scandale Carrier IQ prend désormais une dimension juridique. Sans surprise, des consommateurs se sont réunis pour déposer deux recours en nom collectif (class-action) contre l’éditeur (CIQ) de ce qui est présenté comme un spyware mais aussi contre deux fabricants utilisant ce logiciel espion : HTC et Samsung.

Les deux procédures ont été déposées dans l’Illinois. Les plaignants réclament des centaines de millions de dollars, ils accusent ces acteurs d’avoir "surveillé l’activité" et "collecté des données" sans avoir reçu l’accord de l’utilisateur.

Rappel des faits. En novembre dernier, le chercheur Trevor Eckhart met en lumière l’indiscrétion de cette application.Il affirme en effet que plusieurs opérateurs américains de téléphonie mobile, dont Sprint et Verizon, intègrent discrètement dans les terminaux qu’ils commercialisent le logiciel de Carrier IQ, un outil permettant aux opérateurs d’améliorer la performance de leur réseau.

Cryptage

Le logiciel a pourtant tout d’un « rootkit » puisqu’il transmet sans le consentement de l’utilisateur de très nombreuses informations sur l’utilisation faite du téléphone : sites visités, touches saisies, localisation GPS, applications résidentes, SMS, etc. Ces données sont ensuite agrégées sur un portail Web accessibles aux opérateurs.

Ce portail permet ainsi aux opérateurs de connaître très précisément, grâce à un suivi par des identifiants uniques (associés au téléphone ou au client), les usages des terminaux. Pour Trevor Eckhart, cette application s’apparente sans conteste à un logiciel espion.

Enfin, la désinstallation de Carrier IQ s’avère complexe (voire impossible) et varie d’un constructeur à un autre. Selon le chercheur, le logiciel serait installé sur de nombreux modèles Nokia, Android (HTC, Samsung) et Blackberry. On en trouve également des traces dans les iPhone sous iOS 4.

Officiellement, pour l’éditeur et les opérateurs, il s’agit d’améliorer l’expérience utilisateur grâce à ces données (un peu comme le fichier de collecte planqué dans l’iPhone) qui permettent aux opérateurs d’être plus réactifs en cas de problème (de les anticiper même) et d’optimiser les services. Mais en quoi la collecte des SMS ou les touches saisies participent à l’amélioration du service ? Et pourquoi sont-elles stockées ?

« Nous collectons assez d’information pour comprendre l’utilisation client avec les terminaux sur notre réseau et comment répondre à tout problème de connexion » déclare ainsi Sprint qui ajoute que les données collectées ne sont pas non plus vendues ni rendues accessibles à un tiers. Encore heureux.

Face au dépôt de ces plaintes, l’éditeur de Carrier IQ a tenté une nouvelle fois de se justifier. Dans une interview au Wall Street Journal, l’entreprise répète que ce logiciel est installé à la demande des opérateurs pour améliorer le service.

Les opérateurs sont responsables

Concernant l’enregistrement des touches saisies, il s’agirait de "détecter certaines séquences" quand un opérateur demande par exemple à un client d’entrer un code spécifique pour vérifier que le téléphone fonctionne correctement.

Du côté des SMS et des sites visités, l’éditeur promet que ces informations permettent uniquement aux opérateurs de comprendre "pourquoi un SMS n’est pas délivré" et "pourquoi une communication coupe, donc nous enregistrons l’heure et l’endroit, via la tour 3G utilisée". Convaincant ?

Et de rappeler une nouvelle fois que ce logiciel est installé à la demande des opérateurs dans le cadre de la loi : "les données sont cryptées et collectées par les opérateurs", écrit l’éditeur qui tente d’impliquer ses clients. Traduction : s’il y a abus dans la collecte et le traitement, c’est à eux qu’il faut s’adresser.

Rappelons enfin que Carrier IQ semble être utilisé uniquement par les opérateurs américains. Une source anonyme affirmant travailler pour un opérateur explique sur le site korben.info : "En fait, aux USA, CarrierIQ est imposé par les grands réseaux, AT&T et Verizon surtout, qui n’achètent pas de mobile si la solution CarrierIQ n’est pas présente. En Europe, fragmentation aidant, les constructeurs ne font pas (pour le moment) d’intégration aussi poussée au niveau chipset et système."

Et de préciser :"En Europe, les mêmes fabricants sont réticents. C’est pour ça que nous n’avons pas aujourd’hui de solution, même pour nos tests en interne. Car Samsung par exemple nous indique qu’un des gros problèmes de CarrierIQ, en plus de nécessiter une grosse intégration (donc potentiellement beaucoup de bugs), consomme aussi 5 à 15% de batterie en plus, or c’est l’un des points les plus difficiles à optimiser sur les smartphones aujourd’hui".

Connexion

Vous n’avez pas encore de compte ?

AUTOUR DE ZDNET
SERVICES
À PROPOS