[Hackfest::Archive] Carrier IQ
Paru sur le blogue du Hackfest.
Je ne sais pas si c’est l’hiver qui rend les gens aussi fébriles, mais le deuxième gros spin médiatique sur une nouvelle qui est somme toute, est assez banal.
Une personne (Trevor Eckhart) a trouvé le logiciel CarrierIQ d’installer dans Android. Une enquête a permis de conclure que la plupart des téléphones intelligents (Android, iPhone, BlackBerry) peuvent disposer de ce logiciel. Ce logiciel est intimement lié avec les transporteurs cellulaires (Carrier dans Carrier IQ) et les fabricants de téléphones (système d’exploitation serait plus juste) ne font que se plier à la requête des transporteurs en installant CarrierIQ (les systèmes fermés comme iPhone et BlackBerry) ou installés par les transporteurs eux-mêmes (Android). Ce logiciel aurait des accès très près du noyau d’Android, ce qui lui permettrait d’avoir un accès complet au système et selon certaines personnes d’intercepter les touches du clavier. Il est moins certain le degré d’intégration avec l’iOS… et encore moins connu du côté de BlackBerry.
Dans le monde du iPhone, Apple s’est empressé (c’est surréaliste de voir Apple s’empresser à répondre aux médias) d’annoncer que la présence de CarrierIQ est marginale dans iOS5 et est en voie d’être complètement retiré de l’iOS. L’architecture même de l’iOS laisse croire que CarrierIQ a accès à peu de choses du système et selon une analyse (Grant Paul) c’est confirmé.
Où ça devient surréaliste, c’est que des sénateurs américains, le gouvernement européen et une poursuite civile s’intéressent à ce problème.
Je suis étonné de voir que les gens sont surpris d’apprendre que les transporteurs cellulaires récupèrent de l’information, entre autres pour l’amélioration de leur réseau. Il est encore plus étonnant de voir que les gens sont outrés de cette situation. Les cellulaires par leur nature indiquent à tout moment au transporteur notre endroit (triangulation par toutes les tours cellulaires d’un secteur donné) et les transporteurs savent très bien où sont situés leurs tours. Le contenu des communications (SMS, conversation, Internet) est entièrement visible par le transporteur. Il n’y aurait aucun intérêt pour les transporteurs d’installer un logiciel pour épier les utilisateurs, car ils peuvent les épier en analysant le contenu des communications du propriétaire du cellulaire et cela ne se limite pas au téléphone intelligent. D’ailleurs, tous les transporteurs, filaire et sans-fil contrôlent le contenu de leur réseau. Toute l’information et la métainformations (contenu de l’enveloppe, du genre source, destination, horodations) sont disponibles, voire même enregistrées par les transporteurs. Dans certains cas, comme le contenu, sa conservation et écoute est encadrée par des lois, comme le Code criminel (au Canada du moins, je ne connais pas les subtilités des lois américaines et européennes).
Pour le volet d’enregistrement des touches, il semblerait que le logiciel utilise l’appui sur des touches pour détecter de l’activité sur le téléphone, cela dans l’objectif de limiter l’usage de la pile.
Selon les démonstrations disponibles sur Internet, il n’y a aucune preuve tangible que de l’information sensible soit envoyée au fournisseur ou à quiconque. Il y aurait plus intérêt à regarder du côté des applications qui envoie la localisation à leur concepteur. Sur cet aspect, Android est le plus grand coupable… Et Apple a fait les plus grands efforts pour limiter la capacité des tiers à récupérer l’information de localisation sans le consentement de l’utilisateur.
Le seul aspect intéressant de cette révolution des smartphones, c’est que ça expose à un vaste public le modèle opératoire des fournisseurs cellulaires. Certains aspects sont peut-être moins propres et l’exposition à la lumière du jour à l’avantage de chasser les aspects moins désirables.
Certaines sources en vrac:
Au tour de Google de condamner Carrier IQ
8 companies hit with lawsuit over Carrier IQ software
European regulators start investigating Carrier IQ
Carrier IQ Admits Holding ‘Treasure Trove’ of Consumer Data, But No Keystrokes