Qui est concerné par Carrier IQ en Europe ?
Le développeur d’applications Android Trevor Eckhart a découvert un logiciel de surveillance de la qualité de service, implanté dans plusieurs millions de smartphones aux Etats-Unis, et qui s’avère particulièrement indiscret. Ce logiciel n’est pas exclusif à Android : il a été découvert dans l’iOS d’Apple. En outre, plusieurs éléments concordants indiquent son utilisation en Europe.
Si Trevor Eckhart a sonné le tocsin de la galaxie Android au sujet de Carrier IQ, chpwn vient de semer le trouble sur la planète iOS. Sur Twitter, il assure que le logiciel de surveillance de Carrier IQ est présent dans iOS depuis sa version 3.1. Erica Sadun, chez TUAW, bien connue dans le monde du développement iOS, relève un billet, dans les forums de MacRumors, contenant plus de détails. Jusqu’à indiquer quels fichiers chercher pour trouver la trace de Carrier IQ dans iOS, et lesquels supprimer pour le rendre inopérant. A condition, bien sûr, d’avoir au préalable jailbreaké son iPhone.
L’analyse conduite par Erica Sadun fait état d’une collecte de données bien plus discrète que sous Android : niveau de signal, référence des stations de base, numéro de téléphone du propriétaire de l’appareil... mais pas de capture des appuis de touches. Surtout, selon elle, le logiciel de Carrier IQ «pourrait avoir besoin d’être activé spécifiquement ». Elle appuie cette affirmation sur la découverte d’un réglage déterminant l’activation ou non des éléments de «diagnostique ». Selon chpwn, Carrier IQ serait activé par défaut sous iOS 3 et «probablement» iOS 4. Sous iOS 5, il ne le serait que si l’utilisateur a accepté l’envoi d’informations de diagnostique à Apple - un élément à configurer à l’activation de l’appareil ou, par la suite, dans l’application Réglages.
Toutefois, pour chpwn, deux choses semblent à peu près sûres : sur iOS, l’agent de Carrier IQ est beaucoup plus «raisonnable» que sur Android et il n’accède pas à la couche d’interface utilisateur. Bref, chpwn se dit «raisonnablement sûr qu’il n’a pas accès au texte saisi, à l’historique Web, aux mots de passe, ou aux messages texte et que, dès lors, il n’envoie aucune de ces données à distance ». Surtout, sous iOS 5, il apparaît assez simple de désactiver la collecte et l’envoi des données de diagnostique. De même, d’ailleurs, que d’y accéder pour les consulter.
À noter également que le logiciel de Carrier IQ ne semble pas présent sur tous les appareils Android : selon The Verge, il n'est pas installé sur le Nexus de Google ni sur la tablette Xoom de Motorola.
Quid des opérateurs européens ?
Comme nous l’indiquions hier, Carrier IQ est présent en Europe. En fait, son vice-président pour la région, Miguel Calvo Vervaet, fait état, sur LinkedIn, de bureaux à Londres dédiés à «l’intégration» pour les clients de la région. Rappelons que Carrier IQ revendiquait, en juillet 2009, un contrat signé avec Vodafone Portugal. Sur son profil LinkedIn - et Carrier IQ ne le présente pas sous un autre jour -, Miguel Calvo Vervaet apparaît comme un vétéran de l’industrie des télécoms au carnet d’adresses très rempli, notamment du fait d’une longue activité dans le domaine des interconnexions internationales et de leur monétisation.
Pour la France, nous avons sollicité Bouygues Telecom, Orange et SFR afin de savoir s’ils ont recours aux services de Carrier IQ et, le cas échéant, avec quel niveau de contrôle sur sa mise en oeuvre dans les terminaux. Bouygues Telecom et Orange ont indiqué chercher les interlocuteurs compétents en interne pour répondre à nos questions.
Nous avons également demandé à Miguel Calvo Vervaet de nous accorder un entretien téléphonique afin de faire le point sur sa clientèle européenne et sur les éventuelles mesures prises par son entreprise pour respecter les règles locales de protection des données personnelles. Nous attendons sa réponse.
En complément sur LeMagIT: