Carrier IQ, le logiciel suspect qui espionne des smartphones

02/12/2011 

 

MÉMO TECHNO - Un chercheur américain en sécurité informatique a découvert sur son téléphone un outil capable de tracer les communications, les envois de messages et les pages consultées.

• La découverte. Un chercheur américain en sécurité informatique, Trevor Eckhart, a découvert sur son smartphone HTC un programme caché, Carrier IQ.

• D'où vient ce Carrier IQ? Trevor Eckhart accuse Carrier IQ d'être un «mouchard», un logiciel espion. La société qui le développe et porte le même nom le décrit comme un «outil d'analyse». Carrier IQ s'adresse en fait aux opérateurs téléphoniques. Il leur permet de mesurer la fiabilité de leurs services, en leur donnant toute une série d'informations sur les usages de leurs clients. Problème : l'outil décelé par Trevor Eckhart est déployé sans que les utilisateurs en soient jamais informés. Il touche à des données sensibles et ne peut pas être désactivé simplement.

• Quels sont les téléphones touchés? Sur son site Internet, Carrier IQ revendique plus de 140 millions d'installations de son logiciel dans le monde. Ce sont les opérateurs qui en imposent l'installation, se défend-il. Deux d'entre eux aux États-Unis, AT&T et Sprint, ont admis recourir à Carrier IQ.

Côté terminaux, le «mouchard» a notamment été implanté sur des smartphones HTC et Samsung, fonctionnant sous Android et vendus aux États-Unis. Un programme de Carrier IQ a aussi été embarqué, dans une version allégée et devant être manuellement activée, sur la plupart des iPhone

• Que deviennent ces informations?  Trevor Eckhart a prouvé que les transferts n'étaient pas si protégés, ce qui pourrait ouvrir la voie à de l'espionnage par d'autres sources. De plus, le logiciel peut bel et bien enregistrer les textes entrés sur le clavier. Bref, il subsiste beaucoup zones d'ombre autour de ce logiciel.

---

Royaume-Uni : la police pourrait piocher directement dans les PC

mardi 06 janvier 2009 à 10h45 (14543 lectures)
Source de l'INformation : PC Impact

 

Il y a un tout petit peu plus d’un mois, nous vous avions parlé du plan européen de lutte contre la cybercriminalité. Plusieurs mesures étaient présentées pour un vaste programme qui doit s’étaler sur cinq ans. En première ligne de cette coopération, le partage des informations entre les instances gouvernementales concernées et la collecte des informations à distance. C’est sur cette dernière précisément que le Royaume-Uni présente une force de frappe qui fait déjà frémir les associations de défense des libertés civiles.

Pêcher et partager

Michèle Alliot-Marie avait parlé récemment de la future possibilité de capter des informations à distance. Sans autre détail, on pouvait évidemment se demander ce que recouvrait l’expression, tant les interprétations peuvent être larges et quelque peu angoissantes pour certaines. Le gouvernement anglais vient de poser les premières fondations d’un plan qui permettra à la police nationale d’aller chercher les fameuses informations sur les machines d’à peu près tout le monde, le tout sans aucun avertissement.

L’encadrement européen et l’application par le Royaume-Uni rendent certaines possibilités très réelles. Ainsi, la France ou encore l’Allemagne pourront demander au Royaume-Uni des informations sur la machine d’un résident anglais suspecté. Capter et partager les informations, tout est là.

Du feu vert européen à l'exploitation anglaise

Si au niveau européen les ministres se sont surtout attachés à la création d’une plateforme d’échange pour accélérer la traque des cybercriminels, les pays membres sont libres de transcrire les décisions de Bruxelles en accord avec leurs propres lois. Et comme les États-Unis au lendemain du 11 septembre via divers « Acts » axés sécurité, le Royaume-Uni va se doter d’un outil permettant de fouiller des ordinateurs à distance et de collecter des données sans passer par un tribunal et sans avertir les utilisateurs.

Il ne s’agit finalement « que » d’élargir et de simplifier ce qui était déjà possible. Mais le feu vert officiel de l’Europe remet le sujet sous les feux des projecteurs et certains n’hésitent pas à s’engouffrer dans la « brèche ». Et c’est bien ce qui inquiète sur le sol anglais, car ce qui était considéré comme une exception peut devenir très simplement un processus habituel de recherche d’informations, comme si l’on passait de l’artisanat à l’industrialisation.

Des craintes sur un engrenage et une automatisation

Shami Chakrabarti, présidente de l’association Liberty de défense des droits de l’homme, jette un regard sévère sur ce plan. Elle indique ainsi que cette faculté donnée à la police revient à donner le droit à des personnes d’entrer n’importe quand dans un domicile et d’y fouiller en toute impunité, sans demander l’avis de qui que ce soit. Elle a ajouté en outre que sans une véritable loi d’encadrement et une autorisation délivrée par l’instance juridique adéquate, ce sera un « coup dévastateur pour la plus petite notion de vie privée ».

Il existe tout de même un garde-fou : le « responsable » donnant l’autorisation pour une telle traque des données doit justifier dans sa décision que celle-ci est proportionnée. Les méthodes employées sont diverses mais ne sont pas nouvelles pour ceux qui connaissent déjà le petit monde de la sécurité informatique. La police peut envoyer par exemple un courrier électronique contenant un malware qui va dès lors servir d’enregistreur de frappes au clavier et/ou transmettre des informations de manière automatique.

Rien n’est encore tout à fait joué, car le Royaume-Uni, et plus particulièrement le Home Office (justice, sécurité, immigration, science, recherche et contre-terrorisme), doit accorder ses violons avec le reste de l’Europe. D’autant que le projet étant maintenant public et provoquant bien des réactions, beaucoup attendent des explications beaucoup plus poussés sur les mécanismes qui seront mis en action.