Carrier IQ : Apple est aussi concerné

[Invité salimdz]

Carrier IQ : Apple est aussi concerné

 

07:20 - vendredi 2 décembre 2011

 

 

Le scandale Carrier IQ continue avec de plus en plus d’acteurs tentants de se distancer de la société. Apple, que l’on pensait en dehors de cette affaire, a aujourd’hui annoncé qu’il avait déjà commencé à retirer le logiciel litigieux et qu’il a toujours limité sa portée.

 

Pour mémoire, nous vous rapportions récemment la présence d’un rootkit dans de nombreux téléphones Android, Nokia et RIM (cf. « Un rootkit « officiel » dans des smartphones Android »). Découvert par Trevor Eckhart, il enregistre toutes les informations transitant par le téléphone, y compris les touches frappées et le contenu de sites HTTPS. Ce logiciel et cette compagnie, inconnus du grand public jusqu’à maintenant, ont été décriés pour ce manque de respect de la vie privée des consommateurs.

 

L’attitude de Carrier IQ n’a rien fait pour arranger les choses. Il a d’abord menacé de procès M. Eckhart avant de se rétracter. Il a ensuite nié la présence d’un keylogger, malgré la présence d’une vidéo sur YouTube (cf. ci-dessous à la 17e minute) prouvant le contraire et a publié une série de communiqués plats et sans réponses aux nombreuses questions soulevées par ce scandale.

Apple

 

Hier, nous avons appris que contrairement à ce qui a été dit au début de cette affaire, Apple est aussi concerné et iOS 4 contient des références au logiciel de Carrier IQ. Le cas d’Apple est néanmoins très différent. Tout d’abord, l’utilisateur doit autoriser l’activation du logiciel de diagnostic et le système de localisation géographique pour qu’il fonctionne. La nature des informations récoltées est aussi précisée lors de ce processus et dans une notice publiée dans menu Paramètres. Les informations envoyées ne concernent que la position des tours cellulaires utilisées par le téléphone et certaines « données diagnostiques » comme les tours qui ont perdu un appel.

 

Apple a confirmé à Ars Technica qu’il n’enregistrait pas les messages des utilisateurs ou les touches frappées ni les positions géographiques précises, que l’envoi des données était chiffré et anonyme et qu’il est aussi possible de mettre le logiciel hors service en désactivant la fonction diagnostique depuis le menu Paramètres -> Général -> À propos. Apple est d’ailleurs la seule compagnie à permettre la désactivation totale du service. Dans les terminaux Android, il faut rooter le système, ce qui pose des problèmes de garantis, car ce n'est pas une manipulation autorisé par les fabricants ou opérateurs, et il n’y a pour l’instant aucune solution pour les terminaux de Nokia et RIM. Enfin, Apple avait déjà retiré le logiciel de Carrier IQ dans iOS 5, avant cette histoire, à l’exception de la version installée sur l’iPhone 4. Les raisons de cette exception sont pour l’instant inconnues. Cupertino a annoncé qu’une mise à jour retirerait le logiciel de Carrier IQ de la version iOS 5 de l’iPhone 4.

 

Google

 

Google a aussi tenu à se distancer de Carrier IQ en expliquant qu’Android n’intègre pas le rootkit dans sa version originale et que les terminaux qu’il conçoit lui-même, comme le Nexus Galaxy, ne l’incluent pas. Le logiciel est installé par les fabricants et opérateurs qui modifient le code source du système d’exploitation.

AT&T, Sprint, HTC et Samsung ont confirmé l’information. La version du logiciel de Carrier IQ intégrée dans les terminaux de HTC est celle qui inclut le keylooger et Samsung affirme que le manque d’optimisation de ce programme qui est placé à un très bas niveau dans ses terminaux coûte entre 5 % et 15 % d'autonomie. Samsung, RIM et HTC ont tous affirmé que la présence du logiciel de Carrier IQ était requise par les opérateurs.

La faute des opérateurs

 

Carrier IQ lui-même pointe les opérateurs du doigt. La firme a expliqué au Wall Street Journal que c’est eux qui décident ce qu’il faut capturer, stocker et envoyer. Elle affirme aussi que le but est seulement de surveiller les performances du réseau et non d’espionner la vie privée des utilisateurs. AT&T et Sprint, deux opérateurs américains, on admit utiliser les logiciels de Carrier IQ, mais Verizon a nié avoir fait appel à ses services.

 

Un sénateur américain a envoyé une lettre à Carrier IQ, Samsung, HTC, AT&T et Sprint pour qu’ils répondent aux questions de ses citoyens et éclaircissent cette situation. En effet, si l’idée est simplement de fournir un outil de diagnostic, pourquoi en faire un rootkit enregistrant la frappe des utilisateurs, leur position géographique précise ou le contenu des communications HTTPS chiffrées ?

L’Europe n’est pas concernée

 

Il semblerait que les opérateurs européens ne soient pas concernés par cette histoire pour le moment. Ils ne nient pas utiliser des outils de diagnostic, mais rien ne ressemble au rootkit de Carrier IQ. Ils ne semblent pas non plus avoir de relations avec l’éditeur au centre du scandale.

 

source

[Invité salimdz]