Se connecter avec
S'enregistrer | Connectez-vous

Carrier IQ : Apple est aussi concerné

Par - Source: Tom's Hardware FR | B 28 commentaires

Le scandale Carrier IQ continue avec de plus en plus d’acteurs tentants de se distancer de la société. Apple, que l’on pensait en dehors de cette affaire, a aujourd’hui annoncé qu’il avait déjà commencé à retirer le logiciel litigieux et qu’il a toujours limité sa portée.

Pour mémoire, nous vous rapportions récemment la présence d’un rootkit dans de nombreux téléphones Android, Nokia et RIM (cf. « Un rootkit « officiel » dans des smartphones Android »). Découvert par Trevor Eckhart, il enregistre toutes les informations transitant par le téléphone, y compris les touches frappées et le contenu de sites HTTPS. Ce logiciel et cette compagnie, inconnus du grand public jusqu’à maintenant, ont été décriés pour ce manque de respect de la vie privée des consommateurs.

L’attitude de Carrier IQ n’a rien fait pour arranger les choses. Il a d’abord menacé de procès M. Eckhart avant de se rétracter. Il a ensuite nié la présence d’un keylogger, malgré la présence d’une vidéo sur YouTube (cf. ci-dessous à la 17e minute) prouvant le contraire et a publié une série de communiqués plats et sans réponses aux nombreuses questions soulevées par ce scandale.

Apple

Hier, nous avons appris que contrairement à ce qui a été dit au début de cette affaire, Apple est aussi concerné et iOS 4 contient des références au logiciel de Carrier IQ. Le cas d’Apple est néanmoins très différent. Tout d’abord, l’utilisateur doit autoriser l’activation du logiciel de diagnostic et le système de localisation géographique pour qu’il fonctionne. La nature des informations récoltées est aussi précisée lors de ce processus et dans une notice publiée dans menu Paramètres. Les informations envoyées ne concernent que la position des tours cellulaires utilisées par le téléphone et certaines « données diagnostiques » comme les tours qui ont perdu un appel.

Apple a confirmé à Ars Technica qu’il n’enregistrait pas les messages des utilisateurs ou les touches frappées ni les positions géographiques précises, que l’envoi des données était chiffré et anonyme et qu’il est aussi possible de mettre le logiciel hors service en désactivant la fonction diagnostique depuis le menu Paramètres -> Général -> À propos. Apple est d’ailleurs la seule compagnie à permettre la désactivation totale du service. Dans les terminaux Android, il faut rooter le système, ce qui pose des problèmes de garantis, car ce n'est pas une manipulation autorisé par les fabricants ou opérateurs, et il n’y a pour l’instant aucune solution pour les terminaux de Nokia et RIM. Enfin, Apple avait déjà retiré le logiciel de Carrier IQ dans iOS 5, avant cette histoire, à l’exception de la version installée sur l’iPhone 4. Les raisons de cette exception sont pour l’instant inconnues. Cupertino a annoncé qu’une mise à jour retirerait le logiciel de Carrier IQ de la version iOS 5 de l’iPhone 4.

Google

Google a aussi tenu à se distancer de Carrier IQ en expliquant qu’Android n’intègre pas le rootkit dans sa version originale et que les terminaux qu’il conçoit lui-même, comme le Nexus Galaxy, ne l’incluent pas. Le logiciel est installé par les fabricants et opérateurs qui modifient le code source du système d’exploitation.

AT&T, Sprint, HTC et Samsung ont confirmé l’information. La version du logiciel de Carrier IQ intégrée dans les terminaux de HTC est celle qui inclut le keylooger et Samsung affirme que le manque d’optimisation de ce programme qui est placé à un très bas niveau dans ses terminaux coûte entre 5 % et 15 % d'autonomie. Samsung, RIM et HTC ont tous affirmé que la présence du logiciel de Carrier IQ était requise par les opérateurs.

La faute des opérateurs

Carrier IQ lui-même pointe les opérateurs du doigt. La firme a expliqué au Wall Street Journal que c’est eux qui décident ce qu’il faut capturer, stocker et envoyer. Elle affirme aussi que le but est seulement de surveiller les performances du réseau et non d’espionner la vie privée des utilisateurs. AT&T et Sprint, deux opérateurs américains, on admit utiliser les logiciels de Carrier IQ, mais Verizon a nié avoir fait appel à ses services.

Un sénateur américain a envoyé une lettre à Carrier IQ, Samsung, HTC, AT&T et Sprint pour qu’ils répondent aux questions de ses citoyens et éclaircissent cette situation. En effet, si l’idée est simplement de fournir un outil de diagnostic, pourquoi en faire un rootkit enregistrant la frappe des utilisateurs, leur position géographique précise ou le contenu des communications HTTPS chiffrées ?

L’Europe n’est pas concernée

Il semblerait que les opérateurs européens ne soient pas concernés par cette histoire pour le moment. Ils ne nient pas utiliser des outils de diagnostic, mais rien ne ressemble au rootkit de Carrier IQ. Ils ne semblent pas non plus avoir de relations avec l’éditeur au centre du scandale.

Commentaires
Afficher les 28 commentaires.
Cette page n'accepte plus de commentaires
  • tifosiblack , 2 décembre 2011 08:27
    Oh le fail...
  • sebbk , 2 décembre 2011 09:02
    ca explique comment "les experts" retracent la vie des criminels sur leurs téléphones portables :D 
  • spae0899 , 2 décembre 2011 09:05
    Le GPS passe encore (l'habitude), mais la collecte des numéros ainsi que le contenu des messages ainsi que la saisie de toute frappe au clavier c'est vraiment énorme. Qu'est-ce que ça peut foutre aux opérateurs de savoir ça ? Heureusement que ce rootkit à été démasqué avant que cela devienne une norme en Europe.
  • -2 Masquer
    aloagli@guest , 2 décembre 2011 09:15
    c'est pénible, ces fautes d'orthographe...
  • vardon , 2 décembre 2011 09:45
    " Le logiciel est installé par les fabricants et opérateurs qui modifient le code source du système d’exploitation."
    C'est bien gentil comme précision, le problème étant que l'acheteur d'un smartphone n'achète pas "Google" mais le smartphone X ou Y d'un fabricant. Ça lui fait donc une " belle jambe"....
  • shooby , 2 décembre 2011 10:02
    Et dire qu'encore dimanche certains applefans (sur d'autre sites) avaient sautés sur l'occasion pour faire comprendre au combien android était une m**** du fait qu'on y trouvait ce rootkit qui n'existait pas sur ios ! Bein voilà, la messe est dite !

    Bon sinon, petit mail d'explication envoyé a l’administrateur d’un site web :


    « Hello Korben,

    Juste quelques infos à propos de CarrierIQ. Je bosse chez un opérateur et histoire de brosser tout le panorama et éventuellement aller plus loin que l’article que tu as publié, voici un peu ce que je sais sur leur solution, le pourquoi de CarrierIQ et un truc un peu plus rassurant pour nous autres Européens.

    Donc CarrierIQ est comme exposé un outil type « rootkit » permettant de remonter des « metrics » sur l’usage et plein d’autres choses. Théoriquement, tout est possible, de l’info batterie à la perte de signal radio, le temps de chargement des pages ou l’usage des applications sur le mobile. Tout. On peut tout voir, et tous les « metrics » choisis sont remontés aux serveurs CarrierIQ, qui sont censés derrière anonymiser les informations personnelles et les renvoyer aux demandeurs, en l’occurrence pour nous, un opérateur, mais ça peut être un constructeur aussi. L’outil CarrierIQ s’interface sur différentes couches, système, radio, des fois même au niveau chipset pour les chipsets « compatibles ». On peut donc le trouver à différents niveaux d’intégration, et suivant ces niveaux d’intégration, avoir un nombre de « metrics » plus conséquent. Par exemple, si il est intégré au niveau chipset, on pourra même connaitre les informations des différents seuils radio des cellules avoisinantes, alors que une intégration basée seulement su le système ne permettra pas d’avoir ces seuils, juste l’information de la cellule active.

    Concernant l’intérêt pour un opérateur ou constructeur, c’est essentiellement dans un but -louable à priori- d’optimiser le réseau / soft suivant où on se place. Je ne dirais pas que je partage cet avis, mais bon, si on suit cette logique, normalement, un nombre conséquent de coupures dans une zone donnée permettrait par exemple de qualifier un problème au niveau du réseau. Par exemple, aujourd’hui, on a un certains nombre de remontés du réseau (les BTS, les antennes), mais on ne sait pas ce que « voient » réellement les mobiles (fagotage, perte de signal…). CarrierIQ vend donc aux opérateurs leur solution en leur disant que, par exemple, on pourrait anticiper des problèmes réseau, voire résoudre des problèmes avant qu’ils n’arrivent, aider les utilisateurs sans avoir besoin de trop d’investigation… En théorie. Pour un constructeur, ce serait par exemple des optimisation batterie (en connaissant l’usage réel), l’optimisation de composant…

    Par contre, le truc rassurant, c’est que l’on ne l’a pas. Et mieux, c’est qu’on ne devrait pas l’avoir avant un petit moment. En fait, aux US, CarrierIQ est imposé par les grands réseaux, AT&T et Verizon surtout, qui n’achètent pas de mobile si la solution CarrierIQ n’est pas présente. En Europe, fragmentation aidant, les constructeurs ne font pas (pour le moment) d’intégration aussi poussée au niveau chipset et système. On a des personnalisation »light », donc pas de CarrierIQ qui est très bas dans l’intégration. Ce n’est pas Samsung ou HTC qui intègrent volontairement du CarrierIQ, mais Verizon ou AT&T qui les obligent. En Europe, les mêmes fabricants sont réticents. C’est pour ça que nous n’avons pas aujourd’hui de solution, même pour nos tests en interne. Car Samsung par exemple nous indique qu’un des gros problèmes de CarrierIQ, en plus de nécessiter une grosse intégration (donc potentiellement beaucoup de bugs), consomme aussi 5 à 15% de batterie en plus, or c’est l’un des points les plus difficiles à optimiser sur les smartphones aujourd’hui. Pour le moment, on est donc à l’abri.

    Voila, j’ai essayé d’exposer un peu ce que je savais, le pourquoi et le fait qu’on en a pas »
  • enguerran , 2 décembre 2011 10:29
    Rien sur mon Galaxy S2 australien. Phiouuu!
  • ultrabill , 2 décembre 2011 11:27
    Citation :
    " Le logiciel est installé par les fabricants et opérateurs qui modifient le code source du système d’exploitation."
    C'est bien gentil comme précision, le problème étant que l'acheteur d'un smartphone n'achète pas "Google" mais le smartphone X ou Y d'un fabricant. Ça lui fait donc une " belle jambe"....
    En achetant le Nexus ils achètent "Google" qui, si l'on en crois leurs déclarations, n'intègre pas cet outil.
    Donc oui, le consommateur est content de savoir qu'il peut remplacer son "téléphone Android vicieux" par un "téléphone Android pas vicieux".
    Le mieux étant, bien sûr, que cet outil puisse être supprimé par l'utilisateur.
  • St-Jean , 2 décembre 2011 12:15
    Je suis au Québec, et je viens de demander des éclaircissements à mon fournisseur de téléphonie mobile, qui bien sûr, me répondra ce qu'il veut... Mais c'est un début. Je prends ça très au sérieux, s'il le aut je me plaindrait au CRTC (l'équivalent de l'ARCEP) et aux autres organismes concernés. On ne peut pas laisser ce genre de politiques s'implanter et, surtout, se banaliser. Ce sera quoi, la prochaine fois? L'écoute de nos conversations (si ce n'est déjà fait)? La vente du contenu de nos communications à des boîtes de marketing?
  • -6 Masquer
    LVM , 2 décembre 2011 12:56
    shoobyEt dire qu'encore dimanche certains applefans (sur d'autre sites) avaient sautés sur l'occasion pour faire comprendre au combien android était une m**** du fait qu'on y trouvait ce rootkit qui n'existait pas sur ios ! Bein voilà, la messe est dite !



    La messe est en effet dite et visiblement tu n'as rien compris à l'article, à moins que ça soit volontaire et là ton assimilation d'iOS à Android est tout simplement honteuse. :o 

    Où est-ce que Carrier IQ est caché à l'utilisateur ? Sur Android.
    Où est-ce que le fabricant t'avertit de l'existence d'outils de diagnostic ? Sur iOS

    Où est-ce que Carrier IQ est lié à tel point au système qu'il est quasiment impossible à extraire ? Sur Android
    Où est-ce que le fabricant te permet de ne pas activer l'outil de diagnostic d'une simple case à cocher ? Sur iOS

    Où est-ce que Carrier IQ est utilisé pour le pillage de données personnelles ? Sur Android.
    Où est-ce que les outils de diagnostic ne sont utilisés que pour cela et sans transférer la moindre donnée personnelle ? Sur iOS

    Bref, résumons, quel est l'OS où on nous promet ouverture et transparence mais que c'est un gros pipo ?Android.
    Et quel fabricant est toujours resté dans la légalité (information des utilisateurs, activation volontaire, pas de transfert de données persos) et de toute façon n'utilisait déjà quasiment plus CarrierIQ bien avant que la polémique n'éclate ? Apple.

    Voilà donc, je n'ai que repris les faits donnés dans l'article. Tu vois donc que c'est pas compliqué de dire la vérité aux gens. Et mentir pour "proteger" Android est contre-productif.
  • -6 Masquer
    LVM , 2 décembre 2011 13:00
    ultrabillEn achetant le Nexus ils achètent "Google" qui, si l'on en crois leurs déclarations, n'intègre pas cet outil.Donc oui, le consommateur est content de savoir qu'il peut remplacer son "téléphone Android vicieux" par un "téléphone Android pas vicieux".


    Troll: bah si Google n'utilise pas Carrier IQ c'est qu'ils ont déjà mieux... :o 

    ultrabillLe mieux étant, bien sûr, que cet outil puisse être supprimé par l'utilisateur.


    Non faut pas ! En faisant ça tu toucherais aux spécificités d'Android pour se démarquer d'iOS... :D 
  • isneok , 2 décembre 2011 20:09
    Certains on décidément la mémoire courte.

    http://www.pcworld.com/article/225845/why_apple_tracks_you_via_iphone_its_not_why_you_think.html


    Par ailleurs, l'article commence par: "Apple, que l’on pensait en dehors de cette affaire [...]".
    Qui est ce "on" ?
    Y a t-il des gens pour penser qu'Apple, et lui seul, peut vendre des téléphones n'intégrant pas le produit réclamé par les opérateurs?
    Vraiment?
  • vardon , 3 décembre 2011 02:11
    LVMLa messe est en effet dite et visiblement tu n'as rien compris à l'article, à moins que ça soit volontaire et là ton assimilation d'iOS à Android est tout simplement honteuse.

    Mon cher LVM: T'as du temps à perdre à répondre à de telles âneries provocatrices !
  • vardon , 3 décembre 2011 02:12
    isneok Y a t-il des gens pour penser qu'Apple, et lui seul, peut vendre des téléphones n'intégrant pas le produit réclamé par les opérateurs?Vraiment?

    Ben... A priori c'est bien ce que dit l'article....
  • back6 , 3 décembre 2011 11:40
    @vardon et @LVM:
    Non mais franchement, vous faites de la peine à voir. La situation est à peine un peu meilleure sur Apple (mais aussi sur le nexus de Google), et vous faites comme si c'est la grosse victoire d'IO0S sur Android ?
    De toute façon, comme l'article l'explique bien, c'est un problème d'opérateurs, beaucoup plus qu'un problème d'OS. Cet article a le mérite de mettre la chose au clair, et de ne pas laisser les utilisateurs dans le doute quant à l'origine de ces collectes d'info.
  • 1815 , 3 décembre 2011 20:48
    Citation :

    Y a t-il des gens pour penser qu'Apple, et lui seul, peut vendre des téléphones n'intégrant pas le produit réclamé par les opérateurs?
    Vraiment?

    bah tu sais, ils arrivent bien à négocier des contrats d'exclusivité moyennant royalties...
  • spae0899 , 3 décembre 2011 20:58
    En allant sur Général/Informations/Diagnostic & Utilisation/Données de diag. et d'utile./ on peut voir ce qui a été transmis à Apple, ils ne trichent pas, c'est très clairement détaillé dans les différents fichiers logs.
    J'ai parcouru toute la liste des infos envoyées depuis mon iPhone et ça a le mérite d'être transparent.
    J'ai par conséquent maintenu cette option, qui est très détaillée et qui ne nuit donc pas à ma vie privée.

  • -1 Masquer
    shooby , 4 décembre 2011 17:32
    C'est ça LVM, continue à jouer ton Molière et son "cachez ce sein que je ne saurait voir" ça te rend sacrément service ! C'est peut être rassurant pour toi (et tes confères) de chercher à cacher un "défaut" sur ios en affirmant que c'est pire chez les autres, mais ça ne supprime pas le problème pour autant ... à savoir que ce rootkit existe bel et bien chez Apple.

    En plus tu mens (volontairement ou pas, je ne sais pas, même si j'ai une petit idée sur la question) en affirmant que le rootkit "pille les données personnelles uniquement sur android" vu que ce n'est pas le cas, la spécialiste en sécurité Rebecca Bace (ex-NSA) ayant confirmé que le système de Carrier IQ n'enregistrait pas les tapes sur le clavier (par exemple) comme tu le sous entend, et ne pouvait donc pas être considéré comme un keylogger. Si Carrier IQ n'enregistre aucune des données dont tu parles quelque soit l'OS considéré il ne peut pas ne pas le faire pour ton ios chéri et le faire pour android ! Il n'y a qu'un applefan aveuglé qui peut prétendre ça.

    Le pire dans cette histoire, c'est que ce rootkit existe depuis des années et est imposé par les opérateurs depuis le début, mais qu'il n'est devenu infréquentable que depuis quelques jours seulement, au point que tout le monde veut s'en désengager ! Je me demande bien ce qu'on va découvrir après ce triste épisode de Carrier IQ : un truc encore plus désastreux ? Et c'est là que ton propos est outrancier : au lieu de te borner à vouloir nier le problème, tu ferais mieux de te battre pour que nos droits soient respectés ... et c'est d'autant plus vrai depuis que Carrier IQ en question a voulu museler Trevor Eckhart en le menaçant d'un procès s'ils ne revenait pas sur ses propos en se confondant d'excuse et affirmant qu'il a dit ça par incompétence. Heureusement que la EEF est intervenue. L'affaire est trop importante pour qu'on ai à jouer à ce petit jeu puérile des clans qui se battent l'un contre l'autre pour faire croire qu'un l'a et pas l'autre comme ça. Ce programme est disponible sur tout os mobile, que cela soit ios, android, rim & co, cela ne sert à rien de nier ce fait.
  • ultrabill , 5 décembre 2011 10:01
    Citation :
    isneok Y a t-il des gens pour penser qu'Apple, et lui seul, peut vendre des téléphones n'intégrant pas le produit réclamé par les opérateurs?Vraiment?

    Ben... A priori c'est bien ce que dit l'article....
    Les iPhone intègrent ce malware puisqu'il est possible de le désactiver. CQFD
  • -1 Masquer
    shooby , 5 décembre 2011 10:56
    cela fait quand même une sacré mauvaise nouvelle pour les applefans, qui croyaient que leur idevice y aurait échappé ! Et ce n'est qu'un début : je viens d'apprendre que suite à un rejet de la requète d'Apple en Australie contre Samsung la semaine dernière, c'est maintenant les USA qui rejette la plainte d'Apple. 2001 sera donc une mauvaise année pour eux
Afficher plus de commentaires