Depuis que le chercheur en sécurité Trevor Eckhart a affirmé qu'un bout de code du logiciel d'analyse de l'éditeur Carrier IQ agissait comme un logiciel malveillant, de nombreux utilisateurs de téléphones portables se demandent si leurs appareils sous iOS, Android, Nokia et BlackBerry sont espionnés. Selon le chercheur, le logiciel développé par Carrier IQ et installé sur les périphériques par les fabricants et les opérateurs enregistrerait des données à l'insu de l'utilisateur, comme des frappes au clavier et l'historique de navigation Internet.

De son côté, l'éditeur Carrier IQ nie les allégations du chercheur en sécurité et affirme que sa technologie est utilisée uniquement à des fins de diagnostic pour améliorer les performances du terminal et la qualité du réseau.

Alors, est-ce que les intentions de Carrier IQ sont bonnes ou mauvaises ? Est-ce que ce logiciel collecte plus d'informations sur nos terminaux que nécessaire ? Où s'agit-il simplement d'un gros malentendu sur ce que fait vraiment le logiciel de Carrier IQ ?

Voici ce que nous savons aujourd'hui :

1 - Qu'a découvert Trevor Eckhart ?

Mi-novembre, le chercheur en sécurité a publié un rapport sur un morceau de code du logiciel développé par Carrier IQ. Normalement, ce logiciel est un outil de diagnostic censé aider les constructeurs et les opérateurs à améliorer la qualité de leurs services. Mais Trevor Eckhart a affirmé que le logiciel de Carrier IQ était en réalité un « rootkit » ou « outil de dissimulation d'activité », autrement dit, un mouchard, qui enregistre secrètement l'activité du téléphone sur lequel il est installé. Or le logiciel de diagnostic de Carrier IQ est installé sur de nombreux téléphones tournant sous Android, Nokia et BlackBerry. Celui-ci a également été identifié sur des appareils tournant sous l'iOS d'Apple. Mais selon certains, son action semble plus inoffensive sur ces terminaux.

2 - Que fait le logiciel ?

Trevor Eckhart a posté une vidéo sur YouTube montrant comment fonctionne un logiciel - présenté comme Carrier IQ par le chercheur - sur un téléphone HTC. Dans la vidéo, on peut voir le logiciel enregistrer des frappes, y compris sur le pavé numérique du téléphone, les messages SMS, les données de localisation, et l'historique de navigation Web, notamment les données cryptées transitant en https (SSL). On ne sait pas très bien si ces données sont ou non transmises à l'éditeur.

3 - Carrier IQ se comporte-t-il de la même manière sur tous les téléphones ?

La démonstration de Trevor Eckhart montre uniquement le comportement de Carrier IQ sur un téléphone HTC. Mais, toujours selon le chercheur, il semble que des terminaux Samsung enregistrent les mêmes informations, y compris les tapes d'écran et les URL de navigateur.

Un autre développeur, Grant Paul (sans rapport avec l'auteur) prétend que sur les appareils iOS, le logiciel Carrier IQ accède à un nombre plus limité d'informations, comme le numéro de téléphone, le nom de l'opérateur, le pays, et quand un appel est actif, la localisation, si l'option est activée dans les préférences du terminal.

Le site The Verge rapporte que le logiciel Carrier IQ n'est pas installé sur le Xoom de Motorola ou les téléphones Android Nexus, à savoir le Nexus One, le Nexus S, et le Galaxy Nexus.

4 - Est-il possible de désinstaller Carrier IQ ?

Il ne semble pas être possible de supprimer ce logiciel sur un téléphone Android sauf à pouvoir entrer en mode « root ». Selon Grant Paul, il est possible de désactiver Carrier IQ sur les terminaux sous iOS 5. Dans la rubrique Réglages/Général/Informations/Diagnostic et utilisation, il suffit de choisir : « Ne pas envoyer. » Et dans la prochaine mise à jour d'iOS 5, Apple a déjà fait savoir qu'il allait supprimer le service proposé par Carrier IQ.