Carrier IQ est-il ce malware qui permet aux opérateurs du monde entier de savoir que vous êtes en train de demander à votre conjoint sur votre mobile s'il vaut mieux acheter des tomates ou des pommes de terre ? On a pu le craindre au vu des déclarations alarmistes depuis plusieurs jours.

Au final, il apparaît que seuls quelques opérateurs aux Etats-Unis utilisent la solution Carrier IQ censée leur apporter des informations de première main ( vu qu'elles sont prises à la source, via les données recueillies sur les téléphones ) pour optimiser la qualité sur leur réseau mobile.

Les opérateurs AT&T et Sprint Nextel ont reconnu y faire appel, tandis que Verizon Wireless, l'un des plus importants du pays, a indiqué qu'elle n'était pas présente dans les terminaux qu'il commercialise. Sa diffusion hors des Etats-Unis semble par ailleurs limitée.

Du côté des fabricants, Nokia et RIM ont aussitôt affirmé que Carrier IQ ne concernait pas leurs smartphones tandis qu' Apple, tout en reconnaissant y avoir eu recours sous iOS 3 et iOS 4, ne l'utilise plus vraiment avec iOS 5 et en fera disparaître toute trace dans une prochaine mise à jour. Après la problématique des données de géolocalisation, il ne faudrait pas remettre de l'huile sur le feu.

Restent les cas de Samsung et de HTC, pour lesquels Carrier IQ a été repéré sur certains de leurs appareils mobiles. Eux rejettent la " faute " sur les opérateurs qui leur auraient imposé d'installer cette solution s'ils voulaient commercialiser leurs smartphones chez eux.


Service utile mais service intrusif

De son côté, l'éditeur du fameux service multiplie les explications comme quoi Carrier IQ ne vise qu'à détecter des problèmes en amont en analysant un certain nombre de données recueillies directement sur les smartphones.

Il reconnaît tout de même que le service a les moyens de récupérer les frappes clavier mais que cette possibilité n'est exploitée que sous certaines conditions et en réaction à certaines frappes de test très précises, dans les cas d'essais de réception de données.

Tout en étant capable de récupérer les contenus des SMS, des emails, voire des photos ou vidéos prises depuis l'appareil, en somme l'ensemble des données personnelles contenues dans l'appareil, Carrier IQ ne transmettrait que des données d'ordre technique aux opérateurs tout en préservant la confidentialité des données privées.

Carrier IQ ne serait donc qu'un outil de plus pour répondre aux trois principales problématiques des opérateurs : les appels interrompus, la qualité de service et l'autonomie des appareils ( déterminer quelles applications sont les plus gourmandes ).

Il reste que, pour les terminaux sur lesquels est installé Carrier IQ, la démonstration de l'expert en sécurité Trevor Eckhart fait tout de même froid dans le dos par la quantité d'informations qui peut être récupérée et dont l'utilisation légale ou illégale ne tient que par la bonne foi de l'éditeur et des opérateurs.

La collecte s'arrête-t-elle vraiment aux seules données techniques ? N'y a-t-il pas un risque de voir cette collecte détournée par des personnes malveillantes ? Les utilisateurs ne devraient-ils pas être clairement avertis de cette " surveillance " et avoir la possibilité de s'y opposer en la désactivant ( certains OS le permettent déjà ) ? Autant de questions qui rappellent que le sujet des données personnelles reste toujours aussi sensible, même dans le cadre d'un service légal aux opérateurs.