Carrier IQ s'explique et tente de déminer le terrain

Anthony Nelzin-Santos |

Carrier IQ, au centre d'une controverse sur la question de l'utilisation des données privées à des fins technico-commerciales, a tenu à clarifier sa position. Oui, la société collecte des données ; non, elle ne les utilise pas pour enregistrer ou transmettre des informations personnelles.

skitched

Premier point : Carrier IQ a confirmé que la vidéo de Trevor Eckart détaillant la collecte de données était fidèle à la réalité, mais que son interprétation était erronée. Andrew Coward, le directeur marketing de la société, explique : « le logiciel reçoit une grande quantité d'informations du système d'exploitation, mais ce n'est pas parce qu'il la reçoit qu'il l'utilise pour collecter des informations sur l'utilisateur ou pour la transmettre à l'opérateur. » Carrier IQ collecte ainsi de nombreuses données (position, passage et éventuelle perte d'un appel, heure d'arrivée d'un SMS et numéro associé, URL des sites visités, qualité réseau, niveau de la batterie, fichiers de crash système, etc.), mais c'est à l'opérateur de décider qu'en faire.

C'est là que la bât blesse : impossible d'obtenir des opérateurs une réponse sur leur utilisation de Carrier IQ, et pour ceux qui n'utilisent pas les services de cette société, ce qu'ils font de leurs propres systèmes de logging. À la fois pour des raisons légales (appels d'urgence, besoins judiciaires) et techniques (suivi de la qualité du réseau), les opérateurs enregistrent un nombre incroyable de données avec une très grande précision, le tout avec la plus grande discrétion. Carrier IQ n'est qu'un intermédiaire dans cette industrie (lire : Carrier IQ, le mouchard qui vous veut du bien).

Deuxième point : Carrier IQ a tenu à préciser que si elle stockait des informations d'ordre technique, elle n'accédait jamais aux contenus de l'utilisateur, dont le caractère privé est respecté. Ainsi, Carrier IQ enregistre l'arrivée d'un SMS et le numéro associé, mais n'enregistre pas, ne stocke pas et donc ne transmet pas le contenu de ce message. Idem avec les courriels, les photos, et autres médias (musique et vidéo). Rebecca Bace, spécialiste de la sécurité notamment passée par la NSA, a pu indépendamment confirmer que le système de Carrier IQ n'enregistrait pas les tapes sur le clavier, et ne pouvait donc pas être considéré comme un keylogger.

Tags
#vie privée #Carrier IQ
avatar juju_nantes | 
La question est : de quel droit cette société collecte-t-elle des données personnelles sans demander leur autorisation aux intéressés ? - Est-il normal qu'une société privée prenne l'initiative de volet mes données sur mon téléphone sans me le dire ? - Est-il normal qu'une société privée vole mes coordonnées bancaires et mes codes confidentiels sur mon téléphone ? - Dois-je en conclure que cette société peut voler tout l'argent qui est sur mon compte en utilisant mes codes ? - Et si ce sont les données collectées par Carrier IQ qui sont volées à leur tour ? Que se passera-t-il ? C'est un véritable scandale d'une extreme gravité, qui nécessite des poursuites pénales et l'emprisonnement de tous les auteurs de cette vaste escroquerie.
avatar Oh la belle Pomme | 
+1
avatar tigre2010 | 
Donc si je comprend bien, on peu leur faire confiance. Woouah cool ! Non mais, sérieux, vous avez une idée que toutes ces infos son piratables par des hackers ? Doit on avoir une immense confiance aux FAI ?
avatar ekami | 
C'est l'argument des fabricants d'armes: je ne fais que les vendre, ce qu'en font les gens, c'est leur affaire.
avatar jececle59 | 
Et ils ont bien raison.
avatar jececle59 | 
Je ferais certainement bien plus confiance a une société privé plutôt qu'à l'Etat.
avatar Satoral | 
Une fois que tu t'es rendu compte qu'il y a collusion entre ses sociétés privées et l'état… ça ne fait plus aucune différence. Comme dans Brave New World, les intérêts des deux sont les mêmes dont ils s'entendent. Ça ne sert plus à rien de faire la distinction, les seconds ne font que perpétuer la domination des premiers…
avatar tigre2010 | 
C78 a raison. On en a fait une tollé sur l'histoire des collecte de données sur l'iPhone et là, je trouve que l'on prend bien trop cela a la légère. Apple eu des procès également pour cela.
avatar napuconcture | 
C'est certain qu'il faudrait une enquête aux US puis pourquoi pas un procès si les analyses s’avèrent concluantes. Si ce n'est pas déjà le cas cela serait bien que chez nous il y ai un audit sur ce qui est fait et rappeler les règles de "bonne conduite". Après les plus grands perdants dans l'histoire sont Carrier IQ qui vont perdre tous leurs clients, au moins pour la forme.
avatar eipem | 
@paddy92 C'est en cours pour les prochaines versions. Faut attendre la Maj
avatar Oh la belle Pomme | 
Comme paddy92, avec tout ce qui se passe difficile de faire confiance en qui que ce soit. :/
avatar Oh la belle Pomme | 
"URL des sites visités" Et il se croit où ce type ? Je lui ai donné mon autorisation ? Il veut mes clés et foutre une cam chez moi aussi ? Toi t'es voleur et tes petits copains (opérateurs) des receleurs ! "Carrier IQ a tenu à préciser que si elle stockait des informations d'ordre technique, elle n'accédait jamais au contenus de l'utilisateur, dont le caractère privé est respecté" Bon faut savoir ! URL ou pas URL ? Salut, Je moi c'est Machin, mon numero de tel est le 06blablabla, je vote a droite ou je suis juif ou homo qui cherche des clubs gays, j'ai un cancer ou je picole ou j'aime pas mon boss et une verrue sur la testicule droite. Et toi ? Salut moi c'est truc, mon numero... Bonjour la vie privée !
avatar jececle59 | 
Oh tines ça me rappelle un truc.... LES PAGES BLANCHES!
avatar Oh la belle Pomme | 
Rien de relationnel dans les pages blanches. (?)
avatar juju_nantes | 
@ Thurston Moore. Cette remarque n'a aucun sens. Quand une entreprise installe à l'insu des utilisateurs un logiciel qui les espionne et qui leur vole leurs coordonnées bancaires sans leur demander leur avis, je ne vois pas où est la confiance, quel que soit le statut du voleur-espion (privé ou public). Cette affaire est très grave et impose des poursuites pénales (je me répète). L'intrusion dans un système informatique (le téléphone en est un) est réprimée d'une peine de 5 ans d'emprisonnement. @ Anthony. Tu as tout à fait raison. Il faut tous les poursuivre.
avatar estebane94 | 
Ca y est, on a trouvé qui est derrière Carrier IQ : http://www.geekculture.com/joyoftech/joyarchives/1623.html
avatar napuconcture | 
Tous des amateurs de toute façon vivement le Facebook phone !
avatar gilzecat | 
Oui et apparemment il va sauter ce pauvre fusible. C'est ridicule parce qu'ils ne sont en rien ceux qui sont à condamner, comme souvent avec le bouc émissaire.
avatar Oh la belle Pomme | 
@ Nesus : Ah bon ? Si je viens cambrioler chez toi, c'est a mon receleur (uniquement) de faire face à la justice ? Nan, c'est pas tout a fait ça, en effet... Si je fabrique des yescards, disons bénévolement, je ne suis pas condamnable mais seulement ceux qui les utilisent ? S'te blague !
avatar juju_nantes | 
@ bugman. En droit pénal français, l'auteur principal, les coauteurs et les complices encourent exactement les mêmes peines. Et ici, on est bien face à un ou plusieurs délits à caractère pénal (abus de confiance, intrusion dans un système d'information, etc.). Il faudrait au minimum saisir la Dgccrf et la Cnil, voire le parquet territorialement compétent.
avatar ijon971 | 
moui... je crois qu'il faudrait remettre les choses en perspective (et à ce titre, je trouve que les papiers Macge sont bien fait). Les opérateurs ne doivent pas seulement fournir du débit "data"; ils doivent aussi garantir une certaine qualité de service (au sens réseau du terme) et optimiser le fonctionnement de leur réseaux. Et pour assurer cette qualité, il faut des outils. Dans le monde de l'entreprise et dans le monde du web intranet, on a vu fleurir quantité d'outils censés surveiller les risques de dysfonctionnement et d'engorgement des réseau. Ces outils se basent souvent sur des sondes (auxquelles on demande de pouvoir "sniffer" (analyser) des trafics applicatifs divers et variés) et des outils de mesure du "ressenti utilisateur" (schématiquement des mesure de temps de réponse de requêtes utilisateurs). Ces technologies ont naturellement été étendues au monde des telco et des réseaux mobiles. Sur un plan purement technique (supervision de réseau / SLM), ce que propose Carrier IQ est donc pleinement pertinent. Certains questionnent la capacité des outils de Carrier IQ à remonter une multitude d'informations détaillés. Mais c'est bien le propre de ce genre d'outils de pouvoir le faire. Il revient ensuite aux exploitants telco d'utiliser de façon pertinente ces infos (ce qui, de façon générale, va leur demander d'être en mesure de trier ces infos, de les sélectionner, de les agréger, de les prioritiser, de bâtir des règles de supervision proactive basées sur des seuils d'alerte, etc, etc). Carrier IQ ne peut a priori pas savoir de façon catégorique comment tel ou tel opérateur va exploiter les infos de ses sondes. Chaque réseau opérateur a ses propres spécificités. Il ne peut donc être "monitoré" (surveillé) que de façon spécifique. Quiconque a déjà vu une salle d'exploitation sait très bien que les exploitants n'en ont pas grand chose à foutre de l'information détaillée. C'est en dehors de leur capacité humaine de pouvoir considérer une par une des millions ou des milliards d'information par unité de temps. Toute cette crise de nerf me fait penser à la polémique qu'avait provoqué l'arrivée des cookies de connexion web. Certains catastrophistes hurlaient à la violation de la vie privée, alors que les cookies ne sont pourtant que des outils transactionnels permettant d'assurer la persistance des sessions de connexion http (chose bien utile lorsque l'on veut faire du commerce électronique).
avatar Oh la belle Pomme | 
@ Thierry61 : Objectivement je veux bien qu'il récupère la taille d'une adresse URL si cela est utile techniquement, mais pas son adresse. Idem pour les mails, les SMS... etc... Que l'état veut des traces c'est normal (terrorisme) et je suis au courant (surtout) mais mon FAI n'est pas Carrier IQ. De toutes façon Orange n'a pas a connaitre le contenu de mes messages, que le chiffrage ne serve pas uniquement lors du transport mais empêche aussi ces boites d'avoir accès à nos informations privées et confidentielles et surtout empêcher tous regroupement... je ne suis pas un poulet calibré de chez MacDo, bordel ! Mac oui mais pas Nuggets !
avatar mien | 
mouai... faut voir ce qu'ils en font car de toute façon les opérateurs n'ont pas besoin de mouchard pour savoir qui vous appelez (facture détaillée), ni où vous êtes (je me souviens d'un procès pour meurtre où la justice a demandé à l'opérateur les relevés issus des antennes relais) et enfin ce que vous téléchargez (dans le cadre d'Hadopi, les fournisseurs d'accès doivent conserver et fournir les données sur leurs clients à la haute autorité Hadopi)... Je ne dis pas ce que c'est normal, mais c'est comme ça et dans plein de domaine : un peu comme votre banquier qui vous demande votre salaire dans le cadre d'un prêt alors qu'il a le relevé de votre compte sous les yeux sur l'écran de son ordinateur...
avatar boccob | 
Vous oubliez une chose: 1- L'opérateur, vu que vous surfez via SON reseau, et que vous le payer via VOTRE compte, avec un RIM ou une CB dispose DEJA de toutes les infos dont il est accusé de vol. Il connait votre num de CB, ou votre num de compte ET y a accés (c'est ainsi que 99% de la population paye son abonnement). Il sait TOUT de votre SURF vu que vous passez par SES proxy, sauf si bien sur vos ne surfez QUE par vpn (ce dont je doute fortement). Il connait globalement TOUS vos contacts et le contenu de TOUS vos SMS, vu que la encore, ça passe par chez lui. Pire que ça, il peut vous suivre à la trace avec les connexions au bornes ... OMG ... sans vous le dire .... Bref, c'est cool de crier au loup et de hurler au scandale, mais faudrait le faire pour les bonnes raison quand même. C'est exactement comme pour la geoloc. Tous le monde veux que son GPS se fixe en 5 secondes, mais PERSONNE ne veux donner les positions qui permettrait de faire ce fix. Faut savoir ce que vous voulez les gens. Alors bien sur il ne faut pas accepter n'importe quoi ? m'enfin il est aussi ridicule de gueuler comme un putois pour quelque chose sans avoir de BONS arguments.
avatar Oh la belle Pomme | 
"Il sait TOUT de votre SURF vu que vous passez par SES proxy" Il connait globalement TOUS vos contacts et le contenu de TOUS vos SMS, vu que la encore, ça passe par chez lui." En quoi le fait de se faire payer pour passer par des tuyaux donne le droit a leur propriétaire de mater tes données personnel sans ton consentement ? Si pour tes vacances tu me laisses tes clés afin de nourrir tes chats et voir si tout va bien, ça me donne le droit de fouiller dans tes affaires ? Pas de problème ? Sérieux ?
avatar boccob | 
Si je ne veux pas que tu regardes chez moi, jte laisse pas les clefs, c'est tout. Ensuite, je n'ai pas dis que ça leur donnais le droit de le faire, je dis que c'est DEJA le cas. Enfin, je ne dis pas qu'ils vont, ou pas, s'en servir. Je réponds au pleureuses qui chouinent sur le fait qu'un mec mal intentionné chez le FAI peut piquer les donner pour se servir, en disant qu'ils n'ont pas besoin d'un soft en plus, puisqu'il ont DEJA ces infos ... Ce que je dis, donc, c'est que ce n'est pas la peine de se lamenter sur le fait que GRACE a IQ les FAI peuvent tout savoir. S'il faut se lamenter (et pour ce que ça chagrine, ça aurait du etre fait depuis des année ... et pas uniquement envers les fai) c'est sur le voile du fumé qui parasite l'utilisation de nos données par TOUTES les entreprises qui les possedent. La, ça pleure dans les chaumières comme si c'était nouveau, comme si un nouveau "vilains" venais de surgir ... C'est ça qui est exaspérant.
avatar Oh la belle Pomme | 
"c'est sur le voile du fumé qui parasite l'utilisation de nos données" Peut être le moment justement. Pour pouvoir "pleurer" contre quelque chose faut au minimum lui tomber dessus. Sinon, c'est "pleurer" dans le vent. PS : Pauv'chats ! :/ ;) Edition : Ce qui est intéressant dans cette histoire c'est de savoir a quoi peut bien servir cet outil puisqu'ils ont déjà toutes les données. Ils n'ont pas de SI nos opérateurs pour faire des outils d'analyses ? Un mystère pour moi.
avatar Oh la belle Pomme | 
@ Anthony : pour le légal, oui je sais, je l'ai mis plus haut. Pour le technique, - pour te connecter au réseau : pas de donné confidentiel requise. - envoyer en cas d'échec ou de téléphone éteint : pas de donné confidentiel requise. Téléphone éteint, logiquement, il n'envoi rien. En cas d'échec le téléphone n'a qua le re-envoyé (et envoyé a mon opérateur des infos techniques concernant l'echec, pas la peine d'analyser le message). "Ca se fait depuis des années… et ON LE SAIT DEPUIS DES ANNEES." Pourquoi tous ces articles alors ? Tout va bien.
avatar boccob | 
@bugman "Ils n'ont pas de SI nos opérateurs ?" Si tu dis ça, c'est que, je suppose, tu n'as jamais bossé pour de grands comptes (et encore moins pour un FAI). sur ce domaine en particulier je parle en connaissance de cause. La moitié, au minimum, de l'activité de ces grands comptes, est exécuté par des prestataires externe. tu as ta réponse sur ce point.
avatar Oh la belle Pomme | 
Oui j'en connais... et ils codent (C et Java) et créent les outils pour l'entreprise. Une SS2I, non plus, n'a pas a lire mes messages ! On se pose et on reprend. Qu'ils aient besoin d'informations techniques OUI, qu'ils aient besoin d'une adresse url NON. C'est ça mon coup de gueule pas autre chose. Un état ne voulait pas travailler avec du RIM pour cela.
avatar neochti | 
C'est tout simplement scandaleux ! Mais les premiers fautifs restent les fabricants de mobile : ils laissent (pour ne pas dire offrent) la possibilité technique à des tiers d'exploiter les données de votre mobile, là même ou ils font preuve d'un zèle très appuyé pour lutter contre le jailbreak... "je te tiens, tu me tiens, par la barbichette, le premier de nous deux qui ..."
avatar Oh la belle Pomme | 
Les antennes. Le mobile est detecté sur le(s) réseau(x) sinon tu ne pourraient ni donner ni recevoir d'appels (tu as désactivé les données, pas la voix). Comme l'antenne est a l'étranger, tu es a l'étranger.
avatar boccob | 
@bugman: bien au contraire, les URL sont VITALES pour la gestion d'un reseau ... serieux, j'ai l'impression que tu ne sais vraiment pas de quoi tu parles. Tu connais la notion de QOS ? Tu crois que les petits routeurs sur les backbones des réseaux de nos FAI ont la science infuse ? Les routes, les proxy, les caches, les dns, etc ... ça se fixe en fonction du trafics des usagé. L'analyse de ce trafic est vitale pour fournir une infra la plus OPTIMALE possible histoire qu'un serveur de video porno ne vienne t'empecher d'acceder facilement à tes mail ou à ton service de vod payant. Quand aux SSII, elle ne font pas que du code ... il y a des manager, des chefs de projet, des admin sys, des drh, des comptable, des balayeurs et j'en passe .... ces SSII ont souvent accés à plus de donnée sensible que tu ne peux l'imaginer. Tu sais par exemple que c'est un sous-traitant qui ENTRE dans TA maison pour installer TA ligne téléphonique. Qu'il connait ton nom, ton adresse, ton num de tel. Pire .. ils à accés au répartiteur et peur s'y connecter en moins de 20 secondes pour écouter TES conversation ? @philiipe Les premiers fautifs c'est nous qui achetons en connaissance de cause mais qui fermons les yeux ... tiens, t'as jeté ton smartphone, brulé ta carte bleu, fermé ton compte en banque et demandé le payement en liquide, acheté un velo et revendu ta voiture (imatriculation), etc etc ... faut arreter la parano a un certain moment non et poser les choses calmement.
avatar Oh la belle Pomme | 
"Tu connais la notion de QOS ? Tu crois que les petits routeurs sur les backbones des réseaux de nos FAI ont la science infuse ? Les routes, les proxy, les caches, les dns, etc ... ça se fixe en fonction du trafics des usagé." Qualité de service... oui. Et ? Il fait quoi ton opérateur ? il se connecte sur son compte chez Carrier IQ, récupère l'adresse tapé et l'envoi au CISCO ? Je le repete, ses données devraient être traiter (automatiquement) puis sauvegardé (légal) après chiffrement et rester là 6 mois (il me semble) puis effacés definitivement. Point. Ils n'ont rien a faire dans les mains de qui que ce soit.
avatar boccob | 
ok, t'as raison grand chef, t'as l'air d'en savoir beaucoup sur la gestion des backbones ... jvais pas te contredire. See ya.
avatar Oh la belle Pomme | 
Nan, nan ,nan... Dis moi en quoi il est si important que cette adresse URL soit croisé avec un numéro de téléphone (et/ou imei) pour optimiser le réseau. Pourquoi tu parlais "de voile de fumé" sur l'utilisation des données ?
avatar mien | 
@bugman : qui te dit que tous ces process ne sont pas automatisés ? ce n'est pas parce que ton opérateur a la capacité d'avoir toutes ces infos qu'il y a une personne physique qui les voient ou qui les traitent individuellement. Intervenant sur des projets d'applications, je vois défiler des noms et parfois des infos mais sérieusement j'ai autre chose à faire que de m'arrêter pour les lire et encore plus de les retenir plus de 5 secondes. Par contre il sera très difficile à l'assistance technique d'aider un utilisateur si on ne peut rien voir sur des exemples concrets. le tout est de savoir bien choisir ses collaborateurs pour que ce qui est privé le reste.
avatar Oh la belle Pomme | 
Mais rien, bien sûr. C'est pas moi qui parle de QoS de routeur ou je ne sais quoi encore. Ici, nous avons un logiciel qui permet des analyses, c'est bien ça ("We are deployed by leading operators to monitor and analyze the performance of their services and mobile devices to ensure the system (network and handsets) works to optimal efficiency. Operators want to provide better service to their customers, and information from the device and about the network is critical for them to do this.)? Bon, ok. Je vois dans l'article : "Carrier IQ collecte ainsi de nombreuses données (position, passage et éventuelle perte d'un appel, heure d'arrivée d'un SMS et numéro associé, URL des sites visités, qualité réseau, niveau de la batterie, fichiers de crash système, etc.), mais c'est à l'opérateur de décider qu'en faire." un screenshot maintenant ou nous voyons que les informations ne sont peut être pas si anonyme (c'est quoi Equipement ID, Profile ID ?)... http://publicintelligence.net/wp-content/uploads/2011/12/CarrierIQ-Training_Page_03-1024x769.jpg Y'a que moi que ça gène (pour les URL notamment) ? Ou alors, encore une fois, pourquoi s'exciter (jusqu'en Allemagne) comme cela avec ces articles ??? J'ai manqué un truc ? Certainement.
avatar Oh la belle Pomme | 
Allo ? Un tunnel ?

CONNEXION UTILISATEUR