Vie privée : comment vos appareils vous espionnent

Windows 10 & vie privée – Deux ennemis inconciliables ?

Le lancement du nouvel OS de Microsoft s’est accompagné d’une vive polémique : la firme de Redmond aurait eu la main lourde sur le tracking et la remontée d’informations en tout genre. Il faut admettre que le nombre d’options liées au monitoring et activées par défaut laisse perplexe. Pour en avoir le cœur net, nous avons analysé l’ensemble des communications effectuées par Windows 10, et cela dès l’installation.

couly-04Négliger Internet au début des années 2000 fut une colossale erreur. Après avoir laissé ses concurrents prospérer pendant 10 ans sans réagir, Microsoft s’est trouvé fort dépourvu lorsqu’il s’est agi d’inverser la vapeur. Contrairement à Google et consorts, il ne disposait pas des nombreux outils nécessaires pour amasser la matière première du business online moderne : les données comportementales des utilisateurs. Beaucoup l’ont donc suspecté de vouloir combler le retard accumulé avec les mouchards de Windows 10. Après tout, avec plus d’un milliard d’utilisateurs de Windows, cela représentait une opportunité en or. Qu’en est-il réellement ? Pour le savoir, nous avons capturé l’ensemble des communications réseau effectuées par Windows 10 dans une session “classique”, avec les options par défaut.

Lors de l’installation

couly-06Dans cette étape, impossible de récupérer les informations encodées en SSL via une attaque MITM (Man In The Middle) comme nous le ferons par la suite. Nous devrons donc nous contenter d’analyser les données en clair ou d’élaborer des hypothèses en fonction des IP jointes. On constate immédiatement que l’architecture réseau utilisée par Microsoft ne facilite pas la tâche : l’utilisation des serveurs de cache d’Akamai ainsi que des IP “cachées” (sans nom et passant par des routeurs non coopératifs) rend le suivi difficile. Dès l’installation du pilote réseau, l’installeur de Windows vérifie la connectivité du réseau avec une requête sur un simple fichier texte. Une minute plus tard, il met à jour ses certificats SSL et commence immédiatement à télécharger des mises à jour avec Windows Update. Une flopée de connexions SSL avec live.com s’établit parallèlement, dont certaines liées à OneDrive. À cet instant, vous n’avez encore saisi aucune information personnelle mais Microsoft connaît déjà tous des composants hardware de votre machine. La récupération des pilotes adaptés mis à jour est à ce prix.
install

A l’utilisation

Avant de procéder à cette batterie de tests, nous avons évidemment lu attentivement les nombreux articles qui abordaient le même sujet lors du lancement de Windows. Et ils étaient particulièrement alarmistes : Windows 10 contiendrait un keylogger (enregistreur de frappe), enverrait le flux vidéo de votre webcam à Microsoft, communiquerait sans cesse avec des dizaines de serveurs, etc. Ne tournons pas autour du pot : la plupart de ces pseudo-révélations ne tiennent pas la route. couly-05Elles proviennent en grande partie d’experts autoproclamés qui se sont contentés de lancer Wireshark ou Fiddler sans avoir de connaissances en réseau, et ont été épouvantés par le “nombre de lignes” qui apparaissaient à l’écran. Même chose pour le keylogger, qui correspond en fait à une fonctionnalité de debug utilisée dans les préversions de Windows. Il paraît de plus évident, à la lecture des logs recueillis lors de nos tests, que Microsoft a limité très nettement le nombre de requêtes “cachées” entre la toute première version diffusée et l’actuelle (avril 2016). De nombreuses récupérations de données qui étaient auparavant effectuées en tâche de fond de manière inutile (comme les news des tuiles MSN Network alors qu’elles étaient désactivées) ont aussi été supprimées.

Alors, aucun problème de vie privée avec Windows 10 ? Nous n’irons pas jusque-là…

D’abord, l’OS transmet avec beaucoup de requêtes plusieurs identifiants uniques (pub, session, persistants…) ; la base du tracking. Ensuite, Microsoft semble avoir pris grand soin de rendre quasi-intraçables les échanges réguliers de Windows avec (eu.)vortex.data.microsoft.com, qui récupère probablement les statistiques d’utilisation des applications. Ces requêtes échappent étrangement à la couche réseau de base de Windows et on peut légitimement se demander pourquoi. Plus grave encore : impossible d’empêcher l’envoi d’infos que Microsoft considère “basiques” comme la configuration du PC, les logiciels et drivers installés sur votre machine, le temps de réponse des applications et les informations réseau. Par défaut, la liste de données de “télémétrie” renvoyée est même beaucoup, beaucoup plus longue puisqu’elle inclut la fréquence et la durée d’utilisation de vos applications (tiers ou pas), les dumps mémoire en cas de crash (qui peuvent évidemment contenir des traces d’informations personnelles), etc. Par défaut, Microsoft se réserve même le droit de venir fouiller votre machine pour en extraire les informations nécessaires à la résolution d’un bug rare auquel vous seriez confronté ! Et il indique qu’il n’utilise pas vos données personnelles éventuellement recueillies pour vous envoyer de la pub, promis ! Que cette option existe, pourquoi pas. Qu’elle soit activée par défaut, c’est inacceptable.wireshark

 

Bing et Cortana

bingImpossible aussi de ne pas râler sur le couple Bing/Cortana, qui représente clairement le principal cheval de Troie de Windows 10. La moindre touche tapée dans la barre de recherche de Cortana est aussitôt transmise à Bing (sans attendre la suivante) et la requête s’accompagne de nombreuses autres informations sur la configuration de votre machine (taille de la fenêtre, etc.). De même, Microsoft a-t-il réellement besoin de farcir chaque communication avec Bing de tous ces identifiants uniques ? L’analyse des paquets montre par exemple l’envoi de champs X-DeviceID, X-Device-MachineId et X-Device-ClientSession qui permettent d’identifier précisément votre PC et la session en cours lors de chaque utilisation du moteur de recherche de Cortana. Les neuf cookies minimum placés ou updatés lors de toutes les requêtes sont-ils aussi vraiment indispensables ? Cette façon de faire digne de Google demeure très déplaisante, surtout intégrée au cœur même du système d’exploitation. Malgré tout, il convient de ne pas sombrer dans le M$-bashing facile : rien de tout cela ne constitue une pratique exceptionnellement intrusive aujourd’hui. Android envoie par exemple bien plus d’informations “uniques” sans que cela ne gêne grand monde.

Limiter la casse ?
Avant toute chose, nous vous assénons l’horrible vérité : à moins de se passer d’Internet, vous ne pourrez pas éviter complétement que Windows 10 ne communique avec Microsoft. Quels que soient les utilitaires tiers installés, les modifications de votre fichier HOSTS ou des clés de la base de registre, les services activés ou pas, Windows trouvera toujours le moyen de passer au travers des mailles du filet. Inutile également d’essayer de bloquer des IP sur votre firewall/routeur : nous avons constaté que la plupart des listes publiées sur Internet n’étaient plus du tout à jour aujourd’hui, ou non valable en France (vu l’utilisation des serveurs spécifiques d’Akamai). Et même si vous parveniez à bloquer l’intégralité des transferts réseau, une simple mise à jour via Windows Update pourrait tout compromettre très facilement. Malgré cela, nous avons reproduit l’expérience pendant 24 heures avec la totalité des options “Vie privée” de Windows 10 désactivées ou réglées à leur niveau minimum. Admettons-le : le nombre de requêtes et la quantité de données échangées diminue de manière très importante. Nous n’avons plus constaté qu’une seule connexion SSL “cachée” vers db5.vortex.data.microsoft.com toute les 30 minutes exactement, et une requête régulièrement (mais vide) vers OneDrive.

 

About the Author

Doc TB
Détracteur en chef, journaliste total, combat le bullshit marketing depuis 2001, ce qui lui vaut régulièrement procès et menaces. Particularité : dilapide l'argent de la rédaction en produits divers et variés qu'il pourrait très bien obtenir gratuitement via les constructeurs (contre un ou deux points en plus sur la note). Détruit au final lesdits produits en cherchant à les améliorer ou pour éprouver leur résistance aux courts-circuits.

Comments are closed.