Windows 10 : Comment restreindre la collecte de données sous le Big Brother de Microsoft par l’ANSSI
L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) est un service français créé par décret en juillet 2009
Ce service officiel, à compétence nationale, est rattaché au Secrétaire général de la défense et de la sécurité nationale (SGDSN), autorité chargée d’assister le Premier ministre de la République française dans l’exercice de ses responsabilités en matière de défense et de sécurité nationale.
Après la CNIL, c’est maintenant l’ANSSI qui rend public un édifiant rapport
- Restreindre la collecte de données sous Windows 10 – DAT-NT-36/ANSSI/SDE du 31/01/2017 de 19 pages
- Public visé : Développeur x, Administrateur √, RSSI √, DSI √, Utilisateur √
L’ANSSI écrit : « Les préoccupations relatives au respect de la vie privée et à la confidentialité des données sous Windows 10 de Microsoft Corporation font l’objet de nombreux articles depuis sa sortie en juillet 2015. Beaucoup sont alarmistes et font germer l’idée que Microsoft dispose d’un accès élargi aux données et en collecte un certain nombre à l’insu de l’utilisateur, ce qui engendre de nombreuses critiques. »
Et elle complète : « À la date d’écriture de cette note et selon les informations rendues publiques par Microsoft, plusieurs données sont collectées et corrélées entre elles sous Windows 10. Les données recueillies peuvent être stockées et traitées dans tout pays dans lequel Microsoft, ses filiales ou prestataires de service sont implantés.
Les recommandations présentées dans ce document permettent de guider le lecteur dans la configuration de son système d’exploitation (propriétaire et privateur) pour limiter (eh oui, que limiter) les données recueillies par l’éditeur de Redmond. Bien entendu, il est du ressort de chaque entité d’apprécier son propre besoin en matière de confidentialité des données, idéalement par une analyse de risques (menée par exemple avec la méthode EBIOS) dont les conclusions doivent permettre de prendre une décision au plus haut niveau. »
Donc, l’ANSSI confirme bien que… Big Brother Windows 10 de Microsoft est un logiciel hautement malveillant (malware – spyware) qui espionne et flique tous ses utilisateurs… les particuliers et associations, les administrations et collectivités, les écoles et universités, et les entreprises !
Les recommandations de l’ANSSI pour « essayer de limiter » -mais que limiter- l’espionnage illégal par Big Brother Windows 10
Le rapport technique de l’ANSSI Restreindre la collecte de données sous Windows 10 se concentre sur les Préoccupations relatives au respect de la vie privée et à la confidentialité des données sous Windows 10. Ces recommandations sont livrées en l’état et adaptées aux menaces au jour de leur publication, c’est-à-dire qu’elles concernent Windows 10 Anniversary Redstone 1 en version 1607 publié début août 2016. La situation pourrait empirer avec les prochaines version de Windows 10.
Nota bene : Même si cette note cible plus les éditions professionnelles et éducation, elle peut aussi s’appliquer aux éditions grand public mais avec les limitations de paramétrage imposées par Microsoft.
Le rapport de l’ANSSI couvre les principaux thèmes de sécurité/confidentialité de Windows 10
- Introduction
À la date d’écriture de cette note et selon les informations rendues publiques par Microsoft, des données sont collectées (et corrélées entre elles) sous Windows 10 par plusieurs biais :
– le service de télémétrie (connu sous les nom de Diagnostic Tracking Service ou de Universal Telemetry Client). Ce service Windows est utilisé par Microsoft pour identifier des problèmes de sécurité et de fiabilité, analyser et résoudre des problèmes logiciels récurrents, améliorer la qualité de leurs produits et des services associés et prendre des décisions vis-à-vis de leur feuille de route, entre autres. Ce service historique est également présent sur les versions antérieures de Windows ;
– l’assistant personnel Cortana et le composant Windows Desktop Search ;
– les paramètres de personnalisation de l’expérience utilisateur (rapports d’erreur Windows, apprentissage de la saisie clavier, programme d’amélioration de l’expérience utilisateur, etc.) ;
– les applications universelles de Microsoft (également appelées UWP, Windows Apps, Packaged Apps (applications empaquetées), Metro style apps ou bien encore Modern Apps) ;
– l’utilisation de comptes Microsoft d’ouverture de session ;
– le service de stockage dans le nuage OneDrive (c’est-à-dire le Cloud, terme souvent utilisé par anglicisme). - Service de télémétrie
Le service de télémétrie du système est configurable de manière centralisée par stratégie de groupe (GPO ou Group Policy Object, voir page Technet [MSGPO]) via l’option « données de diagnostic et d’utilisation » et selon quatre niveaux ici listés par ordre croissant de quantité de données collectées :
– sécurité (option non disponible graphiquement, configurable dans la base de registre ou par GPO et uniquement sur les éditions « Entreprise », « Éducation » et « IoT Core » de Windows 10) ;
– de base ;
– amélioré ;
– complet. - Assistant personnel Cortana et composant Desktop Search
L’assistant personnel Cortana est un agent logiciel qui aide l’utilisateur à accomplir ses tâches. Cortana peut par exemple :
– envoyer des courriels ou des messages ;
– faire des recherches sur Internet ;
– exécuter des applications ;
– transmettre des rappels en fonction de l’heure, des rendez-vous et de la géolocalisation de l’utilisateur. - Les paramètres de personnalisation de l’expérience utilisateur
Un certain nombre de données sont par défaut envoyées aux services de Microsoft à des fins de personnalisation et d’amélioration de l’expérience utilisateur. Cela peut présenter un intérêt pour un usage personnel de l’équipement informatique, mais n’est généralement pas souhaitable en environnement professionnel pour des questions de confidentialité. Ces données peuvent comprendre par exemple :
– des données de saisies clavier ou manuscrites ;
– des coordonnées et informations de calendriers ;
– les carnets d’adresses et de contacts. - Applications universelles
Cette étape consiste à créer les règles permettant aux utilisateurs d’exécuter les applications universelles autorisées dans une organisation. Il est en premier lieu important de distinguer les applications universelles sous Windows 10, les applications universelles sous Windows 8 et les applications de bureau classiques.
De manière synthétique, les applications universelles Windows 10 sont développées pour la plateforme Universal Windows Platform (UWP) tandis que les applications universelles Windows 8 utilisent spécifiquement l’interface de programmation WinRT (Windows Runtime). - Services dans le nuage (Cloud)
Avec Windows 10, plusieurs services dans le nuage de Microsoft sont intégrés au système de manière à en généraliser l’usage. L’utilisation de services dans le nuage en environnement professionnel doit faire l’objet d’une stratégie de gouvernance au plus haut niveau, qui intègre entre autres des risques de confidentialité, d’intégrité et de disponibilité des données que l’entité est prête à accepter.- Comptes Microsoft d’ouverture de session
Avec Windows 8 sont apparus les comptes Microsoft. Il s’agit d’un service d’authentification unique dans le nuage, utilisé pour accéder à certains services de Microsoft (Office, Skype, OneDrive, etc.) mais également comme compte d’ouverture de session sous Windows. Cela revient donc à déporter l’authentification locale vers une infrastructure de service d’annuaire centralisé dans le nuage (c’est-à-dire un type d’IaaS ou Infrastructure As A Service). Utiliser ce service permet, par exemple, de synchroniser des paramètres entre différents ordinateurs. - OneDrive
OneDrive est un service de stockage de données dans le nuage (c’est-à-dire du STaaS ou STorage As A Service). Un espace de stockage limité en volume est disponible gratuitement, et l’application OneDrive intégrée à Windows 10 permet de synchroniser des arborescences locales avec les espaces de stockage en ligne. L’utilisation aisée du service représente une tentation forte pour les utilisateurs d’y stocker des données professionnelles. Par mesure de sécurité pour la confidentialité des données, il est alors préférable de désactiver l’accès au service.
- Comptes Microsoft d’ouverture de session
- Annexes et Références
Mise en œuvre par l’image des recommandations relatives au respect de la vie privée et à la confidentialité des données privées et professionnelles sous Big Brother Windows 10…
Mais pour régler ce problème majeur, ne serait-il pas plus simple et démocratique de ne pas/plus utiliser Big Brother Windows 10 (defective by design = défectueux par conception) plutôt que d’être obligé de le bidouiller constamment pour essayer de freiner ses illégitimes ardeurs ?
Lire la suite en page 2…