| Modifié le le 25 mai 2021
Le lancement du nouvel OS de Microsoft s'est accompagné d'une vive polémique : la firme de Redmond aurait eu la main lourde sur le tracking et la remontée d'informations en tout genre. Il faut admettre que le nombre d'options liées au monitoring et activées par défaut laisse perplexe. Pour en avoir le cœur net, nous avons analysé l'ensemble des communications effectuées par Windows 10, et cela dès l'installation.
Lors de l'installation.
Dans cette étape, impossible de récupérer les informations encodées en SSL via une attaque MITM (Man In The Middle) comme nous le ferons par la suite. Nous devrons donc nous contenter d'analyser les données en clair ou d'élaborer des hypothèses en fonction des IP jointes. On constate immédiatement que l'architecture réseau utilisée par Microsoft ne facilite pas la tâche : l'utilisation des serveurs de cache d'Akamai ainsi que des IP "cachées" (sans nom et passant par des routeurs non coopératifs) rend le suivi difficile. Dès l'installation du pilote réseau, l'installeur de Windows vérifie la connectivité du réseau avec une requête sur un simple fichier texte. Une minute plus tard, il met à jour ses certificats SSL et commence immédiatement à télécharger des mises à jour avec Windows Update. Une flopée de connexions SSL avec live.com s'établit parallèlement, dont certaines liées à OneDrive. À cet instant, vous n'avez encore saisi aucune information personnelle mais Microsoft connaît déjà tous des composants hardware de votre machine. La récupération des pilotes adaptés mis à jour est à ce prix.
A l'utilisation.
Avant de procéder à cette batterie de tests, nous avons évidemment lu attentivement les nombreux articles qui abordaient le même sujet lors du lancement de Windows. Et ils étaient particulièrement alarmistes : Windows 10 contiendrait un keylogger (enregistreur de frappe), enverrait le flux vidéo de votre webcam à Microsoft, communiquerait sans cesse avec des dizaines de serveurs, etc. Ne tournons pas autour du pot : la plupart de ces pseudo-révélations ne tiennent pas la route. Elles proviennent en grande partie d'experts autoproclamés qui se sont contentés de lancer Wireshark ou Fiddler sans avoir de connaissances en réseau, et ont été épouvantés par le "nombre de lignes" qui apparaissaient à l'écran. Même chose pour le keylogger, qui correspond en fait à une fonctionnalité de debug utilisée dans les préversions de Windows. Il paraît de plus évident, à la lecture des logs recueillis lors de nos tests, que Microsoft a limité très nettement le nombre de requêtes "cachées" entre la toute première version diffusée et l'actuelle (avril 2016). De nombreuses récupérations de données qui étaient auparavant effectuées en tâche de fond de manière inutile (comme les news des tuiles MSN Network alors qu'elles étaient désactivées) ont aussi été supprimées.Alors, aucun problème de vie privée avec Windows 10 ? Nous n'irons pas jusque-là…
D'abord, l'OS transmet avec beaucoup de requêtes plusieurs identifiants uniques (pub, session, persistants…) ; la base du tracking. Ensuite, Microsoft semble avoir pris grand soin de rendre quasi-intraçables les échanges réguliers de Windows avec (eu.)vortex.data.microsoft.com, qui récupère probablement les statistiques d'utilisation des applications. Ces requêtes échappent étrangement à la couche réseau de base de Windows et on peut légitimement se demander pourquoi. Plus grave encore : impossible d'empêcher l'envoi d'infos que Microsoft considère "basiques" comme la configuration du PC, les logiciels et drivers installés sur votre machine, le temps de réponse des applications et les informations réseau. Par défaut, la liste de données de "télémétrie" renvoyée est même beaucoup, beaucoup plus longue puisqu'elle inclut la fréquence et la durée d'utilisation de vos applications (tiers ou pas), les dumps mémoire en cas de crash (qui peuvent évidemment contenir des traces d'informations personnelles), etc. Par défaut, Microsoft se réserve même le droit de venir fouiller votre machine pour en extraire les informations nécessaires à la résolution d'un bug rare auquel vous seriez confronté ! Et il indique qu'il n'utilise pas vos données personnelles éventuellement recueillies pour vous envoyer de la pub, promis ! Que cette option existe, pourquoi pas. Qu'elle soit activée par défaut, c'est inacceptable.
Limiter la casse ?
Avant toute chose, nous vous assénons l'horrible vérité : à moins de se passer d'Internet, vous ne pourrez pas éviter complétement que Windows 10 ne communique avec Microsoft. Quels que soient les utilitaires tiers installés, les modifications de votre fichier HOSTS ou des clés de la base de registre, les services activés ou pas, Windows trouvera toujours le moyen de passer au travers des mailles du filet. Inutile également d'essayer de bloquer des IP sur votre firewall/routeur : nous avons constaté que la plupart des listes publiées sur Internet n'étaient plus du tout à jour aujourd'hui, ou non valable en France (vu l'utilisation des serveurs spécifiques d'Akamai). Et même si vous parveniez à bloquer l'intégralité des transferts réseau, une simple mise à jour via Windows Update pourrait tout compromettre très facilement. Malgré cela, nous avons reproduit l'expérience pendant 24 heures avec la totalité des options "Vie privée" de Windows 10 désactivées ou réglées à leur niveau minimum. Admettons-le : le nombre de requêtes et la quantité de données échangées diminue de manière très importante. Nous n'avons plus constaté qu'une seule connexion SSL "cachée" vers db5.vortex.data.microsoft.com toute les 30 minutes exactement, et une requête régulièrement (mais vide) vers OneDrive.
