Solutions
Windows Update serait-il un espion ?
Par Jerome Saiz, le 01 mars 2003 à 15:00:00.
Le site d'un magazine informatique Allemand publie une analyse détaillée du comportement de Windows Update, l'outil de mise à jour de Microsoft. Les techniciens affirment avoir déchiffré ce qu'envoie Windows à Microsoft lors de chaque mise à jour. Toute la configuration du PC y passerait. Mais l'information reste à confirmer : l'article est en partie payant, et les preuves présentées gratuitement sont partielles. Coup de bluff ou révélation ? Nous sommes allés poser la question à Microsoft. [Mis à jour le 03/03/2003]
Que raconte réellement Windows Update à Microsoft ? Lorsqu'il se connecte chez l'éditeur, l'outil de mise à jour automatique de Windows est censé ne collecter que quelques informations destinées à identifier la version du système d'exploitation et des composants qu'il met à jour. Mais selon le site TecChannel, Windows Update serait en réalité beaucoup plus bavard : en plus des informations strictement nécessaires à la mise à jour, l'outil ferait remonter à Microsoft une version très détaillée de la configuration du PC, incluant potentiellement la liste de tous les logiciels installés, ceux des autres éditeurs inclus.
Difficile à priori de savoir exactement ce qu'il en est, puisque à chaque connexion au serveur de mise à jour, le trafic est chiffré grâce à un tunnel SSL.
C'est là que TecChannel entre en jeu, en affirmant avoir déchiffré ce trafic à l'aide de TecDump, un sniffer maison modifié pour intercepter les appels à des API de Windows (
HttpOpenRequest() et InternetWriteFile()). Cela permet à TecDump d'intercepter ce que Windows Update envoie via Internet avant que ce ne soit chiffré.
2 euros pour connaître la suite de l'histoire...Hélas, si la révélation semble digne d'intérêt, elle demande aussi à être vérifiée. Car seule une partie de la démonstration de TecChannel est disponible gratuitement en ligne, et il en côute près de 2 euros pour télécharger le rapport complet. A défaut de l'avoir lu, il convient donc de rester prudent.
Mais à la première lecture de l'extrait publié par TecChannel, l'approche semble correcte : un sniffer est bien l'outil nécessaire pour obtenir ce genre d'aveux, et les API citées existent bien et sont documentées.
Les captures d'écrans de l'échange Windows Update déchiffrées révèlent en outre quelques adresses de documents XML (des Schémas) utilisés par Microsoft, que nous sommes allés télécharger afin de les étudier. L'un d'eux, appelé
schemaSystemInfo, révèle une structure effectivement inquiétante :- <ElementType name="regKeys" content="eltOnly">
<element type="HKEY_LOCAL_MACHINE" minOccurs="1" maxOccurs="1"/>
</ElementType>
<ElementType name="HKEY_LOCAL_MACHINE" content="eltOnly">
<element type="SOFTWARE" minOccurs="1" maxOccurs="1"/>
</ElementType>
<ElementType name="SOFTWARE" content="eltOnly">
<element type="value" minOccurs="1" maxOccurs="*"/>
</ElementType>
Source : Microsoft
content est ici fixé à la valeur eltOnly, qui représente une suite d'éléments. Les valeurs minOccurs et maxOccurs sont fixées à 1 partout, indiquant qu'une occurrence de ces informations devra obligatoirement être retournée, à l'exception du dernier élément ElementType, qui pourra renvoyer une liste de taille variable. Et c'est bien cela qui est inquiétant : cette portion de code laisse imaginer que le document XML renvoyé peut parfaitement contenir la totalité des clés de la base de registre sous HKEY_LOCAL_MACHINE - SOFTWARE, soit tous les logiciels installés sur le PC entrain d'être mis à jour.Voilà qui crédibiliserait les affirmations de TecChannel, même si rien n'est prouvé : cette structure peut tout aussi bien permettre simplement de renvoyer un nombre variable de composants de Windows à mettre à jour, et la sélection entre les composants légitimes et les logiciels tiers se faisant alors de manière logicielle, sur le PC, par le contrôle ActiveX de Windows Update.
Interrogé par Les Nouvelles.net, Bernard Ourghanlian, Directeur Technique de Microsoft France, explique que "le schéma prévoit effectivement, dans sa structure, une telle liste mais cette liste n'est absolument pas utilisée". Et la capture présentée par TecChannel semble bien lui donner raison puisque n'y apparaît aucune liste de logiciels. "L'exemple de collecte d'informations hardware qui est fourni sur le site de tecchannel.de est parfaitement exact et conforme à notre déclaration [de respect de la vie privée]", conclue Bernard Ourghanlian.
Plus d'information
- L'article de TecChannel.
- Le Schéma XML schemaSystemInfo sur le site de Windows Update.
- Les clauses de confidentialité officielles de Windows Update
Cartes blanches
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
Les plus lus
Les thématiques
DNS : le pire a été évitéLes botnets se mettent au Web 2.0Faille DNS : ça patche !Hébergement web : les serveurs dédiés victimes d'abusAT&T victime de la faille DNS de KaminskyDécès de Christophe PipparelliUne vulnérabilité zero-day exploitée dans Microsoft Office AcesssKraken, le poids-lourd des botnetsUne vulnérabilité PDF pour les BlackBerryAvi Chesla : "La nouvelle vague de bots passe à l'Ajax"
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
