Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Un accord entre Microsoft et FireEye crée des remous sur le partage de la télémétrie

Sujet sensible

Un accord entre Microsoft et FireEye crée des remous sur le partage de la télémétrie

Le 28 novembre 2016 à 14h34

Microsoft s’est associé à la société de sécurité FireEye pour utiliser l’une de ses technologies dans le service Windows Defender ATP, disponible pour les entreprises. Au-delà des avantages, l’annonce a fait naitre une puissante rumeur de partage des données télémétriques, que Microsoft a nié.

Initialement, l’annonce du partenariat date du début du mois. Le fond de ce rapprochement est parfaitement limpide : l’intégration de la technologie iSIGHT Threat Intelligence de FireEye dans Windows Defender Advanced Threat Protection (WDATP).

Ceux qui suivent l’actualité sur la sécurité informatique connaissent sans doute déjà la société FireEye. Elle est spécialisée dans le suivi des menaces et propose plusieurs produits dans ce domaine. Celui dont il est question est un service de veille qui permet aux entreprises de suivre l’évolution des menaces et d’analyser le comportement du réseau pour y détecter d’éventuelles menaces, et des outils pour y répondre le cas échéant.

Microsoft complète les capacités de son service WDATP

C’est précisément l’orientation prise petit à petit chez Microsoft ces dernières années. Windows Defender ATP est un service équivalent à ce que propose FireEye, mais sans aller aussi loin que ce dernier. L’intégration d’iSIGHT semble donc naturelle puisque les propres capacités de Microsoft s’en trouvent renforcées.

Les clients de Windows Defender ATP héritent d’une partie des capacités d’ISIGHT, notamment tout un ensemble d’indicateurs de compromission (IoC). WDATP fournira donc des alertes basées sur ce derniers, en donnant souvent un profil général de l’attaquant, avec ce qui semble être sa motivation (ce qu’il cherche à obtenir), les outils utilisés, les zones géographiques visées, ainsi qu’un descriptif général du pirate (ou du groupe) et son modus operandi.

Il n’est nulle part fait mention des termes financiers de cet accord, et on ne sait donc pas combien Microsoft monnaye ces services auprès de FireEye. Le père de Windows devrait cependant faire rapidement valoir cet ajout auprès des entreprises, le service WDATP étant encore très récent (il est arrivé avec l’Anniversary Update début août).

Pour autant, et sans que l’on sache exactement pourquoi, des rumeurs sont apparues il y a quelques jours sur un partage des données télémétriques avec FireEye, alors même que ce point n’était pas abordé.

La télémétrie est devenue un sujet plus sensible

La télémétrie est une technique qu’on retrouve chez de très nombreux éditeurs pour leurs produits, que ce soit des systèmes d’exploitation, de simples applications, ou même du matériel. Le principe est simple : envoyer régulièrement des lots de données statistiques et anonymes sur la manière dont le produit est utilisé.

Elle joue un très grand rôle dans l’amélioration continue de ces produits. Windows en fait usage depuis des années, la version 10 ayant encore renforcé ce trait. Microsoft récupère ainsi des informations sur les configurations matérielles, la durée de certaines actions, les rapports de plantages, les listes d’applications installées et ainsi de suite. L’ensemble permet d’identifier certains problèmes et de créer des relations entre des éléments.

Normalement, la télémétrie est parfaitement anonyme. Il existe cependant une exception sous Windows 10 : les rapports de plantages. Quand ils sont réglés sur « Complets », ils agrègent des données résidant en mémoire vive, avec le risque de capter certaines informations personnelles au passage.

Microsoft nie le partage des données avec FireEye

Le fait que les rumeurs soient apparues et aient d’ailleurs été assez largement relayées montre bien que la télémétrie reste un sujet sensible, surtout à l’aune d’un Windows 10, accusé à plusieurs reprises de ne pas autant respecter la vie privée qu’il le devrait. Microsoft est d’ailleurs sorti de sa réserve pour répondre, notamment chez The Hackers News et Betanews.

« La nature de l’accord entre Microsoft et FireEye est d’obtenir une licence sur les renseignements de menace d’ISIGHT Intelligence. Cette couche additionnelle de renseignement inclut des indicateurs et des rapports sur les attaques passées, collectés et édités par FireEye, et améliore les capacités de détection de WDATP. L’accord n’inclut pas le partage de la télémétrie » a ainsi indiqué un porte-parole.

La télémétrie peut bien être partagée

Il faut rappeler cependant, même si aucune donnée n’est envoyée chez FireEye, que le partage reste possible. Dans un article Technet, Microsoft l’indique clairement : « Microsoft peut partager des rapports professionnels avec des fabricants d’ordinateurs OEM et des partenaires tiers, qui incluent des informations de télémétrie anonymes agrégées ». L’éditeur ajoute que ces décisions sont prises au cas par cas par une équipe dédiée.

Ces informations ne sont pas nouvelles, Microsoft l’ayant déjà expliqué par le passé. Les données sont censées être anonymisées, mais il peut y avoir des ratés. Un point souligné dans son contrat de licence. La solution la plus simple est alors de changer le réglage dans Paramètres, Confidentialité, puis Commentaires & diagnostics. Attention, si vous faites partie du programme Insider, ce réglage ne pourra pas être modifié (étant grisé).

Ceux qui souhaitent plus d’informations pourront lire sur cette page des explications sur les niveaux de télémétrie. Notez qu’il n’est pas possible de la supprimer complètement. Le niveau le plus bas est « Sécurité » et ne concerne donc que tout ce qui a trait à cette dernière.

télémétrie windows 10

Commentaires (21)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Ma confiance en MS s’approchant du zéro absolu, est-il facile de filtrer ce que Windows envoie sur Internet en mettant entre son PC et sa box une petite machine sous Linux (par exemple, un Raspberry Pi)?


votre avatar

Tu peux aussi faire directement ca sur ta machine Windows avec le parefeu.



Tu identifies les serveurs Windows et tu bloques les communications qui leurs sont destinées. 

Le seul problème, cest que MS peut changer les rôles  des adresses distantes (par exemple les adresses auparavant dédiées à la télémétrie sont désormais utilisées par Windows Update). 



https://forums.untangle.com/web-filter/35894-blocking-windows-10-spying-telemetry.html

 

votre avatar

Je suppose que cela revient à poser la question de l’intérêt de Microsoft dans cet accord au-delà d’une amélioration de son outil ? Vu que ce dernier est gratuit, il faut bien un intérêt financier à vouloir le rendre plus crédible non ? A moins que ce soit juste la peur de voir des hordes de machines zombies lancer des vagues de DDoS sauf à payer des rançons ?

votre avatar

à noter également que le réglage Security n’est disponible (à ma connaissance et sauf changement récent) que pour la version Enterprise de Windows (en Pro, on peut mettre le réglage sur Basic, au mieux)

votre avatar

Relisez bien avant bricoler vos Rasp ou bidouiller vos réglages : cet outil ne concerne que le marché PRO.



Après ça n’enlève rien avec vrais problèmes liés à la télémétrie de Windows, toutes versions.

votre avatar







ToMMyBoaY a écrit :



Je suppose que cela revient à poser la question de l’intérêt de Microsoft dans cet accord au-delà d’une amélioration de son outil ? Vu que ce dernier est gratuit, il faut bien un intérêt financier à vouloir le rendre plus crédible non ? A moins que ce soit juste la peur de voir des hordes de machines zombies lancer des vagues de DDoS sauf à payer des rançons ?





Ou plus simplement à optimiser les coûts de R&D en s’appuyant sur un outil déjà existant pour ne pas avoir à redévelopper la roue. (et l’outil n’est pas gratuit : son prix est inclus implicitement dans le prix de ta licence d’OS)


votre avatar

Bien sûr, mais peut-on faire confiance à Windows pour bloquer Windows? <img data-src=" />



J’en doute. MS semble se permettre parfois de modifier tes réglages lors de mises à jour… ai-je lu.

votre avatar

&nbsp;L’occasion rêvée d’être un lanceur d’alerte ^^&nbsp; “Microsoft nous ment ! ”



Un parefeu tiers fait très bien l’affaire (j’ai Kaspersky, relativement puissant)

&nbsp;

votre avatar

W10Privacy permet de désactiver la télémétrie.

votre avatar







WereWindle a écrit :



Ou plus simplement à optimiser les coûts de R&D en s’appuyant sur un outil déjà existant pour ne pas avoir à redévelopper la roue. (et l’outil n’est pas gratuit : son prix est inclus implicitement dans le prix de ta licence d’OS)





Windows Defender n’a jamais eu la prétention d’être un outil de protection efficace. C’est juste un outil pour l’utilisateur qui n’aurait rien mis sinon. En s’associant avec FireEye, on change carrément de calibre et ça a du coûter une belle fortune. Il y a clairement une annonce de Microsoft là-dessous, mais je ne sais laquelle entre rendre Defender crédible, sécuriser un peu plus Windows face aux malwares custom ou offrir une contrepartie comme suggérée par cet article.



Et puis rien n’oblige Microsoft à mettre un tel service dans son OS.


votre avatar

Microsoft lutte contre les botnets https://blogs.technet.microsoft.com/mmpc/2015/12/02/microsoft-assists-law-enforc…



Donc, plus leur OS est sécurisé de base, moins ils ont à investir pour lutter contre les effets.

Sur le court terme, ça peut coûter, sur le long terme, c’est plus intelligent.

votre avatar

Merci !

votre avatar

Pour couper la télémétrie sans se faire chier, il y a Spybot Anti-beacon. simple et efficace.

votre avatar







A33 a écrit :



Bien sûr, mais peut-on faire confiance à Windows pour bloquer Windows? <img data-src=" />



J’en doute. MS semble se permettre parfois de modifier tes réglages lors de mises à jour… ai-je lu.





Il faut noter que s’il y a un programme caché dans Windows qui joue les espions, MS ne va bien entendu pas te laisser l’occasion de le voir et de le désactiver. Les paramètres du pare-feu et du fichier hosts et du reste… sont géré par Windows donc si Windows souhaite dire merde… ben merde.


votre avatar







Liara T’soni a écrit :



Il faut noter que s’il y a un programme caché dans Windows qui joue les espions, MS ne va bien entendu pas te laisser l’occasion de le voir et de le désactiver. Les paramètres du pare-feu et du fichier hosts et du reste… sont géré par Windows donc si Windows souhaite dire merde… ben merde.





Exactement. C’est bien ce qui me dérange.









spamator a écrit :



L’occasion rêvée d’être un lanceur d’alerte ^^ “Microsoft nous ment ! ”



Un parefeu tiers fait très bien l’affaire (j’ai Kaspersky, relativement puissant)





J’utilise aussi un parefeu tiers: Comodo Internet Security.

Mais Windows peut certainement le contourner.



C’est pour ça que je commence à songer à utiliser Linux comme filtre…


votre avatar







spamator a écrit :



L’occasion rêvée d’être un lanceur d’alerte ^^  “Microsoft nous ment ! ”



Un parefeu tiers fait très bien l’affaire (j’ai Kaspersky, relativement puissant)







Oui, mais actuellement MS désactive Kaspersky et autres logiciels tiers, MBAM aussi est désactivé, et pendant ce temps, tu es obligé de passer par Windows Defender. Ce n’est pas forcement le meilleur pare-feu. Avec la rapidité et la fréquence des build: <img data-src=" /> <img data-src=" />


votre avatar

si l’utilisateur se fait entuber quand la télémétrie lui pique ses données perso, lorsque plusieurs entreprises s’associent pour exploiter ces données, peut-on alors parler de gang bang ? <img data-src=" />

votre avatar

Oui

votre avatar

Sinon tentes disable Windows 10 tracking&nbsp;qui blackliste des domaines et IP de Windows telemetry et vire les applications inutiles et bavardes. Ce n’est pas infaillible mais déjà ça soulage, après il est possible de virer les updates (ou au moins demander avant des les installer) via GPO si tu as une version professionnelle de Windaube.

Pour le raspberry en pare-feu c’est “possible” mais niveau performances cela risque d’être juste, voire catastrophique, car le rpi devra analyser tout ton trafic pour le “trier” et vu la puissance de calcul et le fait qu’il n’y a qu’une carte réseau (donc obligé de passer par wifi ou USB) tu devrais avoir un connexion plutôt lente. &nbsp;PFSense ou OPNsense marcheraient mais sur un “vrai” PC servant de pare-feu.&nbsp;Bref c’est possible, mais de plus en plus galère (merci MS !!)

J’espère t’avoir aidé et pas avoir dit de conneries ! (n’hésitez pas à me reprendre)

votre avatar

Merci. <img data-src=" />

votre avatar

Comme Janiko l’a mentionne et comme indique dans l’article, ceci ne concerne que les versions entreprises.



Il faudra d’ailleurs payer pour pouvoir l’utiliser, donc MS ne l’offre pas :

microsoft.com Microsoft&nbsp;

Un accord entre Microsoft et FireEye crée des remous sur le partage de la télémétrie

  • Microsoft complète les capacités de son service WDATP

  • La télémétrie est devenue un sujet plus sensible

  • Microsoft nie le partage des données avec FireEye

  • La télémétrie peut bien être partagée

Fermer