Microsoft s’est associé à la société de sécurité FireEye pour utiliser l’une de ses technologies dans le service Windows Defender ATP, disponible pour les entreprises. Au-delà des avantages, l’annonce a fait naitre une puissante rumeur de partage des données télémétriques, que Microsoft a nié.
Initialement, l’annonce du partenariat date du début du mois. Le fond de ce rapprochement est parfaitement limpide : l’intégration de la technologie iSIGHT Threat Intelligence de FireEye dans Windows Defender Advanced Threat Protection (WDATP).
Ceux qui suivent l’actualité sur la sécurité informatique connaissent sans doute déjà la société FireEye. Elle est spécialisée dans le suivi des menaces et propose plusieurs produits dans ce domaine. Celui dont il est question est un service de veille qui permet aux entreprises de suivre l’évolution des menaces et d’analyser le comportement du réseau pour y détecter d’éventuelles menaces, et des outils pour y répondre le cas échéant.
Microsoft complète les capacités de son service WDATP
C’est précisément l’orientation prise petit à petit chez Microsoft ces dernières années. Windows Defender ATP est un service équivalent à ce que propose FireEye, mais sans aller aussi loin que ce dernier. L’intégration d’iSIGHT semble donc naturelle puisque les propres capacités de Microsoft s’en trouvent renforcées.
Les clients de Windows Defender ATP héritent d’une partie des capacités d’ISIGHT, notamment tout un ensemble d’indicateurs de compromission (IoC). WDATP fournira donc des alertes basées sur ce derniers, en donnant souvent un profil général de l’attaquant, avec ce qui semble être sa motivation (ce qu’il cherche à obtenir), les outils utilisés, les zones géographiques visées, ainsi qu’un descriptif général du pirate (ou du groupe) et son modus operandi.
Il n’est nulle part fait mention des termes financiers de cet accord, et on ne sait donc pas combien Microsoft monnaye ces services auprès de FireEye. Le père de Windows devrait cependant faire rapidement valoir cet ajout auprès des entreprises, le service WDATP étant encore très récent (il est arrivé avec l’Anniversary Update début août).
Pour autant, et sans que l’on sache exactement pourquoi, des rumeurs sont apparues il y a quelques jours sur un partage des données télémétriques avec FireEye, alors même que ce point n’était pas abordé.
La télémétrie est devenue un sujet plus sensible
La télémétrie est une technique qu’on retrouve chez de très nombreux éditeurs pour leurs produits, que ce soit des systèmes d’exploitation, de simples applications, ou même du matériel. Le principe est simple : envoyer régulièrement des lots de données statistiques et anonymes sur la manière dont le produit est utilisé.
Elle joue un très grand rôle dans l’amélioration continue de ces produits. Windows en fait usage depuis des années, la version 10 ayant encore renforcé ce trait. Microsoft récupère ainsi des informations sur les configurations matérielles, la durée de certaines actions, les rapports de plantages, les listes d’applications installées et ainsi de suite. L’ensemble permet d’identifier certains problèmes et de créer des relations entre des éléments.
Normalement, la télémétrie est parfaitement anonyme. Il existe cependant une exception sous Windows 10 : les rapports de plantages. Quand ils sont réglés sur « Complets », ils agrègent des données résidant en mémoire vive, avec le risque de capter certaines informations personnelles au passage.
Microsoft nie le partage des données avec FireEye
Le fait que les rumeurs soient apparues et aient d’ailleurs été assez largement relayées montre bien que la télémétrie reste un sujet sensible, surtout à l’aune d’un Windows 10, accusé à plusieurs reprises de ne pas autant respecter la vie privée qu’il le devrait. Microsoft est d’ailleurs sorti de sa réserve pour répondre, notamment chez The Hackers News et Betanews.
« La nature de l’accord entre Microsoft et FireEye est d’obtenir une licence sur les renseignements de menace d’ISIGHT Intelligence. Cette couche additionnelle de renseignement inclut des indicateurs et des rapports sur les attaques passées, collectés et édités par FireEye, et améliore les capacités de détection de WDATP. L’accord n’inclut pas le partage de la télémétrie » a ainsi indiqué un porte-parole.
La télémétrie peut bien être partagée
Il faut rappeler cependant, même si aucune donnée n’est envoyée chez FireEye, que le partage reste possible. Dans un article Technet, Microsoft l’indique clairement : « Microsoft peut partager des rapports professionnels avec des fabricants d’ordinateurs OEM et des partenaires tiers, qui incluent des informations de télémétrie anonymes agrégées ». L’éditeur ajoute que ces décisions sont prises au cas par cas par une équipe dédiée.
Ces informations ne sont pas nouvelles, Microsoft l’ayant déjà expliqué par le passé. Les données sont censées être anonymisées, mais il peut y avoir des ratés. Un point souligné dans son contrat de licence. La solution la plus simple est alors de changer le réglage dans Paramètres, Confidentialité, puis Commentaires & diagnostics. Attention, si vous faites partie du programme Insider, ce réglage ne pourra pas être modifié (étant grisé).
Ceux qui souhaitent plus d’informations pourront lire sur cette page des explications sur les niveaux de télémétrie. Notez qu’il n’est pas possible de la supprimer complètement. Le niveau le plus bas est « Sécurité » et ne concerne donc que tout ce qui a trait à cette dernière.
Commentaires (21)
#1
Ma confiance en MS s’approchant du zéro absolu, est-il facile de filtrer ce que Windows envoie sur Internet en mettant entre son PC et sa box une petite machine sous Linux (par exemple, un Raspberry Pi)?
#2
Tu peux aussi faire directement ca sur ta machine Windows avec le parefeu.
Tu identifies les serveurs Windows et tu bloques les communications qui leurs sont destinées.
Le seul problème, cest que MS peut changer les rôles des adresses distantes (par exemple les adresses auparavant dédiées à la télémétrie sont désormais utilisées par Windows Update).
https://forums.untangle.com/web-filter/35894-blocking-windows-10-spying-telemetry.html
#3
Je suppose que cela revient à poser la question de l’intérêt de Microsoft dans cet accord au-delà d’une amélioration de son outil ? Vu que ce dernier est gratuit, il faut bien un intérêt financier à vouloir le rendre plus crédible non ? A moins que ce soit juste la peur de voir des hordes de machines zombies lancer des vagues de DDoS sauf à payer des rançons ?
#4
à noter également que le réglage Security n’est disponible (à ma connaissance et sauf changement récent) que pour la version Enterprise de Windows (en Pro, on peut mettre le réglage sur Basic, au mieux)
#5
Relisez bien avant bricoler vos Rasp ou bidouiller vos réglages : cet outil ne concerne que le marché PRO.
Après ça n’enlève rien avec vrais problèmes liés à la télémétrie de Windows, toutes versions.
#6
#7
Bien sûr, mais peut-on faire confiance à Windows pour bloquer Windows?
" />
J’en doute. MS semble se permettre parfois de modifier tes réglages lors de mises à jour… ai-je lu.
#8
L’occasion rêvée d’être un lanceur d’alerte ^^ “Microsoft nous ment ! ”
Un parefeu tiers fait très bien l’affaire (j’ai Kaspersky, relativement puissant)
#9
W10Privacy permet de désactiver la télémétrie.
#10
#11
Microsoft lutte contre les botnets https://blogs.technet.microsoft.com/mmpc/2015/12/02/microsoft-assists-law-enforc…
Donc, plus leur OS est sécurisé de base, moins ils ont à investir pour lutter contre les effets.
Sur le court terme, ça peut coûter, sur le long terme, c’est plus intelligent.
#12
Merci !
#13
Pour couper la télémétrie sans se faire chier, il y a Spybot Anti-beacon. simple et efficace.
#14
#15
#16
#17
si l’utilisateur se fait entuber quand la télémétrie lui pique ses données perso, lorsque plusieurs entreprises s’associent pour exploiter ces données, peut-on alors parler de gang bang ?
" />
#18
Oui
#19
Sinon tentes disable Windows 10 tracking qui blackliste des domaines et IP de Windows telemetry et vire les applications inutiles et bavardes. Ce n’est pas infaillible mais déjà ça soulage, après il est possible de virer les updates (ou au moins demander avant des les installer) via GPO si tu as une version professionnelle de Windaube.
Pour le raspberry en pare-feu c’est “possible” mais niveau performances cela risque d’être juste, voire catastrophique, car le rpi devra analyser tout ton trafic pour le “trier” et vu la puissance de calcul et le fait qu’il n’y a qu’une carte réseau (donc obligé de passer par wifi ou USB) tu devrais avoir un connexion plutôt lente. PFSense ou OPNsense marcheraient mais sur un “vrai” PC servant de pare-feu. Bref c’est possible, mais de plus en plus galère (merci MS !!)
J’espère t’avoir aidé et pas avoir dit de conneries ! (n’hésitez pas à me reprendre)
#20
Merci.
" />
#21
Comme Janiko l’a mentionne et comme indique dans l’article, ceci ne concerne que les versions entreprises.
Il faudra d’ailleurs payer pour pouvoir l’utiliser, donc MS ne l’offre pas :
https://www.microsoft.com/en-gb/WindowsForBusiness/buy