Windows 10 n’espionne pas autant qu’on voudrait le faire croire

1/52/53/54/55/5 (10 votes, moyenne: 4,60 sur 5)
Loading...
W

Attention, cet article a plus d'une année d'ancienneté. Il est possible que les informations présentées ne soient plus à jour, spécialement dans le cadre d'un article technique.


Bonjour à tous,

Suite à un article tchèque paru sur la toile, plusieurs sites journalistiques se sont enflammés en évoquant que Windows 10 capturait vos moindres faits et gestes même avec les paramètres de confidentialité au maximum.

Par « vos moindres faits et gestes » j’entends :

  • Tout ce que vous tapez sur votre clavier
  • Tout ce que vous dites dans votre micro
  • Le flux live de votre webcam
  • D’autres informations plus ou moins précises.

Les « sources » en question :

Globalement, tout ces articles reprochent à Microsoft d’envoyer des informations sur leurs serveurs, même avec les paramètres de confidentialités au maximum.

C’est un comportement « normal » pour moi, car Windows devra toujours contacter les serveurs Microsoft pour la synchronisation de l’heure, Windows Update, Windows Defender et vos périphériques systèmes.

Un trafic léger vers les serveurs de Microsoft n’est donc pas dérangeant pour moi, car cela reste un système propriétaire.

J’ai décidé d’analyser moi-même le trafic réseau sur une machine virtuelle fraichement installée pour savoir ce qu’il en était.

Les conditions de test :

Matériel :

  • Windows Serveur 2012 R2 avec Hyper-V
  • Windows 10 Pro Français 64 bits (créer par moi-même à partir du créateur d’iso de Microsoft).
  • Windows non activé
  • Windows Defender activé
  • Age de la machine : 1 semaine

Voici un export complet des informations systèmes : info-sys-vm-win10

Confidentialité :

La capture WireShark :

J’ai utilisé WireShark 1.12.7.0 Portable pour faire la capture (+ WinPcap 1.4.3).

Évidemment, il est possible que j’ai loupé un truc dans la capture, je suis un humain et j’avais fini le 2ème apéro de la journée quand j’ai trié le boxon.

J’ai lancé WireShark en lui indiquant de couper la capture au bout d’une heure.

En tout, 7971 packets ont été capturés, dont une grande partie est issue du trafic général sur mon réseau.

En tout, moins de 10% des flux vont vers les serveurs Microsoft. Une partie de ces flux est l’œuvre de Microsoft Update.

Voici le fichier de capture (le fichier est dans l’archive .zip) : test-win10

Voici le filtre que j’ai utilisé pour isoler les serveurs de Microsoft :

dns contains microsoft or dns contains footprintpredict or dns contains v0cdn or dns contains bing

Et voici tous les filtres que j’ai utilisé pour isoler les échanges avec ces serveurs :

ip.addr == 104.86.193.247
ip.addr == 157.56.96.58
ip.addr == 191.232.139.254
ip.addr == 65.55.163.221
ip.addr == 134.170.115.62
ip.addr == 157.56.96.123
ip.addr == 191.234.72.190
ip.addr == 66.119.144.158
ip.addr == 134.170.58.190
ip.addr == 191.234.72.183
ip.addr == 66.119.144.157
ip.addr == 65.52.108.135
ip.addr == 104.86.192.46
ip.addr == 191.232.139.253
ip.addr == 23.101.187.68
ip.addr == 23.74.198.135

Si j’ai loupé un truc, merci d’apporter votre participation en commentaire pour faire avancer l’affaire.

Voici les différents résultats obtenus :

— Gestion du matos (périphériques) —
ip.addr == 104.86.193.247 -> Device Metadata Retrieval Client -> En clair (HTTP) -> 0,9% des packets
— Gestion du matos (périphériques) —

— Updates —
ip.addr == 157.56.96.58 -> sls.update.microsoft.com -> Chiffré (HTTPS) ->  0,6% des packets
— Updates —

!!! ??? !!!
ip.addr == 191.232.139.254 -> v10.vortex-win.data.microsoft.com -> Chiffré (HTTPS) -> 1,5% des packets
!!! ??? !!!

— Updates —
ip.addr == 65.55.163.221 -> fe2.update.microsoft.com -> Aucun trafic, requête dns seule
ip.addr == 134.170.115.62 -> fe2.update.microsoft.com -> Aucun trafic, requête dns seule
ip.addr == 157.56.96.123 -> fe2.update.microsoft.com -> Chiffré (HTTPS) ->  2,7% des packets
ip.addr == 191.234.72.190 -> fe2.update.microsoft.com -> Aucun trafic, requête dns seule
ip.addr == 66.119.144.158 -> fe2.update.microsoft.com -> Aucun trafic, requête dns seule
ip.addr == 134.170.58.190 -> fe2.update.microsoft.com -> Aucun trafic, requête dns seule
ip.addr == 191.234.72.183 -> fe2.update.microsoft.com -> Aucun trafic, requête dns seule
ip.addr == 66.119.144.157 -> fe2.update.microsoft.com -> Aucun trafic, requête dns seule
ip.addr == 65.52.108.135 -> geo-prod.dsp.mp.microsoft.com -> Chiffré (HTTPS) ->  0,4% des packets
— Updates —

!!! ??? !!!
ip.addr == 104.86.192.46 -> kv101-prod.dp.dsp.microsoft.com -> Chiffré (HTTPS) ->  0,2% des packets -> TCP Failure
ip.addr == 191.232.139.253 -> settings-win.data.microsoft.com -> Chiffré (HTTPS) ->  1,8% des packets -> customer experience and diagnostic telemetry
!!! ??? !!!

— NTP —
ip.addr == 23.101.187.68 -> time.microsoft.com -> NTP Version 3 Client -> 0,1% des packets
— NTP —

— Météo Paris —
ip.addr == 23.74.198.135 -> tile-service.weather.microsoft.com -> En clair (HTTP) -> Météo de Paris -> 0,4% des packets
— Météo Paris —

Les trucs qui me chiffonnent sont entourés en rouge pétant.

Je n’arrive pas à savoir ce que cela fait exactement mais, vu la portion infime du trafic réseau que cela représente (3,5% du trafic total) je doute que ça soit vraiment « nocif ».

Je doute vraiment que Microsoft envoie énormément d’informations sur ses serveurs.

De plus, voici ma (formidable) connexion internet.

3,7km de ligne, raccordement neuf, adsl pré-21ème siècle -> Montagne-style :

Si Microsoft envoyait vraiment en live le flux des webcams de mes 3 pc portables sous Windows 10 + le flux audio de 4 pc au total je l’aurais instantanément remarqué.

Ça m’atomiserait purement et simplement ma connexion internet qui est stable et marche aussi bien qu’avant la période Windows 10.

Conclusion :

Au final, je ne pense pas que Windows récupère plus d’informations qu’auparavant si il est correctement paramétré.

Toutefois, il est possible que j’ai omis quelque chose dans ma capture réseau, je vous invite donc à l’analyser par vous même et si possible, recréez un environnement de test chez vous.

A propos de l'auteur

Nicolas Simond

Ingénieur Systèmes et Réseaux et guitariste hard rock et metal à mes heures perdues.
Je suis le créateur et l'unique rédacteur d'Abyss Project, c'est ici que je note la plupart de mes procédures et quelques divagations.

Si vous l'article vous a aidé, pensez à me payer un café :)

Subscribe
Notify of
guest

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

15 Commentaires
Plus récents
Plus anciens Populaires
Inline Feedbacks
View all comments
ITPPA
ITPPA
9 années plus tôt

« Je suis en train d’installer Zentyal sur ma nouvelle infra de test mais, il ne fait pas proxy il me semble. Je trouverais bien autre chose si je trouve le temps de faire ça, je ne promets rien » Zentyal est une distrib pour faire un contrôleur de Domaine (avec samba 4). Pour un proxy, je te conseille de t’orienter vers squid, qui est le plus connus des proxy sous linux sinon, pfsense avec 2 carte réseau, ca fait firewall, IDS, et proxy si tu le souhaite (plugin squid), tu pourra contrôler et sniffer l’ensemble des trames réseaux. Mais bon, un… Voir plus »

Ludov
Ludov
9 années plus tôt

Bonjour, Tout ceci est très intéressant et je me permets quelques petites remarques: – faible quantité ne veut pas dire absence de danger: un traffic crypté dont on ne peut connaitre le contenu alors qu’on ne l’a pas sollicité, cela me parait déjà louche. Par exemple: tout ce qui est traffic vers ou depuis Akamaïchin… – Pour la webcam: 35 mo, ce n’est rien, même rapporté à la population de la terre, car on doit partir du principe que ces contenus ne sont pas forcément envoyés systématiquement et qu’ils sont par contre aléatoire (tout le monde n’envoie évidemment pas au… Voir plus »

trude
trude
9 années plus tôt

« En tout, 7971 packets ont été capturés, dont une grande partie est issue du trafic général sur mon réseau. »

C’est à dire ? le sniff n’était pas fait entre la machine hote et la machine virtuelle ?

Pourquoi n’avoir capturer que quelques domaines ? Pourquoi n’avoir pas déjà fait une capture de tous les flux dns en utilisation normale pendant quelques jours ?

Pourquoi ne pas avoir activé le windows ?

Tofe
Tofe
9 années plus tôt

Merci pour ces tests. Cependant, si ce n’est qu’une capture passive, elle ne correspond (apparemment) pas à ce qui est reproché: – lorsqu’on tape du texte, ce texte est-il envoyé à MS ? – lorsqu’on active caméra et/ou micro (pour un Skype ou je ne sais quoi), constate-t-on un envoi suspect de données ? – quelles données de télémétrie sont envoyées, exactement ? – est-ce que ce comportement change selon les options cochées à l’installation ? Alors certes, lorsqu’on a bien fait attention de tout désactiver, et qu’on ne fait rien pendant une heure, alors Win10 n’envoie rien de volumineux.… Voir plus »

bof
bof
Reply to  Tofe
9 années plus tôt

Il ne fait que bloquer les domaines dans le host sans savoir ce que ça fait ni combien ça utilise…
Cet article est bien plus intéressant… et objectif.

pierrep
pierrep
Reply to  Tofe
9 années plus tôt

Je suis plutôt d’accord avec les propos de Tofe.
Il y’a certainement beaucoup plus de paramètres à prendre en compte sur l’analyse que tu as faite afin d’avoir la réalité/vérité.
Mais il ne faut pas nier que ce que tu as fait est un bon « début » d’analyse un peu plus poussé que ce que l’on trouve sur 90% des sites soit disant technique.

Peut être que Fiddler permetrait d’avoir de plus amples informations que wireshark ?
http://arstechnica.com/information-technology/2015/08/even-when-told-not-to-windows-10-just-cant-stop-talking-to-microsoft/

Peapol
Peapol
9 années plus tôt

40minutes que je cherche si des tests sont fait par des gens suite à la « révélation » de ces tchèques. Le truc qui m’inquiète le plus c’est le keylogger, si t’as laissé ton PC sans rien taper c’est normal qu’il n’es rien envoyé. Puis du texte ça prends que quelques octets ! Rien de bien lourd.

xhark
9 années plus tôt

Merci pour ton investigation. Reste à voir le contenu des trames avec un proxy des familles + installation d’un certificat SSL pour intercepter le tout, mais cela me semblait un peu gros moi aussi. Cela n’enlève pas les doutes que nous avons vis à vis de ce qui est collecté, la présence des options te fait déjà bien flipper ^^

Ce serait marrant que tu compares en activant toutes les options de confidentialités, histoire de voir si ça représente beaucoup de trafic ?

iooner
9 années plus tôt

2/3 des sources que tu démontes allégements sont des torchons. C’est un peu de « l’enfoncage » de portes ouvertes mais c’était largement nécessaire !

Nicolas
Nicolas
9 années plus tôt

Encore un article de grande qualité, merci Nico !

nino
nino
9 années plus tôt

slt, que dire d’autre a ce billet que waouh ,ça dépasse largement mes compétences mais d’après ce que j’en comprends c’est très intéressant merci encore.