Bonjour à tous,

Suite à un article tchèque paru sur la toile, plusieurs sites journalistiques se sont enflammés en évoquant que Windows 10 capturait vos moindres faits et gestes même avec les paramètres de confidentialité au maximum.

Par « vos moindres faits et gestes » j’entends :

  • Tout ce que vous tapez sur votre clavier
  • Tout ce que vous dites dans votre micro
  • Le flux live de votre webcam
  • D’autres informations plus ou moins précises.

Les « sources » en question :

Globalement, tout ces articles reprochent à Microsoft d’envoyer des informations sur leurs serveurs, même avec les paramètres de confidentialités au maximum.

C’est un comportement « normal » pour moi, car Windows devra toujours contacter les serveurs Microsoft pour la synchronisation de l’heure, Windows Update, Windows Defender et vos périphériques systèmes.

Un trafic léger vers les serveurs de Microsoft n’est donc pas dérangeant pour moi, car cela reste un système propriétaire.

J’ai décidé d’analyser moi-même le trafic réseau sur une machine virtuelle fraichement installée pour savoir ce qu’il en était.

Les conditions de test :

Matériel :

  • Windows Serveur 2012 R2 avec Hyper-V
  • Windows 10 Pro Français 64 bits (créer par moi-même à partir du créateur d’iso de Microsoft).
  • Windows non activé
  • Windows Defender activé
  • Age de la machine : 1 semaine

Voici un export complet des informations systèmes : info-sys-vm-win10

Confidentialité :

La capture WireShark :

J’ai utilisé WireShark 1.12.7.0 Portable pour faire la capture (+ WinPcap 1.4.3).

Évidemment, il est possible que j’ai loupé un truc dans la capture, je suis un humain et j’avais fini le 2ème apéro de la journée quand j’ai trié le boxon.

J’ai lancé WireShark en lui indiquant de couper la capture au bout d’une heure.

En tout, 7971 packets ont été capturés, dont une grande partie est issue du trafic général sur mon réseau.

En tout, moins de 10% des flux vont vers les serveurs Microsoft. Une partie de ces flux est l’œuvre de Microsoft Update.

Voici le fichier de capture (le fichier est dans l’archive .zip) : test-win10

Voici le filtre que j’ai utilisé pour isoler les serveurs de Microsoft :

dns contains microsoft or dns contains footprintpredict or dns contains v0cdn or dns contains bing

Et voici tous les filtres que j’ai utilisé pour isoler les échanges avec ces serveurs :

ip.addr == 104.86.193.247
ip.addr == 157.56.96.58
ip.addr == 191.232.139.254
ip.addr == 65.55.163.221
ip.addr == 134.170.115.62
ip.addr == 157.56.96.123
ip.addr == 191.234.72.190
ip.addr == 66.119.144.158
ip.addr == 134.170.58.190
ip.addr == 191.234.72.183
ip.addr == 66.119.144.157
ip.addr == 65.52.108.135
ip.addr == 104.86.192.46
ip.addr == 191.232.139.253
ip.addr == 23.101.187.68
ip.addr == 23.74.198.135

Si j’ai loupé un truc, merci d’apporter votre participation en commentaire pour faire avancer l’affaire.

Voici les différents résultats obtenus :

— Gestion du matos (périphériques) —
ip.addr == 104.86.193.247 -> Device Metadata Retrieval Client -> En clair (HTTP) -> 0,9% des packets
— Gestion du matos (périphériques) —

— Updates —
ip.addr == 157.56.96.58 -> sls.update.microsoft.com -> Chiffré (HTTPS) ->  0,6% des packets
— Updates —

!!! ??? !!!
ip.addr == 191.232.139.254 -> v10.vortex-win.data.microsoft.com -> Chiffré (HTTPS) -> 1,5% des packets
!!! ??? !!!

— Updates —
ip.addr == 65.55.163.221 -> fe2.update.microsoft.com -> Aucun trafic, requête dns seule
ip.addr == 134.170.115.62 -> fe2.update.microsoft.com -> Aucun trafic, requête dns seule
ip.addr == 157.56.96.123 -> fe2.update.microsoft.com -> Chiffré (HTTPS) ->  2,7% des packets
ip.addr == 191.234.72.190 -> fe2.update.microsoft.com -> Aucun trafic, requête dns seule
ip.addr == 66.119.144.158 -> fe2.update.microsoft.com -> Aucun trafic, requête dns seule
ip.addr == 134.170.58.190 -> fe2.update.microsoft.com -> Aucun trafic, requête dns seule
ip.addr == 191.234.72.183 -> fe2.update.microsoft.com -> Aucun trafic, requête dns seule
ip.addr == 66.119.144.157 -> fe2.update.microsoft.com -> Aucun trafic, requête dns seule
ip.addr == 65.52.108.135 -> geo-prod.dsp.mp.microsoft.com -> Chiffré (HTTPS) ->  0,4% des packets
— Updates —

!!! ??? !!!
ip.addr == 104.86.192.46 -> kv101-prod.dp.dsp.microsoft.com -> Chiffré (HTTPS) ->  0,2% des packets -> TCP Failure
ip.addr == 191.232.139.253 -> settings-win.data.microsoft.com -> Chiffré (HTTPS) ->  1,8% des packets -> customer experience and diagnostic telemetry
!!! ??? !!!

— NTP —
ip.addr == 23.101.187.68 -> time.microsoft.com -> NTP Version 3 Client -> 0,1% des packets
— NTP —

— Météo Paris —
ip.addr == 23.74.198.135 -> tile-service.weather.microsoft.com -> En clair (HTTP) -> Météo de Paris -> 0,4% des packets
— Météo Paris —

Les trucs qui me chiffonnent sont entourés en rouge pétant.

Je n’arrive pas à savoir ce que cela fait exactement mais, vu la portion infime du trafic réseau que cela représente (3,5% du trafic total) je doute que ça soit vraiment « nocif ».

Je doute vraiment que Microsoft envoie énormément d’informations sur ses serveurs.

De plus, voici ma (formidable) connexion internet.

3,7km de ligne, raccordement neuf, adsl pré-21ème siècle -> Montagne-style :

Si Microsoft envoyait vraiment en live le flux des webcams de mes 3 pc portables sous Windows 10 + le flux audio de 4 pc au total je l’aurais instantanément remarqué.

Ça m’atomiserait purement et simplement ma connexion internet qui est stable et marche aussi bien qu’avant la période Windows 10.

Conclusion :

Au final, je ne pense pas que Windows récupère plus d’informations qu’auparavant si il est correctement paramétré.

Toutefois, il est possible que j’ai omis quelque chose dans ma capture réseau, je vous invite donc à l’analyser par vous même et si possible, recréez un environnement de test chez vous.