août 13th, 2015

Il signe « Administrator » et révèle au monde entier (via Aeronet, un portail Tchèque spécialisé dans l’agrégation d’informations tapageuses) que la nouvelle version de Windows 10 fonctionne plus en mode Terminal que comme un ordinateur autonome. Une quantité impressionnante de données est expédiée sur les serveurs de Microsoft affirme l’article. A commencer par tout ce qui est frappé au clavier, bufferisé puis envoyé toutes les 30 minutes sur les hosts oca.telemetry.microsoft.com.nsatc.net, pre.footprintpredict.com et reports.wes.df.telemetry.microsoft.com.

A ceci s’ajouterait une foultitude d’informations de profilage et de télémétrie, tels que numéros de téléphone faisant l’objet d’une requête dans Edge le nouveau navigateur, ou la mention (dixit l’auteur) d’un titre de film dactylographié dans un fichier enregistré localement. Et à chaque installation de caméra vidéo, les 35 premières minutes d’images prises par la caméra font partie du voyage, accompagnant la totalité de ce qui passe à portée du microphone, même lorsque l’assistant Cortana est désactivé.

Le reste de l’article est rédigé à l’identique. A côté, les fichiers Snowden font figure de conte pour enfant. Inutile de préciser que la blogosphère et les forums de discussions se sont littéralement enflammés à l’énoncé de cette nouvelle… on ne prête qu’aux riches. L’indiscrétion déjà dénoncée des mécanismes de télémétrie de Windows 10 n’ont fait qu’étayer la crédulité des lecteurs.

Une fois de plus, le langage technique de la sécurité et de l’analyse réseau est utilisé pour avancer des informations sans preuve, sans exemple, sans description de la moindre plateforme de test ni mention de l’édition considérée. Le tout publié par un « non-journal » qui certifie qu’aucune des informations contenues ne sont vérifiées et n’engagent la responsabilité du site. En d’autres termes, le National Lampoon ou la Bougie du Sapeur, l’humour en moins.

Que la moitié de ce qui est écrit dans cet article soit vrai, et l’on est certain que tous les experts en sécurité patentés auraient immédiatement relayé l’information ou auraient revendiqué la paternité de la découverte. Un scoop de cette taille, c’est toujours bon pour l’image de marque et ne souffre certainement pas l’anonymat.

Il reste que les noyaux NT ont toujours été très bavards. Contrôle de licence, échanges d’authentification avec le compte Microsoft de l’usager… même les services d’accès distants ont fait l’objet d’échanges avec des serveurs situés à « corp. ». Les choses ne se sont pas arrangées avec l’arrivée de Cortana, et même lorsque cet assistant est désactivé, le noyau expédie régulièrement un certain volume d’informations de télémétrie. Nos confrères de Ars Technica s’en émeuvent, sans toutefois jouer sur la corde du FUD comme le fait l’AAA (Administrateur Anonyme Antimicrosoftien) ni affirmer qu’il y a collecte manifeste de données sensibles. Plus qu’un éventuel vol d’informations, on pourrait craindre, avec la multiplication de ces échanges station/cloud, qu’un jour les mécanismes de sécurité desdits outils soient victimes d’un exploit. Le fantasme « push » de mises à jour de rutines ou de signatures d’antivirus transformé en un formidable botnet, ça aussi, ça mérite la première page d’un portail d’information Tchèque.

Rom, l’unique objet de mon ressentiment ! Rom, à qui vient ton bras d’immoler mon routeur… l’équipe sécurité de l’équipementier US prévient ses usagers d’un risque d’attaque pas banal : l’infection d’un routeur ou commutateur par mise à jour d’une amorce de firmware compromise. Le microcode des appareils Cisco (IOS) utilise un système de démarrage, l’IOS RomMon. Et dans « de rares cas », explique le bulletin d’alerte, une personne mal intentionnée et ayant obtenu à la fois l’accès à l’équipement et les droits d’administration pourrait télécharger un RomMon forgé. Agents de la NSA, admin délégué aigri, barbouze Chinoise ou Russe… il y a de quoi écrire tout un roman avec un tel scénario de départ.

Plutôt que de fantasmer sur un super-vilain possédant des droits extraordinaires dans l’administration de réseau d’une entreprise (Scada pour le moins) il serait même plus simple d’imaginer une compromission dudit fichier au stade de sa récupération. Par une attaque MIM lors d’une émission de mise à niveau, par exemple, ou en compromettant le serveur de stockage intermédiaire.