Windows 10, télémétrie, et confidentialité des données

Avec Windows 10, Microsoft a multiplié les outils de télémétrie. Il s’agit de transmettre à la firme de Redmond des données censées « améliorer les produits Microsoft », ce dernier affirmant également que « l’utilisateur peut contrôler les informations qui sont prélevées ». Ce sont les propos de Terry Myerson, vice-président exécutif de la division Windows (1). La réalité est bien moins rassurante.

Quand Microsoft parle du contrôle de l’utilisateur sur les données transmises, le propos frise la farce, car il n’est quasiment impossible, même en désactivant le maximum d’options, de stopper la transmission d’une foule de données vers Microsoft. Aujourd’hui, il n’y a pas un utilisateur sur un million qui sait exactement ce que sa machine transmet à Microsoft. D’autre part, si l’intention réelle de l’éditeur était de donner le contrôle de la télémétrie à l’utilisateur, il aurait conçu un tableau de bord clair, comme il sait si bien le faire, pour permettre à l’utilisateur de choisir quelles sont les données qu’il transmet, avec la possibilité de n’en transmettre aucune, en activant un seul contrôle. C’est très loin d’être le cas. Et rien ne garantis que les données non transmises dans la version N de Windows ne seront pas transmises dans la version N+1, sans avertissement.

Mais les incursions de Microsoft dans votre vie privée ne se limitent pas au fait de savoir combien de fois par jour vous ouvrez votre messagerie.

Sous Windows 10, les données sont cryptées par défaut, ce qui peut les protéger en cas de perte ou de vol de la machine concernée. Et ce cryptage est effectué, classiquement, à l’aide d’une clé de cryptage qui vous est personnelle.

Or il a été établi que cette clé de chiffrement est également transmise à Microsoft dans les données de télémétrie, et fait partie des données associées au compte de l’utilisateur (ce qui vient d’ailleurs confirmer que les données transmises ne sont absolument pas anonymes). Exactement comme si le double de la clé de votre maison était automatiquement transmise à la firme chinoise qui avait fabriqué la serrure. Difficile de voir en quoi cette transmission, effectuée à l’insu de l’utilisateur, pourrait bien améliorer les produits de Microsoft.

Pour pallier le problème de sécurité que pose la divulgation de cette clé de chiffrement, une procédure d’effacement procédure existe, mais elle est longue, compliquée, et incertaine. Et en tout état de cause, elle n’est possible qu’avec les versions professionnelles de Windows 10, pas avec les versions standard.

Micah Lee explique cette procédure sur dans un article récent de The Intercept. Il y rappelle opportunément que la NSA, avec l’approbation du gouvernement Clinton, avait développé dans les années 90 une technologie permettant de disposer d’une backdoor sur les téléphones vendus comme étant cryptés. Ce qui n’est pas la seule activité d’espionnage de la NSA, qui a accès à toutes les communications des américains, et à beaucoup d’autre dans le monde (En France, nous avons « Frenchlon »). Cela laisse très bien imaginer que la télémétrie de Windows 10 permette également à la NSA ou à quelque autre agence américaine d’effectuer discrètement des opérations illicites sur votre machine, à commencer par de la veille technologique ou industrielle, voire de l’espionnage pur et simple, sous couvert, sans doute, de la « protection des libertés ».

En conclusion, il s’avère que les machines sous Windows peuvent de moins en moins être considérées comme des machines sûres, du point de vue de la sécurité et de la confidentialité des données. Dans la mesure du possible, les données sensibles des entreprises devraient être stockées via des machines sous Linux, ou tout autre système open-source.

____________

(1) From the very beginning, we designed Windows 10 with two straightforward privacy principles in mind:

1. Windows 10 collects information so the product will work better for you.
2. You are in control with the ability to determine what information is collected.