vendredi 3 août 2007

Windows Vista: 20 services espions et 47 cookies

Voici quelques semaines, alors que nous parlions des cookies de Google, nous relations à titre d'exemple le fait que Windows Vista de Microsoft contenait également des dizaines de cookies et fonctionnalités cachées qui furent dénoncées par le webzine Softpedia.
Nous devons revenir sur cet événement car certains auteurs jugent que cette pratique n'a "rien de déviant" puisque l'utilisateur est prévenu dans les conditions générales d'utilisation ainsi que dans la licence, et qu'il peut désactiver certains de ces services dans les paramètres touchant la privacité et l'expérience qu'il souhaite ou non partager avec Microsoft.
Or cette pratique commence à fleurter dangereusement avec le respect de la vie privée, ainsi que nous allons l'expliquer.
Rappelons que Windows Vista cache pas moins de 47 cookies et 20 autres services dont la fonction consiste à collecter et à transmettre à Microsoft des informations sur les habitudes des utilisateurs, la plupart du temps à leur insu.
Les 20 services espions de Vista
Les services concernés sont décrits dans la licence EULA. Ce sont Windows Update, Web Content, Digital Certificates, Auto Root Update, Windows Media Digital Rights Management, Windows Media Player, Malicious Software Removal/Clean On Upgrade, Network Connectivity Status Icon, Windows Time Service, et IPv6 Network Address Translation (NAT) Traversal service (Teredo).
Microsoft affirme que malgré la présence de ces services et des cookies qui leur sont attachés, ces données ne sont pas envoyées à leur QG de Redmond. Dans ce cas, on peut alors se demander quel est l'intérêt de les avoir installés ?
Tout bon programmeur sait que l'interception de ces données ne pose aucun problème technique, les PC étant ouverts au monde extérieur à travers leur connexion Internet.
Mais Microsoft se contredit. Dans ses conditions générales et la licence, Microsoft précise que l'emploi des cookies vise à améliorer Windows Vista. Les données recueillies informent le constructeur des lacunes du produit afin que les programmeurs puissent l'améliorer. Elles permettent également à Microsoft de savoir quelles sont les options qui ne sont jamais ou presque jamais utilisées afin de les supprimer dans une version ultérieure.
Microsoft ne cache donc pas le fait qu'il collecte ces informations. Mais le problème est que l'utilisateur a peu sinon rien à dire à ce sujet. La seule chose qu'il peut faire est d'identifier les services assurant ce trafic et soit de les désactiver soit de ne pas les utiliser.
Si cette pratique ne lui plait pas, il l'a acceptée implicitement, car la licence stipule noir sur blanc qu'en utilisant ces options, vous consentez à transmettre ces données, tout en précisant que Microsoft n'utilise pas ces informations pour vous identifier ou vous contacter.
Mais comme Google et de nombreux fabricants de logiciels, Microsoft ne dit pas clairement ce qu'il fait de ces données et durant combien de temps il les conserve.
Seule concession faite à l'utilisateur, selon le service considéré, vous pouvez ou pas recevoir un avis vous avertissant que ces données sont collectées et partagées avec d'autres sociétés, dont seul Microsoft détient la liste et connaît le secteur d'activité.
Les cookies de Windows sont transmises à travers des "services de base d'Internet", selon le terme de Microsoft, mais dans les faits, ils permettent au constructeur d'avoir un contrôle total de l'ordinateur, y compris sur l'activation ou la désactivation de ces services à n'importe quel moment.
Vista et les 47 cookies
Comme si cela ne suffisait pas, Vista contient une collection de 47 cookies destinés à collecter vos informations "personnelles", c'est-à-dire celles de votre ordinateur et de ces programmes mais heureusement, pas encore jusqu'à votre numéro de portable, mais ce serait possible s'il est relié à votre ordinateur et si le cookie était installé.
Cette méthode de collecte d'information est légale tant qu'il n'y a pas tromperie comme dans certains abus concernant l'IP tracking (sur base de l'adresse IP de votre ordinateur, le site consulté augmente ses prix à chacune de vos connexions ou vous envoie des publicités notamment)
Comment fonctionnent concrètement ces cookies ? Vous comprendrez mieux leur fonction et ce qu'ils contiennent en installant l'un des outils suivants qui permet d'examiner les cookies en détails : IECookiesView pour Internet Explorer, et MozillaCookiesView pour FireFox.
Concrètement, vous avez sans doute un jour reçu un message sur votre écran vous invitant à mettre à jour un logiciel ou un driver. Cela fut possible parce qu'il y avait un ou plusieurs cookies du fabricant de ce logiciel sur votre ordinateur ! Vous avez également besoins de cookies pour vous connecter sur certains forums.
Comme les environnements NT ou XP, Windows Vista est capable de se mettre à jour ou de vous identifier sur un serveur sans votre intervention grâce aux cookies.
Dans le cas des logiciels, cela signifie que Vista doit scanner votre ordinateur pour connaître toutes les versions existantes et les comparer avec sa base de données. C'est le rôle du programme "Malicious Software Removal" qui, comme un espion, s'empresse d'informer Microsoft de tout changement opéré sur votre ordinateur, et même des erreurs système potentielles (cookie Event Viewer).
C'est aussi grâce aux cookies que Microsoft est informé de la qualité de son produit (cookie CEIP) et notamment de la compatibilité des drivers avec les périphériques (cookies Device Manager et Dynamic Update). Il sait également si vous utilisez Word ou un autre traitement de texte (cookie IME Word registration), et même si votre imprimante est pilotée par Microsoft (cookie Internet Printing).
Quant aux sites Internet visités, c'est le cookie Parental Controls qui transmet à Microsoft toutes les URL que vous avez utilisées. Enfin, car il faut bien s'arrêter, chaque fois que vous utilisez Windows Live Mail, Hotmail ou MSN Mail, Microsoft en est informé grâce au cookie Windows Mail, et la liste est encore longue !
La voici justement cette liste de cookies indésirables. Elle est décrite dans les soi-disant conditions protégeant la vie privée "Windows Vista Privacy Statement". Toutefois, Microsoft précise bien que cette liste n'est ni exhaustive ni applicable à tous les sites webs, services ou produits de la société. C'est de bonne augure !
La liste des cookies personnelles
Les cookies collectant et transmettant vos données personnelles à Microsoft sont : Activation, Customer Experience Improvement Program (CEIP), Device Manager, Driver Protection, Dynamic Update, Event Viewer, File Association Web Service, Games Folder, Error Reporting for Handwriting Recognition, Input Method Editor (IME), Installation Improvement Program, Internet Printing, Internet Protocol version 6 Network Address Translation Traversal, Network Awareness, Parental Controls, Peer Name Resolution Service, Plug and Play, Plug and Play Extensions, Program Compatibility Assistant, Program Properties—Compatibility Tab, Program Compatibility Wizard, Properties, Registration, Rights Management Services (RMS) Client, Update Root Certificates, Windows Control Panel, Windows Help, Windows Mail (uniquement avec Windows Live Mail, Hotmail ou MSN Mail) et Windows Problem Reporting.
Si cette liste n'est même pas exhaustive, elle suffit à se poser bien des questions sur la signification du "respect de la vie privée" pour Microsoft.
Si ici également, Microsoft ne cache pas non plus ses intentions, on constate qu'il profite largement du flou juridique en matière de protection de la vie privée, que ce soit aux Etats-Unis ou en Europe, pour étendre son contrôle sur ses clients.
Les applications espionnes
Mais ne croyez pas que le contrôle s'arrête ici, et de loin ! Cinq autres cookies (Windows Genuine Advantage, Windows Defender, Support Services, Windows Media Center et Internet Explorer 7) collectent et transmettent également à Microsoft vos données personnelles.
Heureusement, vous pouvez les désactiver ou utiliser des programmes non Microsoft, ou ainsi que nous l'avons dit, arrêter certains services pour interrompre ce véritable réseau d'espionnage dont la finalité frise avec la légalité.
Parfois, heureusement, le logiciel vous demandera explicitement votre consentement pour transmettre l'information. Répondez "Non".
La lutte anti-terrorisme
Revers de la médaille, il faut enfin savoir que les données transmises à Microsoft peuvent être utilisées contre vous. C'est clairement indiqué dans un autre paragraphe du "Windows Vista Privacy Statement" qui précise que Microsoft peut divulguer les informations personnelles vous concernant si la justice l'exige ou si une telle action paraît justifiée pour protéger soit les intérêts de Microsoft soit la sécurité de l'un de ses salariés, d'un utilisateur de ses produits ou service ou encore un membre des services publics.
Derrière ces clauses, on comprend qu'il y a une décision de l'Administration Bush pour lutter contre le terrorisme.
Si l'internaute ne veut pas entendre parler de cookies, il n'a pas d'autre choix que de travailler hors réseau et ne jamais vouloir faire de mise à jour système ni de ses applications. Il n'y a pas d'alternative, si ce n'est de ne plus travailler sur ordinateur !
Si Microsoft prétend qu'il ne veut pas identifier ses clients ou leurs besoins, il faut savoir qu'à travers l'adresse IP et les cookies, Microsoft en sait suffisamment pour connaître votre pays, votre ville, jusqu'à l'armoire de répartition de l'opérateur installée dans votre rue, parfois jusqu'à votre habitation, la version et la langue de votre système d'exploitation, le type de navigateur Internet et la liste des logiciels que vous utilisez ainsi que les sites que vous visitez ! Le détail des connexions est encore plus précis si l'internaute est câblé en fibre optique.
En fait, Microsoft ou plutôt ses sociétés clientes ont surtout besoin de votre adresse IP et des cookies à des fins commerciales.
Windows ou plutôt Linux ou Mac OS ?
Si on recule de quelques pas et que l'on compare à présent Windows aux autres systèmes d'exploitation, que constate-t-on ? En fait, contrairement aux environnements système Unix et apparentés (Mac OS X, Linux, etc), il est notoirement connu que toutes les versions de Windows ont toujours manqué de sécurité, car il faut bien considérer les cookies comme étant parfois une porte secrète au service des fabricants.
Mais même des environnements comme Linux ou Mac OS X, réputés plus sécurisés, exploitent les cookies, notamment pour effectuer des mises à jour système et logicielles et pour vous connecter à certains forums.
En revanche, vous ne trouverez pratiquement jamais (mais il en existe) de spyware ou de virus sous Mac OS X ou Linux. Il y a bien quelques virus "proof-of-concept" mais ils ne sont pas vraiment là pour détruire (leur virulence est limitée à leur répertoire d'installation et s'ils s'effacent facilement), mais pour apporter la preuve aux concepteurs qu'il est possible de contaminer ces environnements.
Les environnements Unix et apparentés sont des systèmes fiables et performants, les programmeurs respectant des standards qui ont fait leur preuve.
Mais qu'il ne vous prenne pas l'idée d'installer une partition Windows sur votre Apple (via BootCamp) ou d'utiliser Windows CE sur un PDA, ce serait à nouveau ouvrir cette partition système aux virus, spywares et autres malwares.
Les produits Microsoft ont toujours été bugués et il n'est pas excessif de dire qu'ils font la honte de la micro-informatique. Dire que Microsoft est un virus n'est parfois pas exagéré !
Ceci dit, Microsoft reste le leader incontesté du marché avec plus de 90% des ventes d'OS, ne laissant que quelques pourcents du marché à Unix, Linux et autre Mac OS X. Alors, à vous de voir si vous voulez continuer à jouer le jeu de Microsoft, et jusqu'à quel point. Vous voilà averti.
D'un point de vue commercial, fin 2008, selon la société d'audit Net Applications, Microsoft représentait plus de 89% de parts de marché d'un gâteau estimé à 60.8 milliards de dollars. MacOS vient loin derrière avec 9.6% de parts de marché tandis que Linux ferme la marche avec 0.88% de parts de marché.

4 commentaires :

  1. Dans une parfaite ironie, windows propose son logiciel anti-espion...

    A se tordre de rire, cela veut donc dire qu'il se réserve le monopole de l' espionnage et vous protège contre les autres...

    Jusqu'ou va l'insolence (?)...

    Merci pour cet article.

    RépondreSupprimer
  2. Pffff Anti-Windows Va !!

    RépondreSupprimer
  3. Anti-Windows, non ! Je le subis comme des millions d'autres amateurs... snif.

    RépondreSupprimer
  4. Moi, j'ai un pare feu qui s'appelle "zone alarme" et à chaque fois qu'un programme veut accéder à internet, mon pare-feu m'avertis et je peux empêcher le programme d'accéder à internet. Mais j'ai eu de drôle de surprise, par exemple :

    - l'écran de veille windows demande d'accéder à internet.
    On se tente vraiment pourquoi il veut accéder à internet ? Et en plus quand dans mon navigateur ( autre qu'Internet Explorer bien-sur ) j'entre l'ip de destination ( à qui le logicielle voulait envoyer des donnés ) surprise, je tombe sois sur la page d'accueil de "google" sois sur une page disant que je n'ai pas les droit d'accès à ce serveur.

    - Souvent windows média player aussi tente d'accéder à internet comme plein d'autre logicielles de windows.

    - Sur ma livebox, il y a un voyant vert qui clignote lorsque l'ordinateur envoie des donnés sur internet. Quand l'ordinateur et allumé c'est "normal" mais quand il est "soit disant éteint" c'est vraiment louche.

    PS je suis sous windows vista et j'ai paramétré firefox pour qu'il supprime les cookies à chaque que je le ferme.

    Oui, je pense que Microsoft et Google comme tant d'autre nous espionne.

    RépondreSupprimer