Windows 10 en entreprise, un pas à franchir avec cyberprécaution

Quels sont les vrais risques de Windows 10 en termes de confidentialité? Par Charlez Cuvelliez, professeur à l'Ecole Polytechnique de Bruxelles, ULB, Belgique.

Le rapport de l'ANSSI sur la confidentialité des données et Windows 10 en entreprise était fort attendu après la charge de la CNIL contre Microsoft en juillet dernier. Au lieu de jeter l'opprobre contre les sociétés high tech US en leur demandant de faire marche arrière, l'ANSSI préfère poser un regard posé sur les risques et ce qu'il faut faire si on les juge démesurés. Les efforts d'une société pour optimiser l'expérience client au fil de l'eau doivent-ils toujours se faire au prix de concession sur la sécurité ?

 La télémétrie n'est pas l'apanage de Microsoft

Il y a la télémétrie de Windows 10 : ce sont les données qui partent vers Microsoft et qui contiennent des informations sur l'appareil, sa configuration (le processeur, la mémoire installée, et le stockage), ainsi que le nombre de blocages et souvent bien plus selon le réglage (souvent par défaut). La télémétrie est normale dans le digital. Elle n'est pas l'apanage de Microsoft. En analysant l'usage de millions d'utilisateurs, une expérience client inégalée , Microsoft comme d'autres planchent sur les évolutions futures du produit. Tesla ne fait pas autrement avec ses voitures. Ce n'est que quand un produit rend la vie plus simple, pas uniquement innovant, que les gens l'adoptent : c'est la clé de la transformation digitale réussie. Pourtant, il y a 4 niveaux de télémétrie réglables. Dès le troisième niveau, les informations recueillies visent l'interaction entre utilisateur, Windows et les logiciels installés.

Quant au  premier niveau, qui limite au strict minimum la télémétrie, il n'est pas accessible sauf pour les versions Enterprise ou Education. Il doit se faire à partir de politiques IT centralisées (ou via une désactivation hasardeuse pour les non-initiés). Très logiquement, l'ANSSI préconise de régler la télémétrie au minimum. Alors, problème réel ou non ? Les données de télémétrie sont stockés sur le disque dur mais de manière chiffrée (Au fond, pourquoi ?) et Microsoft les conserve chez lui, de manière verrouillée et accessible uniquement à un petit nombre d'employés. C'est vrai : des données sensibles risquent par inadvertance chez Microsoft en mode complet: en cas de crash d'un logiciel, une copie mémoire de l'application en question partira pour la bonne cause à Redmond. Mieux vaut le savoir.

 Désactiver l'assistant personnel

Cortana, l'assistant personne là l'image de Google Now, Alexa ou Siri, chez Google, Amazon ou Apple apporte  son lot d'ambiguïté. Un assistant personnel est votre relais, exécute pour vous des tâches forcément personnelles (envoyer des courriels, recherches sur Internet, exécuter des applications, transmettre des rappels en fonction de l'heure, des rendez-vous et de votre géolocalisation). On ne peut rêver plus personnalisé et c'est tant mieux. Dans un environnement professionnel, l'ANSSI préconise sa désactivation. Le même conseil vaut pour Windows Desktop Search qui étend automatiquement le champ de recherche à tout Internet. Le problème est que Cortana est utilisable par ce biais-là aussi, ce qui lie Windows Desktop Search à ce que Cortana sait de vous. En fin de compte, l'ANSSI recommande d'utiliser les browsers qui viennent au-dessus de Windows (Chrome, Firefox,...), qui en sont séparés, mieux connus et mieux contrôlables à condition de les...contrôler. Et l'ANSSI de très justement rappeler ses recommandations en la matière.

Désactiver Onedrive

Microsoft se refait une santé financière grâce au cloud ;  avec Windows 8, les comptes Microsoft sont apparus ; on s'authentifie non pas sur sa machine locale mais sur le cloud, ce qui permet non seulement d'avoir accès à son PC mais aussi à quantité de services en lignes (Office, Skype, One Drive). Reporter l'authentification vers le cloud permet de synchroniser ses paramètres entre tous les ordinateurs Windows auxquels on se connecte (jusqu'aux réseaux wifi auquel on s'est connecté avec l'un d'eux). Le souci dit l'ANSSI est que ces paramètres d'ordinateur sont, pour ce faire, stockés sur les serveurs de Microsoft jusqu'aux clés de chiffrement de Bitlocker pour crypter le disque dur. Avec OneDrive, qui offre un espace de stockage gratuit à tout titulaire de compte, c'est une tentation forte pour l'utilisateur d'y stocker aussi des données professionnelles. Onedrive est à désactiver.

Aux utilisateurs de faire un bout de chemin

Autre vecteur de préoccupation, les Windows App : Windows 10 se veut un système d'exploitation universel qui fonctionne sur PC, tablettes, smartphones,  internet des objets. Les Windows App sont ces logiciels qui fonctionnent indifféremment sur n'importe lequel de ces appareils. Ils sont une réponse aux App Android qui, eux aussi, sont universels quel que soit le smartphone pourvu qu'Android tourne dessus. Les Windows App sont alors moins complexes, une bonne chose au niveau sécurité. Un utilisateur sans droit d'administrateur peut d'ailleurs en installer depuis Windows Store. Des dizaines sont préinstallées sur Windows 10 mais elles peuvent accéder à des ressources sensibles et comme la géolocalisation, les carnets d'adresse ou les calendriers. Ces Windows App (tout comme les App des smartphones)  utilisent aussi des services en ligne vers lesquelles des informations sont envoyées. Au niveau d'Android, c'est d'ailleurs une préoccupation majeure. C'est une bonne raison, dit l'ANSSI, d'en restreindre l'utilisation en milieu d'entreprise et de carrément interdire Windows Store...que l'interface de Windows 10 met fort en avant pour vous tenter.

Une leçon est à retenir : cela ne sert à rien de forcer le trait contre des sociétés comme Microsoft ou Google qui ont besoin de vous connaitre pour vous donner le produit ou le service qui vous rend la vie plus simple. C'est aussi aux utilisateurs de faire un bout de chemin sans qu'on leur tienne la main. C'est impossible au rythme actuel de la technologie. Ce rapport de l'ANSSI nous en donne la clé. Cela nous change des articles alarmistes qui se basent sur des données non fiables, aggravées par une mauvaise compréhension de la technologie .

---

Pour en savoir plus:

Préoccupations relatives au respect de la vie privée et à la confidentialité des données sous Windows 10,  Secrétariat général de la défense et de la sécurité nationale, Agence nationale de la sécurité des systèmes d'information, 31 janvier 2017

Sujets les + lus

|

Sujets les + commentés

Commentaire 0

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

Il n'y a actuellement aucun commentaire concernant cet article.
Soyez le premier à donner votre avis !

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.