Respect de la vie privé et confidentialité des données : Windows 10 préoccupe l'ANSSI

Par:
fredericmazue

mar, 31/01/2017 - 15:26

Windows 10, le respect de la vie privée et la collecte des données, voilà un sujet qui n'a pas fini de faire parler. En août 2015, la Suisse avait qualifié le système d'exploitation de Microsoft de violateur crasse :-) En juillet 2016, la CNIL a publié un billet expliquant aux utilisateurs comment régler les paramètres de vie privée de Windows 10,  assortie d'une mise en demeure de cesser la collecte excessive de données et le suivi de la navigation des utilisateurs sans leur consentement [... et] d’assurer de façon satisfaisante la sécurité et la confidentialité des données des utilisateurs. Cette fois c'est l'ANSI qui vient de publier un document de 19 pages intitulé Préoccupations relatives au respect de la vie privée et à la confidentialité des données sous Windows 10, document qui peut-être consulté sur www.ssi.gouv.fr et qui donne moult recommandations aux personnes et entreprises soucieuses de la confidentailié de leurs données.

Ce document pointe du doigt  le service de télémétrie, l'assistant personnel Cortana et le composant Desktop Search,  les paramètres de personnalisation de l’expérience utilisateur, les applications universelles et les services dans le nuage de Windows 10

Après avoir souligné que les données recueillies par Microsoft peuvent être stockées et traitées aux États-Unis ou dans tout autre pays dans lequel Microsoft, ses filiales ou prestataires de service sont implantés, le document fait remarqué que le service de télémétrie, même réglé sur le niveau de base peut être jugé suffisamment intrusif pour être inacceptable en environnement professionnel. Dans ce cas, le niveau « sécurité » devrait être privilégié souligne le document. Les données collectées et transmises peuvent ainsi être limitées au strict minimum : les informations du système d’exploitation (version, architecture, etc.), l’identifiant de l’appareil, le type d’appareil (exemple : ordinateur de bureau). Décidément, le service de télémétrie de Windows 10 ne plaît pas à l'ANSSI qui insiste : il reste possible de passer outre ce paramétrage en désactivant le service de télémétrie au niveau du système. Il est recommandé de désactiver le service de télémétrie par une stratégie de groupe, de manière à ce qu’aucune information ne soit transmise à Microsoft par ce biais. Désactivation qui est à priori sans conséquence est-il souligné : La désactivation du service de télémétrie n’est pas supportée officiellement par Microsoft, bien qu’aucun effet de bord ne soit connu à ce jour.

C'est ensuite au tour de l'assistant Cortana d'être passé au crible : Pour être efficace, l’agent Cortana doit accéder aux informations personnelles de l’utilisateur, utiliser les données de l’appareil, des services en ligne, etc. L’utilisation de Cortana pose donc beaucoup de problèmes concernant la divulgation d’informations sensibles ou personnelles. En environnement professionnel, il est recommandé de désactiver Cortana. Pour éviter la divulgation d’informations sensibles ou personnelles en environnement professionnel, il est recommandé de désactiver l’agent personnel Cortana. Pour éviter la divulgation d’informations sensibles ou personnelles en environnement professionnel, il est recommandé de restreindre l’utilisation du composant Windows Desktop Search à de la recherche locale sur l’appareil. L’utilisation d’un navigateur maîtrisé reste à privilégier pour les recherches sur Internet écrit l'ANSSI avant de renvoyer vers d'autres documents détaillant la problématique  de la maîtrise des navigateurs.

L'ANSSI continue : Les applications universelles préinstallées dans Windows 10 peuvent accéder à des ressources potentiellement sensibles du système, comme la géolocalisation, les carnets d’adresse ou les calendriers et utilisent des services en ligne auxquels ces informations sont transmises.[...] Il est donc recommandé de contrôler les applications universelles déployées et utilisables sur les postes de travail, au même titre que les applications de bureau classiques. Ensuite l'ANSSI recommande de désactiver à peu près tout dans les paramètres de personnalisation de l'expérience utilisateur : la géolocalisation, la personnalisation des saisies clavier, vocales et manuscrites, l’envoi de rapports d’erreurs et de diagnostic à Microsoft, le programme d’amélioration de l’expérience utilisateur, etc.

Puis c'est au tout du cloud (stockage One Drive, Compte Microsoft, etc.) : L’utilisation de services dans le nuage en environnement professionnel doit faire l’objet d’une stratégie de gouvernance au plus haut niveau, qui intègre entre autres des risques de confidentialité, d’intégrité et de disponibilité des données que l’entité est prête à accepter.

Quand toutes les recommandations de l'ANSSI sont suivies, quand tout est désactivé, que reste-t-il de ce qui fait que Windows 10 est Windows 10 ? C'est la question :-)