Le site d'un magazine informatique Allemand publie une analyse détaillée du comportement de Windows Update, l'outil de mise à jour de Microsoft. Les techniciens affirment avoir déchiffré ce qu'envoie Windows à Microsoft lors de chaque mise à jour. Toute la configuration du PC y passerait. Mais l'information reste à confirmer : l'article est en partie payant, et les preuves présentées gratuitement sont partielles. Coup de bluff ou révélation ? Nous sommes allés poser la question à Microsoft.

au sommaire

    Que raconte réellement Windows Update à Microsoft ?

    Lorsqu'il se connecte chez l'éditeur, l'outil de mise à jour automatique de Windows est censé ne collecter que quelques informations destinées à identifier la version du système d'exploitation et des composants qu'il met à jour. Mais selon le site TecChannel, Windows Update serait en réalité beaucoup plus bavard : en plus des informations strictement nécessaires à la mise à jour, l'outil ferait remonter à MicrosoftMicrosoft une version très détaillée de la configuration du PC, incluant potentiellement la liste de tous les logiciels installés, ceux des autres éditeurs inclus.
    Difficile à priori de savoir exactement ce qu'il en est, puisque à chaque connexion au serveur de mise à jour, le trafic est chiffré grâce à un tunnel SSLSSL.
    C'est là que TecChannel entre en jeu, en affirmant avoir déchiffré ce trafic à l'aide de TecDump, un sniffer maison modifié pour intercepter les appels à des API de Windows (HttpOpenRequest() et InternetWriteFile()). Cela permet à TecDump d'intercepter ce que Windows Update envoie via Internet avant que ce ne soit chiffré.

    2 euros pour connaître la suite de l'histoire...

    Hélas, si la révélation semble digne d'intérêt, elle demande aussi à être vérifiée. Car seule une partie de la démonstration de TecChannel est disponible gratuitement en ligne, et il en côute près de 2 euros pour télécharger le rapport complet. A défaut de l'avoir lu, il convient donc de rester prudent.

    Mais à la première lecture de l'extrait publié par TecChannel, l'approche semble correcte : un sniffer est bien l'outil nécessaire pour obtenir ce genre d'aveux, et les API citées existent bien et sont documentées.
    Les captures d'écranscaptures d'écrans de l'échange Windows Update déchiffrées révèlent en outre quelques adresses de documents XMLXML (des Schémas) utilisés par Microsoft, que nous sommes allés télécharger afin de les étudier. L'un d'eux, appelé schemaSystemInfo, révèle une structure effectivement inquiétante :

    • <ElementType name="regKeys" content="eltOnly">
      <element type="HKEY_LOCAL_MACHINE" minOccurs="1" maxOccurs="1"/>
      </ElementType>

      <ElementType name="HKEY_LOCAL_MACHINE" content="eltOnly">
      <element type="SOFTWARE" minOccurs="1" maxOccurs="1"/>
      </ElementType>


      <ElementType name="SOFTWARE" content="eltOnly">
      <element type="value" minOccurs="1" maxOccurs="*"/>
      </ElementType>

      Source : Microsoft

    L'attribut content est ici fixé à la valeur eltOnly, qui représente une suite d'éléments. Les valeurs minOccurs et maxOccurs sont fixées à 1 partout, indiquant qu'une occurrence de ces informations devra obligatoirement être retournée, à l'exception du dernier élément ElementType, qui pourra renvoyer une liste de taille variable. Et c'est bien cela qui est inquiétant : cette portion de code laisse imaginer que le document XML renvoyé peut parfaitement contenir la totalité des clés de la base de registre sous HKEY_LOCAL_MACHINE - SOFTWARE, soit tous les logiciels installés sur le PC entrain d'être mis à jour.
    Voilà qui crédibiliserait les affirmations de TecChannel, même si rien n'est prouvé : cette structure peut tout aussi bien permettre simplement de renvoyer un nombre variable de composants de Windows à mettre à jour, et la sélection entre les composants légitimes et les logiciels tiers se faisant alors de manière logicielle, sur le PC, par le contrôle ActiveXActiveX de Windows Update.

    Interrogé par Les Nouvelles.net, Bernard Ourghanlian, Directeur Technique de Microsoft France, explique que "le schéma prévoit effectivement, dans sa structure, une telle liste mais cette liste n'est absolument pas utilisée". Et la capture présentée par TecChannel semble bien lui donner raison puisque n'y apparaît aucune liste de logiciels. "L'exemple de collecte d'informations hardwarehardware qui est fourni sur le site de tecchannel.de est parfaitement exact et conforme à notre déclaration (de respect de la vie privée, NDLRNDLR)", conclue Bernard Ourghanlian.
    Là encore, le fichier intercepté publié par TecChannel lui donne raison : seules des informations matérielles (et les drivers associés) sont remontés, ainsi que le numéro d'identifiant unique du PC concerné.
    Il semblerait donc que, si les outils sont dores et déjà présents pour tout connaître du PC mis à jour, cette capacité n'est pas utilisée par Microsoft aujourd'hui.

    Pour en savoir plus