Un accord entre Microsoft et FireEye crée des remous sur le partage de la télémétrie

Sujet sensible 21
En bref
image dediée
Crédits : Greyfebruary/iStock
OS
Vincent Hermann

Microsoft s’est associé à la société de sécurité FireEye pour utiliser l’une de ses technologies dans le service Windows Defender ATP, disponible pour les entreprises. Au-delà des avantages, l’annonce a fait naitre une puissante rumeur de partage des données télémétriques, que Microsoft a nié.

Initialement, l’annonce du partenariat date du début du mois. Le fond de ce rapprochement est parfaitement limpide : l’intégration de la technologie iSIGHT Threat Intelligence de FireEye dans Windows Defender Advanced Threat Protection (WDATP).

Ceux qui suivent l’actualité sur la sécurité informatique connaissent sans doute déjà la société FireEye. Elle est spécialisée dans le suivi des menaces et propose plusieurs produits dans ce domaine. Celui dont il est question est un service de veille qui permet aux entreprises de suivre l’évolution des menaces et d’analyser le comportement du réseau pour y détecter d’éventuelles menaces, et des outils pour y répondre le cas échéant.

Microsoft complète les capacités de son service WDATP

C’est précisément l’orientation prise petit à petit chez Microsoft ces dernières années. Windows Defender ATP est un service équivalent à ce que propose FireEye, mais sans aller aussi loin que ce dernier. L’intégration d’iSIGHT semble donc naturelle puisque les propres capacités de Microsoft s’en trouvent renforcées.

Les clients de Windows Defender ATP héritent d’une partie des capacités d’ISIGHT, notamment tout un ensemble d’indicateurs de compromission (IoC). WDATP fournira donc des alertes basées sur ce derniers, en donnant souvent un profil général de l’attaquant, avec ce qui semble être sa motivation (ce qu’il cherche à obtenir), les outils utilisés, les zones géographiques visées, ainsi qu’un descriptif général du pirate (ou du groupe) et son modus operandi.

Il n’est nulle part fait mention des termes financiers de cet accord, et on ne sait donc pas combien Microsoft monnaye ces services auprès de FireEye. Le père de Windows devrait cependant faire rapidement valoir cet ajout auprès des entreprises, le service WDATP étant encore très récent (il est arrivé avec l’Anniversary Update début août).

Pour autant, et sans que l’on sache exactement pourquoi, des rumeurs sont apparues il y a quelques jours sur un partage des données télémétriques avec FireEye, alors même que ce point n’était pas abordé.

La télémétrie est devenue un sujet plus sensible

La télémétrie est une technique qu’on retrouve chez de très nombreux éditeurs pour leurs produits, que ce soit des systèmes d’exploitation, de simples applications, ou même du matériel. Le principe est simple : envoyer régulièrement des lots de données statistiques et anonymes sur la manière dont le produit est utilisé.

Elle joue un très grand rôle dans l’amélioration continue de ces produits. Windows en fait usage depuis des années, la version 10 ayant encore renforcé ce trait. Microsoft récupère ainsi des informations sur les configurations matérielles, la durée de certaines actions, les rapports de plantages, les listes d’applications installées et ainsi de suite. L’ensemble permet d’identifier certains problèmes et de créer des relations entre des éléments.

Normalement, la télémétrie est parfaitement anonyme. Il existe cependant une exception sous Windows 10 : les rapports de plantages. Quand ils sont réglés sur « Complets », ils agrègent des données résidant en mémoire vive, avec le risque de capter certaines informations personnelles au passage.

Microsoft nie le partage des données avec FireEye

Le fait que les rumeurs soient apparues et aient d’ailleurs été assez largement relayées montre bien que la télémétrie reste un sujet sensible, surtout à l’aune d’un Windows 10, accusé à plusieurs reprises de ne pas autant respecter la vie privée qu’il le devrait. Microsoft est d’ailleurs sorti de sa réserve pour répondre, notamment chez The Hackers News et Betanews.

« La nature de l’accord entre Microsoft et FireEye est d’obtenir une licence sur les renseignements de menace d’ISIGHT Intelligence. Cette couche additionnelle de renseignement inclut des indicateurs et des rapports sur les attaques passées, collectés et édités par FireEye, et améliore les capacités de détection de WDATP. L’accord n’inclut pas le partage de la télémétrie » a ainsi indiqué un porte-parole.

La télémétrie peut bien être partagée

Il faut rappeler cependant, même si aucune donnée n’est envoyée chez FireEye, que le partage reste possible. Dans un article Technet, Microsoft l’indique clairement : « Microsoft peut partager des rapports professionnels avec des fabricants d’ordinateurs OEM et des partenaires tiers, qui incluent des informations de télémétrie anonymes agrégées ». L’éditeur ajoute que ces décisions sont prises au cas par cas par une équipe dédiée.

Ces informations ne sont pas nouvelles, Microsoft l’ayant déjà expliqué par le passé. Les données sont censées être anonymisées, mais il peut y avoir des ratés. Un point souligné dans son contrat de licence. La solution la plus simple est alors de changer le réglage dans Paramètres, Confidentialité, puis Commentaires & diagnostics. Attention, si vous faites partie du programme Insider, ce réglage ne pourra pas être modifié (étant grisé).

Ceux qui souhaitent plus d’informations pourront lire sur cette page des explications sur les niveaux de télémétrie. Notez qu’il n’est pas possible de la supprimer complètement. Le niveau le plus bas est « Sécurité » et ne concerne donc que tout ce qui a trait à cette dernière.

télémétrie windows 10


chargement
Chargement des commentaires...