Windows 10 : l’ANSSI publie ses recommandations pour la confidentialité des données

L’ANSSI vient de rendre un rapport attendu sur la gestion de la confidentialité des données dans Windows 10. L’agence concentre son analyse détaillée sur l’utilisation du système en entreprise, abordant les différentes problématiques et la manière éventuelle de les gérer.

Le rapport de l’ANSSI, intitulé « Préoccupations relatives au respect de la vie privée et à la confidentialité des données sous Windows 10 », était attendu de pied ferme. Le sujet global est simple : le système communique avec les serveurs de Microsoft, entrainant un certain nombre de questions pour les entreprises. Objectif du rapport, y répondre.

Windows 10 : les six thématiques à analyser

L’Agence nationale de la sécurité des systèmes d’information s’est donc penchée sur le dernier système de Microsoft, en notant cependant que ses constatations et recommandations sont spécifiques à l’actuelle branche principale stable, à savoir la version 1607, correspond à Redstone et sortie début août 2016.

Le rapport détaille six catégories :

• Tout ce qui touche à la télémétrie, à savoir les informations techniques renvoyées par le système aux serveurs de Microsoft pour assurer des retours sur problèmes, surveiller la bonne marche de certains éléments et obtenir des statistiques générales sur l’utilisation du produit
• L’assistant personnel Cortana et Windows Desktop Search
• La personnalisation de l’expérience utilisateur
• Les applications universelles (UWP)
• L’identification par le compte Microsoft
• OneDrive

Ces catégories sont toutes détaillées dans le cadre d’une utilisation en entreprise, qui peut changer radicalement de ce que l’on peut observer chez un particulier. Le rapport de l’ANSSI n’ambitionne pas de donner une note ou de porter un avis catégorique sur le produit, mais d’aborder chaque point par les problématiques qu’il peut entrainer. Chaque entreprise doit donc « apprécier son propre besoin en matière de confidentialité des données, idéalement par une analyse de risques » et adapter ses actions.

Télémétrie : des cas très variables

Comme indiqué, la télémétrie sert à Microsoft pour obtenir des données de diagnostics sur de nombreux composants du système. Le nombre d’informations est très variable car il dépend d’un réglage, que l’entreprise peut moduler par une stratégie de groupe (GPO, pour Group Policy Object).

Les paramètres « Amélioré » et « Complet » sont évidemment ceux qui envoient le plus d’informations. Ils sont spécifiques dans le sens où Windows 10 peut collecter à ce moment des données personnelles, ce qui est d’ailleurs précisé par le système. En « de base », la télémétrie ne se contente plus que d’informations techniques comme la version du système, la configuration matérielle, la liste des applications installées, les pilotes et firmwares, les informations relatives aux performances et à la fiabilité ainsi que la configuration réseau.

Dans le cadre d’une entreprise qui souhaiterait limiter au maximum les émissions de données, ce niveau basique peut être considéré comme encore trop bavard. C’est pourquoi il existe un paramètre « Sécurité », encore inférieur mais qui n’apparait pas dans les réglages graphiques de l’interface. Il faut passer par une GPO pour l’appliquer, les seules informations récupérées étant alors les caractéristiques techniques du système, l’identifiant de l’appareil et son type.

L’ANSSI note que dans l’idéal, il faut désactiver la télémétrie si l’entreprise ne veut rien émettre, même si cette coupure n’est pas supportée officiellement. Si l’entité ne le peut pas, le niveau « Sécurité » devrait être choisi. Problème, il ne peut être utilisé qu’avec des éditions Entreprise et Éducation de Windows 10. Dans une structure qui ne possèderait que l’édition Pro, il est recommandé d’appliquer le réglage basique. Elle peut pousser jusqu’à appliquer une autre GPO pour empêcher MSRT (suppression des malwares) et Windows Defender d’émettre des rapports.

Cortana : le grand brassage des données personnelles

L’assistant personnel (et vocal) Cortana est probablement l’élément le plus bavard s’il est laissé activé en l’état. Puisqu’il est conçu pour venir en aide à l’utilisateur et prendre en compte des actions basées sur le contexte, il manipule constamment des données personnelles. Dans le cas d’une entreprise, les données manipulées peuvent également être sensibles. Dans l’optique d’une limitation des risques, la recommandation de l’agence est donc simple : désactiver Cortana.

D’autre part, désactiver Windows Desktop Search est également recommandé pour limiter le périmètre de recherche au contenu local. Par défaut, il fusionne en effet les résultats provenant de l’ordinateur et ceux du web. Pour ces derniers, l’ANSSI insiste : il vaut mieux utiliser un navigateur « maîtrisé » pour les recherches sur Internet.

Personnalisation de l’expérience utilisateur : autant tout couper 

Cette personnalisation est liée aux fonctionnalités qui s’adaptent avec le temps, pour mieux répondre à ce que le système estime être les besoins de l’utilisateur.

Par défaut, Windows 10 communique avec les serveurs de Microsoft pour améliorer la saisie clavier et manuscrite (pour la reconnaissance d’écriture et la correction automatique), mettre en relation les coordonnées et les informations du calendrier, brasser les carnets d’adresses et de contacts, ou encore géolocaliser l’appareil. Dans une entreprise, rien de tout cela n’est forcément nécessaire.

Toutes ces fonctionnalités peuvent être coupées séparément ou ensemble par des GPO. Idem pour la géolocalisation, le réglage du système s’appliquant alors également aux applications. Si Internet Explorer ou Edge sont utilisés, l’entité peut même souhaiter couper complètement le filtre SmartScreen (analyse des liens pour des raisons de sécurité) et « l’avance rapide avec prédiction de page », puisqu’ils communiquent aux serveurs de Microsoft les liens visités.

Applications universelles : tout est possible

Les cas des applications universelles (UWP, pour Universal Windows Platform) est particulier. L’entreprise peut en avoir besoin ou non, autoriser le Windows Store ou pas, ne vouloir en autoriser que certaines en particulier, etc. L’ANSSI s’est attachée à expliquer le cas de ces applications se présentant sous forme de paquets APPX et à la sécurité beaucoup plus stricte, puisqu’elles fonctionnent au sein d’une sandbox (espace mémoire isolé).

Toutefois, l’entreprise doit déterminer quelles sont celles qui peuvent servir, Windows 10 étant fourni avec des dizaines d’entre elles préinstallées : Actualités, Météo, Finances, Skype, Courrier, Groove, etc. Puisqu’elles peuvent accéder, comme Cortana, à des informations potentiellement sensibles, l’entité aura peut-être envie de faire le ménage. L’utilisation d’un script pourra donc les supprimer de toutes les machines au sein d’un parc informatique.

Si l’entreprise n’a aucun besoin dans ce domaine, elle peut aller plus loin : l’ANSSI recommande la coupure complète du Windows Store, ce qui n’est possible que dans les éditions Entreprise et Éducation. En cas d’édition Pro ou si l’entreprise souhaite utiliser partiellement ces applications UWP, elle peut via les GPO définir une liste précise de ce qui est autorisé ou non. Dans tous les cas, il est recommandé de couper l’identifiant publicitaire qui sert normalement à personnaliser les contenus.

Services cloud : l’ANSSI encourage les entreprises à y réfléchir sérieusement

L’agence aborde les services cloud en rappelant qu’il existe des rapports et des conseils globaux sur ce chapitre. Elle cite notamment le récent référentiel qui permet de déterminer si un prestataire de services répond aux exigences formulées. Dans le cadre du rapport sur Windows, ces services cloud concernent le compte Microsoft utilisable à l’ouverture de session et OneDrive, pour le stockage distant des données.

Le compte Microsoft est davantage utilisé par le grand public, parce qu’il permet une synchronisation des informations avec les serveurs. En cas d’appareils multiples, de plantage ou de réinstallation, l’utilisateur conserve ses réglages, historique de navigation, favoris, mots de passe et autres. En entreprise cependant, il y a de fortes chances qu’un administrateur dispose d’outils spécifiques pour gérer ces informations.

La recommandation de l’ANSSI est donc simple : désactiver toute possibilité d’utiliser un compte Microsoft pour ouvrir une session. Ces comptes sont liés au grand public et ne doivent donc pas être mélangés avec ceux des domaines. Le risque est trop grand que des données sensibles se retrouvent synchronisées.

Le cas est finalement assez similaire avec OneDrive. Le stockage distant peut être pratique, mais les entreprises disposent de produits adaptés, y compris chez Microsoft (OneDrive for Business, SharePoint…). Là encore, pour ne risquer aucun mélange entre des données personnelles et professionnelles, il est recommandé aux entreprises de désactiver complétement OneDrive. Qu’il s’agisse d’ailleurs de ce dernier ou du compte Microsoft, les stratégies de groupe pourront ici aussi être utilisées.

Des précisions générales à apporter

Plusieurs points nécessitent quelques détails supplémentaires. En préambule de son rapport, l’ANSSI note par exemple que les questions au sujet de la vie privée et de la confidentialité des données dans Windows 10 ont donné lieu à de très nombreux articles de presse, beaucoup étant jugés « alarmistes » par l’agence. Elle adopte ainsi une approche méthodique de chaque problématique, les solutions existant à chaque fois.

Cependant, on parle avant tout ici de l’édition Entreprise, utilisée le plus souvent dans les structures de taille moyenne à importante. Les options y sont très nombreuses. Or, une certaine confusion peut régner à ce sujet : l’ANSSI dédie bien son rapport aux entreprises, alors que c’est le plus souvent dans le cadre d’une utilisation grand public que la confidentialité dans Windows 10 a été critiquée, notamment à cause de ses réglages par défaut. Un point sur lequel travaille Microsoft, avec d'importants changements prévus pour la Creators Update. Le rapport a, dans tous les cas, le mérite de dresser la liste des éléments à surveiller et à prendre en compte.

En outre, ces éléments sont spécifiques à Windows 10. Il faudra donc faire attention aux autres produits. L’agence indique par exemple que les options de télémétrie, une fois modifiées, ne le sont que pour le système, pas pour Office, qui dispose de son propre outil. Il est donc conseillé d’inspecter chaque produit pour prendre les décisions associées.

Enfin, on pourrait résumer le rapport par un conseil très simple et applicable à presque toutes les situations : il vaut mieux désactiver ou désinstaller tout ce qui peut l’être. On pourrait parler de « règle universelle » dans le domaine de la sécurité. Chaque élément désactivé ou supprimé représente une surface d’attaque en moins, sans parler des ressources consommées et des communications éventuellement associées.

• Accéder au rapport de l'ANSSI sur Windows 10