jeudi 22 août 2019    || Inscription
BanniereNews
 
 

Windows 10 est-il un système d’exploitation respectant la vie privée des citoyens ? Les médias, forums et blogueurs s’étaient déjà emparés du sujet au cours de l’été. Les questions des participants aux Assises 2015 s'en sont fait l’écho. Bernard Ourghanlian de Microsoft leur a répondu.

Après le discours d’ouverture des Assises 2015 par Guillaume Poupard, Directeur général de l’ANSSI, une série de questions lui a été posée par Jérôme Saiz suite au dépouillement de questionnaires adressés préalablement aux participants. Les sujets s’enchaînent de manière prévisible pour aboutir à l’idée d’une révision du guide d’hygiène présenté il y a quelques années.

C’est alors que la question du système d’exploitation Windows 10 apparaît. Le directeur général de l’ANSSI évoque un besoin d’alerte sur les risques, un besoin d’explication des configurations, d’architectures à définir pour ne pas laisser sortir n’importe quelle information. Sans agressivité, le problème est posé de manière implicite : Windows 10 est-il un système d’exploitation respectant la vie privée des citoyens ? Les médias, forums et blogueurs s’étaient déjà emparé du sujet au cours de l’été. Les questions des participants aux Assises 2015  en sont l’écho. 

« Il y a eu des erreurs de communication, une insuffisance d’explications et des ratés de la part de Microsoft » explique Bernard Ourghanlian en s’en excusant très sincèrement. La situation en est presque devenue amusante lorsque Marine Le Pen a saisi la CNIL, le 27 juillet dernier, sur le caractère intrusif  de Windows 10 dans la vie privée des citoyens français : http://www.frontnational.com/2015/07/lettre-ouverte-de-marine-le-pen-a-la-presidente-de-la-cnil/ .

 

 

Un manque d’explication et de documentation de la part de Microsoft et un raté en matière de compréhension

Microsoft a manqué de transparence explique Bernard Ourghanlian sur les questions de télémétrie et n’a pas assez documenté les paramètres pouvant être utilisés avec Windows 10. Cela a été corrigé, explique-t-il le 29 septembre, la veille des propos de Guillaume Poupard à Monaco, avec la publication d’une documentation très riche. Cela a été trop tard et les dates ne sont en rien liées à la tenue des Assises de la sécurité à Monaco.

Tout s’est accéléré avec une évolution vers le cloud computing et les règles de développement agile. Windows 10 doit désormais être vue comme étant la dernière version de Windows. Les mises à jour seront désormais permanentes et se fonderont sur une analyse de faits et des usages des utilisateurs. Mais pour entrer dans ce monde nouveau, il faut comprendre ce que font les utilisateurs. Face à une situation particulière, un utilisateur peut agir sur son interface Windows avec un délai de réponse de 1 à 2 secondes, ou au contraire de plus de 10 secondes s’il ne comprend pas la situation. L’éditeur Microsoft ne peut pas apprécier l’éventuelle difficulté de l’utilisateur sans outil de métrologie au plus proche de l’utilisateur. C’est l’idée sous-jacente qui explique la volonté de mettre en place un système de télémétrie pour mieux comprendre la manière avec laquelle les utilisateurs prennent en main le système d’exploitation.

La télémétrie : un besoin de connaître ce que font les utilisateurs pour proposer un produit répondant aux attentes

La télémétrie permet de remonter des informations sur l’utilisation du système, son bon fonctionnement, et sa sécurité. Elle est associée au nouveau mode de mise à jour Windows As a Service. Son objectif est l’amélioration en continu de la qualité du système (détection des problèmes applicatifs, comprendre comment le système est utilisé…).

Tout le système s’aligne sur une telle démarche. Cortana repose sur les principes du « machine learning » : la voix est reconnue et les améliorations sont permanentes avec de telles technologies innovantes. Il faut sans cesse adapter et  enrichir, tout en laissant à l’utilisateur la possibilité de mettre Cortana hors service. Les questions portent sur la langue, les accents, les jargons : beaucoup de choses difficiles à apprécier sans mesure. On ne sait pas régler de telles technologies sans disposer d’informations. Mais ce souhait de télémétrie ne doit pas être intrusif et doit être réalisé avec le consentement averti de l’utilisateur. Sur ce point, Microsoft reconnait avoir fait plusieurs erreurs de communication. Bernard Ourghanlian explique la logique de Windows 10 lors de son lancement, puis expliquer les nouvelles évolutions qui vont être mises en œuvre en novembre prochain. Il existe 4 niveaux de recueil d’informations relatives aux usages de l’utilisateur :

·  Le niveau sécurité, pour la version professionnelle de Windows 10, qui envoie très peu d’information ;
·  Le niveau basique ;
·  Le niveau amélioré ;
·  Le niveau complet, qui permet à Microsoft de recevoir un très grand nombre d’information.

Ces informations sont collectées avec une finalité de traitement portant sur la compréhension des usages. Bernard Ourghanlian précise que Microsoft ne collecte pas l’identité de l’utilisateur, et ajoute que cette information est sans intérêt pour un éditeur qui n’a pas d’activités de régie publicitaire. En revanche, les remontées d’informations cherchent à se faire lorsque la bande passante de la connexion est disponible pour ne pas gêner l’utilisateur. Les informations sont remontées de manière sécurisée (https), en limitant la bande passante utilisée et lors de moments bien choisis pour éviter de dégrader l’expérience utilisateur. C’est, en fait, un travail de métrologie de l’IT comme nous le connaissons depuis des dizaines d’années dans l’IT.


Le niveau sécurité se concentre sur la seule remontée d’information sur les logiciels malicieux. C’est le niveau proposé par la version entreprise du système d’exploitation. Les outils présents sont : « Malicious Software Removal Tool », et « Windows Defender », qui peuvent être désactivés par l’entreprise.

Le niveau basique comprend les informations du poste de travail, des informations de qualité, des informations relatives à la compatibilité des Apps et à leur continuité de fonctionnement, ainsi que des informations concernant le « Store ». Il s’agit de savoir quelles API sont utilisées plutôt que quelles autres. C’est important pour Microsoft afin de savoir s’il faut déprécier ou non des API, voire les remplacer par d’autres. Car Microsoft ne sait pas a priori ce que sont les fonctions utilisées ou non. Il est hasardeux de faire évoluer un système d’exploitation sur des « on dit » qui permettrait le risque de « casser » des fonctionnalités beaucoup plus utilisées que ne le pense les experts. Bref, la télémétrie sur les fonctionnalités permet d’apprécier les volumes d’utilisation. De telles statistiques n’ont pas besoin d’informations nominatives.

Le niveau amélioré s’enrichi avec les évènements propre au système d’exploitation et à ses applications, ainsi que les évènements propres au terminal physique.

Enfin, le niveau complet est le plus bavard et permet de faire des dump en cas d’erreur et permet de remonter toute données nécessaires pour comprendre le fonctionnement du système. Il remonte toutes les données techniques, sans pour autant, avoir quel qu’utilisation que ce soit des informations relatives à l’identité de l’utilisateur.

 

Avec la possibilité pour l’utilisateur et l’entreprise de ne pas parler du tout à Microsoft !

Bernard Ourghanlian marque un bref silence après l’exposé de ces 4 niveaux et souligne, non sans une certaine provocation, que l’on peut constater qu’il n’existe pas de niveau sans aucune télémétrie, ni aucune mise à jour imposée. Le système d’exploitation aaS est donc toujours « à la main de Microsoft », connecté. "Ce ne sera plus le cas en novembre prochain (2015)" explique-t-il puisqu’une option sans aucune télémétrie et aucune mise à jour sera alors disponible. Le paramétrage sera alors très simple à réaliser : un système « stand alone » ou isolé de tout.

Le système d’exploitation Windows 10 se décline pour différents publics et usages : entreprise, mobiles, éducation, IoT ou simple serveur. L’ensemble est désormais documenté et détaillé depuis fin septembre nous explique Bernard Ourghanlian. L’installation initiale s’effectue par soucis de simplicité avec des paramètres par défaut incluant la télémétrie, qu’il est ensuite possible d’ajuster et de retirer. Il est également possible de préférer une installation complexe en utilisant la barre de menu « recherche », de choisir le menu « privacy settings » et de régler 1 à 1 les paramètres, tels que, par exemple, ceux de la reconnaissance vocale. Le paramétrage de politique de groupes est également possible.

 

Cette fonction de télémétrie reste sous le contrôle de l’utilisateur et de l’entreprise

La CNIL ne s’est jamais  opposée à Windows 10

Finalement, explique Bernard Ourghanlian, en esquissant enfin un premier sourire dans une présentation qu’il avait démarrait sur un ton très grave, « la CNIL, qui avait été consulté en amont n’a émis aucun avis négatif, et n’a pas surenchéri aux différents commentaires ». Windows 10 propose beaucoup de fonctionnalités : Windows Hello, la biométrie avec empreinte faciale ou iris. Toutes les données restent sur le terminal de l’utilisateur et « ne partent pas dans le cloud ». Bernard Ourghnalian reconnait un manque de transparence initial qui a laissé le champ libre quelques semaines à de de trop  nombreuses craintes.

Un système d’exploitation « Windows as a Service » qui conjugue stabilité et sécurité à travers un processus de développement maîtrisé

Bernard Ourghanlian expose ensuite la vision de Microsoft pour proposer un « Microsoft as a Service » avec Windows 10. La télémétrie, sans recueil de données à caractère personnel est le moyen, mais pas l’objectif. Quel est le marché demande-t-il ? 850 millions de systèmes grand public, mis à jour avec windows update d’un côté. Et 850 autres millions de systèmes professionnels qui bénéfice de systèmes de mises à jour après validation de celles-ci par le grand public. Soit un total de l’ordre de 1,7 milliard de systèmes d’exploitation en service dans le monde !

Les usages sont cependant extrêmement variés : grand public, bureautique professionnelle, systèmes spécifiques, systèmes critiques, et systèmes industriels. La logique de chacun d’entre eux lui est propre.

Pour en tenir compte, Bernard Ourghanlian explique qu’il oser changer certains processus et remettre en cause certaines habitudes. La notion de service pack (SP) va donc disparaître. Les correctifs critiques et correctifs de sécurité vont être gérés indépendamment des évolutions fonctionnelles. Windows 10 est donc une version de rupture totale avec ce qui a précédé.

Le processus est celui de :

·   Développement d’une nouvelle version ;
·   Tests des développements ;
·   Validation interne sur quelques dizaines de milliers d’utilisateurs ;
·   Puis test avec plusieurs millions (5 millions) de « Windows insiders » durant 4 à 6 mois ;
·   Vient ensuite la mise à disposition d’une version commerciale pour plusieurs centaines de millions d’utilisateurs durant 4 mois ;
·   Et enfin l’ouverture d’une « current branch » professionnelle durant 8 mois et la solution entre en phase d’exploitation pour une durée de 10 ans avec une maintenance et une correction de toutes les questions de sécurité. Après 1 an, la version entre dans une phase de « long terme service branch » supportée 10 ans, sans changement fonctionnel, pour garantir une stabilité d’exploitation.

Tout en laissant un espace à la création de nouvelles fonctionnalités pour faire vivre ensemble et en parallèle différents systèmes avec différentes fonctionnalités, tous maintenus 10 ans.

Mais, nous explique Bernard Ourghanlian le processus de maintenance et de conservation de la stabilité du système d’exploitation ne peut se faire au détriment de l’innovation et de l’ajout de bouvelles fonctionnalités. De nouvelles versions vont donc être développées sur une rythme annuel sans mettre en cause l’engagement de maintenance des précédentes versions sur une durée de 10 ans.

Et ces évolutions vont donner matière à créer des versions professionnelles du système d’exploitation qui seront exploités et maintenus dans la durée.

Enfin explique Bernard Ourghanlian, la réalité de l’exploitation d’un tel système est cruelle, avec plusieurs centaines de milliers de malwares par jour et des changements de hardware réguliers. Il faut réaliser un effort considérable avec une multitude de mises à jour. L’utilisateur et l’entreprise doivent être dégagés des questions de tests récurrents grâce à l’apport de connaissance de Microsoft issu de la télémétrie.


C’est la philosophie de Windows 10. Il reste possible de définir des fenêtres de maintenance en mode peer to peer en utilisant un poste qui diffuse les mises à jour aux autres équipements de l’entreprise.  C’est ainsi que Microsoft propose Windows as a service explique Bernard Ourghanlian. Les grandes évolutions fonctionnelles se résument dans le tableau suivant :

 

Regard sur l’évolution du monde et de ses menaces

Tout ceci répond conclue Bernard Ourghanlian aux besoins de sécurité dans le monde actuel, qu’il résume à travers le schéma suivant :




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 135788
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS



Événements SSI

LES ASSISES

Grand rendez-vous annuel des RSSI, les Assises de la sécurité des systèmes d'information se tiennent à Monaco (Grimaldi Forum) du 9 au 12 octobre 2019. Organisées par DG Consultants.

Présentation par l'organisateur



Retour sur Les Assises 2018

La 18ème édition des Assises de la Sécurité à Monaco, c’est terminé ! Encore merci aux 2800 participants dont les 160 partenaires qui pendant trois jours se sont retrouvés pour faire vivre cet événement unique en France. Conférences, one-to-one, tables-rondes, ateliers, moments de networking… Par leur contenu, par la qualité des visiteurs et par la richesse des échanges, les Assises se positionnent plus que jamais comme le rendez-vous incontournable de tous les professionnels de la cybersécurité. A l’image du marché qui ne cesse d’évoluer, les Assises savent adapter leur offre afin de répondre au mieux aux attentes du secteur. Ainsi cette édition a-t-elle voulu mettre en avant les grands enjeux du moment en multipliant les prises de parole, les démonstrations et les retours d’expérience.

Rendez-vous maintenant pour la prochaine édition qui aura lieu du 9 au 12 octobre 2019

Plus d'informations sur le site dédié à l'événement.

TRUSTECH

Cet événement international dédié aux paiements, à l'identification et à la sécurité est organisé à Cannes (palais des festivals) du 26 au 28 novembre 2019. Organisé par Comexposium.

Présentation de l'événement par l'organisateur

Les professionnels de la carte et des technologies de la confiance numérique se donnent à nouveau rendez-vous à TRUSTECH du 26 au 28 novembre 2019 au Palais des Festivals de Cannes pour l’événement annuel phare de leur écosystème.
Créé il y a plus de 30 ans sous le nom CARTES SECURE CONNEXIONS afin de promouvoir une technologie qui venait de naître, celle de la carte à puce, l’événement est rebaptisé TRUSTECH en 2016 pour mieux refléter l’évolution du secteur.
Mix plébiscité entre salon, congrès et lieu d’échanges, TRUSTECH 2019 englobe toutes les technologies impliquées sur les marchés liés aux paiements, à l'identification et à la sécurité.
En tant que Marketplace globale, TRUSTECH accueillera plus de 250 exposants internationaux, sponsors et startups, qui présenteront leurs dernières innovations, annonceront les lancements de produits et solutions sur leur stand ou à travers des sessions de pitch sur l’Innovation Stage, espace situé au cœur de l’événement.
Cette année, le cycle des conférences proposera durant 3 jours un contenu de pointe axé sur trois grands thèmes alignés sur l’offre TRUSTECH: Paiements, Identification et Sécurité.

Plus d'infos sur le site de l'événement.

FIC

Ayant pour thème cette année "Replacer l'humain au coeur de la cybersécurité", le Forum International de la Cybersécurité occupe les 28, 29 et 30 janvier 2020 le Grand Palais de Lille. Organisé par la Région Hauts-de-France et Euratechnologies, la Gendarmerie Nationale et CEIS.

Présentation par l'organisateur

Véritable plateforme d'échanges et de rencontres, le Forum International de la Cybersécurité (FIC) s'est imposé comme l'événement de référence en Europe en matière de sécurité et de confiance numérique. Son originalité est de mêler :
UN FORUM favorisant la réflexion et l'échange au sein de l'écosystème européen de la cybersécurité,
UN SALON dédié aux rencontres entre acheteurs et fournisseurs de solutions de cybersécurité.
Plus d'informations sur le site de l'événement.
RSS