Windows Update accusé d’espionnage
Le site allemand TecChannel révèle, contre 2 euros, ce que lit réellement le service Windows Update de Microsoft sur la machine de l’utilisateur. Au delà des risques d’espionnage personnel qui subsistent quand on ouvre l’accès de son disque dur à l’extérieur, TecChannel pose une question récurrente : peut-on faire confiance à Microsoft?
« Quand vous connectez votre ordinateur au site Windowsupdate.com de Microsoft, vous révélez à l’éditeur beaucoup d’informations propres à votre ordinateur. » Le site allemand TecChannel.de n’a visiblement aucune confiance quand Microsoft annonce que « Windows Update ne recueille aucune information d’identification personnelle de votre ordinateur ». Si c’était effectivement le cas jusqu’à présent, « les temps ont changé », toujours selon le site allemand qui évoque des versions récentes du système de mise à jour automatique de Windows.
Le site allemand a constaté qu’au moment de la mise à jour de la machine, Windows Update n’envoyait pas seulement des données dans le sens serveur-machine de l’utilisateur mais aussi dans l’autre sens, de la machine de l’utilisateur vers les serveurs de Microsoft. Des données évidemment chiffrées selon le protocole SSL (Secured Socket Layer) que les auteurs de l’article sont parvenus à déchiffrer grâce à un outil maison, TecDump. Mais pour savoir ce que Windows Update « regarde » précisément sur le disque dur de l’utilisateur, il faut payer. En effet, TecChannel commercialise 2 euros le résultat de ses travaux.
A la recherche de produits concurrents
Rappelons que Windows Update est obligé de scanner un certain nombre de fichiers présents sur l’ordinateur distant afin de proposer ses mises à jour. TecChannel sous-entend que le service scrute le disque dur plus loin que nécessaire. Si c’est effectivement le cas, il y a des chances pour que Microsoft recherche les produits concurrents installés. Mais comme le souligne un des participants au forum ouvert sur SlashDot : « Sincèrement, est-ce que quelqu’un pense que Microsoft se contente de collecter uniquement les informations de mise à jour? »