Edit : Microsoft vient de reconfigurer son serveur pour que Windows SmartScreen passe uniquement en SSL3. Le Man In The Middle n’est donc plus possible (pour le moment). Ouf !
Le chercheur en sécurité Nadim Kobeissi vient de découvrir que Windows 8 était une sacrée négligence de sécurité mouchard. En effet, dans la dernière version RTM, il y a une fonctionnalité qui s’appelle Windows Smartscreen (Qui est une évolution pour les apps de Smartscreen pour les sites dans IE9), activée par défaut qui permet de vous informer si l’application que vous installez est dangereuse ou non.
Évidemment, pour faire cela, Windows SmartScreen envoie à Microsoft le nom de fichier (codé en base64), le hash et la signature numérique de chaque programme d’install exécuté sur votre ordinateur. Et c’est là que le bât blesse puisque sans que l’utilisateur ait bien conscience de ce qui transite vers les serveurs de Microsoft, il devient très simple de recouper chaque installation de logiciel avec l’adresse IP de l’utilisateur.
Bien sûr, Windows SmartScreen n’est pas forcement simple à désactiver pour les débutants et Windows re-propose son activation sans cesse à l’utilisateur.
Mais au final, c’est pour notre « sécurité » et ce n’est pas très grave, me direz-vous…
Oui, mais… en analysant les trames, Nadim s’est aussi aperçu que Windows Smartscreen se connectait en HTTPS sur le serveur de Microsoft (apprep.smartscreen.microsoft.com, 65.55.184.60), et que ce serveur était un IIS 7.5 configuré en SSL 2.0. Pour info, le SSL 2.0 est troué et n’importe qui utilisant une attaque Man In The Middle peut intercepter les données.
On est donc en présence d’un problème de vie privée… À la fois du côté de Microsoft qui éventuellement pourrait exploiter ces données ciblées par user (grâce à l’IP), voire les donner à des ayants droit ou la police… (COUCOU ici HadopiRiaa, nous avons détecté 2 installations de Photoshop sur votre ordinateur mais vous n’avez pas payé la licence.) Mais le plus grand danger, ce serait surtout dans les pays où la liberté d’expression est une lutte et où les autorités pourraient débusquer facilement qui a installé un Tor Browser ou ce genre d’outils.
Méfiance donc… Et espérons que Microsoft fasse le nécessaire pour régler le problème.
Edit : Et pour désactiver Windows SmartScreen, c’est par ici. Merci à Julien
Merci à Antoine pour l’info !