Le Spyware dans Windows XP

Nicolas Ru
EdelWeb Nicolas.ruff@edelweb.fr

1
1.1

Introduction
Contexte

Le SpyWare, en lien avec le respect de la vie prive, est un sujet a la mode en e ` ce moment - tout particuli`rement dans ce contexte de lutte contre le terrorisme e o` nos liberts individuelles sont menaces. u e e En France des lois de plus en plus restrictives sont adoptes (Loi Scurit e e e Quotidienne, Loi sur la Conance dans lEconomie Numrique), dont certaines e autorisent des formes despionnage lgal (coute, conservation de traces). e e Le gant Microsoft fait na de nombreuses angoisses compte-tenu de lhgmonie e tre e e du syst`me dexploitation Windows et de la facilit avec laquelle celui-ci pourrait e e se transformer en instrument despionnage mondial (si ca nest dj` le cas). ea De nombreuses alertes - dont la mdiatisation nest pas toujours proportione nelle au risque rel (ex. supercookie Windows Media), ainsi que les nouveauts e e de Windows XP telles que le Product Activation, ont contribu a diminuer e` la conance des utilisateurs naux que nous sommes. Sans parler des initiatives TCPA et Palladium, dont il ne sera pas question ici, mais qui prgurent un e avenir connect. e 1.2 Objectif

Lobjectif de cette prsentation est de faire un tour dhorizon des principales e nouveauts de Windows XP dont la fonction est de pr`s ou de loin dpendante e e e dune communication avec un serveur Web Microsoft. Une analyse factuelle des sites contacts, des informations changes et des possibilits dexploitation de e e e e ces informations par Microsoft sera ralise lorsque cela est possible. e e Cette prsentation souhaite rester objective sans alimenter de fantasmes, e tout en mentionnant les zones dombre qui persistent des mcanismes chappant e e a lanalyse. Enn des solutions concr`tes et applicables pour limiter les ux a ` e ` destination dInternet seront proposes en guise de conclusion. e 1.3 Moyens

Le document de rfrence de cette tude est un white paper Microsoft de ee e pr`s de 200 pages ddi au th`me des communications avec Internet : e e e e

Actes du symposium SSTIC03

Using Windows XP Pro SP1 in a Managed Environment : Controlling Communication with the Internet Ce document a t dcortiqu et valid sur direntes plateformes de test ee e e e e au sein du laboratoire R&D de EdelWeb. Les rsultats de ces travaux, ainsi e que dautres mens par des socits tierces (tels que les auteurs des outils Ade ee Aware ou XP AntiSpy) sont prsents ici. e e

2 3

Noyau Installation

D`s linstallation, Windows recherche une connexion rseau an daccder e e e aux sites de mise a jour et dactivation produit. ` Windows dispose pour cela de 2 mthodes : e Conguration manuelle Autodtection de la conguration rseau, selon les mthodes dcrites cie e e e dessous Mthode 1 : via des options DHCP e Si la conguration de linterface rseau a t obtenue depuis un serveur e ee DHCP, Windows envoie un message DHCP Inform a ce serveur pour lui de` mander les options suivantes : Informations envoyes e 12 Hostname = machine name 53 Message Type = Inform 60 Vendor = MSFT 5.0 61 Client ID = Ethernet + MAC Address 55 Parameters (cf. ci-dessous) Informations demandes e 1 : subnet 3 : router 6 : DNS 12 : hostname 15 : domain name 31 : router discovery 33 : static route 43 [param`tres spciques au vendeur] Non document e e e 44, 46, 47 : NetBT conguration 249 [extension Microsoft] Non document e 252 [extension Microsoft] Option WPAD (cf. Q296591) Mthode 2 : via une requte DNS e e Windows utilise lextension WPAD (Web Proxy Auto Discovery) : il eectue une rsolution DNS sur le nom wpad.domaine, o` domaine instancie tous les e u domaines connus du client.

Actes du symposium SSTIC03

Remarque : dapr`s la documentation disponible, les mcanismes dautocone e guration ont t amliors dans Windows 2003. ee e e 3.1 Activation

Prsentation gnrale Il ne faut pas confondre activation et enregistree e e ment du produit. Lactivation permet dobtenir une licence dnitive a partir de la cl de e ` e licence colle sur le bo e tier du CD. Elle est obligatoire sous 90 jours. Les cls de licence dites en volume outrepassent cette fonction. Lobjectif e principal annonc par Microsoft est la lutte contre le piratage. e Lenregistrement permet de dclarer aupr`s de Microsoft linstallation de e e logiciels. Cette opration est facultative. e Dtails techniques Le processus dactivation du produit est complexe et tr`s e e bien document par le site http://www.licenturion.com/xp/. Pour rsumer, e e la cl de licence temporaire est utilise en conjonction avec les param`tres cie e e dessous et dautres lments tels quune cl Microsoft et un ala pour gnrer ee e e e e un ID dinstallation. A cet ID correspond une cl de licence dnitive qui ne e e peut tre calcule que par le support Microsoft. Les algorithmes utiliss (MD5 e e e et SHA-1 entre autres) sont a sens unique et ne permettent pas de reconstituer ` les informations initiales. Param`tres matriels pris en compte : e e Numro de srie de la partition syst`me e e e Adresse MAC de linterface rseau e Cha didentication du CD-ROM ne Cha didentication de la carte graphique ne CPU ID Cha didentication du disque dur ne Cha didentication de la carte SCSI ne Cha didentication du contrleur IDE ne o Mod`le de CPU e RAM installe (en puissances de 32 Mo) e Syst`me amovible ou non e D`s lors que plus de 3 des param`tres ci-dessus sont modis, le produit doit e e e tre ractiv. e e e Loutil denregistrement est MSOOBE.EXE (%WinDir%\System32\OOBE) pour Out Of the Box Experience. Celui-ci supporte 2 mthodes de transe mission : le tlphone ou Internet. Dans ce dernier cas, cest le site http: ee //wpa.one.microsoft.com/ qui est contact. e Le stockage de la cl de licence dntive seectue dans : e e %WinDir%\System32\wpa.dbl HKLM\SYSTEM\WPA

Actes du symposium SSTIC03

Un journal des oprations se trouve dans %WinDir%\setuplog.txt e Pour plus dinformations, se reporter au site http://www.microsoft.com/ piracy/basics/activation/ A titre indicatif lenregistrement du produit seectue via le site http:// reg.register.microsoft.akadns.net/ (noter le DNS dynamique !). 3.2 Explorer.exe

Explorer est linterface graphique utilisateur par dfaut. Il existe de nome breuses interactions entre Explorer et le monde extrieur dans la conguration e par dfaut : e Les raccourcis rseau (Favoris rseau) et Web sont vris a louverture e e e e ` de session et lors de tout rafra chissement (ex. touche F5). Option (active par dfaut) rechercher automatiquement les dossiers et e imprimantes partages e Option cette copie de Windows est-elle lgale ? achant une page du e site Microsoft Loutil assistant recherche du menu dmarrer est particuli`rement reprsentatif e e e de ce point de vue : Son interface est compl`tement Web (HTML + VBE) e Le site de recherche par dfaut est http://ie.search.msn.com/ (persone nalisable - il est possible dutiliser Nomade, etc.) Le rpertoire de stockage des chiers de lapplication est %WinDir%\srchasst e Ceux-ci se mettent a jour automatiquement depuis Internet a chaque ` ` usage de la fonction ! Paramtrable par la cl de base de registre Use Search Asst. e e Le dlai de conservation des journaux ct serveur (recherches eectues) e oe e annonc par Microsoft est de 1 an. e Ce composant ache de la pub ... Pour mmoire, il semble judicieux de rappeler ici que linterface Explorer soure e de nombreux probl`mes de scurit autres que les acc`s Internet : e e e e Linterface Explorer par dfaut est une page Web, personnalisable a laide e ` du mod`le folder.htt. Elle partage son moteur de rendu (et ses vulnrabilits) e e e avec Internet Explorer. Certaines extensions de chier ne sont pas aches par dfaut mme si e e e loption globale est active (ex. .SHS, .<GUID>) e Il est possinble dexcuter des chiers indpendamment de leur extension e e via la ligne de commande (ex. renommer un .EXE en .PDF permet toujours de le lancer via un CMD). Lordre de recherche par dfaut des excutables est dangereux puisquil e e inclut le rpertoire courant avant les rpertoires syst`me e e e Pour les DLLs, ce comportement est paramtrable par la cl de base de e e registre SafeDllSearchMode. Etc... Toutes ces failles tant ou pouvant tre exploites par du code malveillant (ex. e e e virus).

Actes du symposium SSTIC03

3.3

Aide et support

La fonction daide et support dispose elle aussi dune interface compl`tement e Web, stocke dans le rpertoire : e e %WinDir%\PCHealth\HelpCtr\. Certaines sections proviennent directement dInternet : Rubrique Le saviez-vous ?, mise en cache dans le rpertoire : e %WinDir%\PCHealth\HelpCtr\Config\ (chiers NewsSet.xml et \News\NewsVer.xml), et issue des liens http://go.microsoft.com/fwlink/?LinkID=11 http://windows.microsoft.com/windowsxp/newsver.xml Recherche dans MSDN (qui transmet la langue et le type de produit install) e Ce fonctionnement est paramtrable via la cl de base de registre Headlines e e et les Options de recherche. Enn une des fonctions les plus impressionnantes est la possibilit de prise e en main du poste par Microsoft via la fonction Remote Assistance. Pour cela Microsoft dispose du compte prinstall SUPPORT 388945a0, membre e e du groupe HelpServicesGroups. Il sut a lutilisateur de se connecter au site ` https://webresponse.one.microsoft.com/. A noter que cette fonction est extensible par les OEM. 3.4 WindowsUpdate

WindowsUpdate est le site de distribution des mises a jour logicielles (in` cluant les mises a jour de scurit) pour les produits Windows / Internet Ex` e e plorer. Ce site peut tre consult manuellement, via un raccourci du menu e e dmarrer, ou via les fonctions de type Dynamic Update, Auto Update, etc. e les mcanismes sous-jacents sont identiques. e Attention : ce site ne diuse aucune mise a jour pour dautres produits tels ` que Oce, SQL, Exchange, etc. cest une des raisons de la propagation du ver SQL/Slammer. Le fonctionnement de ce site est relativement complexe et repose sur plusieurs composants : Un contrle ActiveX sign : UpdateClass (de taille 100 Ko) o e http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl. CAB Un site Web http://www.windowsupdate.com/ (alias) http://windowsupdate.microsoft.com/ Un moteur de traitement partag entre client et serveur e Script ct client oe Fichier XML ct serveur oe https://v4.windowsupdate.microsoft.com/getmanifest.asp https://v4.windowsupdate.microsoft.com/consumerdrivers/getmanifest. asp

Actes du symposium SSTIC03

Des rpertoires de travail ct client e oe C:\Program Files\WindowsUpdate C:\WUTemp Des journaux dinstallation Historique des installations IUHIST.XML %WinDir%\Windows Update.log %WinDir%\Setupapi.log (journal global des installations) Une analyse des changes rseau conrme quaucune information nominative ou e e sensible ne transite sur le rseau. On notera toutefois les points suivants : e WindowsUpdate, ainsi que dautres fonctions syst`me telles que le rapport e derreur, exploitent le service Upload Manager, qui eectue des transferts en arri`re plan. Ce service prsente des zones dombre car : e e Il eectue des transferts de mani`re asynchrone donc dicilement anae lysables Il est dmarr par SVCHOST donc dicile a ltrer mme avec un rewall e e ` e personnel Son API nest pas documente e Les communications avec le serveur nutilisent pas HTTPS pour le tlchargement ee des correctifs. Ceux-ci sont signs, mais les mcanismes de vrication de e e e la signature ne sont pas connus (serait-il possible de prsenter nimporte e quel excutable sign ou celui-ci doit-il provenir de Microsoft ?) e e A titre anecdotique, on notera les points suivants : Il existe une adresse IP en dur dans le contrle ActiveX : 207.46.226.17. o Cette adresse ne correspond pas a une machine accessible depuis Internet. ` Commentaire tir dune page WindowsUpdate e // Do not Remove this else. Bug 16783 (If u remove this else, then for IE5 when we redirect to another page in above line, then it ashes an Action Cancelled page for a sec) 3.5 Rapport derreur

Il existe 2 types de rapport derreur : le rapport derreur applicatif et le rapport derreur syst`me (noyau). Dans les 2 cas Windows propose de remonter e linformation sur le site Microsoft http://watson.microsoft.com/. Les informations suivantes gurent dans un rapport derreur applicatif : Adresse IP (lors de la transmission) Product ID Minidump (document dans le Platform SDK) e Threads (informations standard et tendues). e Modules (chargs et dchargs). e e e Donnes dallocation mmoire (32 et 64 bits). e e Gestionnaire dexceptions. Informations syst`me. e Commentaires. Handles. Fonctions exportes. e

Actes du symposium SSTIC03

Windows 2003 Donnes du processus (ID, temps dexcution). e e Champs rservs (inutiliss dans Windows XP) e e e Les informations suivantes gurent dans un rapport derreur syst`me : e Adresse IP (lors de la transmission). Informations matrielles. e Processeurs, RAM. Drivers installs et drivers chargs (verbeux). e e Informations logicielles (OS, version, langue). Message derreur. Contexte dexcution. e Pile noyau. Ces informations sont transmises au reboot suivant a laide du service Upload ` Manager. Dans les deux cas aucune information sensible ne transite volontairement dans le rapport derreur, toutefois les dumps mmoire peuvent fort bien contee nir des bribes de documents, des cls ou des mots de passe. Il est regrettable e que lutilisateur ne puisse pas slectionner individuellement les informations quil e souhaite transmettre, comme cest le cas avec le service de rapport derreur de Netscape par exemple. Le composant responsable de la gnration du rapport est DrWatson : e e %WinDir%\System32\dwwin.exe). La transmission seectue a laide des protocoles HTTP et HTTPS (pour le ` contenu du rapport uniquement). Il est intressant de conna e tre le site Corporate Error Reporting (http: //oca.microsoft.com/), qui permet la consultation des rapports transmis pendant 180 jours. 3.6 Authentication Passport

Passport est une solution de SSO a lchelle du Web, dveloppe par Mi` e e e crosoft et intgre nativement aux derni`res versions de Windows (XP, 2003), e e e Internet Explorer (6.0) et IIS (6.0). Cette authentication est dores et dj` ea indispensable pour accder aux services suivants : e Services Microsoft (MSDN, Beta Previews, etc.). Spin-os Microsoft : MSN, Hotmail, Messenger ... Sites partenaires (liste compl`te sur http://www.passport.net/) e Le seul concurrent direct de cette initiative est le projet Liberty Alliance (http: //www.projectliberty.org/) qui nen est qu` ses dbuts. a e Le principe de fonctionnement repose sur un serveur central dauthentication (base de donnes utilisateurs) et lutilisation de cookies sur le poste client. e Les sites centraux sont : http://register.passport.net/ https://login.passport.com/ https://nexus.passport.com/ (remarque : nexus est un terme utilis e dans Palladium)

Actes du symposium SSTIC03

Les risques pour la condentialit des donnes nominatives fournies au syst`me e e e Passport (allant jusqu` des numros de carte bleue) sont tr`s importants : a e e La base de donnes dinformations nominatives est partage entre tous les e e partenaires - lutilisateur est cens conserver un niveau de contrle sur la e o diusion de linformation mais rien ne lui garantit que ses prfrences ee sont respectes par le syst`me central. e e Ce syst`me permet un tracking a des ns marketing de lactivit utilie ` e sateur. Les risques de vol dinformation par des tiers malveillants sont rels, puisque e des vulnrabilits ont dj` identies par le pass : ex. cookie PPTe e ea e e Prof=... contenant des informations en clair. Pour plus dinformations on se reportera au Passport SDK. A titre dinformation sur les vulnrabilits : e e http://www.tcpdemux.com/products/netintercept/casestudies/passport 3.7 Login Web

Ce chapitre couvre deux modes tr`s dirents de gestion des authentiant e e par Internet Explorer : Lauthentication native HTTP (de type .htaccess). Lauthentication applicative (formulaires). Authentication native Les modes dauthentication supports par IE 6.0 e SP1 sont : Anonymous (pas dauthentication) Basic (mot de passe en clair - RFC2617) Basic sur connexion SSL Digest Authentication (MD5 avec secret partag - RFC2617) e Challenge/Response NTLM Passport Client Certicates (certicats clients SSL). Fortezza (solution a base de certicats). ` Le risque est bien entendu quun authentiant connu du syst`me (ex. login Wine dows) soit pass par dfaut dans un contexte de connexion inappropri (ex. e e e acc`s a un site Internet). Suite a des avis de scurit sur le sujet, les param`tres e ` ` e e e dauthentication par dfaut sont dsormais : e e Zone Internet, Sites sensibles : demander le mot de passe. Zone Intranet, Sites de conance : login automatique (avec le login Windows !). Les risques sont donc limits au rseau interne. On notera que le client Telnet e e prsentait le mme type de comportement dangereux (cf. MS00-067). e e Authentication applicative Internet Explorer propose plusieurs options de saisie semi-automatique :

Actes du symposium SSTIC03

Adresses Web. Contenu des formulaires. Logins dans les formulaires. Mots de passe dans les formulaires. Les mots de passe sont stocks dans le Protected Storage, cest-`-dire la cl : e a e HKCU\Software\Microsoft\Protected Storage System Provider (invisible par dfaut, mme aux administrateurs). e e Suite a de nombreux probl`mes de scurit dans les versions antrieures de ` e e e e Windows, ce Protected Storage ore dsormais une API de stockage scuris e e e unique pour les applications. Cet emplacement de stockage est chir avec le e mot de passe de login Windows. Il est toutefois possible (sous certaines conditions) daccder aux donnes e e contenues dans cet emplacement (cf. outils IE Password Revealer, sites LostPassword, Elcomsoft, etc.). Il est donc recommand de dsactiver toute forme de saisie semi-automatique e e dans Internet Explorer. 3.8 Synchronisation horaire

Par dfaut les postes XP utilisent une synchronisation horaire e Dans le cas dune machine en domaine, le serveur par dfaut est le contrleur e o de domaine dni comme source de temps. e Dans le cas dune machine en Workgroup, le serveur par dfaut est e time.windows.com (alternativement time.nist.gov). Lintervalle de mise a jour par dfaut est de 1 semaine. ` e Ce comportement est paramtrable dans la cl de base de registre e e HKLM\System\CCS\Services\W32Time. Le protocole NTP standard est utilis. Aucune information indsirable nest e e transmise.

4
4.1

Composants prinstalls e e
Windows Media Player

La version de Windows Media Player livre avec Windows XP SP1 est la 8.0. e Curieusement celle-ci nest pas tlchargeable sur le site de Microsoft, seule les ee versions 6.4, 7.0 et 9.0 tant publiques. e Windows Media est typiquement une application faisant un usage immodr e e dInternet, par exemple pour les fonctions suivantes : Acquisition de licences (DRM). Acc`s a des services en direct (contenu a la demande, radios). e ` ` Base de mtadonnes CD et DVD (en lecture/criture). e e e Tlchargement de codecs. ee Mises a jour logicielles. ` Skins et visualisations.

10

Actes du symposium SSTIC03

Media Library, Media Guide, Newsletter MSN, ... Le site de rfrence pour tous ces acc`s est http://www.windowsmedia.com/. ee e Les risques associs sont tr`s importants. Outre les probl`mes datteinte a la e e e ` vie prive, Windows Media tant un superbe outil de marketing personnalis, il e e e existe des probl`mes de scurit intrins`ques : e e e e Le lecteur Windows Media poss`de un identiant unique (GUID), utilis e e techniquement pour assurer la qualit de service sur les serveurs de contenu e a la demande. Windows Media tant un composant ActiveX scriptable par ` e des tiers, ce GUID permet didentier un poste de mani`re unique via un e navigateur : il sagit de la notion de supercookie. Les skins et visualisations sont des archives ZIP incluant du contenu actif, do` un risque dexcution de code malveillant. u e 4.2 Internet Explorer

Windows XP SP1 est livr avec la version 6.00.2600.1106 dInternet Explorer. e Bien que les couches supercielles du logiciel puissent tre supprimes, il nest e e eectivement pas possible de dsactiver le moteur de rendu HTML contenant la e majorit des bogues, celui-ci tant exploit par dautres outils tels que Explorer. e e e Les acc`s Internet inattendus eectus par IE sont les suivants : e e Page initiale, permettant llaboration de statistiques dinstallation. e http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome Spyware Alexa (dtect par loutil Ad-Aware). e e En lien avec loption eectuer des recherches depuis la barre dadresses. Option Vrier les signatures des programmes tlchargs. e ee e Option Vrier la rvocation des certicats. e e Option Vrier la rvocation des certicats de lditeur. e e e Option Vrier automatiquement les mises a jour de IE. e ` Option Windows Mise a jour des certicats racine. ` Si un certicat SSL sign par une autorit inconnue est prsent, une e e e e mise a jour de la base des autorits racine est dclenche depuis le ` e e e site http://www.download.windowsupdate.com/msdownload/update/ v3/static/trustedr/en/authrootseq.txt Internet Explorer dans sa conguration par dfaut communique donc rguli`rement e e e avec des sites Microsoft, toutefois aucune information sensible nest change. A e e noter quInternet Explorer est aussi une source privilgie pour linstallation de e e Spywares tierce partie par le biais des mcanismes suivants : e Gestion des cookies (par dfaut le navigateur utilise P3P). e Options Activer les extensions tierce partie, Activer linstallation a la ` e demande, Elments installables du bureau. Bogues permettant dexcuter du code ... e 4.3 Windows Messenger Windows XP SP1 est livr prinstall avec Windows Messenger 4.7. e e e

Actes du symposium SSTIC03

11

Ce composant utilise indiremment et simultanment les 3 services dane e nuaire suivants : Exchange 2000 (si congur). e Serveur SIP (Session Initiation Protocol) - RFC 2543. Serveur Microsoft avec authentication Passport. En direct : http://messenger.hotmail.com:1863/. Via un proxy : POST. http://gateway.messenger.hotmail.com/gateway/ gateway.dll?Action=open&Server=NS&IP=messenger.hotmail.comHTTP/ 1.1 Le protocole de base est HTTP, celui-ci servant a encapsuler 2 sous-protocoles ` propritaires : e Des commandes de type XYZ [param`tre 1] [param`tre 2] [...]. e e Des donnes de type MIME propritaire (ex. application/x-msn-messenger, e e text/x-msmsgsprole, ...) vhiculant des donnes partiellement brouilles e e e selon un algorithme inconnu. Les risques associs a lutilisation de ce composant sont : e ` La divulgation dinformations personnelles en clair (via le protocole HTTP). Un syst`me a serveur central donc adapt a la traabilit et au contrle. e ` e` c e o Un niveau dinformations changes inconnu a cause du brouillage des e e ` donnes. e Exemple de contenu captur : e Content-Type: text/x-msmsgsprofile; charset=UTF-8 EmailEnabled: 1 MemberIdHigh: 9xxxx MemberIdLow: -2114xxxxxx lang_preference: 1036 preferredEmail: xxxxxxx@hotmail.com country: FR PostalCode: 75010 Gender: m Kid: 0 Age: 26 verb+BDayPre : 2+ verb+Birthday : 2.821600e 004+ verb+ Wallet : 0+ verb+Flags : 1027+ verb+sid : 507+ verb+kv : 4+ verb+MSPAuth : 4n3lILtj1DTLjIKvsjAeFx3NL3kmxyhl5V5207HY !tFCSReUcu...+ verb+ClientIP : 212.xxx.xxx.xxx+ verb+ClientPort : 0+

12

Actes du symposium SSTIC03

Oce XP

Les probl`mes de condentialit lis a la suite Oce XP ne seront que e e e ` bri`vement voqus, puisque le sujet a t trait dans le magazine MISC n 7 e e e ee e (La fuite dinformation dans les documents propritaires). e Les principaux reproches adresss a la suite Oce sont : e ` Forte intgration avec le syst`me Windows. e e Ex. Word devient lditeur HTML par dfaut. e e Forte intgration des produits entre eux. e Ex. envoyer un document Word avec Outlook modie les proprits du ee document. Parmi les risques bien documents on peut citer : e La verbosit des proprits du document (auteur, temps ddition, chemins e ee e UNC). Lenregistrement de lhistorique du document (versions antrieures). e Les Word bugs. Les risques lis aux macros et labsence de solution satisfaisante. e Le vol de donnes par les champs de fusion. e Lutilisation de ladresse MAC comme GUID. Etc...

Les solutions

Tous les probl`mes voqus prcdemment ne sont pas sans solution (heureue e e e e sement). A laide des possibilits oertes par le syst`me lui-mme, il est possible e e e de modier le paramtrage par dfaut (souvent insatisfaisant) et de dsactiver e e e les acc`s Internet des composants : e Via linterface graphique. Via des cls de base de registre. e Via les GPO. Via les Administration Kits (ex. IEAK). A noter que Windows poss`de un param`tre de conguration global du Proxy, e e qui permet de rediriger les acc`s Internet indus vers /dev/null. Il reste ensuite e a utiliser des logiciels grant des param`tres Proxy personnaliss (ex. Netscape). ` e e e Enn dautres mesures pourraient tre : e Dsintaller les composants cachs (chier SYSOC.INF). e e Utiliser la fonction de restriction dexcution. e Mettre en place des miroirs internes (ex. MSUS). Lorsque le syst`me sav`re insusant pour bloquer un composant spcique, e e e il est possible dutiliser des outils tiers tels que rewall personnel ou logiciel de conguration anti-spyware. Une solution radicale consiste a isoler les syst`mes Windows XP de tout acc`s ` e e Internet, ....

Actes du symposium SSTIC03

13

Conclusion

Le sujet des interactions entre Windows XP et les sites Microsoft est loin dtre clos (voir annexe A),... e Windows XP SP1 communique rguli`rement avec des sites Internet, de e e mani`re plus ou moins documente et/ou congurable. Ces fonctions sont ace e tives par dfaut mais dans la plupart des cas dsactivables. e e e Une tude plus pousse montre que les informations collectes par Microe e e soft sont individuellement peu signicatives, mais leur recoupement permettrait dobtenir un puissant outil de marketing personnalis. Seules quelques fonctions e (telles que Remote Assistance ou Passport) mettent en pril de faon signicative e c la scurit du syst`me ou des informations quil contient. e e e Dautre part les informations transmises bncient dun niveau de protection e e tr`s htrog`ne (protocoles HTTP ou HTTPS, chirement, brouillage, protocole e ee e propritaire, etc...). e On notera avec plaisir quil existe des moyens de se protger, le plus simple e tant de ne pas renseigner ladresse de son Proxy au niveau de Windows. e

Rfrences ee
1. Using Windows XP Pro SP1 in a Managed Environment : Controlling Communication with the Internet, http://technet.microsoft.at/includes/file.asp?ID= 4668 2. XP Anti-Spy, http://www.xp-antispy.de/ 3. Windows XP shows the direction Microsoft is going, http://www.hevanet.com/ peace/microsoft.htm 4. Microsoft Secrets, http://www.securityoffice.net/mssecrets/

Sujets non traits e

Application Help / Driver Protection / Assistant Compatibilit. Mie crosoft maintient une base dapplications incompatibles et de correctifs : APPHELP.SDB + SYSMAIN.SDB / DRVMAIN.SDB. Cette liste est mise a jour par WindowsUpdate. ` Device Manager.- Les pilotes signs peuvent tre mis a jour en 1 click. e e ` Cette fonction est gre par WindowsUpdate. e e Journal dvnements.- La plupart des vnements syst`me contiennent e e e e e un raccourci vers un site explicatif : http://go.microsoft.com/fwlink/ events.asp. Ce site est congurable via les cls suivantes : e MicrosoftRedirectionURL. MicrosoftRedirectionProgram. MicrosoftRedirectionProgramCommandLineParameters. Associations de chiers.- Cliquer sur un chier dont lextension nest pas associe provoque la redirection vers un site Microsoft : http://shell. e

14

Actes du symposium SSTIC03

windows.com/fileassoc/nnnn/xml/redir.asp?ext=AAA (Nnnn = langue, AAA = extension) Cette option est congurable via la cl NoInternetOe penWith. Jeux on line.- Se connectent au site http://www.zone.msn.com/ Netmeeting.- Se connecte a un serveur ILS au choix (par dfaut : ` e netmeeting.microsoft.com). Les ports utiliss sont : TCP/389, TCP/522, e TCP/1503, TCP/1720, TCP/1731 + ports dynamiques. Online Device Help, Plug-and-Play.- Aide en ligne pour la recherche de drivers si un priphrique inconnu est dtect ou lors de linsertion de e e e e nouveaux priphriques. Transmet le prol matriel du priphrique (PnP e e e e e ID). Site http://www.microsoft.com/windows/catalog/ Outlook Express 6. Universal Plug-and-Play.- Requtes UDP/1900 pour la dtection de matriel e e e rseau. e MSN Explorer.- Portail Internet Microsoft.

Sites Microsoft cits dans la prsentation e e

Microsoft.com http://oca.microsoft.com/ http://go.microsoft.com/fwlink/?LinkID=11 http://go.microsoft.com/fwlink/events.asp http://watson.microsoft.com/ http://windows.microsoft.com/windowsxp/newsver.xml http://windowsupdate.microsoft.com/ http://wpa.one.microsoft.com/ http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome http://www.microsoft.com/windows/catalog/ http://www.microsoft.com/piracy/basics/activation/ http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB MSN.com, hotmail.com http://messenger.hotmail.com:1863/ http://gateway.messenger.hotmail.com/ http://ie.search.msn.com/ http://www.zone.msn.com/ Passport.net http://www.passport.net/ http://register.passport.net/ WindowsUpdate http://www.windowsupdate.com/ http ://www.download.windowsupdate.com/msdownload/update/v3/ static/trustedr/en/authrootseq.txt Autres http://reg.register.microsoft.akadns.net/ http://www.windowsmedia.com/

Actes du symposium SSTIC03

15

http://shell.windows.com/fileassoc/nnnn/xml/redir.asp?ext=AAA