L'Office fédéral allemand pour la sécurité de l'information, BSI (Bundesamt für Sicherheit in der Informationstechnik) a publié une analyse détaillée de la télémétrie de Windows 10 le 20 novembre 2018.Le document de recherche, disponible en anglais et (partiellement) en allemand, fournit une analyse approfondie des fonctionnalités de télémétrie mises en œuvre par Microsoft dans le système d'exploitation Windows 10 de la société.
Le document est basé sur Windows 10 version 1607 Enterprise et couvre:
- une vue d'ensemble de la fonctionnalité de suivi des événements de Windows 10 pour la télémétrie ;
- une analyse technique sur la manière dont les données de télémétrie sont collectées et traitées ;
- une analyse des interfaces réseau et des connexions utilisées pour transférer les données de télémétrie ;
- une vue d'ensemble des capacités de configuration et de journalisation pour surveiller et contrôler la collecte de données de télémétrie.
Le rapport est plutôt technique et les premières pages ne sont disponibles qu’en allemand. Pour ceux qui ne comprennent pas cette langue, vous pouvez donc commencer par la page 10 où la partie en anglais débute avec un résumé.
Il y est expliqué notamment que :
Envoyé par chercheurs
L’objectif de ce module de travail est l’analyse des fonctionnalités et des propriétés du composant télémétrie de Windows 10. Conformément aux exigences de l’Office fédéral allemand de la sécurité de l’information, la version exacte du système Windows 10 concerné est la version 1607, 64 bits, branche de service à long terme (LTSB) en langue allemande. Le composant télémétrie de ce système collecte les données sur les pannes et l’utilisation du système (appelées données de télémétrie) et les télécharge sur des serveurs distants gérés par Microsoft.
Concepts et termes
La télémétrie collecte les données sur les pannes et l'utilisation du système. Ces données sont principalement produites par le mécanisme de journalisation principal de ce système d'exploitation - ETW (Event Tracing for Windows).
L'architecture d'ETW comprend les composants essentiels suivants: session, fournisseur, contrôleur et consommateur.
Sessions ETW
ETW écrit les événements consignés dans des tampons de noyau désignés. Les threads système livrent des événements consignés aux entités qui les consomment. Les événements consignés livrés peuvent prendre la forme de fichiers ou de fils de journalisation en temps réel. Les tampons de noyau multiples sont gérés par une seule entité de noyau appelée session ETW, également appelée enregistreur. Une session ETW peut être dans un état activé ou désactivé. Par défaut, ETW prend en charge 64 sessions fonctionnant simultanément.
Une session ETW peut être de l’un des types suivants: « Enregistreur de noyau NT » ou « Autre utilisateur ». Une session de type « enregistreur de noyau NT » obtient les données de journalisation fournies par des fournisseurs ETW prédéfinis. Une session de type « autre utilisateur » obtient des données de tous les autres fournisseurs ETW.
Fournisseurs ETW
Les données enregistrées sont générées et transmises aux sessions par les fournisseurs ETW associés à ces sessions. Les fournisseurs ETW sont des entités implémentées et déclarées à l'aide de l'interface de programmation d'application (API) ETW, dans le cadre de ressources utilisateur ou code noyau utilisant un code. L'entité déclarant un fournisseur ETW donné enregistre le fournisseur et lui génère un descripteur. Ce descripteur est utilisé pour référencer le fournisseur lorsque les données réelles sont enregistrées. Chaque fournisseur ETW est utilisé pour consigner une catégorie d'événements spécifique. Par exemple, le pilote TCP (Transmission Control Protocol) / IP (Internet Protocol) implémente les événements réseau de son propre fournisseur. Pour que les fournisseurs ETW transmettent activement les données, ils doivent être enregistrés et activés. Ceci informe le système d'exploitation de l'existence du fournisseur.
Contrôleurs ETW
La gestion des sessions ETW et l'association des fournisseurs ETW aux sessions ETW sont effectuées par des applications spéciales, appelées contrôleurs ETW. Un exemple de contrôleur ETW (en dehors du système d’exploitation principal, qui utilise directement l’ETW-API) est l’utilitaire xperf, distribué dans le cadre de Windows Performance Toolkit.7
Consommateurs ETW
Les données enregistrées gérées par des sessions et produites par les fournisseurs ETW sont consommées par les consommateurs ETW. Les consommateurs ETW sont des entités qui affichent et analysent les données consignées, telles que l'utilitaire xperf ou l'observateur d'événements de Windows. Les données...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.