EdelWeb SSTIC 2003. Le SpyWare dans Windows XP. Le Le Spyware dans Windows XP XP. Nicolas RUFF // EdelWeb nicolas.ruff@edelweb.fr. EdelWeb/Groupe ON-X

ElWeb SSTIC 2003 Le Le Spyware dans Windows XP XP Nicolas RUFF // ElWeb nicolas.ruff@elweb.fr ElWeb/Groupe ON-X page 1

Sommaire ElWeb 1. 1. Introduction 2. 2. Le Le noyau noyau système 1. 1. Installation Installation 2. 2. Activation Activation du du produit produit 3. 3. L'interface L'interface utilisateur utilisateur (Explorer) (Explorer) 4. 4. Ai Ai et et support support 5. 5. WindowsUpdate WindowsUpdate 6. 6. Rapports Rapports d'erreur d'erreur 7. 7. Authentification Authentification Passport Passport 8. 8. Login Login Web Web 3. 3. Les Les composants préinstallés 1. 1. Windows Windows Media Media Player Player 2. 2. Internet Internet Explorer Explorer 3. 3. Windows Windows Messenger Messenger 4. 4. Quelques mots mots sur sur Office Office XP XP 5. 5. Comment se se protéger? 6. 6. Conclusion 7. 7. Annexe A Sujets Sujets non non traités traités 8. 8. Annexe B. B. Liste Liste s s sites sites Microsoft ElWeb/Groupe ON-X page 2

1. Introduction (1/2) ElWeb Le Le Spyware et et le le respect la la vie vie privée sont s s sujets à la la mo 2002 2002 56 56 types types Spyware, 125 125 sites sites 2003 2003 493 493 types, types, 1317 1317 sites sites (source EricHowes) "Magic Lantern" Débat Débat Terrorisme vs. vs. Libertés individuelles Nouvelles lois lois françaises (LSQ, (LSQ, LCEN, LCEN, ) ) autorisant un un traçage accru s accru s internautes Protections logicielles douteuses Ex. Ex. logiciel logiciel "Surco "SurcoDVD-DTS Pro" Pro" Microsoft fait fait naître nombreuses angoisses Alertes très très médiatisées ("supercookie" Windows Media, Media, ) ) "Product Activation" requis requisà partir partir Windows XP XP Initiative TCPA TCPA // Palladium Etc. Etc. ElWeb/Groupe ON-X page 3

1. Introduction (2/2) ElWeb Objectifs la la présentation Rester objectif Intifier les les communications Windows XP XP avec Internet Serveurs, contenu échangé, possibilités d exploitation par par Microsoft Lister les les zones d ombre Préciser les les risques réels et et proposer s s solutions Moyens Un Undocument Microsoft référence Using UsingWindows XP XP Pro Pro SP1 SP1 in in a Managed Environment Controlling Communication with withthe theinternet Des Des travaux parallèles Ad-Aware, XP XP AntiSpy, R&D R&D ElWeb, ElWeb/Groupe ON-X page 4

2. Noyau Installation (1/2) ElWeb Dès l installation, Windows recherche une connexion réseau Méthos Automatique autodétection la la configuration réseau réseau (cf. (cf. cissous) Manuelle possibilité configurer un un accès accès RAS RAS ou ou réseau ci- réseau Actions Activation du du produit (q.v.) (q.v.) Recherche correctifs (site (site WindowsUpdate q.v.) q.v.) Recherche drivers drivers à jour jour ElWeb/Groupe ON-X page 5

2. Noyau Installation (2/2) ElWeb Mécanismes d autodétection réseau Via Via une une requête DHCP DHCP "Inform" Option Option 55 55 paramètres paramètres 1 1 subnet subnet 3 3 router router 6 6 DNS DNS 12 12 hostname hostname 15 15 domain domain name name 31 31 router router discovery discovery 33 33 static static route route 43 43 [vendor-specific] [vendor-specific] 44, 44, 46, 46, 47 47 NetBT NetBT configuration configuration 249 249 [Microsoft-specific] [Microsoft-specific] "Classless "Classless Static Static Route" Route" 252 252 [Microsoft-specific] [Microsoft-specific] "WPAD" "WPAD" (cf. (cf. Q296591) Q296591) Via Via une une requête DNS DNS wpad.<domaine> wpad.<domaine> (Web (Web Proxy Proxy Auto Auto Discovery) Discovery) Remarque les les mécanismes d autoconfiguration et et mise à jour jour ont ontété renforcés avec Windows 2003 Intégration du du WPAD WPAD en en tant tant que que service système ElWeb/Groupe ON-X page 6

2. Noyau Activation (1/2) ElWeb Présentation générale Ne Ne pas pas confondre "activation" et et "enregistrement" L activation permet permet d obtenir une une licence définitive Les Les clés clés "en "envolume" outrepassent cette cette fonction Objectif principal pour pour Microsoft lutter lutter contre contre le le piratage Détails techniques Génération Paramètres Paramètres pris pris en en compte compte Numéro Numéro série série la la partition partition système système Adresse Adresse MAC MAC l interface l interface réseau réseau Chaîne Chaîne d intification d intification du du CD-ROM CD-ROM Chaîne Chaîne d intification d intification la la carte carte graphique graphique CPU CPU ID ID Chaîne Chaîne d intification d intification du du disque disque dur dur Chaîne Chaîne d intification d intification la la carte carte SCSI SCSI Chaîne Chaîne d intification d intification du du contrôleur contrôleur IDE IDE Modèle Modèle CPU CPU RAM RAM installée installée (en (en puissances puissances 32 32 Mo) Mo) Système Système amovible amovible ou ou non non ElWeb/Groupe ON-X page 7

2. Noyau Activation (2/2) ElWeb Outil Outil MSOOBE.EXE MSOOBE.EXE (%SystemRoot%\System32\OOBE) Algorithmes Algorithmes MD5 MD5 et et SHA-1 SHA-1 Transmission 22 méthos méthos téléphone téléphone ou ou Internet Internet Site Site http//wpa.one.microsoft.com/ Stockage Un Un journal journal s s opérations opérations se se trouve trouve dans dans %SystemRoot%\setuplog.txt La La clé clé finale finale se se trouve trouve dans dans %SystemRoot%\System32\wpa.dbl %SystemRoot%\System32\wpa.dbl HKLM\SYSTEM\WPA HKLM\SYSTEM\WPA Pour info, l'enregistrement du du produit s'effectue sur sur http//reg.register.microsoft.akadns.net/ Références http//www.microsoft.com/piracy/basics/activation/ http//www.licenturion.com/xp/ ElWeb/Groupe ON-X page 8

2. Noyau Explorer (1/1) ElWeb Nombreuses interactions entre entre Explorer et et le le mon mon extérieur Les Les raccourcis raccourcis réseau réseau et et Web Web sont sont vérifiés vérifiés à à l ouverture l ouverture session session et et lors lors tout tout rafraîchissement rafraîchissement Option Option "rechercher "rechercherautomatiquement les les dossiers dossiers et et imprimantes imprimantes partagées" partagées" Option Option "cette "cettecopie copie Windows Windows est-elle est-elle légale légale?"?" Assistant Assistant Recherche Recherche Interface Interface complètement complètement Web Web (avec (avec scripts scripts encodés) encodés) Site Site recherche recherche par par défaut défaut http//ie.search.msn.com/ http//ie.search.msn.com/ Répertoire Répertoire stockage stockage %windir%\srchasst %windir%\srchasst Mise Mise à à jour jour automatique automatique cette cette fonctionnalité fonctionnalité puis puis Internet Internet Paramétrable Paramétrable par par la la clé clé "Use "Use Search Search Asst" Asst" Conservation Conservation s s logs logs annoncée annoncée par par Microsoft Microsoft 1 1 an an Affiche Affiche la la pub pub Autres Autres risques (pour (pour mémoire) L interface L interface Explorer Explorer par par défaut défaut est est une une page page Web Web (modèle (modèle"folr.htt") Affichage Affichage incorrect incorrect s s extensions extensions fichier fichier même même si si l option l option globale globale est activée est activée (ex. (ex..shs,.shs,.<guid>).<guid>) Exécution Exécution fichiers fichiers indépendamment indépendamment leur leur extension extension via via la la ligne ligne comman comman Ordre Ordre recherche recherche s s exécutables exécutables dangereux dangereux (clé (clé SafeDllSearchMo) SafeDllSearchMo) ElWeb/Groupe ON-X page 9

2. Noyau Ai et support (1/2) ElWeb Ai et et support Interface complètement Web %WinDir%\PCHealth\HelpCtr\ Certaines sections proviennent directement d Internet Rubrique "Le "Lesaviez-vous?"?" %WinDir%\PCHealth\HelpCtr\Config\NewsSet.xml et et News\NewsVer.xml News\NewsVer.xml http//go.microsoft.com/fwlink/?linkid=11 http//windows.microsoft.com/windowsxp/newsver.xml Recherche dans dans MSDN MSDN Transmet Transmet la la langue langue et et le le type type produit produit installé installé Paramétrable Clé Clé Headlines Options recherche ElWeb/Groupe ON-X page 10

2. Noyau Ai et support (2/2) ElWeb Prise en en main du du poste par Microsoft via Remote Assistance Compte SUPPORT_388945a0 utilisé par par Microsoft Membre HelpServicesGroup Utilisé Utilisé pour pour l'exécution scripts scripts d'assistance signés signés Remarque il il semblerait qu'il qu'il n'y n'y ait ait pas pas scripts scripts signés signés dans dans Windows XP XP!! Site Site https//webresponse.one.microsoft.com/ D'autres comptes support peuvent être être ajoutés par par les les OEM ElWeb/Groupe ON-X page 11

2. Noyau WindowsUpdate (1/2) ElWeb Composants Composant ActiveX "UpdateClass" (taille ~100 Ko) Ko) http//v4.windowsupdate.microsoft.com/cab/x86/unico/iuctl.cab Sites http//www.windowsupdate.com/ (alias) (alias) http//windowsupdate.microsoft.com/ Répertoires travail C\Program Files\WindowsUpdate C\WUTemp Journaux Historique s s installations IUHIST.XML %SystemRoot%\Windows Update.log Journal global global s s installations MSI MSI Setupapi.log ElWeb/Groupe ON-X page 12

2. Noyau WindowsUpdate (2/2) ElWeb Traitement partagé Script Script côté côté client client Liste Liste s s versions versions à à jour jour sur sur https//v4.windowsupdate.microsoft.com/getmanifest.asp https//v4.windowsupdate.microsoft.com/getmanifest.asp https//v4.windowsupdate.microsoft.com/consumerdrivers/getmanifest.asp https//v4.windowsupdate.microsoft.com/consumerdrivers/getmanifest.asp Remarques Repose Repose sur surle le service service "Uploadmgr" "Uploadmgr" Effectue Effectue s s transferts transferts en en arrière arrière plan plan via via le le service service "BITS" "BITS" Démarré Démarré par par SVCHOST SVCHOST => => difficile difficile à à filtrer filtrer Non Non documenté documenté!! N utilise N utilise pas pas HTTPS HTTPS (sauf (sauf pour pour obtenir obtenir la laliste liste correctifs) correctifs) Les Lescorrectifs sont sont signés signés Même Même mécanisme mécanisme pour pour les les fonctions fonctions type type "Dynamic "DynamicUpdate", "Auto "AutoUpdate" Adresse Adresse IP IP "en "endur" dans dansle le contrôle contrôle ActiveX ActiveX 207.46.226.17 207.46.226.17 (inexistante (inexistante!)!) Commentaire Commentaire tiré tiré d une d une page page WindowsUpdate WindowsUpdate "// "// Do Do not not Remove Remove this this "else". "else". Bug Bug 16783 16783 (If (If u u remove remove this this else, else, then then for for IE5 IE5 when when we redirect we redirect to to another another page page in in above above line, line, then then it it flashes flashes an an Action Action Cancelled Cancelled page page for for a sec)" a sec)" Rappel Rappel ce ce site site ne ne concerne concerne que que les les mises mises à à jour jour Windows Windows // IE IE (ce (ce qui qui exclut Office, exclut Office, SQL, SQL, Exchange, Exchange, etc.) etc.) ElWeb/Groupe ON-X page 13

2. Noyau Rapport d erreur (1/2) ElWeb Informations incluses (application) Adresse IP IP (lors la la transmission) Product ID ID Minidump (documenté dans le le Platform SDK) Threads (informations"standard" et et "étendues") Modules (chargés et et déchargés) Données d allocation mémoire (32 (32 et et 64 64 bits) bits) Gestionnaire d exceptions Informations système Commentaires Handles Fonctions exportées [Windows 2003] 2003] Données du du processus (ID, (ID, temps temps d exécution) Champs "réservés" ElWeb/Groupe ON-X page 14

2. Noyau Rapport d erreur (2/2) ElWeb Informations incluses (noyau) Adresse Adresse IP IP (lors (lors la la transmission) transmission) Informations Informations matérielles matérielles Processeurs, Processeurs, RAM RAM Drivers Drivers installés installés et et drivers drivers chargés chargés (verbeux) (verbeux) Informations Informations logicielles logicielles (OS, (OS, version, version, langue) langue) Message Message d erreur d erreur Contexte Contexte d exécution d exécution Pile Pile noyau noyau Remarque En En cas cas crash crash noyau, noyau, les lesinformations sont sont transmises transmises au au reboot rebootsuivant Principes communs Composant Composant %SystemRoot%\System32\dwwin.exe Upload Upload vers vershttp//watson.microsoft.com/ Protocoles Protocoles HTTP HTTP et et HTTPS HTTPS Consultation Consultation s s rapports rapports reçus reçus par par Microsoft Microsoft pendant pendant 180 180 jours jours "Online "Online Crash Crash Analysis" Analysis" http//oca.microsoft.com/ http//oca.microsoft.com/ Outil Outil centralisation centralisation s s rapports rapports "Corporate "Corporate Error Error Reporting" Reporting" http//oca.microsoft.com/en/cerintro.asp http//oca.microsoft.com/en/cerintro.asp & Q309267 Q309267 ElWeb/Groupe ON-X page 15

2. Noyau Authentification Passport (1/2) ElWeb Passport = SSO SSO à l échelle du du Web Web Accès Accès aux aux services services Microsoft Microsoft (MSDN, (MSDN, Beta BetaPreviews, etc.) etc.) Accès Accès aux aux "spin-offs" "spin-offs" Microsoft Microsoft MSN, MSN, Hotmail, Hotmail, Messenger Messenger Accès Accès aux aux sites sites partenaires partenaires (cf. (cf. http//www.passport.net/) http//www.passport.net/) Principes Serveur Serveur central central d authentification d authentification (base (base données données utilisateurs) utilisateurs) http//register.passport.net/ http//register.passport.net/ https//login.passport.com/ https//login.passport.com/ https//nexus.passport.com/ https//nexus.passport.com/ (remarque (remarque "nexus" "nexus" est est un un terme terme utilisé utilisé dans dans Palladium) Palladium) Mo Mo d authentification d authentification natif natif supporté supporté par par Windows Windows // IE IE // IIS IIS // Implémentation Implémentation inconnue inconnue Implémentation Cookie Cookie MSPSec MSPSec dans dans le le domaine domaine PASSPORT.COM PASSPORT.COM Contient Contient le le mot mot passe passe (a (a priori) priori) Cookies Cookies MSPAuth MSPAuth (authentification) (authentification) et et MSPProf MSPProf (profil) (profil) dans dans le le domaine participant domaine participant Cookies Cookies MSPPre MSPPre (=email), (=email), MSPVis MSPVis (=2), (=2), MSPSoftVis, MSPSoftVis, MSPRequ MSPRequ Rôle Rôle inconnu inconnu Notion Notion PUID PUID (intifiant (intifiant compte) compte) Concurrence Liberty Liberty Alliance Alliance (http//www.projectliberty.org/) peu peu avancé avancé ElWeb/Groupe ON-X page 16

2. Noyau Authentification Passport (2/2) ElWeb Risques Base Base données données d informations d informations nominatives nominatives partagée partagée entre entre tous tous les les partenaires partenaires L utilisateur L utilisateur est est censé censé conserver conserver un un niveau niveau contrôle contrôle sur sur la la diffusion diffusion l information l information Remplace Remplace avantageusement avantageusement les les cookies cookies standard standard pour pour un un "tracking" "tracking" mondial mondial Vol Vol d information d information (y (y compris compris numéros numéros CB) CB) Vulnérabilités Vulnérabilités déjà déjà intifiées intifiées Divulgation Divulgation d'information d'information dans dans les les cookies cookies Attaque Attaque sur sur Microsoft Microsoft Wallet Wallet Réinitialisation Réinitialisation du du mot mot passe passe utilisateur utilisateur via via une une URL URL Etc. Etc. Un Un vol vol cookie cookie est est généralement généralement assez assez facile facile à à réaliser réaliser Possibilités Possibilités déni déni service service global global via via PASSPORT.COM PASSPORT.COM Vol Vol du du mot mot passe passe sur sur le le poste poste utilisateur utilisateur via via MSN, MSN, Windows Windows PSS, PSS, etc. etc. Références http//alive.znep.com/~marcs/passport/page2.html (vulnérabilité (vulnérabilité Wallet) Wallet) http//www.tcpmux.com/products/netintercept/casestudies/passport (vulnérabilité (vulnérabilité du du cookie cookie PPTProf) PPTProf) Passport Passport SDK SDK ElWeb/Groupe ON-X page 17

2. Noyau Login Web (1/2) ElWeb Deux types login Natif Natif HTTP HTTP ( ( type type ".htaccess") Login Login applicatif (formulaires) Natif Mos Mos d authentification supportés par par IE IE 6.0 6.0 SP1 SP1 Anonymous Anonymous (pas (pas d'authentification) d'authentification) Basic Basic (mot (mot passe passe en en clair clair --RFC2617) RFC2617) Basic Basic sur sur connexion connexion SSL SSL Digest Digest Authentication Authentication (MD5 (MD5 avec avec secret secret partagé partagé --RFC2617) RFC2617) Challenge/Response Challenge/Response NTLM NTLM Passport Passport Client Client Certificates Certificates (certificats (certificats clients clients SSL) SSL) Fortezza Fortezza (solution (solution à à base base certificats) certificats) Authentification par par défaut défaut Zone Zone Internet, Internet, Sites Sites sensibles sensibles manr manr le le mot mot passe passe Zone Zone Intranet, Intranet, Sites Sites confiance confiance login login automatique automatique (avec (avec le le login Windows login Windows!)!) Remarque même même comportement avec avec le le client client Telnet Telnet Authentification Authentification NTLM NTLM par par défaut défaut (cf. (cf. MS00-067) MS00-067) ElWeb/Groupe ON-X page 18

2. Noyau Login Web (2/2) ElWeb Applicatif Plusieurs options "saisie semi-automatique" Adresses Web Web Contenu s s formulaires Logins Logins dans dans les les formulaires Mots Mots passe passe dans dans les les formulaires Les Les mots passe sont stockés dans le le "protected storage" Emplacement HKCU\Software\Microsoft\Protected Storage System Provir (invisible par par défaut) Chiffrés avec avec le le mot mot passe passe login login Windows Récupérables Référence Cf. Cf. outil outil "IE "IEPassword PasswordRevealer", sites sites LostPassword, LostPassword, Elcomsoft, Elcomsoft, etc. etc. DPAPI DPAPI http//msdn.microsoft.com/library/enus/dnsecure/html/windataprotection-dpapi.asp ElWeb/Groupe ON-X page 19

3. Composants préinstallés Windows Media Player ElWeb Version livrée livrée avec avec Windows XP XP SP1 SP1 8.0 8.0 (non (non téléchargeable) Dernière version (toutes (toutes plateformes) 9.0 9.0 Liste Liste s s fonctions accédant à Internet Acquisition Acquisition licences licences (DRM) (DRM) Accès Accès à à s s services services "en "endirect" (contenu (contenu à à la la man, man, radios) radios) Métadonnées MétadonnéesCD CD et et DVD DVD (en (en lecture/écriture) lecture/écriture) Téléchargement Téléchargement cocs cocs Mises Mises à à jour jour logicielles logicielles Skins Skins et et visualisations visualisations "Media "MediaLibrary", "Media "MediaGui", Newsletter Newsletter MSN, MSN, Risques (majeurs) Superbe Superbe outil outil marketing marketing personnalisé personnalisé Le Le lecteur lecteur Windows Windows Media Media possè possè un un GUID GUID Il Il s agit s agit d un d un composant composant ActiveX ActiveX scriptable scriptable par par s s tiers tiers => => notion notion "Supercookie" "Supercookie" Les Les skins skins et et visualisations visualisations sont sont s s archives archives ZIP ZIP incluant incluant du du contenu contenu actif actif => risque => risque d infection d infection Etc. Etc. Sites Sites http//*.windowsmedia.com/ ElWeb/Groupe ON-X page 20

3. Composants préinstallés Internet Explorer (1/2) ElWeb Version livrée avec Windows XP XP SP1 SP1 6.00.2600.1106 Liste s s fonctions accédant à Internet Page Page initiale initiale (=> (=> statistiques d installation) http//www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome Composant "Alexa" (détecté par par Ad-Aware) Ne Ne présente présente pas pas dangers dangers Utilisé Utilisé par par l'option l'option "afficher "afficher les les liens liens apparentés" apparentés" "Vérifier les les signatures s s programmes téléchargés" "Vérifier la la révocation s s certificats" "Vérifier la la révocation s s certificats l éditeur" "Vérifier automatiquement les les mises mises à jour jour IE" IE" "Mise "Miseà jour jour s s certificats racine"(option Windows) Si Si un un certificat certificat SSL SSL signé signé par par une une autorité autorité inconnue inconnue est est présenté, présenté, une une mise mise à à jour jour la la base base s s autorités autorités racine racine est est déclenchée déclenchée Site Site http//www.download.windowsupdate.com/msdownload/update/v3/static/tru stedr/en/authrootseq.txt stedr/en/authrootseq.txt ElWeb/Groupe ON-X page 21

3. Composants préinstallés Internet Explorer (2/2) ElWeb Autres risques IE IE est est une une source privilégiée pour l installation Spywares Gestion s s cookies par par défaut défaut le le navigateur utilise utilise P3P P3P Options "Activer "Activerles les extensions extensions tierce tierce partie" partie" "Activer "Activerl installation à à la la man" man" "Éléments "Élémentsinstallables installablesdu du bureau" bureau" Bogues permettant d exécuter du du co co ElWeb/Groupe ON-X page 22

3. Composants préinstallés Windows Messenger (1/2) ElWeb Version livrée avec Windows XP XP SP1 SP1 4.7 4.7 Utilise les les 3 services suivants Exchange 2000 2000 (si (si configuré) Serveur SIP SIP (Session Initiation Protocol) RFC RFC 2543 2543 Serveur Microsoft avec avec authentification Passport http//messenger.hotmail.com1863/ POST http//gateway.messenger.hotmail.com/gateway/gateway.dll?action=open& POST Server=NS&IP=messenger.hotmail.com HTTP/1.1 HTTP/1.1 Protocole HTTP encapsulant 2 sous-protocoles XYZ XYZ [paramètre 1] 1] [paramètre 2] 2] [ ] [ ] XYZ XYZ = comman comman Données type type MIME MIME propriétaire Risques Ex. Ex. "application/x-msn-messenger", "text/x-msmsgsprofile", "text/x-msmsgsprofile", Partiellement Partiellement brouillées brouillées Divulgation d informations personnelles en en clair clair Système à serveur central central Niveau Niveau d information réel réel inconnu à cause cause du du brouillage s s données ElWeb/Groupe ON-X page 23

3. Composants préinstallés Windows Messenger (2/2) ElWeb Exemple Exemple Content-Type Content-Type text/x-msmsgsprofile; text/x-msmsgsprofile; charset=utf-8 charset=utf-8 EmailEnabled EmailEnabled 1 1 MemberIdHigh MemberIdHigh 9xxxx 9xxxx MemberIdLow MemberIdLow -2114xxxxxx -2114xxxxxx lang_preference lang_preference 1036 1036 preferredemail preferredemail xxxxxxx@hotmail.com xxxxxxx@hotmail.com country country FR FR PostalCo PostalCo 75010 75010 Genr Genr m Kid Kid 0 0 Age Age 26 26 BDayPre BDayPre 2 2 Birthday Birthday 2.821600e 2.821600e 004 004 Wallet Wallet 0 0 Flags Flags 1027 1027 sid sid 507 507 kv kv 4 4 MSPAuth 4n3lILtj1DTLjIKvsjAeFx3NL3kmxyhl5V5207HY!tFCSReUcuFi62d5Z86Fq*6Bea*I5Qsl3lt MSPAuth 4n3lILtj1DTLjIKvsjAeFx3NL3kmxyhl5V5207HY!tFCSReUcuFi62d5Z86Fq*6Bea*I5Qsl3lt ClientIP ClientIP 212.xxx.xxx.xxx 212.xxx.xxx.xxx ClientPort ClientPort 0 0 ElWeb/Groupe ON-X page 24

4. Office XP ElWeb Contexte Suite Suite fortement intégrée à Windows Ex. Ex. Word Word vient vient l éditeur l éditeur HTML HTML par par défaut défaut Produits fortement intégrés entre entre eux eux Risques Ex. Ex. envoyer envoyer un un document document Word Word avec avec Outlook Outlook modifie modifie les les propriétés propriétésdu du document document Propriétés du du document (auteur, temps temps d édition, chemins UNC) UNC) Historique du du document (versions antérieures) "Word "Wordbugs" Macros Champs fusion fusion GUID GUID = adresse MAC MAC Etc. Etc. Référence MISC MISC n 7 n 7 "La "Lafuite d information dans dans les les documents propriétaires" ElWeb/Groupe ON-X page 25

5. Les solutions ElWeb Intégrées Tous Tous les les composants sont sont paramétrables (le (le paramétrage par par défaut est défaut est souvent insatisfaisant) Interface Interface graphique graphique Clés Clés base base registre registre GPO GPO "Administration "AdministrationKits" Kits" Configuration globale du du Proxy Proxy Certains Certains logiciels logiciels (ex. (ex. Netscape) Netscape) gèrent gèrent s s paramètres paramètres Proxy personnalisés Proxy personnalisés Désintallation s s composants cachés (fichier (fichier SYSOC.INF) Utiliser la la fonction restriction d exécution Mettre Mettre en en place place s s miroirs internes (ex. (ex. MSUS) MSUS) Externes Utiliser un un firewall personnel Utiliser s s outils outils tiers tiers recherche configuration "anti-spyware" Couper tout tout accès accès Internet ElWeb/Groupe ON-X page 26

6. Conclusion ElWeb Windows XP SP1 communique régulièrement avec s sites Web Ces Ces fonctions sont activées par par défaut (mais désactivables) Les Les informations collectées sont individuellement peu peu significatives Mais Mais le le recoupement permettrait d obtenir un un puissant outil outil marketing personnalisé Les Les informations transmises bénéficient d un niveau protection très très hétérogène HTTP, HTTP, HTTPS, chiffrement, brouillage, protocole propriétaire, Il Il existe s s moyens se se protéger Le Le plus plus simple simple étant étant ne ne pas pas configurer l adresse son son Proxy Proxy Le Le sujet est loin d être clos (cf. annexe A) A) Merci à Cyril Voisin Microsoft France ElWeb/Groupe ON-X page 27

Bibliographie ElWeb "Using Windows XP Pro SP1 in in a Managed Environment Controlling Communication with the Internet" http//technet.microsoft.at/inclus/file.asp?id=4668 "Ad Aware" http//www.lavasoft.nu/ "XP Anti-Spy" http//www.xp-antispy.org/ http//www.xp-antispy./ "Windows XP shows the direction Microsoft is going" http//www.hevanet.com/peace/microsoft.htm ElWeb/Groupe ON-X page 28

Annexe A. Sujets non traités (1/3) ElWeb "Application Help" //"Driver Protection" // Assistant Compatibilité Microsoft maintient une une base base d applications incompatibles et et correctifs APPHELP.SDB + SYSMAIN.SDB // DRVMAIN.SDB Cette Cette liste liste est est mise mise à jour jour par par WindowsUpdate "Device Manager" Les Les pilotes pilotes signés signés peuvent être être mis mis à jour jour en en 1 click click Cette Cette fonction est est gérée gérée par par WindowsUpdate Journal d événements La La plupart s s événements système contiennent un un raccourci vers vers un un site site explicatif http//go.microsoft.com/fwlink/events.asp Configurable via via les les clés clés suivantes MicrosoftRedirectionURL MicrosoftRedirectionURL MicrosoftRedirectionProgram MicrosoftRedirectionProgramCommandLineParameters ElWeb/Groupe ON-X page 29

Annexe A. Sujets non traités (2/3) ElWeb Associations fichiers Cliquer sur sur un un fichier dont l extension n est pas pas associée provoque la la redirection vers un un site site Microsoft http//shell.windows.com/fileassoc/nnnn/xml/redir.asp?ext=aaa (Nnnn (Nnnn = langue, AAA AAA = extension) Configurable via via la la clé clé NoInternetOpenWith Jeux "on line" Se Se connectent au au site site http//www.zone.msn.com/ MSN Explorer Portail Internet Microsoft Netmeeting Se Se connecte à un un serveur ILS ILS au au choix Par Par défaut défaut netmeeting.microsoft.com Ports utilisés TCP/389, TCP/522, TCP/1503, TCP/1720, TCP/1731 + ports dynamiques ElWeb/Groupe ON-X page 30

Annexe A. Sujets non traités (3/3) ElWeb NTP Synchronisation horaire avec le le DC DC pour les les machines en en domaine Synchronisation avec "time.windows.com" pour les les machines en en Workgroup "Online Device Help", Plug-and-Play Ai en en ligne pour la la recherche drivers Si Si un un périphérique inconnu est est détecté Lors Lors l insertion nouveaux périphériques Transmet le le profil matériel du du périphérique (PnPID) Site Site http//www.microsoft.com/windows/catalog/ Outlook Express 6 Universal Plug-and-Play Requêtes UDP/1900 ElWeb/Groupe ON-X page 31

Annexe B. Sites Microsoft (1/2) ElWeb Sites cités dans la la présentation Microsoft.com http//oca.microsoft.com/ http//go.microsoft.com/fwlink/?linkid=11 http//go.microsoft.com/fwlink/events.asp http//watson.microsoft.com/ http//windows.microsoft.com/windowsxp/newsver.xml http//windowsupdate.microsoft.com/ http//wpa.one.microsoft.com/ http//www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnho me me http//www.microsoft.com/windows/catalog/ http//www.microsoft.com/piracy/basics/activation/ http//v4.windowsupdate.microsoft.com/cab/x86/unico/iuctl.cab ElWeb/Groupe ON-X page 32

Annexe B. Sites Microsoft (2/2) ElWeb MSN.com, hotmail.com http//messenger.hotmail.com1863/ http//gateway.messenger.hotmail.com/ http//ie.search.msn.com/ http//www.zone.msn.com/ Passport.net http//www.passport.net/ http//register.passport.net/ WindowsUpdate http//www.windowsupdate.com/ http//www.download.windowsupdate.com/msdownload/update/v3/ static/trustedr/en/authrootseq.txt Autres http//reg.register.microsoft.akadns.net/ http//www.windowsmedia.com/ http//shell.windows.com/fileassoc/nnnn/xml/redir.asp?ext=aaa ElWeb/Groupe ON-X page 33