Depuis ce week-end, les articles font rage : 32 To d’informations diverses sur Windows 10 auraient fuité, dont une partie du code source de Windows 10. Dans la pratique, la fuite est nettement moins importante, mais pose quand même de sérieuses questions de sécurité.
Vendredi soir, The Register publiait un article explosif : 32 To de données diverses au sujet de Windows 10 ont été trouvés sur le site BetaArchive, spécialisé dans les dépôts de préversions et de logiciels abandonnés.
Nos confrères évoquaient alors un mélange de versions internes ainsi que le code source du cœur du système d’exploitation. Ils estimaient également que la fuite devait avoir eu lieu en mars dernier, les données ayant a priori été « exfiltrées » directement depuis les locaux de l’entreprise. Bien qu’une partie des données puisse être sensible, il semble cependant qu’on soit loin d’une fuite réellement dramatique.
32 To de données ? Oui, mais…
D’abord, que contiennent ces fameux 32 To, dont la forme compressée descend à 8 To ? En bonne partie, tout un lot de préversions de Windows 10 qui ont été compilées en interne, mais non mises à disposition du public.
Rien de bien incroyable dans l’absolu : Microsoft compile très régulièrement de nouvelles moutures, notamment pour le programme Insider qui permet de tester les bêtas du système. C’est d’ailleurs le sens des numéros de builds affichés en bas à droite. Par exemple, le numéro est passé récemment de 16215 à 16226 dans le canal rapide. L’explication est simple : il y a eu 11 compilations du système entre les deux.
La plupart de ces préversions sont de la branche Redstone 2, qui a abouti pour rappel à la Creators Update distribuée en début avril (la branche de développement est actuellement la Redstone 3). Parmi les builds, on en trouve des classiques, mais également certaines compilées pour ARM64, tandis que d’autres contiendraient des symboles privés de débogage, qui peuvent être riches d’informations.
L’archive contenait également deux autres composants. D’abord, plusieurs moutures du Mobile Adaptation Kit, outil interne servant à préparer Windows 10 pour une installation sur les appareils mobiles (les smartphones en l’occurrence). Ensuite, et surtout, un kit appelé Shared Source, et c’est ici que la situation peut se compliquer.
Pas le cœur du système, mais des composants importants
BetaArchive a réagi de son côté, essentiellement pour calmer le jeu et expliquer ce qui se trouvait réellement dans cette archive. Confirmant la présence de nombreuses builds n’ayant pas été distribuées publiquement, le site précise leur provenance : un réseau de membres du forum, participant aux programmes Insider ou Connect. En clair, il s’agirait de sources « légitimes », en aucun cas d’une fuite provenant de Microsoft.
Surtout, l’archive contenait un dossier de 1,2 Go, contenant douze versions différentes du Shared Source Kit. Ce dernier contient le code source de certaines piles de Windows 10, notamment pour l’USB, le stockage, le Wi-Fi ou encore le Plug-and-Play. En d’autres termes, ce que les partenaires matériels peuvent être autorisés à voir pour le développement des pilotes.
Ce code source est accompagné d’une licence spécifique appelée elle aussi Shared Source. Elle permet essentiellement de le consulter, même si dans certains cas il est possible de redistribuer une version modifiée. Ce n’est toutefois pas une licence commerciale, et elle n’est pas reconnue comme open source.
Le problème des sources visibles
Rien dans le Shared Source Kit ne concerne à proprement parler le cœur du système, contrairement à ce qu’indiquait initialement The Register. Cependant, les piles liées aux pilotes restent des composants importants, et la visibilité du code source pourrait entrainer des soucis de sécurité.
BetaArchive a supprimé tout le dossier, et ne compte pas le remettre en ligne dans l’immédiat, une analyse étant en cours pour déterminer si le risque est écarté. Cependant, puisque les données étaient accessibles via FTP à quiconque avait les bons identifiants, il y a fort à parier que le code source circule désormais entre de nombreuses mains.
Si ce code devait révéler des failles de sécurité, tout dépendrait alors de la personne qui les trouverait. Il y a surtout deux possibilités : soit la vulnérabilité est signalée directement à Microsoft, soit elle est mise de côté. Quand on sait quel trafic règne dans ce domaine, on imagine aisément que certains se frottent déjà les mains.
Des failles dans les piles pourraient en effet mener des pirates à développer des pilotes vérolés. Selon le type, les fameux « drivers » ont plus ou moins de privilèges, bien que les différentes versions de Windows les aient réduits avec le temps, en repoussant la plupart en espace utilisateur. Cependant, une brèche pourrait justement permettre des élévations de privilèges et globalement une percée à travers les défenses.
Et maintenant ?
Dans une réaction publiée samedi, BetaArchive indique que tout ce qui touchait au Shared Source Kit a bien été supprimé, mais pas les builds. Microsoft a confirmé également à The Register que le dossier du SSK contenait « une partie » du kit. Conséquence, on ne sait pas exactement quelles sont les piles qui se trouvaient dans l’archive, du moins pas encore. Nous avons d’ailleurs demandé à Microsoft de plus amples informations et attendons actuellement une réponse.
Pour l’instant, il est difficile de calculer les retombées de cette « fuite ». Il ne s’agit pas, comme on a pu le voir sur divers sites, du code source de Windows, mais de celui de quelques composants auxquels de nombreux partenaires avaient déjà accès via la Shared Source Initative. Des informations techniquement suffisantes pour entrainer des soucis de sécurité, même si tout repose finalement sur le code lui-même.
merci à NextInpact