Le projet open source expérimental CortaSpoof a été présenté par deux étudiants de l’ESIA lors de la Nuit du Hack 2016. L’objectif est de brouiller la surveillance dédiée au profilage des utilisateurs opérée par Cortana sous Windows 10.
Paul Hernault et Thomas Aubin sont deux étudiants en sécurité informatique à l’ESIA. A l’occasion de la Nuit du Hack 2016, ils ont alerté sur les risques que présente Cortana, l’assistant virtuel de Microsoft implémenté au sein de Windows 10, à travers une conférence sur le sujet. Cortana est présenté comme la pire menace pour la vie privée présente dans le tant décrié Windows 10 :
« C’est le service le plus intrusif que vous pouvez trouver sur Windows 10. Il veut tout connaître sur vous, vos intérêts, vos favoris, toutes vos recherches sont enregistrées. Et tout ça dans le but de créer un profil sur vous », explique Thomas Aubin.
Dans Windows 10, Cortana est une assistante vocale personnelle intelligente. Le service se présente dans une barre en bas à gauche de l’écran. Dans cette barre l’utilisateur de Windows 10 peut effectuer une recherche sur internet ou encore rechercher un logiciel ou un fichier présent sur son ordinateur. La recherche peut se faire en tapant le texte de la recherche dans la barre ou par la voix lorsque l’outil est totalement configuré.
Cortana a alors accès à une grande partie des informations personnelles de l’utilisateur, cela afin d’en apprendre le plus possible sur ses habitudes, ses goûts ou sa façon de parler. Le profil ainsi fait peut être très proche de la réalité et Microsoft se permet donc une grande intrusion dans notre vie privée avec ce service. Les données envoyées à Microsoft sont gigantesques et sont utilisation par Microsoft peut être douteuse puisque dans ses mentions légales Microsoft peut accéder à ces données si de « bonne foi » il en ressent le besoin. La recherche web peut être désactivée sur Cortana, il suffit alors d’aller dans les paramètres du service.
Notons que ce fameux profilage permet d’améliorer l’usage de Cortana et de rendre ses réponses plus pertinentes mais aussi d’effectuer un ciblage publicitaire, à l’instar de Google. Or, l’assistant virtuel Cortana peut s’avérer utile à certains, voir très difficile à supprimer… du coup, les étudiants ont développé CortaSpoof, un logiciel encore en beta test mais d’ores-et-déjà disponible sur GitHub en open source.
Comment fonctionne CortaSpoof ?
CortaSpoof envoie par le biais de Cortana une grande quantité de fausses requêtes plus ou moins aléatoires vers les serveurs de Microsoft :
« Du coup, les vraies requêtes seront noyées dans la masse et il sera impossible de réaliser un profil de l’utilisateur. Ce n’est pour l’instant qu’une preuve de concept. Le but est de l’élargir à plusieurs services afin d’avoir plus d’anonymat », déclare Thomas Aubin. Bingo !
En sommes, vous l’aurez compris, CortaSpoof effectue ce que l’on peut appeler du bruitage de trames, à une vitesse réglable. Les requêtes sont envoyées en GET via HTTPS directement à l’API Cortana. La dilution des vraies requêtes de recherche est alors totale… et le profilage inefficace. Il est même possible d’ajouter des requêtes personnalisées.
Le logiciel est développé sous Visual Studio 2015 et son interface sous QT 5. A tester pour ceux étant intéressé, cela peut être un très bon moyen de protéger sa vie privée face aux écoutes sauvages des assistants vocaux !