De nos jours, un grand nombre de modèles d'ordinateurs portables et de postes de travail tout-en-un prennent en charge l'entrée tactile. Cela est fait pour la commodité de l'utilisateur et accélère le processus de son travail. Mais, il s'est avéré que les systèmes informatiques avec prise en charge activée de la saisie tactile ont une fonction peu connue qui compromet les données des utilisateurs de ces systèmes.
Nous parlons de périphériques exécutant le système d'exploitation de Microsoft. Le fait est que si un ordinateur avec une entrée tactile activée est contrôlé à l'aide de Windows, les données utilisateur de ce système, y compris les connexions et les mots de passe, sont collectées dans un fichier séparé et sous une forme presque ouverte. Cette fonction ne fonctionne pas sur tous les PC Windows avec entrée tactile, mais uniquement sur ceux où la reconnaissance de l'écriture manuscrite est activée.
Pour la première fois, Microsoft a ajouté cette fonctionnalité à son Windows 8. Le problème est que les données avec lesquelles l'utilisateur travaille sont stockées dans un fichier séparé, qui est mal protégé contre les interférences externes. Ce fichier s'appelle WaitList.dat, l'un des experts en sécurité réseau a
constaté qu'après avoir activé l'écriture manuscrite, le fichier est constamment mis à jour. WaitList.dat est généré par le système immédiatement après avoir activé l'option de reconnaissance d'écriture manuscrite.
Après cela, les données de presque tous les documents ou e-mails indexés par la recherche Windows sont enregistrées dans le fichier spécifié. Il convient de souligner qu'il ne s'agit pas du tout de métadonnées, mais d'informations textuelles issues de documents. Pour que les informations migrent vers ce fichier, l'utilisateur n'a pas besoin d'ouvrir les messages électroniques ou les fichiers doc. Dès qu'ils sont indexés par le service Windows, tout est automatiquement enregistré à l'emplacement spécifié.
Barnaby Skeggs, un spécialiste de la sécurité de l'information qui a été l'un des premiers à trouver ce problème sur Windows,
dit que le fichier WaitList.dat sur son PC stocke une «compression» de texte à partir de n'importe quel document texte ou message électronique. Et cela est vrai même si le fichier d'origine est supprimé - dans WaitList.dat, les informations continuent d'être stockées.
"Si le fichier source est supprimé, ses données indexées continuent d'être stockées dans WaitList.dat", explique l'expert. Ceci, en théorie, donne de nombreuses opportunités aux attaquants qui, pour une raison ou une autre, décident d'étudier les données de certains utilisateurs.
Il convient de noter que le problème lui-même n'est pas un secret. Le même Skeggs a écrit à son sujet pour la première fois en 2016, et son poste a reçu une attention minimale de la part des experts techniques. Pour autant que vous puissiez comprendre, les développeurs de la technologie étaient les plus préoccupés par DFIR, et moins par la sécurité du réseau d'un utilisateur particulier. Pour le moment, le problème n'a pas été largement discuté.
Le mois dernier, Skegg a conclu que les attaquants pouvaient (théoriquement) facilement voler les données des utilisateurs. Par exemple, si un attaquant a accès au système attaqué et a besoin de mots de passe et de connexions utilisateur d'un PC piraté, il n'a pas besoin de chercher des extraits de connexions et de mots de passe partout, de gérer les hachages, etc. - il vous suffit d'analyser le fichier WaitList.dat et d'obtenir toutes les données nécessaires.
Pourquoi rechercher des informations sur l'ensemble du disque, d'autant plus que de nombreux documents peuvent être protégés par mot de passe? Copiez simplement le fichier WaitList.dat et continuez de l'analyser à vos côtés.
Il convient de noter que l'expert en sécurité réseau qui a découvert le problème n'a pas contacté Microsoft. Il pense que ce n'est pas un «bug, mais une fonctionnalité», c'est-à-dire que les développeurs du système d'exploitation Windows ont spécialement conçu le système pour ce qu'il est maintenant. Par conséquent, s'il ne s'agit pas d'une vulnérabilité, les développeurs en sont bien conscients et peuvent résoudre le problème à tout moment.
Selon Seggs, l'emplacement du fichier par défaut est:
C: \ Users \% User% \ AppData \ Local \ Microsoft \ InputPersonalization \ TextHarvester \ WaitList.datSi la "reconnaissance d'écriture manuscrite personnalisée" n'est pas nécessaire, il est préférable de la désactiver complètement. Dans ce cas, l'indexation des fichiers n'enregistre pas toutes les données du fichier spécifié sans exception.