Microsoft revient à la raison. L’entreprise américaine a annoncé le 7 juin des modifications substantielles dans le fonctionnement d’une nouvelle option baptisée Recall, et présentée le 20 mai. Précisément, cet outil, qui ne marchera que sur des ordinateurs de la gamme Copilot, sera désormais inactif par défaut.
D’après Microsoft, les changements sont essentiellement de deux ordres : l’expérience d’installation a été revue « afin de permettre aux utilisateurs de choisir plus clairement d’enregistrer des captures à l’aide de la fonction Recall. » Et « si vous ne choisissez pas proactivement de l’activer, elle sera désactivée par défaut. »
Cette évolution signalée par Pavan Davuluri, qui occupe le poste de vice-président de l’entreprise en charge de Windows + Appareils, va s’appliquer avant la mise en vente des ordinateurs Copilot. Ceux-ci ne sont disponibles dans le commerce qu’à partir du 18 juin. Les ordinateurs actuels ne sont pas censés être concernés par Recall.
Avec cette fonction, Microsoft désire alimenter une intelligence artificielle qui fonctionnerait exclusivement en local. Chaque PC Copilot aurait ainsi sa propre IA, nourrie et entraînée à travers les actions de la personne s’en servant. D’où l’idée de prendre des captures d’écran en permanence de ce qui se passe à l’écran, pour former le système.
Pour Satya Nadella, le PDG de Microsoft, il s’agit en somme de développer une « mémoire photographique » d’un système d’exploitation. D’emblée, la société américaine a assuré que tout ceci resterait privé et local, sans que rien sorte du PC. Autrement dit, cela n’irait pas nourrir en même temps les modèles d’IA de Microsoft, par exemple.
Malgré ces limites, les défenseurs de la vie privée ont vite classé Recall dans la catégorie de désastre en puissance. Elon Musk a lui aussi donné de la voix, en jugeant que ce plan « est un épisode de Black Mirror », avant d’appeler à la désactivation de cette fonctionnalité. Les experts de sécurité informatique ont aussi tiré la sonnette d’alarme.
Un désastre pour la sécurité informatique
Sur les réseaux sociaux, des montages humoristiques ont été notamment utilisés pour expliquer que la perspective de prendre des captures d’écran de tout ce qui se passe sur Windows n’est sans doute pas une si riche idée. Florian Roth, par exemple, a publié plusieurs mèmes suggérant les dégâts que cela aurait :
- sur les messages éphémères de l’application Signal ;
- sur les mots de passe enregistrés et la double authentification ;
- sur le calibrage de la double authentification basé sur un QR Code ;
« Plus on y pense, plus la situation empire. Clés privées, codes de récupération pour l’authentification à deux facteurs, jetons d’accès personnel, phrases de récupération », avait réagi un autre internaute. « sans parler de l’aspect de la violence domestique », si ce que capture Recall peut être vu par un tiers dans le domicile.
Un autre spécialiste avait partagé une vidéo sur X (ex-Twitter) illustrant ces problèmes. « Voici Recall qui capture les mots de passe temporairement visibles du gestionnaire de connexions aux services de bureautique dans une machine virtuelle Azure de test. […] les résultats de la recherche sont des captures d’écran. »
Après avoir partagé ses interrogations sur la façon de récupérer le texte identifié par reconnaissance optique de caractères (OCR), il a noté que « le mot de passe temporairement visible est disponible dans une base de données SQLite. » C’est « un cadeau joliment emballé pour permettre aux logiciels malveillants d’exfiltrer l’information », a-t-il lancé.
Microsoft resserre les boulons pour sécuriser Recall
Les nombreuses remarques qui ont fleuri en ligne ont visiblement eu leur petit effet sur Microsoft puisque le consentement préalable à Recall n’est pas le seul changement. D’autres ajustements ont été décrits par la firme de Redmond, en particulier sur la sécurité de Recall en tant que tel — afin que l’on ne puisse pas faire d’extractions malveillantes.
Ainsi, « Windows Hello sera nécessaire pour activer Recall. » Hello est le système d’authentification basé sur la biométrie, pour une reconnaissance par le visage ou l’empreinte digitale, par exemple, au lieu du mot de passe. En outre, « une preuve de présence sera requise pour afficher la chronologie et faire des recherches. »
Le groupe confirme aussi l’ajout de « couches supplémentaires de protection des données, notamment un ‘déchiffrement juste à temps‘ protégé par la sécurité de connexion renforcée de Hello, de sorte que les captures Recall ne seront déchiffrées et accessibles que lorsque l’utilisateur s’authentifiera. » La base de données et l’index de recherche sont aussi chiffrés.
Il reste désormais à déterminer dans quelle mesure les actions prises par la société permettront de convaincre à la fois les défenseurs de la vie privée et les experts en cybersécurité. Microsoft, de son côté, a rappelé toutes les autres dispositions déjà prises pour inclure la sécurité dès la conception de Recall. Mais de toute évidence, il y avait encore des brèches.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.