Résumé :
Microsoft a décidé de faire marche arrière concernant sa fonctionnalité Recall après avoir été critiqué pour des failles de sécurité exposées. Initialement présentée comme une fonctionnalité de mémoire parfaite activée par l'IA, Recall se transforme en un outil activable dans les versions compatibles de Windows, suite à des préoccupations concernant la confidentialité et la sécurité. Cette fonctionnalité, qui enregistre silencieusement une capture d'écran toutes les cinq secondes, avait suscité des inquiétudes quant à son potentiel d'espionnage et de vulnérabilité face aux pirates informatiques. Les changements apportés incluent la nécessité d'une authentification via Microsoft Hello pour activer ou accéder aux données de Recall, ainsi qu'un stockage chiffré des données collectées. Malgré ces ajustements, des experts soulignent toujours des problèmes potentiels de confidentialité et de sécurité, notamment en ce qui concerne les violences domestiques et les questions juridiques. Cette décision intervient dans le contexte de préoccupations croissantes concernant la sécurité chez Microsoft, avec des incidents récents de fuites de données et de failles de sécurité.
Quand Microsoft a appelé son nouvel outil Windows Recall, l'entreprise faisait référence à une mémoire parfaite, basée sur l'intelligence artificielle, pour votre ordinateur. Aujourd'hui, l'autre définition involontaire du mot « Recall » - l'admission par une entreprise d'un produit trop dangereux ou défaillant pour être laissé sur le marché dans sa forme actuelle - semble plus appropriée.
Vendredi, Microsoft a annoncé qu'il apporterait plusieurs changements importants au déploiement de la fonction Recall, en la rendant activable dans les versions de Windows compatibles avec Copilot+, alors qu'elle était auparavant activée par défaut, et en introduisant de nouvelles mesures de sécurité conçues pour mieux conserver les données chiffrées et exiger l'authentification pour accéder aux données stockées dans Recall.
« Nous mettons à jour l'expérience de configuration des PC Copilot+ afin de donner aux utilisateurs un choix plus clair quant à l'enregistrement d'instantanés à l'aide de Recall », peut-on lire dans un billet de blog de Pavan Davuluri, vice-président de Microsoft en charge de Windows et des appareils. "Si vous ne choisissez pas de l'activer, elle sera désactivée par défaut.
Ces changements surviennent suite à un flot croissant de critiques de la part de la communauté de la sécurité et de la protection de la vie privée, qui a décrit Recall - qui stocke silencieusement une capture d'écran de l'activité de l'utilisateur toutes les cinq secondes pour alimenter l'analyse de l'IA - comme un cadeau aux pirates : un logiciel espion préinstallé, essentiellement non sollicité, intégré dans les nouveaux ordinateurs Windows.
Dans les versions antérieures de Recall, ces captures d'écran, comprenant les identifiants bancaires, les mots de passe et les visites de sites pornographiques de l'utilisateur, auraient été indéfiniment collectées par défaut sur l'ordinateur de l'utilisateur. Et bien que ces données hautement sensibles soient stockées localement sur l'ordinateur de l'utilisateur et non envoyées dans le Cloud, les experts en cybersécurité ont mis en garde contre le fait qu'elles restent accessibles à tout pirate informatique qui réussirait à pénétrer ne serait-ce que temporairement dans la machine de l'utilisateur équipée de Recall, ce qui lui donnerait une vision panoptique à long terme de la vie numérique de la victime.
« Cela rend votre sécurité très vulnérable », comme l'a décrit Dave Aitel, ancien pirate de la NSA et fondateur de la société de sécurité Immunity, plus aimablement que d'autres, au magazine WIRED en début de semaine. "Quiconque pénètre dans votre ordinateur, ne serait-ce qu'une seconde, peut avoir accès à tout votre historique. Ce n'est pas quelque chose que les gens veulent".
En plus de faire de Recall une fonction optionnelle, M. Davuluri écrit également que l'entreprise apportera des changements pour mieux protéger les données collectées par Recall et contrôler plus étroitement qui peut l'activer, en exigeant que les utilisateurs prouvent leur identité via la fonction d'authentification Microsoft Hello chaque fois qu'ils activent Recall ou accèdent à ses données, ce qui peut nécessiter un code PIN ou un contrôle biométrique du visage ou de l'empreinte du pouce de l'utilisateur. M. Davuluri précise que les données de Recall resteront chiffrées dans le stockage jusqu'à ce que l'utilisateur s'authentifie.
Tout cela constitue une « grande amélioration », estime Jake Williams, un autre ancien pirate de la NSA qui occupe aujourd'hui le poste de vice-président de la recherche et du développement au sein de la société de conseil en cybersécurité Hunter Strategy, où certains clients lui ont demandé de tester la sécurité de Recall avant d'ajouter à leurs réseaux les appareils Microsoft qui l'utilisent. Mais M. Williams estime que Recall présente toujours de sérieux risques, même dans sa dernière version.
De nombreux utilisateurs activeront Recall, souligne-t-il, notamment en raison du marketing très médiatique de Microsoft autour de cette fonctionnalité. Et lorsqu'ils le feront, ils seront toujours confrontés à de nombreux problèmes de confidentialité non résolus, qu'il s'agisse d'auteurs de violences domestiques qui demandent souvent à leurs partenaires de leur donner leur code PIN ou de citations à comparaître ou de poursuites judiciaires qui obligent les utilisateurs à fournir leurs données d'historique. « Satya Nadella s'est exprimé sur le fait qu'il s'agissait d'un changement radical et de la solution à tous les problèmes », explique M. Williams, en faisant référence au PDG de Microsoft. "Si les clients l'activent, il y a toujours une énorme menace de perquisition légale. Je ne peux pas concevoir qu'une équipe de juristes d'entreprise soit prête à accepter le risque que toutes les actions d'un utilisateur soient divulguées dans le cadre d'une procédure de communication de pièces.Pour Microsoft, le changement de cap de Recall intervient dans un contexte embarrassant d'incidents et de violations de la cybersécurité - y compris une fuite de téraoctets de données de ses clients et une intrusion choquante dans les comptes de messagerie du gouvernement rendue possible par une série de faux pas de Microsoft en matière de sécurité - qui sont devenus si problématiques qu'ils sont devenus un point de friction compte tenu de sa relation particulièrement étroite avec le gouvernement des États-Unis.
Ces scandales ont pris une telle ampleur que M. Nadella a publié le mois dernier un mémo déclarant que Microsoft ferait de la sécurité sa première priorité dans toute décision commerciale. « Si vous devez choisir entre la sécurité et une autre priorité, la réponse est claire : privilégiez la sécurité », peut-on lire dans la note de M. Nadella. « Dans certains cas, cela signifie qu'il faudra donner la priorité à la sécurité par rapport à d'autres choses que nous ferons, comme la sortie de nouvelles fonctionnalités ou la continuation du support pour les systèmes existants. »
Pour Microsoft, le rerait de cap de Recall intervient dans un contexte embarrassant d'incidents et de violations de la cybersécurité - y compris une fuite de téraoctets de données de ses clients et une intrusion choquante dans les comptes de messagerie du gouvernement rendue possible par une série de faux pas de Microsoft en matière de sécurité - qui sont devenus si problématiques qu'ils sont devenus un point de friction compte tenu de sa relation particulièrement étroite avec le gouvernement des États-Unis.
Ces scandales ont pris une telle ampleur que M. Nadella a publié le mois dernier un mémo déclarant que Microsoft ferait de la sécurité sa première priorité dans toute décision commerciale. « Si vous devez choisir entre la sécurité et une autre priorité, la réponse est claire : privilégiez la sécurité », peut-on lire dans la note de M. Nadella. « Dans certains cas, cela signifie qu'il faudra donner la priorité à la sécurité par rapport à d'autres choses que nous ferons, comme la sortie de nouvelles fonctionnalités ou la continuation du support pour les systèmes existants. »
Selon toute vraisemblance, le déploiement de Recall par Microsoft - même après l'annonce d'aujourd'hui - montre l'approche inverse, plus conforme au statu quo à Redmond : annoncer une fonctionnalité, se faire critiquer pour ses failles de sécurité flagrantes, puis se précipiter tardivement pour limiter les dégâts.
source :
https://www.wired.com/story/microsoft-recall-off-default-security-concerns/