L’annonce par Microsoft de la nouvelle fonctionnalité de rappel de Windows 11 alimentée par l’IA a suscité beaucoup d’inquiétudes, beaucoup pensant qu’elle a créé des risques massifs pour la vie privée et un nouveau vecteur d’attaque que les acteurs de la menace peuvent exploiter pour voler des données.

Révélée lors d’un événement IA du lundi, la fonctionnalité est conçue pour aider à « se souvenir » des informations que vous avez consultées dans le passé, les rendant facilement accessibles via une simple recherche.

Bien qu’il ne soit actuellement disponible que sur les PC Copilot+ exécutant des processeurs Snapdragon X ARM, Microsoft dit qu’ils travaillent avec Intel et AMD pour apporter la fonctionnalité à tous les appareils Windows 11.

Recall fonctionne en prenant une capture d’écran de votre fenêtre active toutes les quelques secondes, enregistrant tout ce que vous faites dans Windows jusqu’à trois mois par défaut.

Ces instantanés seront analysés par l’Unité de traitement neuronal (NPU) sur l’appareil et un modèle d’IA pour extraire les données de la capture d’écran. Les données seront enregistrées dans un index sémantique, permettant aux utilisateurs de Windows de parcourir l’historique des instantanés ou de rechercher à l’aide de requêtes en langage humain.

Microsoft dit que toutes ces données sont cryptées à l’aide de BitLocker lié au compte Windows de l’utilisateur et ne sont pas partagées avec d’autres utilisateurs sur le même appareil.

Bien que cela semble amusant et intéressant, cela a immédiatement soulevé des inquiétudes quant aux risques évidents pour la vie privée et à la question de savoir si Microsoft envisage d’engloutir toutes ces données.

Cependant, Microsoft affirme que Recall a été conçu pour que toutes les données soient enregistrées directement sur l’appareil de l’utilisateur dans un format crypté, offrant aux utilisateurs un contrôle total sur la fonctionnalité, y compris si elle est activée et quelles applications elle peut prendre des captures d’écran.

« Recall est un élément clé de ce qui rend Copilot+ PCS spécial, et Microsoft a intégré la confidentialité dans la conception de Recall à partir de zéro. Sur les PC Copilot + alimentés par un processeur Snapdragon ® X Series, vous verrez l’icône de la barre des tâches de rappel après la première activation de votre appareil. Vous pouvez utiliser cette icône pour ouvrir les paramètres de Recall et faire des choix sur les instantanés que Recall collecte et stocke sur votre appareil. Vous pouvez limiter les instantanés que Recall collecte; par exemple, vous pouvez sélectionner des applications ou des sites Web spécifiques visités dans un navigateur pris en charge pour filtrer vos instantanés. De plus, vous pouvez suspendre les instantanés à la demande à partir de l’icône de rappel dans la barre d’état système, effacer certains ou tous les instantanés qui ont été stockés ou supprimer tous les instantanés de votre appareil. »

❖ Microsoft


Microsoft indique également qu’il ne créera pas de captures d’écran des fenêtres privées de Microsoft Edge (et d’autres navigateurs basés sur Chromium) ou du contenu protégé par DRM. Cependant, ils n’ont pas confirmé si les modes privés d’autres navigateurs, comme Firefox, seront pris en charge.

Lors d’un événement de presse lundi, Yusuf Mehdi, Vice-Président de l’entreprise et Directeur du Marketing Grand public, a assuré aux journalistes que Microsoft adoptait une approche très conservatrice en matière de rappel.

« Nous allons garder votre index de rappel privé, local et sécurisé uniquement sur l’appareil », a déclaré Mehdi.

« Nous n’utiliserons aucune de ces informations pour entraîner un modèle d’IA, et nous vous donnons le contrôle total avec la possibilité de modifier et de supprimer tout ce qui est capturé. »

En outre, Microsoft a également réitéré que les données à rappeler ne seront disponibles que localement et ne seront pas stockées dans le cloud, la société réaffirmant une fois de plus que  » les données ne sont pas accessibles par Microsoft. »

Microsoft a également commencé à partager plus de détails techniques, tels que des stratégies de groupe qui peuvent être utilisées pour désactiver le rappel à l’échelle de l’entreprise et comment les utilisateurs finaux peuvent désactiver la fonctionnalité.

Les experts en cybersécurité et les utilisateurs réguliers toujours concernés

pourquoi la plupart des experts, chercheurs et analystes en cybersécurité sont-ils si préoccupés par cette fonctionnalité?

Tout d’abord, les grandes entreprises ont l’habitude d’exploiter les données des utilisateurs à leur profit, ce qui rend difficile pour les utilisateurs de faire confiance à Microsoft lorsqu’ils disent qu’ils n’accéderont pas aux données de rappel.

Les utilisateurs ne sont pas les seuls, car l’agence de protection des données du Royaume-Uni, l’Information Commissioner’s Office (ICO), contacte également Microsoft pour s’assurer que les données des utilisateurs seront correctement protégées et non utilisées par l’entreprise.

« Nous attendons des organisations qu’elles soient transparentes avec les utilisateurs sur la manière dont leurs données sont utilisées et qu’elles ne traitent les données personnelles que dans la mesure où cela est nécessaire pour atteindre un objectif spécifique. L’industrie doit prendre en compte la protection des données dès le départ et évaluer et atténuer rigoureusement les risques pour les droits et libertés des personnes avant de commercialiser des produits », peut-on lire dans un communiqué de presse de l’OIC.

« Nous nous renseignons auprès de Microsoft pour comprendre les garanties en place pour protéger la confidentialité des utilisateurs. »

Même si nous acceptons que Microsoft n’accède pas aux données de rappel, ce produit a encore d’énormes implications en matière de sécurité et de confidentialité.

Microsoft admet que la fonctionnalité n’effectue aucune modération de contenu, ce qui signifie qu’elle engloutira tout ce qu’elle verra, y compris les mots de passe dans un gestionnaire de mots de passe ou vos numéros de compte sur votre site Web bancaire.

Ou si vous êtes dans Word, rédigez un accord confidentiel, une capture d’écran de ce contenu sera également créée. Si vous avez un seul PC et que vous le partagez avec d’autres, vous voudrez peut-être faire attention aux photos ou vidéos que vous regardez, car, devinez quoi, celles-ci seront également enregistrées.

Oui, vous pouvez empêcher les applications d’être capturées par cette fonctionnalité, mais la plupart des gens la laisseront simplement s’exécuter sans se soucier des paramètres de la fonctionnalité.

Toutes ces informations sont désormais stockées dans l’index sémantique de Windows 11 et facilement consultables par toute personne ayant accès à votre PC, autorisée ou non.

Ce n’est que la pointe de l’iceberg, cependant.

Si un acteur menaçant ou un logiciel malveillant a compromis votre appareil, toutes ces données seront déjà déchiffrées par Bitlocker, ce qui les rendra accessibles au pirate informatique.

Par exemple, un acteur menaçant ou un logiciel malveillant pourrait simplement voler une base de données de rappel et la télécharger sur ses propres serveurs pour analyse. Ces informations pourraient ensuite être utilisées pour extorquer des utilisateurs ou potentiellement violer les comptes des utilisateurs si les informations d’identification étaient exposées.

L’expert en cybersécurité Kevin Beaumont, connu pour être parfois un critique virulent de Microsoft, s’est également inquiété de la façon dont cette fonctionnalité crée une surface d’attaque massive,la comparant à un enregistreur de frappe  » intégré à Windows. »

« Si vous regardez ce qui s’est passé historiquement avec les logiciels malveillants infostealer — des logiciels malveillants se sont glissés sur les PC — il a pivoté pour voler automatiquement les mots de passe du navigateur stockés localement », a expliqué Beaumont dans un nouveau billet de blog.

« En d’autres termes, si un acteur malveillant accède à un système, il vole déjà d’importantes bases de données stockées localement. Ils peuvent simplement étendre cela pour voler des informations enregistrées par la fonction de rappel de Copilot. »

Et il ne s’agit pas seulement de logiciels malveillants de vol d’informations, car des logiciels malveillants ciblant les entreprises comme TrickBot avaient précédemment inclus des modules qui volaient la base de données Active Directory d’un domaine pour le craquage hors ligne des informations d’identification. Rien n’empêche les logiciels malveillants d’adopter une approche similaire et de voler également les bases de données de rappel.

Microsoft a toujours adopté la position avec les vulnérabilités et les attaques selon laquelle une fois qu’un appareil est compromis, tous les paris sont ouverts et les limites de sécurité sont jetées par la fenêtre.

Fondamentalement, vous avez été infecté ou êtes tombé dans une attaque d’ingénierie sociale, c’est donc de votre faute si toutes ces mauvaises choses vous arriveront.

Cependant, comme Microsoft est l’un des plus grands gardiens, sinon le plus important, des données des consommateurs et de la sécurité informatique, il semble irresponsable d’introduire des risques supplémentaires dans un environnement déjà risqué.

Bien que nous puissions continuer encore et encore à exprimer en quoi cette fonctionnalité représente un risque énorme pour la vie privée, je vais plutôt vous laisser avec cette citation de la récente promesse de Microsoft de donner la priorité à la sécurité avant tout.

« Si vous êtes confronté à un compromis entre la sécurité et une autre priorité, votre réponse est claire: Faites de la sécurité. Dans certains cas, cela signifiera donner la priorité à la sécurité par rapport à d’autres choses que nous faisons, telles que la publication de nouvelles fonctionnalités ou la fourniture d’un support continu pour les systèmes hérités », a déclaré Satya Nadella, PDG de Microsoft, dans un courrier électronique adressé aux employés de Microsoft.

« C’est la clé pour améliorer à la fois la qualité et les capacités de notre plate-forme, de sorte que nous puissions protéger les domaines numériques de nos clients et créer un monde plus sûr pour tous. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *