Microsoft a annoncé des mises à niveau de sécurité et de confidentialité de sa fonction de rappel Windows alimentée par l’IA, qui peut désormais être supprimée et offre une protection par défaut plus renforcée pour les données utilisateur et des contrôles d’accès plus stricts.
L’annonce d’aujourd’hui intervient en réponse au refus des clients de demander des protections plus strictes en matière de confidentialité et de sécurité des données par défaut, ce qui a incité la société à retarder sa publication publique en la rendant d’abord disponible en avant-première avec Windows Insiders.
Redmond a également précédemment révélé que les clients devraient s’inscrire pour activer le rappel sur leurs ordinateurs et qu’une authentification via Windows Hello serait nécessaire pour confirmer la présence de l’utilisateur devant le PC.
Recall prend des captures d’écran de Windows actif sur votre PC toutes les quelques secondes, les analyse sur l’appareil à l’aide d’une unité de traitement neuronal (NPU) et d’un modèle d’IA, et ajoute les informations à une base de données SQLite. Vous pouvez ultérieurement rechercher ces données en utilisant le langage naturel pour inviter Windows Recall à récupérer les captures d’écran pertinentes.
Depuis que Microsoft a annoncé cette fonctionnalité en mai, les experts en cybersécurité et les défenseurs de la vie privée ont averti que le rappel de Windows est un cauchemar pour la vie privée et serait probablement abusé par des logiciels malveillants et des menaces pour voler les données des utilisateurs.
Contrôles de sécurité et de confidentialité améliorés
En réponse aux commentaires négatifs des clients et des experts en confidentialité et en sécurité, David Weston, vice-président de Microsoft pour la sécurité des entreprises et des systèmes d’exploitation, a révélé aujourd’hui que Recall est toujours opt-in, filtre automatiquement le contenu sensible, permet aux utilisateurs d’exclure des applications, des sites Web ou des sessions de navigation privées spécifiques, et peut être supprimé si nécessaire.
« Si un utilisateur ne choisit pas de l’activer de manière proactive, il sera désactivé et les instantanés ne seront ni pris ni enregistrés. Les utilisateurs peuvent également supprimer entièrement le rappel en utilisant les paramètres des fonctionnalités optionnelles de Windows », a déclaré Weston.
Recall now est également livré avec un filtre d’informations sensibles conçu pour protéger les données confidentielles, telles que les mots de passe, les numéros de carte de crédit et les informations d’identification personnelles, en appliquant automatiquement des filtres sur ce contenu.
Weston a assuré aux utilisateurs qu’ils conservent un contrôle total sur leurs données, car Recall leur permettra de supprimer des instantanés, de les suspendre ou de les désactiver à tout moment. « Toute option future de partage de données nécessitera une action pleinement informée et explicite de la part de l’utilisateur », a-t-il ajouté.
Recall a également été repensé pour fonctionner selon quatre principes fondamentaux: le contrôle de l’utilisateur, le cryptage des données sensibles, l’isolement des services et l’utilisation intentionnelle.
Weston indique que les instantanés et les données associées sont également cryptés, les clés de cryptage étant protégées par le module de plateforme sécurisée (TPM) de l’appareil. Ce module est lié aux informations d’identification Windows Hello et à l’identité biométrique de l’utilisateur et garantit qu’aucune donnée ne quitte le système sans la demande explicite de l’utilisateur.
« Les instantanés de rappel ne sont disponibles qu’une fois que les utilisateurs se sont authentifiés à l’aide des informations d’identification Windows Hello. La sécurité de connexion améliorée de Windows Hello garantit la confidentialité et authentifie activement les utilisateurs avant d’autoriser l’accès à leurs données », a-t-il déclaré.
« L’utilisation d’enclaves VBS avec la sécurité de connexion améliorée Windows Hello permet de déchiffrer brièvement les données pendant que vous utilisez la fonction de rappel pour effectuer une recherche. L’autorisation expirera et obligera l’utilisateur à autoriser l’accès pour les sessions futures. Cela limite les tentatives de logiciels malveillants latents essayant de « suivre » l’authentification d’un utilisateur pour voler des données. »
De plus, le rappel inclut également des fonctionnalités de protection contre les logiciels malveillants telles que des mesures de limitation de débit et d’anti-martèlement.
« Le rappel est toujours opt-in. Les instantanés ne sont pas enregistrés à moins que vous ne choisissiez d’utiliser le rappel, et tout est stocké localement », a conclu Weston.
« Recall ne partage pas d’instantanés ou de données avec Microsoft ou des tiers, ni entre différents utilisateurs Windows sur le même appareil. Windows demandera l’autorisation avant d’enregistrer des instantanés. »
Microsoft a annoncé le mois dernier que Recall commencerait à être déployé auprès des initiés avec les PC Copilot+ en octobre.