Microsoft ajuste sa fonctionnalité Recall pour répondre aux préoccupations de sécurité
Microsoft a récemment annoncé des modifications importantes à sa nouvelle fonctionnalité Recall dans Windows 11, conçue pour capturer tout ce que vous faites sur votre PC.
Présentée au départ dans le cadre des futurs PC Copilot Plus, elle a suscité de nombreuses inquiétudes de la part des défenseurs de la vie privée et des experts en sécurité, qui ont averti qu'elle pourrait représenter un désastre pour la cybersécurité sans ajustements. Écoutant les plaintes, Microsoft a décidé de faire de Recall une fonctionnalité activée uniquement sur consentement. Alors que l'option devait l’être par défaut, les utilisateurs auront désormais la possibilité de la désactiver lors du processus de configuration de leurs nouveaux PC. Comme l'explique Pavan Davuluri, responsable de Windows:
“Si vous ne choisissez pas de l'activer de manière proactive, elle sera désactivée par défaut.”
De plus, Microsoft exigera l'authentification via Windows Hello pour activer Recall, nécessitant une identification par visage, empreinte digitale ou code PIN.
Sécuriser l'accès et les données
Pour accéder à votre chronologie et effectuer des recherches dans Recall, une preuve de présence sera également requise. Cette authentification s'appliquera également à la protection des données des instantanés créés par le produit. Davuluri explique que Microsoft ajoute des couches supplémentaires de sécurité, incluant le décryptage en temps réel, protégé par la sécurité de connexion améliorée de Windows Hello (ESS), garantissant que les instantanés ne seront décryptés et accessibles que lorsque l'utilisateur s'authentifie.
Un fonctionnement local pour la protection de la vie privée
Recall utilise des modèles d'IA locaux pour capturer presque tout ce que vous voyez ou faites sur votre ordinateur, permettant ensuite de rechercher et récupérer n'importe quoi en quelques secondes. La chronologie exploratoire vous permet de faire défiler facilement ces instantanés pour revoir ce que vous avez fait un jour particulier. L’entreprise assure que tout est conçu pour rester local et privé sur l'appareil, sans utiliser les données pour entraîner ses modèles. Ces modifications surviennent après que l'expert en cybersécurité, Kevin Beaumont, ait découvert que la fonctionnalité stockait les données en texte clair, facilitant ainsi la tâche des auteurs de logiciels malveillants. Plusieurs outils sont apparus promettant d'exfiltrer les données de Recall, révélant une faille majeure de sécurité.
Une nouvelle initiative pour la sécurité logicielle
Microsoft a développé Recall dans le cadre de son initiative Secure Future Initiative (SFI), visant à réviser la sécurité de ses logiciels après des attaques majeures sur le cloud Azure. Satya Nadella, PDG de l’entreprise, a récemment insisté auprès des employés pour faire de la sécurité la priorité absolue, même si cela signifie retarder de nouvelles fonctionnalités. Microsoft souligne que Recall sera disponible uniquement sur les nouveaux PC Copilot Plus, conçus pour être des machines à cœur sécurisé avec des protections avancées et le processeur de sécurité Pluton. Davuluri conclut:
“Nous continuerons à écouter et à apprendre de nos clients pour faire évoluer nos expériences. Nous restons reconnaissants envers la communauté dynamique qui continue de partager ses commentaires avec nous.”
Avec ces ajustements, Microsoft espère apaiser les inquiétudes tout en offrant une fonctionnalité plus sécurisée et respectueuse de la vie privée.