Les plaintes insistantes du public et les outils de validation de principe ont porté leurs fruits : Microsoft a réalisé que la sécurité de sa fonctionnalité Windows Recall récemment présentée en avant-première laissait beaucoup à désirer et a annoncé des changements importants.
À propos du rappel Windows
Il y a quelques semaines, Microsoft présentait les PC Copilot+, une nouvelle gamme d’ordinateurs fonctionnant sous Windows 11 et apportant quelques nouveautés spécifiques.
Windows Recall, une fonctionnalité qui permet au système d’exploitation de prendre des captures d’écran de l’écran de l’ordinateur toutes les quelques secondes, a attiré l’attention du public presque immédiatement, alors que les professionnels de la sécurité l’ont testé et ont souligné très haut et fort ses pièges potentiels en matière de sécurité :
- Les bases de données utilisateur contenant des informations potentiellement sensibles extraites des captures d’écran n’étaient pas cryptées, pouvaient être facilement exfiltrées par des logiciels malveillants et étaient accessibles à tous les utilisateurs sur le même appareil.
- La fonctionnalité était activée par défaut, ce qui signifie que les consommateurs et les entreprises doivent la désactiver s’ils ne souhaitent pas l’utiliser.
Les changements de Windows Recall annoncés par Microsoft
« Avant même de mettre Recall à la disposition des clients, nous avons entendu un signal clair selon lequel nous pouvons faciliter le choix des utilisateurs d’activer Recall sur leur PC Copilot+ et améliorer les garanties de confidentialité et de sécurité. Dans cet esprit, nous annonçons des mises à jour qui entreront en vigueur avant la livraison du rappel (aperçu) aux clients le 18 juin », a partagé vendredi Pavan Davuluri, vice-président d’entreprise de Microsoft pour Windows + Appareils.
Avant tout, la fonctionnalité est désormais facultative. “Si vous ne choisissez pas de l’activer de manière proactive, il sera désactivé par défaut.”
Deuxièmement, la base de données d’index de recherche – qui contient le contenu des captures d’écran – sera également cryptée.
L’accès à cette base de données, la visualisation de sa chronologie et la possibilité de rechercher dans Recall ne seront possibles que si l’utilisateur s’authentifie via la sécurité de connexion améliorée de Windows Hello (c’est-à-dire en utilisant ses données biométriques ou un code PIN). Ce n’est que lorsqu’ils s’authentifient avec succès que les données cryptées sont déchiffrées afin de pouvoir être consultées.
Davuluri a réitéré que les utilisateurs pourront savoir quand Recall enregistre des instantanés et pourront contrôler ce qui est enregistré. “Vous pouvez désactiver l’enregistrement des instantanés, les suspendre temporairement, filtrer les applications et les sites Web pour qu’ils ne figurent pas dans les instantanés et supprimer vos instantanés à tout moment”, a-t-il expliqué.
De plus, Recall n’enregistrera aucun contenu de l’activité de navigation privée effectuée avec Microsoft Edge, Firefox, Opera, Google Chrome ou d’autres navigateurs basés sur Chromium.
Enfin, les administrateurs informatiques pourront désactiver le rappel sur les appareils de travail gérés des employés, mais ne pourront pas activer la fonctionnalité.
Est-ce suffisant?
Ces changements sont certes les bienvenus, mais la question demeure : comment une entreprise qui a récemment annoncé qu’elle ferait de la sécurité sa priorité absolue a-t-elle pu commettre un faux pas aussi grave ?
“Il y a manifestement de graves défaillances en matière de gouvernance et de sécurité chez Microsoft autour de la façon dont cela s’est déroulé qui doivent faire l’objet d’une enquête, et cela suggère qu’ils ne sont pas sérieux au sujet de la sécurité de l’IA”, a noté le chercheur en sécurité Kevin Beaumont.
Il a également souligné que l’efficacité des changements devra être vérifiée.
“Microsoft doit s’engager à ne pas tenter de tromper les utilisateurs pour activer [Recall] à l’avenir, et il faudra le désactiver par défaut dans la stratégie de groupe et Intune pour les organisations d’entreprise », a-t-il conclu.