![OVtZW3i.png](https://i.imgur.com/OVtZW3i.png)
Microsoft lance Windows Recall, une nouvelle fonctionnalitĂ© dâIA prometteuse qui permet de retrouver facilement des fichiers sur votre ordinateur. Cependant, des failles de sĂ©curitĂ© majeures ont Ă©tĂ© dĂ©couvertes, exposant vos donnĂ©es Ă des logiciels malveillants. Faut-il activer Windows Recall ?
Alors que la polĂ©mique enflait sur Recall, jugĂ©e intrusive et dangereuse, Microsoft fait machine arriĂšre. Le choix sera clairement donnĂ© pendant la configuration de lâordinateur. La sociĂ©tĂ© ajoute en outre des mĂ©canismes de sĂ©curitĂ© qui auraient dĂ» ĂȘtre prĂ©sents dĂšs le dĂ©part.
Câest peu dire que la prĂ©sentation de la fonction Recall (Retrouver) aura fait rĂ©agir. SpĂ©cifique aux PC Copilot+ et Ă ses « bonus » IA, elle consiste Ă prendre rĂ©guliĂšrement des captures dâĂ©cran. Les images sont analysĂ©es, afin quâune recherche permette de retrouver quand et comment une information a Ă©tĂ© utilisĂ©e. Flock y a mĂȘme consacrĂ© une bande dessinĂ©e dont il a le secret.
LâidĂ©e partait dâun bon sentiment, avec lâobjectif de pouvoir toujours remettre la main sur un site, un document, une discussion ou autre. Cependant, comme nous lâavions signalĂ©, elle permettait un vĂ©ritable pillage des donnĂ©es personnelles. DĂšs lors quâune autre personne pouvait sâinstaller devant lâordinateur, elle pouvait rĂ©cupĂ©rer tout lâhistorique de lâutilisateur sur plusieurs mois.
Le problĂšme est dâautant plus important que le mĂ©canisme agit aussi bien sur les actions personnelles que celles reçues dâautres personnes. Vous discutez sur Signal, WhatsApp, Messenger, Telegram, par email ou sur un site de rencontre ? Recall en garde des traces. Les correspondants ne sont pas prĂ©venus. Dâautres ont signalĂ© les ravages que peut entrainer la fonction avec des proches abusifs.
Lâactivation de Recall se fera par un choix
On sâen doutait devant lâampleur des critiques : Microsoft a annoncĂ© la bascule sur un modĂšle « opt in » pour Recall. Lâassistant de configuration de Windows 11 pouvant ĂȘtre mis Ă jour dĂšs la connexion internet Ă©tablie, une nouvelle version sera disponible pour le lancement des PC Copilot+. On y trouvera un choix clair sur la fonction.
La capture, publiĂ©e par Microsoft, montre lâobligation de faire un choix. Nous nous Ă©tions justement interrogĂ©s sur ce point, car une bonne partie de lâassistant est consacrĂ©e Ă lâactivation de fonctions, aucun choix nâĂ©tant sĂ©lectionnĂ© par dĂ©faut. Pourquoi Recall nâavait-il pas eu le mĂȘme traitement ? LâĂ©diteur a fini par aligner Recall sur le reste.
Le nouveau panneau a lâavantage de mieux prĂ©senter la fonction. Il explique son intĂ©rĂȘt, mentionne que Microsoft nâaccĂšde pas aux captures et que lâon peut contrĂŽler ce que Recall analyse.
Plusieurs mesures de sécurité supplémentaires
Outre le contrĂŽle, Microsoft ajoute plusieurs mĂ©canismes pour verrouiller davantage les informations enregistrĂ©es par Recall. La fonction ne brillait pas par la protection des informations trĂšs sensibles. Elle les stockait dans une simple base SQLite, enregistrĂ©e dans un sous-dossier dâAppData. Lâexpert en cybersĂ©curitĂ© Kevin Beaumont avait mĂȘme montrĂ© quâon pouvait les rĂ©cupĂ©rer assez facilement depuis un autre compte sur le mĂȘme PC.
On trouve trois ajouts principaux. Dâune part, lâactivation de Windows Hello devient obligatoire pour utiliser Recall. Hello est pour rappel la fonction chapeautant tout ce qui touche Ă lâouverture sĂ©curisĂ©e de session, notamment avec la biomĂ©trie.
Dâautre part, Windows Hello se manifestera lors de tout accĂšs aux informations recueillies par Recall. Une preuve de prĂ©sence donc, lĂ oĂč il suffisait Ă quelquâun de sâassoir face Ă un PC Copilot+ pour plonger dans lâhistorique complet des activitĂ©s de son utilisateur.
Enfin, plusieurs « couches supplĂ©mentaires de protection des donnĂ©es » ont Ă©tĂ© ajoutĂ©es. Un chiffrement Ă la volĂ©e dâabord, via Windows Hello ESS (Enhanced Sign-in Security). Les captures crĂ©Ă©es par Recall ne seront donc accessibles que si lâutilisateur est dĂ»ment authentifiĂ©. En outre, la base de donnĂ©es de lâindex de recherche sera, elle aussi, chiffrĂ©e.
De sérieux problÚmes à la conception
Pourquoi ne pas avoir mis en place ces mĂ©canismes dĂšs le dĂ©part ? La question est Ă©vidente au vu des multiples scĂ©narios problĂ©matiques apparus dans les quelques jours qui ont suivi la prĂ©sentation. Elle est dâautant plus prĂ©gnante que Satya Nadella, PDG de lâentreprise, avait fait circuler un mĂ©mo auprĂšs des employĂ©s pour rĂ©itĂ©rer lâimportance de la sĂ©curitĂ©, mĂȘme si elle se faisait au dĂ©triment des fonctionnalitĂ©s.
Recall ne sera techniquement proposĂ© au dĂ©part que sous forme de prĂ©version. Cela ne devrait cependant pas compter : obliger lâutilisateur Ă choisir aurait dĂ» ĂȘtre un rĂ©flexe. Tout comme le chiffrement des donnĂ©es. Tout comme lâauthentification obligatoire.
Microsoft joue gros avec ce type de mĂ©canisme. La sociĂ©tĂ© veut prouver que lâIA peut rendre mille services. Avec Recall, elle a surtout prouvĂ© que le pouvoir de lâIA peut entraĂźner des catastrophes quand elle nâest pas pensĂ©e avec soin. Comme le cloud, ces fonctions ne peuvent ĂȘtre couronnĂ©es de succĂšs que si le public a confiance. Mieux vaut Ă©viter quâune telle bourde se reproduise, d'autant qu'une deuxiĂšme vague de PC Copilot+ serait en prĂ©paration pour la fin de l'Ă©tĂ©.
L'affaire servira en tout cas de leçon à Google, qui réfléchit également à intégrer ce type de fonction dans ses Chromebook.
Source: Blog Microsoft (traduit en français)
DerniĂšre Ă©dition: