Annoncée en grande pompe au début du mois, la fonction Recall (baptisée Rappel en français) serait bien plus fragile que ne l’imagine Microsoft.
Pour la firme de Seattle, pas d’inquiétude ! Cette fonctionnalité, qui prend une capture d’écran de tout ce que vous faites sur votre ordinateur toutes les trois secondes, stocke ses données localement. Même les algorithmes de Microsoft n’y auraient pas accès pour entraîner les IA de la marque. Pourtant, l’expert en cybersécurité Kevin Beaumont démontre que l’entreprise a largement surestimé la sécurité de sa nouvelle fonctionnalité.
Des captures stockées en clair
Kevin Beaumont a brièvement travaillé chez Microsoft en 2020 et opère depuis comme expert en cybersécurité. Il teste Recall depuis maintenant une semaine, et c’est tout le temps qu’il lui a fallu pour mettre le doigt sur un problème de sécurité majeur.
Le nœud du problème ? Les données extraites par Recall ne sont en vérité que du texte reconnu automatiquement par les algorithmes de Microsoft, stocké ensuite dans une base de données. Base de données qui, d’après Beaumont, est accessible en clair, sans aucune forme de chiffrement.
Microsoft a raison sur un point : des cybercriminels ne pourraient pas accéder, à distance, aux données de Recall. À moins que les hackers récupèrent un accès administrateur sur la machine de leur victime – chose faisable grâce à une majorité de malwares et autres trojans qui restent des menaces importantes sur le Web en 2024.
Une double peine
En clair, si un pirate parvient à obtenir l’accès à votre ordinateur, rien ne l’empêche plus de parcourir votre historique Recall pour voir absolument tout ce que vous avez entrepris sur votre machine. Les pages internet visitées, les messages envoyés, les fichiers téléchargés, les comptes bancaires consultés. Même les courriels que vous auriez pu effacer depuis sont immortalisés par la fonctionnalité de Microsoft.
Le problème est donc double. Non seulement les ordinateurs Windows 11 deviennent d’autant plus attirants pour les cybercriminels, mais ils ouvriraient ainsi une véritable boîte de Pandore sur notre vie privée en cas d’attaque réussie.
Recall, ou Rappel, est une fonctionnalité activée par défaut sur tous les PC Copilot+ qui arriveront sur le marché le 18 juin. Aucune option ne permet de désactiver la fonction pendant la configuration de l’ordinateur ; il faut se rendre dans les réglages du système une fois la machine initialisée pour la désactiver.
Kevin Beaumont n’a pas détaillé tout son processus afin de laisser le temps à Microsoft de réagir et de renforcer les garde-fous de sa fonctionnalité phare. Dans un mémo concernant Recall obtenu la semaine dernière par The Verge, et signé de la main de Satya Nadella, PDG de Microsoft, on peut lire : « Si vous êtes confrontés à un dilemme entre la sécurité et une autre priorité, la réponse est claire : choisissez la sécurité. »