Selon un chercheur en cybersécurité, la toute nouvelle fonction d’IA de Microsoft, Recall, n’est absolument pas sécurisée et donnerait aux pirates un accès sans précédent à absolument tout ce que vous faites sur votre PC.
Dévoilée lors de l’annonce en grande pompe de la nouvelle génération de PC Copilot+, la fonction Recall de Windows 11 (voir notre article) s’annonce comme un enfer pour la confidentialité et la sécurité des utilisateurs. Ce nouvel outil, qui se présente comme un super historique capable de retrouver n’importe quelle action que vous avez effectuée ou tout contenu que vous avez consulté sur votre ordinateur, ne serait pas absolument sécurisé pour le moment et constituerait une opportunité inespérée pour les pirates. Avant son arrivée le 18 juin avec les premiers PC Copilot+, la fonction Recall a été examinée par un chercheur indépendant en cybersécurité et ses premiers constats sont pour le moins inquiétants.
Rappel Windows 11 : une porte grande ouverte pour les hackers
Le titre de l’article donne immédiatement la couleur : « Voler tout ce que vous avez tapé ou consulté sur votre propre PC Windows est désormais possible avec deux lignes de code – lors du désastre de Copilot+ Recall ». Dans un article sur son blog DoublePulsar, Kevin Beaumont, chercheur français en cybersécurité, donne son avis sur les implications sécuritaires de la nouvelle fonction Recall de Windows 11, et se contente de dire qu’il est pessimiste. L’auteur a pu mettre la main sur Recall et faire tourner le programme avant sa sortie officielle, afin d’examiner son fonctionnement et tester ses limites. Sa conclusion est claire : le rappel n’est pas sécurisé et les données des utilisateurs peuvent être volées.
La nouvelle fonctionnalité phare de Windows 11 vise à agir comme un super assistant personnel, capable de mémoriser tout ce qui se fait sur l’ordinateur, afin que l’utilisateur puisse le retrouver facilement, en formulant des questions en langage naturel. On peut y voir une sorte de fusion entre ChatGPT et un super historique de navigation Internet, mais qui s’appliquerait à l’échelle du PC tout entier. Pour fonctionner, Recall prend des captures d’écran de l’activité du PC toutes les quelques secondes, les analyse à l’aide de la reconnaissance optique de caractères (OCR pour Reconnaissance optique de caractères) enregistre ensuite les informations dans une base de données locale au format SQLite.
Toutes les actions réalisées, de la réduction d’une fenêtre à l’installation d’un logiciel, et tous les contenus consultés, comme les réseaux sociaux, les comptes bancaires ou encore une vidéo pornographique, sont donc indexés et enregistrés dans un fichier en clair. Selon les déclarations de Microsoft, Recall fonctionnerait exclusivement en local, directement sur l’appareil de l’utilisateur donc sans envoi d’informations en ligne, et l’historique d’activité serait évidemment crypté, ce qui garantirait la confidentialité et la sécurité de toutes ces données ultra-sensibles. Cependant, les choses ne sont pas si simples et les protections actuellement en place n’empêcheraient pas les acteurs malveillants d’accéder aux données.
Tout d’abord, le fonctionnement exclusivement local de Recall n’empêche pas un attaquant d’accéder aux données produites s’il a pu obtenir un accès à distance à l’appareil. Ensuite, le cryptage de la base de données générée par Recall protège uniquement contre la lecture des informations par une personne ayant physiquement volé l’appareil, les données étant décryptées lors de la connexion à la session Windows. Enfin, les fichiers de la base de données Recall seraient simplement stockés dans le répertoire AppData de Windows 11 et très facilement accessibles par un compte utilisateur disposant des droits d’administrateur, comme le prouve une vidéo partagée par l’auteur et montrant deux ingénieurs de Microsoft accédant au dossier en question dans quelques secondes.
Contrairement aux affirmations de Microsoft, les informations collectées et indexées par Recall seraient donc parfaitement accessibles à un attaquant suffisamment qualifié. Et pour ne rien arranger, la nature et la forme des données générées faciliteraient même leur exploitation par des acteurs malveillants. D’une part, la « mémoire photographique » de Recall n’oublie rien : même si un email, un message sur WhatsApp ou une conversation sur Teams est supprimé, les informations correspondantes restent stockées dans la base de données. données. D’autre part, toutes les actions et contenus stockés sont enregistrés sous la forme d’un fichier de données structurées, ce qui rend leur analyse et leur exploitation très simples et rapides, bien plus qu’avec des données dispersées collectées manuellement. aide d’un malware de type classique voleur d’informations Ou enregistreur de frappe.
Le rappel pourrait donc agir comme un gigantesque facilitateur de vol de données pour les hackers, et ouvrir la voie à des attaques informatiques d’une ampleur sans précédent. D’autant que cette fonction sera activée par défaut sur les nouveaux ordinateurs Copilot+ qui arrivent très prochainement sur le marché, et vous devrez donc la désactiver manuellement dans les paramètres de Windows 11 si vous souhaitez vous en protéger, ce qui probablement peu les utilisateurs en seront conscients.
Sans porter de jugement de valeur sur l’utilité de la fonction Recall, tâche qui incombera à chaque utilisateur selon ses envies et ses besoins, il convient cependant d’appeler à la prudence. Que vous soyez résistant, indifférent ou franchement enthousiaste face à la nouvelle fonction Recall de Windows 11, il semble plus raisonnable de la désactiver à sa sortie, afin de laisser le temps aux différents acteurs de la cybersécurité d’étudier le programme pour en prendre connaissance. les failles, et pour Microsoft de consolider la sécurité et la robustesse de son outil.
