Microsoft a mis en place une nouvelle architecture de sécurité pour sa fonction controversée Recall, qui permet d'améliorer la recherche sur les PC dotés d'une intelligence artificielle, et qui sera disponible pour les membres du programme Windows Insider en octobre.
Dans une vidéo annonçant les changements apportés à Recall, Yusuf Mehdi, vice-président exécutif et directeur du marketing grand public de Microsoft, a déclaré qu'une partie des changements apportés à Recall concernait la nécessité pour les utilisateurs d'accepter d'activer et d'utiliser Recall. Si les utilisateurs n'activent pas proactivement Recall, aucun cliché n'est pris ou sauvegardé. Les paramètres de Windows comporteront même une option permettant de supprimer complètement Recall.
« Nous avons pris des mesures importantes pour sécuriser vos instantanés et vous permettre d'en avoir le contrôle total », a déclaré Mehdi.
Plus sûr, mais aussi optionnel
Microsoft a donné plus de détails sur la façon dont la sécurité de Recall a été réarchitecturée dans un billet du vice-président de Microsoft chargé de la sécurité des entreprises et des systèmes d'exploitation, David Weston.
Les grandes lignes de l'annonce sont similaires aux changements que Microsoft avait initialement annoncés pour Recall au cours de l'été : la fonction serait désactivée par défaut au lieu d'être activée, les utilisateurs devraient s'authentifier à nouveau avec Windows Hello avant d'accéder aux données Recall, et les données Recall stockées localement seraient protégées par un chiffrement supplémentaire.
Cependant, certains détails montrent comment Microsoft tente d'apaiser les utilisateurs sceptiques. Par exemple, Recall peut désormais être entièrement supprimé d'un système à l'aide des paramètres des « fonctionnalités optionnelles » de Windows (lorsqu'un mécanisme de suppression similaire est apparu dans une Preview de Windows au début du mois, Microsoft a prétendu qu'il s'agissait d'un « bug », mais ce n'est apparemment pas le cas).
Recall nécessitera également l'activation de Virtualization-Based Security (VBS) et Hypervisor-Protected Code Integrity (HVCI)
L'entreprise en dit également plus sur la façon dont Windows protégera les données localement. Toutes les données Recall stockées localement, y compris les « clichés et toutes les informations associées dans la base de données vectorielle », seront chiffrées au repos avec des clés stockées dans le TPM de votre système ; selon le billet de blog, Recall ne fonctionnera que lorsque BitLocker ou Device Encryption est pleinement activé. Recall nécessitera également l'activation de Virtualization-Based Security (VBS) et Hypervisor-Protected Code Integrity (HVCI) ; ces fonctions sont parfois désactivées pour améliorer les performances des jeux, mais Recall refusera de fonctionner si elles ne sont pas activées.
En effet, le nouveau Recall fonctionne à l'intérieur d'une enclave VBS, qui permet d'isoler et de sécuriser les données en mémoire par rapport au reste du système.
« Cette zone agit comme une boîte verrouillée à laquelle on ne peut accéder qu'après avoir obtenu l'autorisation de l'utilisateur par le biais de Windows Hello », écrit Weston. « Les enclaves VBS offrent une frontière d'isolation par rapport au noyau et aux utilisateurs administratifs ».
Windows n'autorise l'exécution dans ces enclaves d'aucun code qui n'a pas été signé par Microsoft, ce qui devrait réduire le risque d'exposer les données Recall à des logiciels malveillants ou à d'autres applications malveillantes. D'autres protections contre les logiciels malveillants ont été ajoutées à cette version de Recall, notamment des « mesures de limitation du débit et de lutte contre le maraudage ».
Chaque fois qu'un utilisateur ouvrira Recall pour consulter ses clichés, il devra utiliser Windows Hello pour s'authentifier à nouveau et, lorsqu'il le configurera, il devra d'abord utiliser une authentification biométrique telle qu'une caméra à balayage facial ou un lecteur d'empreintes digitales. Le déverrouillage de Recall avec un code PIN Windows Hello ne peut être configuré que lorsque Recall a déjà été activé, et il s'agit d'une « méthode de repli » destinée à « éviter la perte de données si un capteur sécurisé est endommagé ».
Windows Hello ne décrypte que « brièvement » les informations Recall lorsque les utilisateurs y accèdent effectivement, et les utilisateurs devront se réautoriser périodiquement après un délai d'attente ou entre deux sessions Recall. Les clés de chiffrement utilisées pour déchiffrer les données Recall « sont liées cryptographiquement à l'identité de l'utilisateur final, scellées par une clé dérivée du TPM de la plateforme matérielle », ce qui devrait combler la faille la plus béante de Recall : la capacité d'un autre utilisateur sur un PC à naviguer facilement vers un dossier dans l'explorateur Windows et à voir tout ce qui est stocké par Recall.
Weston a également mis en avant quelques paramètres utilisateur qui peuvent être utilisés pour limiter ce que Recall collecte - certains d'entre eux existaient déjà, comme le contrôle de l'espace disque à utiliser et de la durée de conservation des instantanés Recall, la possibilité d'exclure des applications et des sites web spécifiques, le fait que les utilisateurs peuvent choisir de supprimer des éléments de leurs bases de données Recall, une icône dans la barre d'état système qui vous indique que Recall est en cours d'exécution, et le fait que la plupart des navigateurs ne seront pas capturés lorsqu'ils fonctionnent en mode de navigation privée.
La première, une fonction de « filtrage des contenus sensibles » qui tente de « réduire les mots de passe, les numéros d'identification nationaux et les numéros de cartes de crédit stockés dans Recall », est nouvelle ; elle est basée sur une fonction appelée Microsoft Purview Information Protection que l'entreprise propose à ses utilisateurs professionnels.
Microsoft affirme que la fonction fait l'objet d'un audit plus approfondi cette fois-ci
Bien qu'il faille encore attendre de voir comment la nouvelle version de Recall résistera à l'examen du public, Microsoft affirme que la fonction a fait l'objet d'un audit plus approfondi cette fois-ci : L'équipe interne de Microsoft chargée de la recherche offensive et de l'ingénierie de la sécurité « a mené pendant des mois des examens de la conception et des tests de pénétration sur Recall », et un fournisseur de sécurité tiers anonyme a également « effectué un examen indépendant de la conception de la sécurité et un test de pénétration ».
La seule chose dont le message de Microsoft ne parle pas est la suivante : pourquoi la fonction Recall a failli être lancée dans sa forme originale, non sécurisée, pourquoi elle n'est pas passée par les canaux de test normaux de Windows Insider, et quels changements internes (s'il y en a) sont en cours pour éviter que ce genre de chose ne se reproduise ?
Microsoft n'a pas donné de date précise pour la reprise du déploiement de Recall, mais l'entreprise avait précédemment annoncé qu'il commencerait à être déployé pour les Windows Insiders en octobre.
À peu près au même moment où la fonction initiale de rappel implosait, le PDG de Microsoft, Satya Nadella, venait d'annoncer que les employés recevaient l'ordre de « faire de la sécurité » lorsqu'ils avaient le choix entre lancer quelque chose rapidement ou lancer quelque chose de sécurisé. Il reste à voir si ce mandat peut ou va résister à la volonté de l'entreprise d'intégrer le plus rapidement possible un maximum de capacités d'IA dans tous ses produits, mais la correction de Recall est un pas dans cette direction.
En somme
Windows Recall est conçu pour aider les utilisateurs à retrouver facilement et rapidement des informations qu’ils ont consultées sur leur PC. Il fonctionne en prenant des captures d’écran régulières de l’écran de l’utilisateur, qui sont ensuite analysées et indexées pour faciliter la recherche.
Lors de son premier lancement, Windows Recall a été critiqué pour des préoccupations liées à la confidentialité. Les utilisateurs craignaient que les captures d’écran puissent être accessibles à des tiers non autorisés, compromettant ainsi leurs données personnelles.
Pour répondre à ces préoccupations, Microsoft a introduit plusieurs améliorations :
- Chiffrement des données : Toutes les captures d’écran et les données associées sont désormais chiffrées et les clés de chiffrement sont protégées par le module de plateforme sécurisée (TPM).
- Isolation des services : Les services qui traitent les captures d’écran fonctionnent dans un environnement sécurisé appelé Enclave de Sécurité Basée sur la Virtualisation (VBS Enclave).
- Contrôle utilisateur : Windows Recall est une fonctionnalité opt-in, ce qui signifie qu’elle n’est pas activée par défaut. Les utilisateurs doivent choisir de l’activer lors de la configuration de leur PC
Les mises à jour de Recall interviennent quelques jours après que Microsoft a présenté une série de nouvelles fonctionnalités visant à rendre les systèmes d'IA plus sûrs, notamment une capacité de correction dans Azure AI Content Safety pour résoudre les problèmes d'hallucination en temps réel et un aperçu de la capacité d'inférence confidentielle dans le modèle Whisper d'Azure OpenAI Service.
Sources : Microsoft, Microsoft Purview Information Protection, enclaves VBS
Et vous ?
Pensez-vous que l’utilisation de Windows Recall pourrait améliorer votre productivité au quotidien ? Pourquoi ou pourquoi pas ?
Après les améliorations apportées, faites-vous confiance à Microsoft pour protéger vos données personnelles avec Windows Recall ?
Connaissez-vous d’autres outils similaires à Windows Recall ? Si oui, comment les comparez-vous en termes de sécurité et de fonctionnalité ?
Selon vous, jusqu’où les entreprises technologiques devraient-elles aller pour équilibrer innovation et respect de la vie privée ?
Avez-vous déjà utilisé un outil de capture d’écran ou de recherche similaire ? Quelle a été votre expérience ?