Microsoft relance sa fonction controversée Recall pour les PC Windows Copilot+, après que la version originale ait été mise à mal par les chercheurs en sécurité et les testeurs au cours de l'été. L'ancienne version de Recall enregistrait des captures d'écran et du texte OCR de toutes les activités de l'utilisateur et les stockait en clair sur le disque, où un autre utilisateur du PC ou un pirate disposant d'un accès à distance pouvait facilement y accéder. Cet outil, qui avait suscité de vives réactions lors de son lancement initial, revient avec des améliorations significatives en matière de sécurité et de confidentialitéMicrosoft a mis en place une nouvelle architecture de sécurité pour sa fonction controversée Recall, qui permet d'améliorer la recherche sur les PC dotés d'une intelligence artificielle, et qui sera disponible pour les membres du programme Windows Insider en octobre.
Dans une vidéo annonçant les changements apportés à Recall, Yusuf Mehdi, vice-président exécutif et directeur du marketing grand public de Microsoft, a déclaré qu'une partie des changements apportés à Recall concernait la nécessité pour les utilisateurs d'accepter d'activer et d'utiliser Recall. Si les utilisateurs n'activent pas proactivement Recall, aucun cliché n'est pris ou sauvegardé. Les paramètres de Windows comporteront même une option permettant de supprimer complètement Recall.
« Nous avons pris des mesures importantes pour sécuriser vos instantanés et vous permettre d'en avoir le contrôle total », a déclaré Mehdi.
Plus sûr, mais aussi optionnel
Microsoft a donné plus de détails sur la façon dont la sécurité de Recall a été réarchitecturée dans un billet du vice-président de Microsoft chargé de la sécurité des entreprises et des systèmes d'exploitation, David Weston.
Les grandes lignes de l'annonce sont similaires aux changements que Microsoft avait initialement annoncés pour Recall au cours de l'été : la fonction serait désactivée par défaut au lieu d'être activée, les utilisateurs devraient s'authentifier à nouveau avec Windows Hello avant d'accéder aux données Recall, et les données Recall stockées localement seraient protégées par un chiffrement supplémentaire.
Cependant, certains détails montrent comment Microsoft tente d'apaiser les utilisateurs sceptiques. Par exemple, Recall peut désormais être entièrement supprimé d'un système à l'aide des paramètres des « fonctionnalités optionnelles » de Windows (lorsqu'un mécanisme de suppression similaire est apparu dans une Preview de Windows au début du mois, Microsoft a prétendu qu'il s'agissait d'un « bug », mais ce n'est apparemment pas le cas).
Recall nécessitera également l'activation de Virtualization-Based Security (VBS) et Hypervisor-Protected Code Integrity (HVCI)
L'entreprise en dit également plus sur la façon dont Windows protégera les données localement. Toutes les données Recall stockées localement, y compris les « clichés et toutes les informations associées dans la base de données vectorielle », seront chiffrées au repos avec des clés stockées dans le TPM de votre système ; selon le billet de blog, Recall ne fonctionnera que lorsque BitLocker ou Device Encryption est pleinement activé. Recall nécessitera également l'activation de Virtualization-Based Security (VBS) et Hypervisor-Protected Code Integrity (HVCI) ; ces fonctions sont parfois désactivées pour améliorer les performances des jeux, mais Recall refusera de fonctionner si elles ne sont pas activées.
En effet, le nouveau Recall fonctionne à l'intérieur d'une enclave VBS, qui permet d'isoler et de sécuriser les données en mémoire par rapport au reste du système.
« Cette zone agit comme une boîte verrouillée à laquelle on ne peut accéder qu'après avoir obtenu l'autorisation de l'utilisateur par le biais de Windows Hello », écrit Weston. « Les enclaves VBS offrent une frontière d'isolation par rapport au noyau et aux utilisateurs administratifs ».
Windows n'autorise l'exécution dans ces enclaves d'aucun code qui n'a pas été signé par Microsoft, ce qui devrait réduire le risque d'exposer les données Recall à des logiciels malveillants ou à d'autres applications malveillantes. D'autres protections contre les logiciels malveillants ont été ajoutées à cette version de Recall, notamment des « mesures de limitation du débit et de lutte contre le maraudage ».
Chaque fois qu'un utilisateur ouvrira Recall pour consulter ses clichés, il devra utiliser Windows Hello pour s'authentifier à nouveau et, lorsqu'il le configurera, il devra d'abord utiliser une authentification biométrique telle qu'une caméra à balayage facial ou un lecteur d'empreintes digitales. Le déverrouillage de Recall avec un code PIN Windows Hello ne peut être configuré que lorsque Recall a déjà été activé, et il s'agit d'une « méthode de repli » destinée à « éviter la perte de données si un capteur sécurisé est endommagé ».
Windows Hello ne décrypte que « brièvement » les informations Recall lorsque les utilisateurs y accèdent effectivement, et les utilisateurs devront se réautoriser périodiquement après un délai d'attente ou entre deux sessions Recall. Les clés de chiffrement utilisées pour déchiffrer les données Recall « sont liées cryptographiquement à l'identité de l'utilisateur final, scellées par une clé dérivée du TPM de la plateforme matérielle », ce qui devrait combler la faille la plus béante de Recall : la capacité d'un autre utilisateur sur un PC à naviguer facilement vers un dossier dans l'explorateur Windows et à voir tout ce qui est stocké par Recall.
Weston a également mis en avant quelques paramètres utilisateur qui peuvent être utilisés pour limiter ce que Recall collecte - certains d'entre eux existaient déjà, comme le contrôle de l'espace disque à utiliser et de la durée de conservation des instantanés Recall, la possibilité d'exclure des applications et des sites web spécifiques, le fait que les utilisateurs peuvent choisir de supprimer des éléments de leurs bases de données Recall, une icône dans la barre d'état système qui vous indique que Recall est en cours d'exécution, et le fait que la plupart des navigateurs ne seront pas capturés lorsqu'ils fonctionnent en mode de navigation privée.
La première, une fonction de « filtrage des contenus sensibles » qui tente de « réduire les mots de passe, les numéros d'identification nationaux et les numéros de cartes de crédit stockés dans Recall », est nouvelle ; elle est basée sur une fonction appelée Microsoft Purview Information Protection que l'entreprise propose à ses utilisateurs professionnels.
Microsoft affirme que la fonction fait l'objet d'un audit plus approfondi cette fois-ci
Bien qu'il faille encore attendre de voir comment la nouvelle version de Recall résistera à l'examen du public, Microsoft affirme que la fonction a fait l'objet d'un audit plus approfondi cette fois-ci : L'équipe interne de Microsoft chargée de la recherche offensive et de l'ingénierie de la sécurité « a mené pendant des mois des examens de la conception et des tests de pénétration sur Recall », et un fournisseur de sécurité tiers anonyme a également « effectué un examen indépendant de la conception de la sécurité et un test de pénétration ».
La seule chose dont le message de Microsoft ne parle pas est la suivante : pourquoi la fonction Recall a failli être lancée dans sa forme originale, non sécurisée, pourquoi elle n'est pas passée par les canaux de test normaux de Windows Insider, et quels changements internes (s'il y en a) sont en cours pour éviter que ce genre de chose ne se reproduise ?
Microsoft n'a pas donné de date précise pour la reprise du déploiement de Recall, mais l'entreprise avait précédemment annoncé qu'il...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
Envoyé par smarties
