IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

« Microsoft ne nous a pas laissé d'autre choix », déclare Signal en bloquant Windows Recall
Qui permet d'enregistrer toute l'activité des utilisateurs de Windows 11

Le , par Patrick Ruiz

60PARTAGES

17  0 
« Microsoft ne nous a pas laissé d'autre choix », déclare Signal en bloquant Windows Recall
Qui permet d’enregistrer toute l’activité des utilisateurs de Windows 11

Signal avertit les utilisateurs de sa version Windows Desktop que la confidentialité de leurs messages est menacée par Recall, l'outil d'intelligence artificielle déployé dans Windows 11 qui effectue des captures d'écran, indexe et stocke presque tout ce que fait un utilisateur toutes les trois secondes. Signal pour Windows va donc bloquer par défaut la possibilité pour Windows d'effectuer des captures d'écran de l'application.

Windows Recall a fait l’objet de présentation comme un outil d’historique intelligent visant à améliorer la productivité des utilisateurs. Concrètement, la fonctionnalité prend des instantanés de l’écran à intervalles réguliers – toutes les quelques secondes – et conserve un journal consultable de tout ce que l’utilisateur fait sur son PC. Applications ouvertes, fenêtres actives, documents consultés, pages web lues… tout est capturé sous forme de captures d’écran périodiques. L’objectif affiché est de permettre à l’utilisateur de retrouver rapidement un contenu sur lequel il a travaillé ou qu’il a vu précédemment, via une recherche naturelle ou une chronologie visuelle.

Cette « mémoire numérique » est alimentée par l’IA : sur les machines équipées d’un processeur avec unité de traitement neuronal (NPU), les captures sont analysées localement pour créer un index sémantique. L’utilisateur peut ainsi rechercher un terme ou un contexte, et Recall lui affichera l’instantané correspondant dans son historique. En somme, Windows Recall veut offrir aux professionnels un moyen de ne plus jamais perdre une information vue à l’écran, en comblant les lacunes de la mémoire humaine par une indexation exhaustive de l’activité passée.



Après un an de critiques, Microsoft déploie à nouveau sa fonctionnalité IA Windows Recall

Dès sa présentation en 2024, Windows Recall a suscité un vif débat autour de la confidentialité. La presse spécialisée et les experts ont rapidement pointé du doigt le potentiel intrusif de cette fonctionnalité capable « d'enregistrer tout ce que fait l’utilisateur sur son PC ». Certains l’ont même comparée à un spyware, parlant de « cauchemar pour la vie privée ». En effet, enregistrer et stocker chaque mot de passe tapé, chaque message confidentiel affiché ou chaque document sensible ouvert revient à constituer une mine d’or de données personnelles. « Recall prend des captures d’écran de tout ce que vous faites dans Windows », résumait un expert, alertant sur le fait que ces données pourraient, en cas d’abus ou de fuite, servir à surveiller les utilisateurs.

Les critiques ne provenaient pas seulement de la communauté technique. Des organismes de régulation se sont également manifestés. Le ICO britannique (Information Commissioner’s Office), le régulateur de protection des données au Royaume-Uni, a indiqué avoir interpellé Microsoft afin de « comprendre quelles mesures de sauvegarde sont en place pour protéger la vie privée des utilisateurs ». Ce parallèle fait avec des outils malveillants (on a parlé de keylogger, ou enregistreur de frappe) et l’attention des autorités ont mis en évidence un risque : Windows Recall, tel qu’initialement conçu, pourrait créer un gisement de données extrêmement sensible – une cible tentante pour des pirates s’ils parvenaient à l’exploiter.

Face à ce tollé et aux préoccupations en matière de conformité (notamment vis-à-vis du RGPD, le règlement général sur la protection des données en Europe), Microsoft a préféré jouer la prudence. Quelques jours avant la date de lancement prévue en juin 2024, l’entreprise a finalement fait marche arrière et reporté la sortie de Recall. Ce délai, qui aura duré près d’un an, devait permettre de renforcer la sécurité de la fonctionnalité et de rassurer utilisateurs comme régulateurs.



Microsoft a travaillé sur Windows Recall afin de répondre aux critiques

Pendant de longs mois, Microsoft a retravaillé Windows Recall afin de répondre aux critiques formulées. La principale modification annoncée a été de rendre l’outil désactivé par défaut, c’est-à-dire entièrement opt-in. Autrement dit, Recall ne s’activera que si l’utilisateur le choisit expressément – une concession cruciale pour respecter le consentement utilisateur exigé par la réglementation.

Ensuite, Microsoft a verrouillé l’accès aux données capturées. Pour activer Recall la première fois, l’utilisateur doit prouver son identité via le système biométrique Windows Hello (reconnaissance faciale, empreinte digitale ou code PIN sécurisé). Cette authentification forte est également requise à chaque fois que l’on souhaite consulter l’historique des captures dans l’application Recall, assurant que seul l’utilisateur légitime puisse voir ces images. « La première fois que vous activez Recall, vous devez biométriquement prouver que vous êtes l’utilisateur connecté », souligne David Weston, vice-président Sécurité chez Microsoft. Microsoft utilise même une version renforcée de Windows Hello pour éviter qu’un malware ne usurpe l’identité biométrique de l’utilisateur via la caméra.

En parallèle, toutes les données de Recall sont chiffrées de bout en bout et stockées localement. Microsoft assure qu’aucune des captures n’est jamais transmise sur ses serveurs ou dans le cloud. Les clichés restent dans le stockage de l’appareil, dans un format chiffré et isolé. Weston explique que les clés de chiffrement et les images sont même isolées du reste du système en les plaçant dans le module de sécurité TPM et au sein d’une machine virtuelle sécurisée dédiée. Ainsi, même si le système principal était compromis par un malware, l’attaquant ne devrait pas pouvoir accéder aux données de Recall, qui ne sont déchiffrées qu’au moment où l’utilisateur y accède lui-même après authentification. Microsoft a également introduit un mécanisme de « déchiffrement à la volée » (just-in-time decryption) couplé à Windows Hello, garantissant que les instantanés ne soient déchiffrés qu’en présence de l’utilisateur autorisé.

Enfin, des efforts ont porté sur la maîtrise de ce qui est capturé. L’application Recall offre des paramètres de filtrage afin d’exclure certaines applications ou sites web de la capture automatique. On peut par exemple demander à ce que les applications bancaires ou de messagerie privée ne soient jamais enregistrées. L’utilisateur conserve par ailleurs la possibilité de supprimer manuellement n’importe quelle capture ou l’intégralité de son historique à tout moment. Microsoft indique avoir intégré des filtres intelligents capables de détecter des données sensibles (comme des numéros de carte de crédit ou des identifiants gouvernementaux) et de suspendre la capture lorsqu’une information confidentielle apparaît à l’écran. Cette liste de filtres sera amenée à s’enrichir continuellement, d’après l’éditeur, pour éviter que des informations trop sensibles ne se retrouvent stockées involontairement.

Avec l’ensemble de ces garde-fous – activation volontaire, authentification forte, stockage chiffré local uniquement, isolation des données et filtrage du contenu – Microsoft estime avoir suffisamment atténué les risques initiaux. L’entreprise n’hésite plus à qualifier Recall d’« expérience la plus sécurisée de Windows » en raison de toutes ces couches de protection implémentées.


Les experts restent partagés face aux garanties de Microsoft

Malgré ces améliorations, de nombreux experts en cybersécurité et en protection de la vie privée restent prudents, voire sceptiques, quant à l’usage de Windows Recall. Pour Kevin Beaumont, chercheur en sécurité bien connu, des risques subsistent. Ayant testé la version bêta de Recall, Beaumont a constaté que les filtres de confidentialité de Microsoft étaient « inégaux » dans leur efficacité : certaines données sensibles passent encore au travers. Il rapporte par exemple avoir vu ses informations de carte de crédit ainsi que des discussions chiffrées sur Signal apparaître dans les captures d’écran stockées, là où on aurait espéré que le système les masque. Ce genre d’incident alimente la crainte que des informations confidentielles d’utilisateurs (professionnels ou particuliers) puissent tout de même se retrouver enregistrées par Recall, malgré les précautions.

Beaumont note également qu’après la configuration initiale, la barrière de sécurité tend à s’abaisser pour l’accès ultérieur à l’historique Recall. Si la première activation exige une authentification biométrique robuste, l’ouverture suivante de l’application Recall peut se faire via le code PIN Windows Hello (une méthode considérée moins sûre qu’une empreinte ou un visage).

En d’autres termes, une fois Recall activé, quelqu’un disposant d’un accès physique à la session Windows et du PIN de l’utilisateur pourrait consulter les captures, sans devoir reproduire une empreinte digitale ou un visage. Microsoft a confirmé ce comportement en précisant que le PIN n’est autorisé qu’en méthode de secours après activation, afin d’éviter une perte de données si le capteur biométrique venait à être inutilisable. L’éditeur souligne qu’un attaquant aurait malgré tout besoin d’un accès physique au PC et du PIN pour tricher, ce qui limite le scénario d’attaque. Néanmoins, cette explication ne dissipe pas toutes les craintes, car un code PIN peut être parfois deviné, observé, ou compromis plus aisément qu’une donnée biométrique.

Devant ces constats, certains conseillent purement et simplement de ne pas activer Recall selon les profils d’utilisateurs. « Du point de vue de la vie privée, les pièges potentiels sont partout », avertit Beaumont, qui recommande aux personnes à risque – journalistes d’investigation, personnes dans des relations abusives, individus susceptibles de faire l’objet de perquisitions gouvernementales – d’éviter d’activer cette fonctionnalité. Pour ces usagers, la perspective d’avoir un enregistrement visuel de toutes leurs activités, potentiellement exploitable par un tiers malintentionné, constitue un risque disproportionné par rapport au bénéfice offert.

D’autres experts reconnaissent l’utilité de l’outil mais insistent sur la nécessité d’une transparence totale et d’un contrôle utilisateur irréprochable. La présence d’un indicateur visuel permanent (icône « œil » dans la barre des tâches lorsque Recall est actif, par exemple) est jugée indispensable pour que l’utilisateur sache à tout moment s’il est en train d’être enregistré. Microsoft a bien implémenté ce type d’indicateur discret, ce qui est salué positivement, de même que la décision d’opter pour une activation manuelle. Néanmoins, la méfiance reste de mise. « Même si l’on accepte que Microsoft n’accède pas aux données de Recall, il reste d’énormes implications de sécurité et de vie privée avec ce produit » notait un commentateur lors de la préversion.

En somme, du côté des spécialistes, on reconnaît que Microsoft a fait des progrès significatifs pour sécuriser Recall, mais le principe même de capturer tout ce qui s’affiche à l’écran demeure sensible.

Et vous ?

Le stockage local et le chiffrement suffisent-ils réellement à garantir la sécurité des données sensibles capturées par Recall ?

Le fait que Recall repose sur des captures d'écran périodiques représente-t-il un risque structurel inévitable, même avec des filtres et du chiffrement ?

Peut-on vraiment sécuriser un historique d’activité aussi complet face aux menaces internes (employés malveillants) ou aux attaques physiques sur le poste ?

Faut-il interdire Recall par défaut dans les environnements professionnels sensibles (finance, santé, juridique) ?

Comment intégrer Windows Recall dans une politique RGPD ou ISO 27001 sans contrevenir aux principes de minimisation des données ?

Quels processus de gouvernance interne faudrait-il mettre en place si une entreprise souhaite autoriser Recall ?
Vous avez lu gratuitement 96 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de smarties
Expert confirmé https://www.developpez.com
Le 22/05/2025 à 11:20
Avec Recall, j'imagine le scénario suivant :
- je fais des photos où il y a mes enfants
- ça part sur les serveurs MS avec Recall
- MS se fait pirater
- mes photos se retrouvent sur des sites pédophiles...

Mais tout ceci n'est qu'un mauvais rêve vu que tout le monde est sous Linux à la maison.
7  0 
Avatar de d_d_v
Membre expérimenté https://www.developpez.com
Le 23/05/2025 à 9:37
Citation Envoyé par smarties Voir le message
Avec Recall, j'imagine le scénario suivant :
- je fais des photos où il y a mes enfants
- ça part sur les serveurs MS avec Recall
- MS se fait pirater
- mes photos se retrouvent sur des sites pédophiles...

Mais tout ceci n'est qu'un mauvais rêve vu que tout le monde est sous Linux à la maison.
Je vois plutôt le scénario:
- je saisis/change les mots de passe de ma banque, PEA, compte ameli, etc. et je clique sur le bouton "oeil" pour vérifier momentanément le mot de passe en clair. Hop ! Enregistré dans Recall
- Je consulte tout mon dossier médical en ligne. Hop ! Recall enregistre que Mr Dupont est atteint d'un cancer du poumon.
- MS ou mon PC se fait pirater, tout mon dossier médical, mes mots de passe, numéro de sécu, compte bancaire se retrouvent dans les mains de je ne sais qui...

Et on nous parle de cybersécurité...
6  0 
Avatar de Mingolito
Expert éminent https://www.developpez.com
Le 23/05/2025 à 5:34
Citation Envoyé par DevDur Voir le message
Quelle belle daube !
Je proteste, comparer Recall à de la daube est une insulte envers la daube !

4  0 
Avatar de der§en
Membre expérimenté https://www.developpez.com
Le 28/07/2025 à 17:58
De temps en temps on reprend espoir dans l'humanité, merci !
3  0 
Avatar de smarties
Expert confirmé https://www.developpez.com
Le 23/05/2025 à 10:35
Citation Envoyé par d_d_v Voir le message
Je vois plutôt le scénario:
- je saisis/change les mots de passe de ma banque, PEA, compte ameli, etc. et je clique sur le bouton "oeil" pour vérifier momentanément le mot de passe en clair. Hop ! Enregistré dans Recall
- Je consulte tout mon dossier médical en ligne. Hop ! Recall enregistre que Mr Dupont est atteint d'un cancer du poumon.
- MS ou mon PC se fait pirater, tout mon dossier médical, mes mots de passe, numéro de sécu, compte bancaire se retrouvent dans les mains de je ne sais qui...

Et on nous parle de cybersécurité...
Oui, l'usurpation d'identité, le vol d'argent, le chantage, ... sont des possibilités.
2  0 
Avatar de weed
Membre chevronné https://www.developpez.com
Le 24/07/2025 à 20:11
Je suis surpris qu'un logiciel puisse empécher le système de faire certaine action, donc prendre des captures d'écran. Si Brave empêche, je pense que Microsoft va essayer de trouver une parade parce que cela sent mauvais.

J'imagine que les éditeurs de logiciels vont se mettre à proposer une option pour désactiver par défaut pour empécher Recall de prendre la capture du dit logiciel mais cela ne va pas faire les affaires de Microsoft.
Microsoft espère que cela ne va pas faire boule de neige et donne des mauvaises idées. Sinon sa fonction de Recall risquerait de tomber à l'eau.
2  0 
Avatar de DevDur
Membre à l'essai https://www.developpez.com
Le 22/05/2025 à 18:44
Quelle belle daube !
1  0 
Avatar de weed
Membre chevronné https://www.developpez.com
Le 23/05/2025 à 10:16
On sait tout que la fonction Recall n'est pas top du tout.

Microsoft est l'une des seules à pouvoir faire du forcing et ne pas utiliser ses utilisateurs, sans trop en perdre. Il est évident qu'ils vont l'utiliser.
Après ce qui est dommage est que l'on n'a pas trop d'info sur les raisons de vouloir mettre en place Recall. Dommage qu'il n'y ait pas de fuite de document
1  0 
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 29/07/2025 à 9:32
Mouais... Si à première vue, on peut se féliciter de l'annonce "La navigateur web Brave bloque par défaut la fonctionnalité IA Recal", on est en droit d'avoir de gros doute sur la véracité de l’affirmation:

1. Je ne vois pas comment techniquement un navigateur web pourrait empêcher une fonctionnalité de l'operating system... Le navigateur fonctionne grâce à l'operating system et pas l'nverse! Il est fort à parier que Brave limite simplement l'accès aux données qui transitent par lui... Ce qui ne correspond pas à l’affirmation qui laisse entendre un blocage généralisé de IA Recall.

2. Le navigateur Brave ne se compose pas d'un logiciel propre mais est basé sur Google Chrome et utilise Tor. Brave ferait donc ce que Google Chrome et Tor ne font pas?!?

En 2024, ce n'est pas vieux. On découvre que Brave utilise une API de Google Chrome qui permet aux sites et services de Google d'accéder aux données matérielles telles que le processeur, le processeur graphique, la mémoire vive, et aux journaux de visite des internautes sur les domaines de Google. Cette API qui est intégrée à l'extension hangout services ne peut être désactivée, bien que cela soit contraire à la législation européenne sur les marchés numériques (DMA)... Depuis, Brave dit s'être libéré de Google Chrome (Ils ont changé le coeur de leur solution en moins de 1 année?)

3. La société qui édite Brave a défrayé à plusieurs reprises la chronique pour la mise en place de stratégies commerciales discutables (et oui le "chevalier blanc" doit aussi financer ses activités)

En conclusion, je crains que l'on ne soit en présence que d'une annonce marketing comme une autre qui relève plus de la promesse de campagne d'un politicien en campagne électorale que d'une réalité...
1  0 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 29/07/2025 à 13:02
Citation Envoyé par Anselme45 Voir le message
Mouais... Si à première vue, on peut se féliciter de l'annonce "La navigateur web Brave bloque par défaut la fonctionnalité IA Recal", on est en droit d'avoir de gros doute sur la véracité de l’affirmation:
ils l'ont expliqué ici : https://brave.com/privacy-updates/35-block-recall/
How we implemented this
Microsoft has said that private browsing windows on browsers will not be saved as snapshots. We’ve extended that logic to apply to all Brave browser windows.
We tell the operating system that every Brave tab is ‘private’, so Recall never captures it.
c'est du pipo, car il ce base sur la promesse que recall ne capturera jamais la navigation privée. rien n'est moins sur
1  0