Microsoft Recall, l'application d'intelligence artificielle qui prend des captures d'écran de ce que vous faites sur votre PC afin que vous puissiez effectuer des recherches ultérieurement, dispose d'un filtre censé l'empêcher de capturer des informations sensibles telles que les numéros de carte de crédit. Cependant, un test montre que ce filtre échoue encore dans de nombreux cas, créant ainsi une mine d'or potentielle pour les voleurs.Bien que Microsoft affirme que Recall est sûr et confidentiel, ce logiciel pourrait constituer une mine d'or d'informations personnelles si un malfaiteur parvenait à s'introduire dans votre système. L'application dispose d'un paramètre « Filtrer les informations sensibles » activé par défaut, qui est censé exclure les données personnelles telles que les numéros de carte de crédit et les mots de passe de la capture. Cependant, d'après des tests, ce filtre échoue fréquemment. De plus, il n'y a aucun moyen pour lui de savoir comment éviter les entrées potentiellement préjudiciables de votre historique Web que vous préférez garder privées (telles que celles liées à vos antécédents médicaux ou à votre vie personnelle). Tout aussi grave, les captures d'écran prises par Recall sont accessibles à toute personne disposant de votre code PIN, même via un accès à distance.
Recall : mémoire augmentée ou œil de Big Brother ?
Introduit comme l’une des fonctionnalités phares de la gamme Copilot+ PC, Microsoft Recall prétend révolutionner l’expérience utilisateur : en prenant des captures d’écran toutes les quelques secondes, le système garde un historique visuel complet de tout ce qui s’affiche sur l’écran. Grâce à l’IA, l’utilisateur peut ensuite rechercher des images, du texte ou des moments particuliers dans ce flux, comme il chercherait un fichier dans un moteur de recherche.
Microsoft présente Recall comme une solution locale et sécurisée, promettant que les données sont stockées uniquement sur le disque dur de l’utilisateur, sans transmission au cloud. Mais cette promesse ne suffit pas à apaiser les craintes.
Plusieurs experts ont rapidement souligné les risques : la fonction pourrait capturer des données bancaires, des messages privés, des documents médicaux, des identifiants, et bien plus encore. Le stockage local, s’il n’est pas chiffré correctement, reste vulnérable en cas de vol, d’intrusion ou d’attaque par ransomware. Pire encore, des chercheurs ont démontré qu’il était possible d’exfiltrer les données de Recall avec des techniques relativement simples.
Après un an de critiques, Microsoft déploie à nouveau sa fonctionnalité IA Windows Recall
Dès sa présentation en 2024, Windows Recall a suscité un vif débat autour de la confidentialité. La presse spécialisée et les experts ont rapidement pointé du doigt le potentiel intrusif de cette fonctionnalité capable « d'enregistrer tout ce que fait l’utilisateur sur son PC ». Certains l’ont même comparée à un spyware, parlant de « cauchemar pour la vie privée ». En effet, enregistrer et stocker chaque mot de passe tapé, chaque message confidentiel affiché ou chaque document sensible ouvert revient à constituer une mine d’or de données personnelles. « Recall prend des captures d’écran de tout ce que vous faites dans Windows », résumait un expert, alertant sur le fait que ces données pourraient, en cas d’abus ou de fuite, servir à surveiller les utilisateurs.
Les critiques ne provenaient pas seulement de la communauté technique. Des organismes de régulation se sont également manifestés. Le ICO britannique (Information Commissioner’s Office), le régulateur de protection des données au Royaume-Uni, a indiqué avoir interpellé Microsoft afin de « comprendre quelles mesures de sauvegarde sont en place pour protéger la vie privée des utilisateurs ». Ce parallèle fait avec des outils malveillants (on a parlé de keylogger, ou enregistreur de frappe) et l’attention des autorités ont mis en évidence un risque : Windows Recall, tel qu’initialement conçu, pourrait créer un gisement de données extrêmement sensible – une cible tentante pour des pirates s’ils parvenaient à l’exploiter.
Face à ce tollé et aux préoccupations en matière de conformité (notamment vis-à-vis du RGPD, le règlement général sur la protection des données en Europe), Microsoft a préféré jouer la prudence. Quelques jours avant la date de lancement prévue en juin 2024, l’entreprise a finalement fait marche arrière et reporté la sortie de Recall. Ce délai, qui aura duré près d’un an, devait permettre de renforcer la sécurité de la fonctionnalité et de rassurer utilisateurs comme régulateurs.
Microsoft a travaillé sur Windows Recall afin de répondre aux critiques
Pendant de longs mois, Microsoft a retravaillé Windows Recall afin de répondre aux critiques formulées. La principale modification annoncée a été de rendre l’outil désactivé par défaut, c’est-à-dire entièrement opt-in. Autrement dit, Recall ne s’activera que si l’utilisateur le choisit expressément – une concession cruciale pour respecter le consentement utilisateur exigé par la réglementation.
Ensuite, Microsoft a verrouillé l’accès aux données capturées. Pour activer Recall la première fois, l’utilisateur doit prouver son identité via le système biométrique Windows Hello (reconnaissance faciale, empreinte digitale ou code PIN sécurisé). Cette authentification forte est également requise à chaque fois que l’on souhaite consulter l’historique des captures dans l’application Recall, assurant que seul l’utilisateur légitime puisse voir ces images. « La première fois que vous activez Recall, vous devez biométriquement prouver que vous êtes l’utilisateur connecté », souligne David Weston, vice-président Sécurité chez Microsoft. Microsoft utilise même une version renforcée de...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
