Fin mai, Microsoft dévoilait Recall, une fonctionnalité révolutionnaire pour ses PC Copilot+ qui permet de capturer des screenshots en continu et de les analyser directement sur l’ordinateur. Bien que cette initiative ait suscité un vif enthousiasme, la sécurité de cette fonctionnalité a rapidement fait l’objet de vives critiques.
Des failles de sécurité fragilisent la protection des données
En dépit des assurances fournies par Microsoft concernant la sécurité de son nouveau dispositif, des chercheurs en cybersécurité ont rapidement démontré la relative facilité avec laquelle les mesures de protection pouvaient être contournées.
James Forshaw, de Project Zero, a réussi à infiltrer les paramètres de Recall sans avoir besoin de privilèges administratifs, en exploitant des failles dans les listes de contrôle d’accès de Windows.
Plus inquiétant encore, Kevin Beaumont a découvert que les informations collectées par l’outil étaient stockées en texte brut dans une base SQLite, exposant ainsi les données utilisateurs à un risque réel de piratage.
Microsoft réagit face à l’urgence
Face à ces révélations alarmantes, Microsoft a apporté des mises à jour à Recall avant sa sortie officielle le 18 juin. Dorénavant, cette fonctionnalité sera désactivée par défaut, et nécessitera une activation via Windows Hello.
De plus, l’accès à la timeline exigera une authentification biométrique ou un code PIN, avec une restriction à l’écran de verrouillage pour l’utilisation de la caméra.
En parallèle à ces mesures correctives, le géant américain a également annoncé l’ajout de couches de protection supplémentaires pour chiffrer les captures d’écran et la base de données de l’index de recherche. Ces dispositions, bien que bienvenues, ne suffisent pourtant pas à dissiper entièrement les inquiétudes des experts en cybersécurité.
Les ambitions sécuritaires de Microsoft et les défis persistants
Ces lacunes interviennent alors que Microsoft intensifie ses efforts pour renforcer la sécurité dans la conception de ses produits, avec un engagement déclaré en faveur de la protection par défaut et de contrôles périodiques.
Cependant, l’incident autour de Recall met en lumière les défis persistants auxquels l’entreprise est confrontée pour concilier l’innovation technologique avec la préservation des données personnelles de ses utilisateurs.