Microsoft annonce Recall : une IA qui se souvient de tout ce que vous faites sur votre PC
-
-
-
Windows Recall exige un niveau de confiance extraordinaire que Microsoft n’a pas gagné
Article d’opinion : Les risques de recall sont bien trop élevés pour que la sécurité soit secondaire.
Comme l’ont immédiatement souligné de nombreux utilisateurs des communautés d’infosec sur les réseaux sociaux, cela ressemble à un cauchemar potentiel en matière de sécurité. C’est doublement vrai parce que Microsoft affirme que par défaut, les captures d’écran de Recall ne prennent aucune peine à caviarder les informations sensibles, des noms d’utilisateur et mots de passe aux informations sur les soins de santé en passant par les visites de sites NSFW. Par défaut, sur un PC doté de 256 Go de stockage, Recall peut stocker quelques dizaines de gigaoctets de données sur trois mois d’utilisation du PC, soit une énorme quantité de données personnelles.
Les PC Copilot+ doivent disposer d’une unité de traitement neuronal (NPU) rapide afin que le traitement puisse être effectué localement plutôt que d’envoyer les données vers le cloud ; les instantanés locaux sont protégés au repos par les technologies de chiffrement de disque de Windows, qui sont généralement activées par défaut si vous êtes connecté à un compte Microsoft ; ni Microsoft ni les autres utilisateurs du PC ne sont censés pouvoir accéder aux instantanés de rappel d’un utilisateur particulier ; et les utilisateurs peuvent choisir d’exclure des applications ou (dans la plupart des navigateurs) des sites Web individuels à exclure des instantanés de Recall.
Tout cela semble bien en théorie, mais certains utilisateurs commencent à l’utiliser. Rappelons maintenant que la mise à jour de Windows 11 24H2 est disponible sous forme d’aperçu et que la mise en œuvre réelle présente de sérieux problèmes.
Le chercheur en sécurité Kevin Beaumont, d’abord dans un fil de discussion sur Mastodon et plus tard dans un article de blog plus détaillé , a écrit sur certains des problèmes de mise en œuvre potentiels après avoir activé Recall sur un système non pris en charge (ce qui est actuellement le seul moyen d’essayer Recall depuis les PC Copilot+ qui le support officiel, la fonctionnalité ne sera disponible que plus tard ce mois-ci). Nous avons également essayé cette première version de Recall sur un Windows Dev Kit 2023 , que nous avons utilisé pour tous nos récents tests Windows-on-Arm , et nous avons vérifié de manière indépendante les affirmations de Beaumont sur la facilité de recherche. et affichez les données brutes de rappel une fois que vous avez accès au PC d’un utilisateur.
Pour tester Recall yourself, le développeur et passionné de Windows Albacore a publié un outil appelé AmperageKit qui l’activera sur les PC Windows basés sur Arm exécutant Windows 11 24H2 build 26100.712 (la version actuellement disponible dans le canal Windows Insider Release Preview). Les autres versions de Windows 11 24H2 ne disposent pas du code sous-jacent nécessaire pour activer le rappel.
La version courte est la suivante : dans sa forme actuelle, Recall prend des captures d’écran et utilise l’OCR pour récupérer les informations sur votre écran ; il écrit ensuite le contenu des fenêtres ainsi que les enregistrements des différentes interactions utilisateur dans une base de données SQLite stockée localement pour suivre votre activité. Les données sont stockées pour chaque application, probablement pour faciliter le fonctionnement de la fonctionnalité d’exclusion d’applications de Microsoft. Beaumont affirme que « plusieurs jours » de données représentaient une base de données d’environ 90 Ko. Dans notre utilisation, les captures d’écran prises par Recall sur un PC avec un écran 2560 × 1440 pèsent 500 Ko ou 600 Ko chacune (Recall enregistre les captures d’écran à la résolution native de votre PC, moins la zone de la barre des tâches).
Recall fonctionne localement grâce au code Azure AI qui s’exécute sur votre appareil, et il fonctionne sans connectivité Internet et sans compte Microsoft. Les données sont cryptées au repos, en quelque sorte, du moins dans la mesure où l’intégralité de votre disque est généralement cryptée lorsque votre PC est connecté à un compte Microsoft ou que Bitlocker est activé. Mais dans sa forme actuelle, Beaumont affirme que Recall présente «des lacunes dans lesquelles vous pouvez conduire un avion» qui facilitent grandement la saisie et la numérisation de la base de données Recall d’un utilisateur si vous (1) avez un accès local à la machine et pouvez vous connecter à n’importe quel ordinateur. compte (pas seulement le compte de l’utilisateur dont vous essayez de voir la base de données), ou (2) vous utilisez un PC infecté par une sorte de virus voleur d’informations qui peut rapidement transférer la base de données SQLite vers un autre système.
Accéder aux données de rappel d’un autre utilisateur à partir d’un autre compte administrateur sur le même PC. Cette invite UAC est la seule chose qui m’empêche d’entrer, et elle est facilement ignorée. Une fois que j’accède au dossier, je peux voir chaque capture d’écran ainsi que la base de données SQLite contenant toutes les données OCR.
Beaumont affirme qu’un accès administrateur au système n’est pas requis pour lire la base de données de rappel d’un autre utilisateur. Un autre utilisateur disposant d’un compte administrateur peut facilement récupérer la base de données de rappel de n’importe quel autre utilisateur et toutes les captures d’écran de rappel en cliquant sur une simple invite UAC. La base de données SQLite est stockée en texte brut et les données en transit ne sont pas non plus cryptées, ce qui facilite grandement l’accès à la base de données stockée des activités passées et la surveillance des nouvelles entrées au fur et à mesure que Recall les crée. Les captures d’écran sont stockées sans extension de fichier, mais ce sont d’anciens fichiers image ordinaires qui peuvent facilement être ouverts et visualisés dans n’importe quel navigateur Web ou éditeur d’images.
L’autre gros problème est que, comme le rappel est activé par défaut et que vous devez exclure manuellement des applications ou des sites Web spécifiques, la base de données SQLite conservera des enregistrements des activités explicitement destinées à être cachées ou temporaires. Cela inclut l’affichage des pages en mode navigation privée dans certains navigateurs, les e-mails ou messages que vous supprimez de votre appareil et les fichiers que vous modifiez ou supprimez.
Beaumont dit qu’il attend de publier certains détails pour « donner à Microsoft le temps de faire quelque chose » à propos de la fonctionnalité telle qu’elle est actuellement implémentée. Mais il a souligné des efforts tels que ce script « TotalRecall » comme exemple de la rapidité et de la facilité avec lesquelles les données de rappel peuvent être volées et recherchées.
Il y a quand-même des facteurs atténuants. Le rappel commencera par la livraison sur seulement une poignée de nouveaux systèmes Windows 11. Il peut être entièrement désactivé si vous ne souhaitez pas l’utiliser, et les commandes permettant de désactiver les instantanés de rappel pour certaines applications ou sites donnent théoriquement aux utilisateurs suffisamment de contrôle pour qu’ils puissent utiliser Recall comme prévu sans stocker d’informations trop sensibles dans la base de données.
Mais étant donné la grande quantité de données récupérées par Recall, les garanties minimales mises en place par Microsoft pour protéger cette base de données une fois qu’un utilisateur malveillant a accès à votre PC, et le fait que de nombreux utilisateurs de PC ne touchent jamais aux paramètres par défaut, les risques pour l’utilisateur les données semblent bien supérieures aux avantages potentiels de cette fonctionnalité.
Microsoft a du mal à garantir la sécurité et la confidentialité de ses produits. Il y a à peine un mois, le PDG Satya Nadella s’est engagé à faire de la sécurité la chose la plus importante de l’entreprise, à la suite de multiples très médiatisées violations de données et de divulgations d’informations mal gérées . La rémunération des dirigeants est en partie liée à la sécurité ; On dit aux employés de base de « faire de la sécurité », même lorsqu’ils « sont confrontés au compromis entre la sécurité et une autre priorité », a déclaré Nadella. Lancer Recall avec des failles de sécurité aussi manifestement exploitables va à l’encontre de cette directive.
Même si Recall était mieux verrouillé, un autre problème est que Windows 11 a érodé la confiance et la patience de ses utilisateurs au fil du temps en poussant sans cesse les autres produits et services de Microsoft et en refusant de respecter les choix des utilisateurs une fois qu’ils ont été faits. L’entreprise fréquemment trouve de nouveaux endroits pour placer des annonces ; une « installation propre » du système d’exploitation est accompagnée d’applications tierces non demandées et de notifications continues concernant d’autres services Microsoft ; la fonctionnalité Bing Chat puis Copilot ont été déployées rapidement auprès de l’ensemble de la base d’utilisateurs bien qu’il s’agisse de produits « en avant-première » sujets à des problèmes .
Rien de tout cela n’est directement lié à Recall, mais cela démontre la volonté de Microsoft de faire passer la réduction des revenus avant l’expérience utilisateur, ce qui me rend intrinsèquement sceptique quant aux fonctionnalités d’IA de Windows en général et à Recall en particulier. Une énorme base de données consultable sur l’activité des PC serait un Saint Graal pour les annonceurs, et étant donné la volonté de Microsoft de détruire Windows 11 au cours des deux dernières années et demie, il est difficile pour moi de croire que l’entreprise restera engagée à maintenir les données collectées par Recall sont totalement privées.
Le rappel n’est pas finalisé. Il ne sera pas disponible sur la grande majorité des PC Windows. Même une fois que les PC Copilot+ d’Intel et d’AMD arriveront sur le marché, il faudra au moins un an ou deux pour que les NPU compatibles apparaissent sur les PC de milieu de gamme et bas de gamme. Ceux qui le détestent vraiment pourront le désactiver, même si la liste « au moins vous pouvez le désinstaller/le désactiver ! » les choses dans Windows 11 deviennent extrêmement longues.
Nous avons également contacté Microsoft pour nous poser des questions sur ces préoccupations et savoir si la version de Recall que vous pouvez tester sur un PC Arm dès maintenant est la même que celle que les utilisateurs finaux obtiendront sur les PC Copilot+ ; Au moment d’écrire ces lignes, la société n’a pas répondu.
Mais disons-le de cette façon : Microsoft intègre une fonctionnalité dans Windows qui surveille et enregistre une tonne de données sur vous et la façon dont vous utilisez votre PC. Traditionnellement, nous appellerions cela un « logiciel espion ». La différence est que Microsoft donne sa bénédiction à cette fonctionnalité particulière de collecte de données et en fait la publicité comme fonctionnalité de bannière de sa prochaine vague de PC Copilot+.
Le fait que les données soient traitées localement plutôt que dans le cloud est une bonne première étape, mais c’est aussi le strict minimum. Sur la base à la fois des paramètres permissifs par défaut et de la facilité avec laquelle ces données sont accessibles, les mesures de sécurité de Recall telles qu’elles existent actuellement ne sont tout simplement pas suffisantes.
Si Microsoft a vraiment l’intention que tout le monde au sein de l’entreprise « fasse de la sécurité », il doit faire passer ces préoccupations avant sa volonté apparemment dévorante d’insérer des fonctionnalités d’IA générative dans chacun de ses produits. L’amélioration de Recall avant qu’il ne soit généralement disponible doit être une priorité, même si cela retarde le lancement.
-
@Violence a dit dans Microsoft annonce Recall : une IA qui se souvient de tout ce que vous faites sur votre PC :
Recall de Windows 11 donne la possibilité à des tiers de voler tout ce que vous avez tapé ou regardé sur votre PC
Putain c’était sur que ça allait être open bar, quel est le con chez Microsoft qui a eu cette idée
J’espère vraiment que ça sera desactivable sinon ça va être une hécatombe
-
@Ashura a dit dans Microsoft annonce Recall : une IA qui se souvient de tout ce que vous faites sur votre PC :
quel est le con chez Microsoft qui a eu cette idée
euh… tous ?
(mais non, je déconne)allez, une petite blague pour l’occasion:
La maîtresse interroge les élèves de sa classe sur la profession de leur parents. Les réponses fusent “moi mon papa, il est pompier”, “moi il est boulanger” ou encore “ben moi mon papa il est docteur et il sauve des vies”.
La maîtresse interroge alors Toto qui reste muet “et toi, Toto, qu’est-ce qu’il fait ton papa ?” Toto répond aussitôt: “il est stripteaseur dans une boîte gay”.
Un peu gênée, la maîtresse change vite de sujet.
Plus tard, à la récréation, les copains de Toto viennent le voir et l’interrogent “c’est vrai, ton père est stripteaseur dans une boîte gay ?”
“Non, répond Toto, il travaille chez Microsoft mais j’avais trop honte de le dire.” -
Indigostar PW Addict Seeder I.T Guy Rebelle GNU-Linux User Membrea répondu à Ashura le dernière édition par
@Ashura a dit dans Microsoft annonce Recall : une IA qui se souvient de tout ce que vous faites sur votre PC :
J’espère vraiment que ça sera desactivable sinon ça va être une hécatombe
A essayer :
Désactiver complètement la fonction Recall à partir du registre
- Ouvrez Démarrer.
- Recherchez regedit et cliquez sur le premier résultat pour ouvrir l’éditeur du registre.
- Recherchez le chemin d’accès suivant : HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\WindowsAI
- Cliquez avec le bouton droit de la souris sur la clé WindowsAI, sélectionnez le menu Nouveau et choisissez l’option « Valeur DWORD (32 bits) ».
- Nommez la clé DisableAIDataAnalysis et appuyez sur Entrée.
- Double-cliquez sur la clé nouvellement créée et modifiez sa valeur de 0 à 1.
- Cliquez sur le bouton OK.
- Naviguez jusqu’au chemin d’accès suivant : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsAI
- Cliquez avec le bouton droit de la souris sur la clé WindowsAI, sélectionnez le menu Nouveau et choisissez l’option « Valeur DWORD (32 bits) ».
- Nommez le DWORD DisableAIDataAnalysis et appuyez sur Entrée.
- Double-cliquez sur la clé nouvellement créée et modifiez sa valeur de 0 à 1.
- Cliquez sur le bouton OK.
- Redémarrez l’ordinateur.
-
@Indigostar Le truc qui m’étonne c’est que Windows offre toujours la possibilité d’écrire sur sa base de registre, c’est tant mieux, mais ça m’épate, après combien auront l’idée de chercher l’info et de l’appliquer.
Microsoft ne voudrait donc pas totalement passer pour ceux qui maîtrisent l’informatique comme étant trop tyrannique!
-
@michmich a dit dans Microsoft annonce Recall : une IA qui se souvient de tout ce que vous faites sur votre PC :
@Indigostar Le truc qui m’étonne c’est que Windows offre toujours la possibilité d’écrire sur sa base de registre, c’est tant mieux, mais ça m’épate, après combien auront l’idée de chercher l’info et de l’appliquer.
Ba il y a tellement de chose que tu peux gérer avec et surtout scripter. En tant qu’admin sys, si tu n’as pas ça tu pleures.
Perso, je suis un fou du scripting, au boulot, c’est simple je script tout, j’en ai un nombre assez conséquent pour faire tout ce dont j’ai besoin en laissant le script bosser
Je me suis même fait une petite application en autoIT pour les gérer.Moins j’en fais à la souris et mieux je me porte !
C’est vrai que l’utilisateur de base n’ira pas faire la manip qui est pourtant simple. Il faudrait déjà qu’il s’intéresse à sa privée pour trouver sa réponse et par les temps qui courent, on voit bien que ça ne court pas les rues non plus.
-
@Violence d’ailleurs on trouve un peu la même sous Linux, ne serait ce que pour virer la demande de pass après le réveil de la veille, sans avoir à “écrire” mais avec plus d’options que par les divers menus.
-
@Indigostar je testerais des que j’ai mon pc
-
Indigostar PW Addict Seeder I.T Guy Rebelle GNU-Linux User Membrea répondu à michmich le dernière édition par Indigostar
@michmich a dit dans Microsoft annonce Recall : une IA qui se souvient de tout ce que vous faites sur votre PC :
après combien auront l’idée de chercher l’info et de l’appliquer.
Microsoft ne voudrait donc pas totalement passer pour ceux qui maîtrisent l’informatique comme étant trop tyrannique!
Oui, exactement. En offrant la possibilité de désactiver cette merde, Micro$oft sait qu’une infime minorité d’utilisateurs prendra la peine de le faire. Pour tous les autres, ce mouchard se révélera être un outil sinistrement commode.
-
Microsoft désactivera Recall par défaut après une vive réaction concernant la sécurité
Après des semaines de critiques virulentes et de failles de sécurité révélées, Microsoft a considérablement réduit ses ambitions en matière de Recall, sa fonction d’enregistrement silencieux basée sur l’IA, et a ajouté de nouvelles fonctionnalités de confidentialité.
Vendredi, Microsoft a annoncé qu’il apporterait plusieurs changements radicaux au déploiement de sa fonctionnalité de rappel, en en faisant une fonctionnalité facultative dans les versions compatibles Copilot+ de Windows où elle était auparavant activée par défaut, et en introduisant de nouvelles mesures de sécurité. conçu pour mieux garder les données cryptées et nécessiter une authentification pour accéder aux données stockées par Recall.
“Nous mettons à jour l’expérience de configuration des PC Copilot+ pour donner aux utilisateurs un choix plus clair d’accepter d’enregistrer des instantanés à l’aide de Recall”, lit-on dans un article de blog de Pavan Davuluri, vice-président d’entreprise de Microsoft, Windows + Appareils. “Si vous ne choisissez pas de l’activer de manière proactive, il sera désactivé par défaut.”
Les changements surviennent au milieu d’un barrage croissant de critiques de la part de la communauté de la sécurité et de la confidentialité, qui a décrit Recall, qui stocke silencieusement une capture d’écran de l’activité de l’utilisateur toutes les 5 secondes comme aliment pour l’analyse de l’IA, comme un cadeau aux pirates : essentiellement non demandé, pré- logiciels espions installés intégrés aux nouveaux ordinateurs Windows.
Dans les versions préliminaires de Recall, ces données de capture d’écran, complétées par chaque identifiant bancaire, mot de passe et visite de site pornographique de l’utilisateur, auraient été collectées indéfiniment sur la machine de l’utilisateur par défaut. Et bien que ces informations hautement confidentielles soient stockées localement sur la machine de l’utilisateur et ne soient pas téléchargées sur le cloud, les experts en cybersécurité ont averti que tout cela reste accessible à tout pirate informatique qui prend même temporairement pied sur l’appareil compatible Recall d’un utilisateur, lui donnant ainsi un vision panoptique à long terme de la vie numérique de la victime.
“Cela rend votre sécurité très fragile”, comme l’a décrit Dave Aitel, ancien pirate informatique de la NSA et fondateur de la société de sécurité Immunity, plus charitablement que d’autres, à WIRED plus tôt cette semaine. "Quiconque pénètre dans votre ordinateur ne serait-ce qu’une seconde peut obtenez toute votre histoire. Ce n’est pas quelque chose que les gens veulent.
Pour Microsoft, l’annulation du rappel intervient au milieu d’une série embarrassante d’incidents et de violations de cybersécurité, notamment une fuite de téraoctets de données de ses clients et une pénétration choquante des comptes de messagerie gouvernementaux rendue possible par une série en cascade de dérapages de sécurité de Microsoft . Elle est devenue si problématique qu’elle est devenue un point de friction, même en raison de ses relations particulièrement étroites avec le gouvernement américain .
Ces scandales se sont aggravés au point que Nadella, de Microsoft, a publié le mois dernier une note déclarant que Microsoft ferait de la sécurité sa première priorité dans toute décision commerciale. « Si vous êtes confronté à un compromis entre la sécurité et une autre priorité, votre réponse est claire : faites de la sécurité de Nadella », lit-on dans la note (c’est moi qui souligne). “Dans certains cas, cela signifiera donner la priorité à la sécurité avant d’autres choses que nous faisons, comme la publication de nouvelles fonctionnalités ou la fourniture d’un support continu pour les systèmes existants.”
De toute évidence, le déploiement de Recall par Microsoft - même après l’annonce d’aujourd’hui - affiche l’approche opposée, et qui semble plus conforme au statu quo à Redmond : annoncer une fonctionnalité, se faire matraquer pour ses failles de sécurité flagrantes, puis se précipiter tardivement pour prendre le contrôle. les dégâts.
A suivre.
Source: https://www.wired.com/story/microsoft-recall-off-default-security-concerns/
-
Alors en effet, gros rétropédalage de Microsoft, mais une question demeure : combien d’insouciants vont naïvement cliquer sur ‘Yes’ ?
-
@Indigostar Je suis pas un crack en informatique, mais j’ai compris un truc, toujours tenter le non, même si il faut en aligner une douzaine, avant la prochaine question!
-
Le vrai truc à comprendre c’est qu’avant de cliquer sur Oui ou Non, il faut lire ce qui est écrit au-dessus.
-
@Raccoon ça peut aider, parce que parmi les questions il faut parfois affirmer son non par un oui!
-
Mais sinon… Est-ce qu’avec cette IA, on peut avoir un bon ratio ?
-
Ba voilà bonne nouvelle si on peut le désactiver, ils sont cons mais moins qu’on pensait
-
Merci de vos retours très instructifs
-
@Indigostar
Chui chanceux semblerait…Je n’ai pas ces clés dans le registre (26100.712)