Recall n’est pas encore tout à fait prêt pour le grand public. La fonction d’historique dopé à l’IA de Microsoft, disponible pour les bêta-testeurs depuis quelques semaines après plusieurs reports, a toujours du mal avec la confidentialité des données.
Attendue depuis le mois de juin et le lancement des premiers Copilot+ PC, la fonction Recall a finalement été reportée à des jours meilleurs après que des chercheurs en sécurité ont découvert de très sérieuses failles. Microsoft a dû serrer quelques boulons, et Recall est désormais proposé aux cobayes inscrits au programme Windows Insiders, en attendant d’être livré aux utilisateurs grand public.
Lire Windows 11 : la fonction de recherche controversée Recall fait enfin ses premiers pas
Recall mémorise les actions de l’utilisateur sous forme de captures d’écran réalisées à intervalles réguliers. Il est possible de parcourir cette « mémoire » dans une frise chronologique, ou encore en saisissant une recherche en langage naturel. Par exemple, si vous aviez surfé sur des sites d’ameublement à la recherche d’un canapé, il suffit de taper le mot « canapé » pour que Recall vous renvoie à la page du site web correspondant.
Sur le papier, l’idée est bonne mais l’exécution pose toujours un problème. Tom’s Hardware relève en effet que Recall enregistre des informations confidentielles, comme des coordonnées bancaires, malgré l’activation (par défaut) d’un filtre qui devrait l’en empêcher. C’est le cas sur certains types de formulaires en ligne, notamment des PDF mais aussi des formulaires HTML.
Recall est censé bloquer la capture d’écran à l’apparition de certains mots clé, mais des phrases comme « Saisissez votre numéro de carte de crédit » n’a activé aucune protection dans un formulaire en ligne, déplore le testeur. Néanmoins, Recall a refusé d’enregistrer les pages de paiement de deux boutiques en ligne sur lesquelles les informations bancaires étaient présentes. Plutôt encourageant donc, mais la question des formulaires PDF reste posée : il n’est pas rare de devoir remplir ce type de formulaire dans un navigateur.
Ce que l’expérience démontre, c’est que les filtres de Recall risquent de ne jamais être complètement efficaces dans toutes les situations où des données sensibles apparaissent à l’écran. Microsoft a donc encore du pain sur la planche, et invite les utilisateurs à lui faire part de leurs découvertes. L’éditeur promet d’améliorer Recall en fonction des retours.
Reste à savoir maintenant si ces captures d’écran contenant des infos sensibles sont facilement accessibles. Un des gros problèmes qui se posait en juin dernier était que Recall ne chiffrait pas les captures, permettant ainsi à n’importe qui de les récupérer. Ce n’est plus le cas, il faut désormais montrer patte blanche (autrement dit, une identification Windows Hello) pour accéder à ces informations dans Recall — il est impossible pour l’utilisateur lambda d’ouvrir la base de données en elle-même en dehors du logiciel.
Néanmoins, un pirate ayant obtenu l’autorisation de l’utilisateur d’accéder à distance à son PC et qui en possèderait aussi le code de déverrouillage sera en mesure de consulter ces captures. C’est une conjonction d’éléments qui, avouons-le, devrait être assez rare mais les « chances » ne sont pas complètement nulles non plus. C’est donc un long chantier qui s’ouvre à Microsoft pour boucher les trous dans la raquette de Recall.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Par : Opera
Source :
Tom’s Hardware