Machine arrière : Windows Recall devient opt-in et renforce sa sécurité

Alors que la polémique enflait sur Recall, jugée intrusive et dangereuse, Microsoft fait machine arrière. Le choix sera clairement donné pendant la configuration de l’ordinateur. La société ajoute en outre des mécanismes de sécurité qui auraient dû être présents dès le départ.

C’est peu dire que la présentation de la fonction Recall (Retrouver) aura fait réagir. Spécifique aux PC Copilot+ et à ses « bonus » IA, elle consiste à prendre régulièrement des captures d’écran. Les images sont analysées, afin qu’une recherche permette de retrouver quand et comment une information a été utilisée. Flock y a même consacré une bande dessinée dont il a le secret.

• #Flock : Total RECALL me maybe

L’idée partait d’un bon sentiment, avec l’objectif de pouvoir toujours remettre la main sur un site, un document, une discussion ou autre. Cependant, comme nous l’avions signalé, elle permettait un véritable pillage des données personnelles. Dès lors qu’une autre personne pouvait s’installer devant l’ordinateur, elle pouvait récupérer tout l’historique de l’utilisateur sur plusieurs mois.

Le problème est d’autant plus important que le mécanisme agit aussi bien sur les actions personnelles que celles reçues d’autres personnes. Vous discutez sur Signal, WhatsApp, Messenger, Telegram, par email ou sur un site de rencontre ? Recall en garde des traces. Les correspondants ne sont pas prévenus. D’autres ont signalé les ravages que peut entrainer la fonction avec des proches abusifs.

L’activation de Recall se fera par un choix

On s’en doutait devant l’ampleur des critiques : Microsoft a annoncé la bascule sur un modèle « opt in » pour Recall. L’assistant de configuration de Windows 11 pouvant être mis à jour dès la connexion internet établie, une nouvelle version sera disponible pour le lancement des PC Copilot+. On y trouvera un choix clair sur la fonction :

La capture, publiée par Microsoft, montre l’obligation de faire un choix. Nous nous étions justement interrogés sur ce point, car une bonne partie de l’assistant est consacrée à l’activation de fonctions, aucun choix n’étant sélectionné par défaut. Pourquoi Recall n’avait-il pas eu le même traitement ? L’éditeur a fini par aligner Recall sur le reste.

Le nouveau panneau a l’avantage de mieux présenter la fonction. Il explique son intérêt, mentionne que Microsoft n’accède pas aux captures et que l’on peut contrôler ce que Recall analyse.

Plusieurs mesures de sécurité supplémentaire

Outre le contrôle, Microsoft ajoute plusieurs mécanismes pour verrouiller davantage les informations enregistrées par Recall. La fonction ne brillait pas par la protection des informations très sensibles. Elle les stockait dans une simple base SQLite, enregistrée dans un sous-dossier d’AppData. L’expert en cybersécurité Kevin Beaumont avait même montré qu’on pouvait les récupérer assez facilement depuis un autre compte sur le même PC.

On trouve trois ajouts principaux. D’une part, l’activation de Windows Hello devient obligatoire pour utiliser Recall. Hello est pour rappel la fonction chapeautant tout ce qui touche à l’ouverture sécurisée de session, notamment avec la biométrie.

D’autre part, Windows Hello se manifestera lors de tout accès aux informations recueillies par Recall. Une preuve de présence donc, là où il suffisait à quelqu’un de s’assoir face à un PC Copilot+ pour plonger dans l’historique complet des activités de son utilisateur.

Enfin, plusieurs « couches supplémentaires de protection des données » ont été ajoutées. Un chiffrement à la volée d’abord, via Windows Hello ESS (Enhanced Sign-in Security). Les captures créées par Recall ne seront donc accessibles que si l’utilisateur est dument authentifié. En outre, la base de données de l’index de recherche sera, elle aussi, chiffrée.

De sérieux problèmes à la conception

Pourquoi ne pas avoir mis en place ces mécanismes dès le départ ? La question est évidente au vu des multiples scénarios problématiques apparus dans les quelques jours qui ont suivi la présentation. Elle est d’autant plus prégnante que Satya Nadella, PDG de l’entreprise, avait fait circuler un mémo auprès des employés pour réitérer l’importance de la sécurité, même si elle se faisait au détriment des fonctionnalités.

Recall ne sera techniquement proposé au départ que sous forme de préversion. Cela ne devrait cependant pas compter : obliger l’utilisateur à choisir aurait dû être un réflexe. Tout comme le chiffrement des données. Tout comme l’authentification obligatoire.

Microsoft joue gros avec ce type de mécanisme. La société veut prouver que l’IA peut rendre mille services. Avec Recall, elle a surtout prouvé que le pouvoir de l’IA peut entrainer des catastrophes quand elle n’est pas pensée avec soin. Comme le cloud, ces fonctions ne peuvent être couronnées de succès que si le public a confiance. Mieux vaut éviter qu’une telle bourde se reproduise, d'autant qu'une deuxième vague de PC Copilot+ serait en préparation pour la fin de l'été.

L'affaire servira en tout cas de leçon à Google, qui réfléchit également à intégrer ce type de fonction dans ses Chromebook.