Connexion
Abonnez-vous

Machine arrière : Windows Recall devient opt-in et renforce sa sécurité

« Considère ça comme un divorce »

Machine arrière : Windows Recall devient opt-in et renforce sa sécurité

Alors que la polémique enflait sur Recall, jugée intrusive et dangereuse, Microsoft fait machine arrière. Le choix sera clairement donné pendant la configuration de l’ordinateur. La société ajoute en outre des mécanismes de sécurité qui auraient dû être présents dès le départ.

Le 10 juin à 10h32

C’est peu dire que la présentation de la fonction Recall (Retrouver) aura fait réagir. Spécifique aux PC Copilot+ et à ses « bonus » IA, elle consiste à prendre régulièrement des captures d’écran. Les images sont analysées, afin qu’une recherche permette de retrouver quand et comment une information a été utilisée. Flock y a même consacré une bande dessinée dont il a le secret.

L’idée partait d’un bon sentiment, avec l’objectif de pouvoir toujours remettre la main sur un site, un document, une discussion ou autre. Cependant, comme nous l’avions signalé, elle permettait un véritable pillage des données personnelles. Dès lors qu’une autre personne pouvait s’installer devant l’ordinateur, elle pouvait récupérer tout l’historique de l’utilisateur sur plusieurs mois.

Le problème est d’autant plus important que le mécanisme agit aussi bien sur les actions personnelles que celles reçues d’autres personnes. Vous discutez sur Signal, WhatsApp, Messenger, Telegram, par email ou sur un site de rencontre ? Recall en garde des traces. Les correspondants ne sont pas prévenus. D’autres ont signalé les ravages que peut entrainer la fonction avec des proches abusifs.

L’activation de Recall se fera par un choix

On s’en doutait devant l’ampleur des critiques : Microsoft a annoncé la bascule sur un modèle « opt in » pour Recall. L’assistant de configuration de Windows 11 pouvant être mis à jour dès la connexion internet établie, une nouvelle version sera disponible pour le lancement des PC Copilot+. On y trouvera un choix clair sur la fonction :

La capture, publiée par Microsoft, montre l’obligation de faire un choix. Nous nous étions justement interrogés sur ce point, car une bonne partie de l’assistant est consacrée à l’activation de fonctions, aucun choix n’étant sélectionné par défaut. Pourquoi Recall n’avait-il pas eu le même traitement ? L’éditeur a fini par aligner Recall sur le reste.

Le nouveau panneau a l’avantage de mieux présenter la fonction. Il explique son intérêt, mentionne que Microsoft n’accède pas aux captures et que l’on peut contrôler ce que Recall analyse.

Plusieurs mesures de sécurité supplémentaire

Outre le contrôle, Microsoft ajoute plusieurs mécanismes pour verrouiller davantage les informations enregistrées par Recall. La fonction ne brillait pas par la protection des informations très sensibles. Elle les stockait dans une simple base SQLite, enregistrée dans un sous-dossier d’AppData. L’expert en cybersécurité Kevin Beaumont avait même montré qu’on pouvait les récupérer assez facilement depuis un autre compte sur le même PC.

On trouve trois ajouts principaux. D’une part, l’activation de Windows Hello devient obligatoire pour utiliser Recall. Hello est pour rappel la fonction chapeautant tout ce qui touche à l’ouverture sécurisée de session, notamment avec la biométrie.

D’autre part, Windows Hello se manifestera lors de tout accès aux informations recueillies par Recall. Une preuve de présence donc, là où il suffisait à quelqu’un de s’assoir face à un PC Copilot+ pour plonger dans l’historique complet des activités de son utilisateur.

Enfin, plusieurs « couches supplémentaires de protection des données » ont été ajoutées. Un chiffrement à la volée d’abord, via Windows Hello ESS (Enhanced Sign-in Security). Les captures créées par Recall ne seront donc accessibles que si l’utilisateur est dument authentifié. En outre, la base de données de l’index de recherche sera, elle aussi, chiffrée.

De sérieux problèmes à la conception

Pourquoi ne pas avoir mis en place ces mécanismes dès le départ ? La question est évidente au vu des multiples scénarios problématiques apparus dans les quelques jours qui ont suivi la présentation. Elle est d’autant plus prégnante que Satya Nadella, PDG de l’entreprise, avait fait circuler un mémo auprès des employés pour réitérer l’importance de la sécurité, même si elle se faisait au détriment des fonctionnalités.

Recall ne sera techniquement proposé au départ que sous forme de préversion. Cela ne devrait cependant pas compter : obliger l’utilisateur à choisir aurait dû être un réflexe. Tout comme le chiffrement des données. Tout comme l’authentification obligatoire.

Microsoft joue gros avec ce type de mécanisme. La société veut prouver que l’IA peut rendre mille services. Avec Recall, elle a surtout prouvé que le pouvoir de l’IA peut entrainer des catastrophes quand elle n’est pas pensée avec soin. Comme le cloud, ces fonctions ne peuvent être couronnées de succès que si le public a confiance. Mieux vaut éviter qu’une telle bourde se reproduise, d'autant qu'une deuxième vague de PC Copilot+ serait en préparation pour la fin de l'été.

L'affaire servira en tout cas de leçon à Google, qui réfléchit également à intégrer ce type de fonction dans ses Chromebook.

Commentaires (41)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Le mal est fait et laissera des traces durables.
votre avatar
Durable ? Cinq minutes à tout casser.

C'est pas la première fois que Microsoft fait ce genre de chose, ni la dernière. La seule différence avec les autres entreprises du numérique, c'est que pour eux ça se voit.
votre avatar
Quand il y a de la concurrence, tu es obligé de faire gaffe. Par contre quand tu réussi à dégager toute concurrence à coup de lobby, tu peux faire un peu ce que tu veux.

Tu t'en fou, tes clients resteront de toute façon chez toi.
votre avatar
C'est sûr qu'en ce moment, les boîtes de l'IT font super gaffe avec leurs effets d'annonces autour de l'IA.
votre avatar
si Microsoft a besoin d'augmenter ses revenus en incrustant des pub non désactivable dans le meu Démarrer, les utilisateurs vont dire amen
si Microsoft a besoin d'entrainer son IA, Microsoft l'active par défaut en douce, et les utilisateurs disent amen

Si Adobe a besoin d'entrainer son IA en demandant à pouvoir explorer les documents de ses clients, ces derniers peuvent peut être aller voir ailleurs.
C'est surtout pour la position extraordinaire de MS sur le marché qui fait qu'ils peuvent faire un peu n'importe quoi sans forcément satisfaire les clients
votre avatar
Vu le démenti et les pieds dans le tapis de la comm' d'Adobe, c'est du même acabit que ce volte face de Microsoft. Ils ont tenté un truc, c'est pas passé, ça passera la prochaine fois.

Comme Google qui a intégré aussi Gemini partout dans ses produits (dans Workspace avec analyse des contenus) et a réduit un peu la voilure.

Les boîtes de l'IT FONT n'importe quoi au détriment des utilisateurs. Les quelques-uns qui gueulent sur les média sociaux ne sont qu'une goutte d'eau dans un océan de passivité.
votre avatar
Ou bien, MS a fait exprès de laisser ce truc sans sécurité pour faire le Buzz et avoir de la publicité gratuite. 😈
votre avatar
Ou ils ont annoncé ceci, en même temps qu'uj autre élément pas sympa.
Mais le plus grossier a été pointé du doigt, et l'autre est passé sans que personne ne dise rien.
votre avatar
C'est quoi l'autre élément pas sympa ?
votre avatar
Pour le coup sur le screenshot, il faut reconnaître un rare élément positif : le bouton "Yes" n'est pas mis en valeur.

Ce dark pattern commun est une horreur.
votre avatar
C'est le cas pour toutes les questions liées à la vie privée dans l'assistant de configuration, c'est pour ça que je fais le parallèle dans l'actu
votre avatar
Ici, j'ai l'impression qu'il y a quand même un "dark pattern" dans la disposition et la fonction des boutons. Le fait de mettre en bas à droite le "yes" à la position habituelle du "next" peut en effet attirer plus facilement le clic.
votre avatar
Ce n'est pas un dark pattern. La mise en valeur, comme le suggère SebGF, l'aurait été.
Là il est à droite puisque dans l'esprit collectif, si on continue on va vers la droite (principe de la chronologie), sinon le bouton est à gauche (on ne va pas plus loin, voire on revient en arrière si l'action est une annulation).

La phrase pourrait être "cliquer sur Suivant (*) pour configurer Recall", ce qui revient à cliquer sur "Yes" et à passer à l'écran suivant.

(*) on est sous Windows, ne l'oublions pas
votre avatar
Le simple fait que la fonctionnalité soit disponible me fait fuir, qu'elle soit activée ou non...

C'est vraiment une idée pourrie...
votre avatar
Perso je ne vois pas trop l'intérêt sur ma machine personelle, mais je me réjouis à l'idée d'avoir ça sur ma machine professionelle. Après, quitte à mettre de l'IA, ça aurait été bien d'ajouter une couche d'intelligence pour qu'elle filtre automatiquement les données sensibles de type mot de passe/clé SSH/...
votre avatar
C'est clair que c'est le genre de fonction que les employeurs vont adorer... mais pas certain que tu adore l'usage prévisible!
votre avatar
Yes je pense que côté pro, ça pourrait être très utile: j'ai passé 1/2j hier à chercher des preuves pour un dossier CIR, combien de réunion sans compte rendu, ou d'appel teams où on te partage un écran, sans jamais t'envoyer le doc présenté...

Ce truc pourrait aider, surtout le côté OCR.

Même dans ce contexte, il faut des gardes-fous :
- pouvoir blacklister des sites (ex: un onglet de webmail perso),
- pouvoir blacklister des applis (ex: les conv' teams de conneries)
- ajouter un indicateur dans teams "ce correspondant utilise Windows Recall ! Autoriser le partage d'écran oui / non"
votre avatar
Es tu prêt donc à fuire réellement ?
votre avatar
Ca sent surtout le truc poussé à la va-vite parce qu'il fallait absolument le présenter à ce moment. La fameuse base de donnée SQLite, ça a tout l'air d'être une solution temporaire bien pratique pour le dev qu'une vraie solution, surtout que l'on voit que MS avait dans sa boite à outils tout ce qu'il fallait pour sécuriser un minima.
votre avatar
Tellement. Ca sent l'équipe de dev qui a fait tout son possible pour livrer à la date arbitrairement fixée par son management.
votre avatar
Ou peut-être à la date fixée par l'équipe elle-même, de manière quelque peu inconséquente, sous la pression bienveillante de son management.

Les ravages de la méthode agile. :fumer:
votre avatar
Moi j'aurais même parler de Proof of concept codé par un stagiaire, qui se retrouve merger dans la branche main parce que le boss à adorer, et qu'il faut absolument l'intégrer.
votre avatar
:dix: pour le sous titre
votre avatar
Exact! Trop fort! :mdr2:

(J'avais pas fait gaffe.)
votre avatar
:dix: pour le sous sur-titre :cap:

P.S.: impossible de barrer sous, malgré les deux ~ avant et après, ça ne fait rien :craint:
P.S.2 : ah si, en publiant. Mais pas dans la prévisualisation :cap:
votre avatar
Et lorsque certains auront opté pour l'installation, en plus ou moins bonne connaissance de cause, ça ne règle pas le problème souligné par l'article :

Le problème est d’autant plus important que le mécanisme agit aussi bien sur les actions personnelles que celles reçues d’autres personnes. Vous discutez sur Signal, WhatsApp, Messenger, Telegram, par email ou sur un site de rencontre ? Recall en garde des traces.
votre avatar
- "Salut !"
- "Salut ;-)"
- "T'es sous Windows ?"
- "Ouais."
- T'as Copilot + ?
- "Oui, pourquoi ?"
- "[bip... bip ... bip ...]
votre avatar
Pratique pour chercher les dickpics :)
votre avatar
Adieu navigation privée, adieu copier/coller de clé privée, adieu tout ce qui doit être vu de façon éphémère en faite ...
votre avatar
Ce niveau de mélo' pour une fonctionnalité qui n'est même pas encore en test public ...
N'oublions pas que dès le début, il a été mentionné la capacité de mettre en pause / ne pas activer Recall.
votre avatar
Essaye d'expliquer ça a mes parents / grands parents pour voir...
votre avatar
Parce qu'ils maitrisent le concept de c/c des clés privées mais pas la désactivation de features ? Ah.
votre avatar
Merci M. Réthorique. Mais tu passes pour un gland en essayant de faire semblant de ne pas comprendre. A moins que tu ne sois trop neuneu pour lire ma phrase de deux lignes jusqu'au bout...
votre avatar
Parce que toi, bien sûr, M. Grocervo, tu as compris ce que j'ai dit. :]
Je sais que c'est facile de crier au loup avec le reste de la meute, mais outre ne rien apporter à l'édifice, ça n'aide pas à prendre de la hauteur et de pouvoir délivrer autre chose qu'un monologue digne de Phèdre.
votre avatar
Ce truc est aussi stupide par principe (impacts vie privée) que techniquement (se baser sur des captures d'écran, dont l'OS contrôle l’intégralité de l'affichage et des actions qui y mènent, c'est vraiment du quick&dirty bien dégeu!).

Et que la police ou les employeurs vont adorer (quitte à l'activer dans le dos des gens): On pourrait en revoir le slogan Sony: "Vous en avez cauchemardé, Microsoft l'a fait". :fumer:
votre avatar
techniquement (se baser sur des captures d'écran, dont l'OS contrôle l’intégralité de l'affichage et des actions qui y mènent, c'est vraiment du quick&dirty bien dégeu!)

En y réflechissant, pas tant que ça en fait : de tout manière l'OCR était +/- nécessaire histoire de pas rater 3/4 des infos: images, partage d'écran, appli gérant son propre rendu de texte (par ex rendu GPU), appli skinée même si c'est un peu passé de mode :)

Depuis le point de vue de l'OS ce n'est pas sûr que ce soit si simple de savoir si un texte est affiché ou masqué à l'écran (menu fermé, onglet non-actif, scrollbar...)

Du coup tout passe en OCR, ça ne fait qu'un seul outil d'analyse, même si ça semble un peu overkill pour une app de type word ou notepad.
votre avatar
Ce truc est aussi stupide par principe (impacts vie privée)
Parce que tu n'en vois pas l'utilité dans ton contexte.
que techniquement (se baser sur des captures d'écran, dont l'OS contrôle l’intégralité de l'affichage et des actions qui y mènent, c'est vraiment du quick&dirty bien dégeu!).
Un lien vers ton GH pour nous montrer comment on peut faire mieux / plus proprement ?
Et que la police ou les employeurs vont adorer
La police peut déjà (tout ?) tracer ce que tu fais, rien de neuf à ce niveau-là, tout comme tes employeurs.
(quitte à l'activer dans le dos des gens):
Lire ici : https://blogs.windows.com/windowsexperience/2024/06/07/update-on-the-recall-preview-feature-for-copilot-pcs/
"However, your IT administrator cannot enable saving snapshots on your behalf. The choice to enable saving snapshots is solely yours."
On pourrait en revoir le slogan Sony: "Vous en avez cauchemardé, Microsoft l'a fait". :fumer:
Ouais, c'est exactement ça. Ou alors au lieu de fantasmer sur sa compréhension d'un truc qui n'a pas été testé, sur des machines qui ne sont pas encore sorties, on peut aussi ne pas s'emballer dans une hystérie collective.
votre avatar
GH? Pour donner son travail à Microsoft???

Pour ce qui est de faire mieux, traiter des captures pour les filer à une analyse d'image je dirais que cela pourrait s'expliquer dans un cadre applicatif quand on n'a pas accès à un OS boite noire comme Windows... Mais que ce soit Microsoft (pour qui c'est une boite blanche) qui procède ainsi, franchement il faut oser la défendre une conception pareille!
votre avatar
Honnêtement, j'ai assez peu de recul sur la fonctionnalité, ne l'ayant pas testé; mais je serais moins affirmatif que toi.

L'OS n'est pas capable de donner du sens à chaque action de chaque logiciel; la conception de MS a toujours été de fournir une plateforme, qui est enrichie/étendue/adaptée/whatever par tout l'écosystème autour.

Un clic dans Notepad++, Photoshop, Age of Empire ne veut pas dire la même chose
Un clic dans Notepad++ à des significations différentes entre un clic court, long; un clic sur un mot ou sur un menu ...
J'ai du mal à savoir comment l'OS pourrait comprendre tout ça, tout seul, juste en se basant sur les primitives.

L'approche par "analyse de l'image" est au final ce que fait l'utilisateur. Il voit une image, et y réagit.

Est-ce qu'on ne peut pas faire mieux comme comportement ? Potentiellement, j'en sais rien.
Est-ce que c'est aussi crade que ce que tu affirmes ? J'ai un gros doute.
votre avatar
Je pense pour ma part que c'est vraiment utiliser une presse hydraulique pour enfoncer un clou.

Je dirais que ce qui me viendrais en premier à l'idée pour mêler IA et interaction utilisateur/UI dans un tel cadre, ce serait de me rappeler la capacité d'adaptation de collègues non voyants que j'ai pu avoir dans ma vie professionnelle.

J'ai en particulier un exemple en tête (au CEA, aux dernières nouvelles qui datent un peu) qui ne déléguait même pas l'essentiel du codage de front-end graphiques... sans rien y voir! Vraiment un mec impressionnant.

Sa seule interaction, c’était son clavier et son lecteur braille et la capacité à se représenter ce que les appels aux API graphiques allaient donner à l'écran. Bref, que des choses que l'OS voit passer qqsoit l'applicatif!

Certes, des photos chargées brutes passent au travers, mais quel intérêt (dans l'immense majorité des cas) au niveau d'une fonctionnalité d'historique aux stéroïdes autre... que savoir éventuellement rappeler ou l'utilisateur l'a rangé s'il avait jugé utile de le faire? Il est possible d'énormément limiter l'analyse purement image à mon sens. Ici, bonjour le total gâchis...
votre avatar
« L’idée partait d’un bon sentiment, avec l’objectif de pouvoir toujours remettre la main sur un site, un document, une discussion ou autre.
Cependant, comme nous l’avions signalé, elle permettait un véritable pillage des données personnelles. »

Je ne pense pas que l'idée partait d'un bon sentiment. Vous le dites vous-même, l'intention était un pillage ultime.

Machine arrière : Windows Recall devient opt-in et renforce sa sécurité

  • L’activation de Recall se fera par un choix

  • Plusieurs mesures de sécurité supplémentaire

  • De sérieux problèmes à la conception

Fermer