S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Recall de Windows 11 encore épinglé pour ses failles de sécurité

A feature, not a bug

Recall de Windows 11 encore épinglé pour ses failles de sécurité

Illustration : Flock

Microsoft pensait avoir réglé tous les problèmes de Recall, mais peut-être pas. Annoncée en juin 2024, la fonction IA de Windows 11 a subi pratiquement un an de retard pour boucher de sérieux trous de sécurité. Elle est de nouveau sous le feu des projecteurs suite à la découverte d’un chercheur.

Recall, alias « Retrouver », est une fonction des PC Copilot+ qui permet de remettre la main sur n’importe quel document, page web, application ou tout autre information, en piochant dans l’historique de l’utilisateur. Elle réalise des captures d’écran à intervalles réguliers (« quelques secondes », indique Microsoft). Avec l’aide de modèles IA, elle analyse ensuite les images pour en extraire toutes les données exploitables.

Un édifice sécuritaire aux pieds d’argile

La fonction devait être lancée en 2024, mais très rapidement Recall a été la cible de critiques de la part des défenseurs de la vie privée, mais aussi des chercheurs en sécurité. Microsoft a dû remettre l’ouvrage sur le métier et repartir de zéro. Le chantier a mis près d’un an pour être achevé.

Microsoft a profondément revu l’architecture de sécurité de la fonction. Les données sont désormais stockées dans une enclave sécurisée, isolée du reste du système, et chiffrées de bout en bout. L’accès est conditionné par une authentification Windows Hello, censée empêcher tout logiciel malveillant de profiter de la session de l’utilisateur pour accéder aux informations. 

Recall n’est par ailleurs plus activé par défaut, et exclut de sa base de données des informations sensibles comme les identifiants bancaires. Tout n’est pas parfait pour autant. Alexander Hagenah, chercheur en sécurité, avait démontré avec son outil – baptisé… TotalRecall, évidemment – qu’il était très simple de récupérer des informations sur n’importe quel PC avec Recall première génération.

Il récidive avec TotalRecall Reloaded, disponible sur GitHub : cette nouvelle version montre qu’il est possible d’injecter du code (une bibliothèque DLL) dans AIXHost.exe, le processus Windows chargé d’afficher la chronologie de Recall. Le programme est en mesure d’accéder aux données déchiffrées (captures d’écran, texte extrait par OCR, métadonnées) au moment où elles sont manipulées par le système.

L’attaque ne nécessite pas de droits d’administrateur, ni d’exploitation complexe. Il suffit d’un simple logiciel pour intercepter ces informations, à condition toutefois qu’une authentification Windows Hello ait eu lieu au préalable (empreinte digitale, scan facial, code de déverrouillage). Pour le chercheur, le système de protection mis en place par Microsoft est « réel », mais il s’arrête trop tôt.

TotalRecall Reloaded est également en mesure de récupérer la dernière capture d’écran réalisée par Recall, cette fois sans passer par Windows Hello, ou même d’effacer complètement l’historique.

« Lorsque vous utilisez Recall normalement, TotalRecall Reloaded laisse discrètement la porte ouverte derrière vous, puis extrait tout ce que la fonction a enregistré. C’est précisément ce type de scénario que l’architecture de Microsoft est censée empêcher. »

Le problème ne vient pas de l’enclave, qualifiée de « solide », ni du modèle d’authentification. Pour Alexander Hagenah, « ce n’est pas le chiffrement, ni l’enclave, ni l’authentification qui posent problème, mais le fait que les données déchiffrées soient transmises à un processus non protégé ». Le souci, c’est que le système transmet les données de Recall au processus AIXHost.exe qui ne bénéficie pas du même niveau de sécurité.

Il n’y a pas de vulnérabilité, selon Microsoft

Alexander Hagenah a alerté Microsoft début mars, mais l’éditeur a fermé le dossier en expliquant qu’il ne s’agissait pas d’une vulnérabilité. « Après un examen approfondi, nous avons déterminé que les modes d’accès observés sont conformes aux protections prévues et aux contrôles existants », détaille l’éditeur à The Verge. Ces modes « ne constituent pas un contournement d’une barrière de sécurité ni un accès non autorisé aux données. » 

Microsoft ajoute que la période d’autorisation pour accéder aux données de Recall est limitée dans le temps et que le système intègre des protections contre les requêtes répétées. Mais pour le chercheur, le délai d’expiration est neutralisé, et surtout « [le] principal problème reste le fait qu’ils affirment, dans leur annonce officielle, que l’enclave empêche un “malware latent de se greffer” — ce qui n’est clairement pas le cas. »

Pour Microsoft, il s’agit d’un comportement normal de Windows : un logiciel avec les droits utilisateur, ce qui est le cas après une authentification, peut injecter du code dans un autre logiciel. C’est une souplesse qui peut se justifier pour des besoins légitimes, mais cela ouvre aussi la porte à des abus potentiels. Et la nature même de Recall, qui collecte un grand nombre de données, en fait une cible particulièrement attractive.

Recall pourrait cependant faire l’objet de nouveaux et profonds changements. La fonction, « dans sa forme actuelle, a échoué », auraient affirmé des sources internes en février dernier. Microsoft n’envisagerait pas un abandon, mais une évolution du concept.

Commentaires (18)

votre avatar
"Pour Microsoft, il s’agit d’un comportement normal de Windows : un logiciel avec les droits utilisateur, ce qui est le cas après une authentification, peut injecter du code dans un autre logiciel."
Donc, pour résumer (et pour reprendre le sous-titre), on peut vraiment dire que certaines failles de sécurité sont de réelles fonctions voulues par Microsoft ?...
votre avatar
Mais non, c'est juste la mise en pratique officielle et volontaire du "it's not a bug, it's a feature©", c'est tout!
votre avatar
Tiens, il n'était pas censé ne plus avoir de bugs dans Windows ?
votre avatar
Si les bugs sont des feature, il n'y a plus de bug.
votre avatar
Recall étant intégré au forceps dans Windows au point qu'il fait partie intégrante de l'OS ...
votre avatar
Tu ne sais pas lire, c'est un bug dans Recall, pas dans Windows :-D
votre avatar
La com' chez MS c'est clairement fait à base de CoPilot !

Et personne de dire "ok on arrête les frais sur Recall, personne en veut" ?
votre avatar
Je suis assez d'accord avec toi. Est ce que vraiment des gents on demandés cette M...
Ça serait assez intéressent de voir la liste des features requests pour voir si vraiment ya de la demande à toute ces fonctionnalités d'IA douteuse.
votre avatar
Je peine à comprendre où se situe vraiment la faille, en effet.

S'il faut installer un logiciel pour avoir accès aux infos, alors le logiciel pourrait tout à fait faire la même chose tout seul sans avoir besoin de Recall (en faisant keylogger, en prenant des screenshots,…).
C'est la puissance et le défaut d'un PC en même temps: n'importe quel logiciel installé a accès à (casi) tout.
Non?
votre avatar
Non pas vraiment. Un logiciel (processus) a son propre espace mémoire, il ne peut en aucun cas accéder à celui du copain et heureusement. Il peut par contre utiliser une des nombreuses APIs userland (noyau ou tout composant transverse type affichage) pour utiliser des fonctions qui ont impact sur les copains, c'est souvent utile et toujours sujet à débat pour la sécurité, mais dans tous les cas il s'agit intégralement d'un choix des développeurs du noyau donc de Ms dans le cas présent.
votre avatar
Mais dans ce cas-là, c'est bien un souci de l'OS comme tu le dis, et pas de Recall. Il n'y a donc pas de faille.
Et on revient au débat d'un OS "fermé" (type iOS) versus un OS "ouvert" (type Windows). Et les impacts pour MS et les utilisateurs pour changer ça sont alors énormes. En sécu, tout est une question de compromis avec les cas d'utilisation.
votre avatar
Qu'entends-tu par "OS ouvert type Windows" ?
Et son corollaire "OS fermé type iOS" ?
votre avatar
Qu'entends-tu par "OS ouvert type Windows" ?
Je ne sais pas pourquoi il est bon de le préciser, mais précisons quand-même.

Windows est "ouvert" en ce sens que n'importe qui peut écrire et installer une application qui héritera automatiquement de tous les droits de l'utilisateur (si l'utilisateur peut lire de ficher mon_journal_secret.txt, alors l'application pourra le faire aussi. En contrepartie, plusieurs applications peuvent interagir extrêmement facilement (p. ex. via les API DCOM / Active X / automation)

iOS est fermé en ce sens que d'une part une application doit (en théorie) passer par un store pour être installée, et une fois installée ses droits sont limités par application, ce n'est pas parce que l'utilisateur la installée, ou même lancée, qu'elle pourra lire le répertoire Documents (ou ce qui en tient lieu sous iOS). En contrepartie de ce compartimentage, il est beaucoup plus difficile sous iOS de faire collaborer plusieurs applications si elles ne sont pas expressément prévues pour.
votre avatar
La notion d'ouvert/fermé lorsqu'elle s'applique à un OS fait reference au code source: libre/open source ou non.

D'où ma question, car des termes mal employés peuvent préter à confusion.
votre avatar
La faille est que si tu installes un logiciel, il va avoir accès à tout ce que tu fais dans le futur, jusqu'au moment où tu te rends compte de ce qu'il fait et tu le désinstalles. Le problème ici est qu'un logiciel peut également accéder à tout l'historique enregistré par Recall. On est bien d'accord que en ce sens ce n'est pas une faille, mais néanmoins c'est en contradiction avec la posture de Microsoft qui prétend que l'accès à cet historique est protégé contre les abus.
votre avatar
Je comprends bien que les data de Recall sont hyper sensibles, comme ça contient aussi un historique.
Mais qu'est ce qui empêcherait un logiciel d'aller modifier Chrome ou Firefox pour récupérer tout l'historique de navigation + les potientiells passwords par exemple? Or on ne dit pas qu'il y a une faille dans Chrome/FF pour autant.

Pour moi dans ce cas, c'est juste que Recall est en effet un aspirateur à data privé, et que comme n'importe quel logiciel sur Windows, un autre logiciel peut aller modifier son fonctionnement. Mais ce n'est pas une faille de sécu en soi.
votre avatar
Quelqu'un sait où est passé la boîte à "oh ben ça alors" ?
votre avatar
Odieux connard l'a usé jusqu'à l'OS!!!