Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Correspondances, violences conjugales : les dangers de Windows Recall s’étendent

Le 05 juin à 15h59

Depuis sa présentation, Windows Recall n’en finit plus de faire parler de lui et, au fil des jours, de nouveaux cas d’usage problématiques remontent à la surface. À tel point qu’on se demande maintenant quand et comment Microsoft va revoir ses plans.

Cette fonction, alimentée par une IA locale, prend régulièrement des captures d’écran de tout ce qui est fait. Via une analyse OCR, Recall extrait les informations. On peut ainsi retrouver toute activité faite sur la machine au cours des trois derniers mois au moins.

Cette fonction, active par défaut (opt-out), s’attire les foudres de nombreuses personnes, y compris chez les experts en cybersécurité, comme Kevin Beaumont. Mais les dangers ne concernent pas seulement la personne utilisant son PC Copilot+.

Si l'on utilise n'importe quel autre appareil sans Recall (Mac, Linux, smartphone…), on aura tôt fait de se dire « je ne suis pas concerné ». Mais vous l’êtes : si vous communiquez avec une personne utilisant un PC Copilot+ avec Recall activé, les informations que vous lui transmettrez pourront se retrouver dans sa base de données.

Les scénarios sont multiples : photos diverses et variées (y compris intimes), informations confidentielles, codes, discussions personnelles, données protégées par des accords de non-divulgation, partage d'écran… Certains se demandent – avec plus ou moins d'humour – s'il faudra demander systématiquement à un correspondant sur Copilot+ si Recall est activé avant tout échange.

Le chef de brigade Eric Freyssinet, conseiller en cybersécurité au ministère de l'Intérieur, a ainsi publié un billet de blog présentant divers cas problématiques, dont l’espionnage par un proche abusif. Dans le cadre de violences conjugales, un mari pourrait vérifier tout ce qu’a fait son épouse sur l’ordinateur familial.

Il est probable que la polémique ait pris assez d’ampleur désormais pour que Microsoft révise ses plans. D’autant que la CNIL anglaise (Information Commissioner's Office) a ouvert une enquête à ce sujet.

Le 05 juin à 15h59

Commentaires (23)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Et si tu as un collègue que tu n'aimes pas, tu lui envoies via une boite e-mail bidon un mail avec un ou deux photos problématiques/explicites. Avec un peu de chance, Recall va en capturer le contenu juste au moment où il le consulte, avant de le supprimer légitimement certes mais trop tard...

On a pas fini de se marrer avec ce truc de m...
votre avatar
Un commentateur ici-même avait pointé un de ces cas d'usages possible :D

Cette fonction a été pensée par des personnes qui n'ont aucune expérience de vie.
votre avatar
Autant cette fonction a des applications concrètes intéressantes, autant je me demande même si pour certains ça ne va pas déclencher des troubles psychiques...
votre avatar
Cette fonction a été pensée par des personnes qui n'ont aucune expérience de vie.
Des devs quoi.
votre avatar
Ou bien pire, des commerciaux
votre avatar
Probablement davantage ça :D bien que les dévs ça me tente aussi :mdr:

Je me demande si la responsabilité légale de Microsoft ne pourrait pas être engagé en cas de mauvaise utilisation. Car pour reprendre l'histoire du proche abusif, on passe d'une situation où l'abuseur devait composer avec les anti-virus et autres restrictions de sécurité pour installer ses mouchards trouvés dans un coin quelconque d'Internet, à une situation où le mouchard est juste inclut de base. La victime ne peut pas le désactiver car ça se verrait très vite, et donc c'est encore pire qu'avant. En un sens, Microsoft devient complice.

Et qu'on ne me réponde pas par « Le CLUF... ». Aux USA un tel contrat est peut-être même supérieur à la loi, mais ici on est en Europe.
votre avatar
Voire des devs commerciaux !

musique dramatique
votre avatar
Je suis persuadé que la cible n'est pas celle que l'on pense.

A mon avis, les vrais bénéficiaires de cette fonction seront les flottes (entreprise etc.) afin d'avoir des preuves en cas de malversation des utilisateurs.
Peut etre meme les états : qui pourrait refuser l'activation inconditionnelle de Recall, si c'est pour lutter contre la pédophilie?

Inversement, ca pousse les utilisateurs à se sentir surveillé et donc à bien agir et a réflechir deux fois avant de trahier la charte. D'ailleurs cette fonction d'enregistrement existe déja pour les bastions de sécurité par exemple.

C'est la fameuse doctrine "zero trust", pour laquelle l'utilisateur est le maillon faible de la sécurité du SI.
votre avatar
Avec tous les trois qu'on décrit vous Teams entre collègues, je crois qu'il y a déjà assez.
Est-ce qu'un GIF est recevable en procès ? :pastaper:
votre avatar
Si la machine veut aider, il faut bien qu'elle soit au courant de ce qu'il se passe...

Je me rappelle encore de l'appli. Google Desktop vers les années 2010.

2 appuis sur la touche Ctrl gauche, et en une fraction de seconde, il retrouvait tout, et dans le contenu même des fichiers : email, Excel, Word, File Explorer, PDF.

Surpuissant !! :iloveyou::iloveyou::iloveyou:

À un moment, j'ai même hésité à continuer à classer mes emails pro de Lotus Notes dans mes répertoires car c'était plus rapide avec Google Desktop que d'ouvrir Lotus Notes, et de se rappeler dans quel sous sous sous répertoire était cet email...

Mais Google a tué l'outil en 2012-2013...

:pleure: :pleure: :pleure:
votre avatar
Je me souviens, il était cool cet indexeur !
Picasa ne manque aussi pour gérer les photos avec metainfo en hors-ligne (lieux, visages, etc). Enfin j'imagine que toutes les données étaient aspirées malheureusement...
votre avatar
Ha oui Picasa !! Je l'avais oublié aussi celui-là.:yes: :incline:

Windows Search @ 2024 comparé à Google Desktop @ 2010, et bien c'est tout simplement de la merd... :vomi2: ... mais apparemment tout ce que Microsoft touche se transforme en... bref...

Ils sont en train de tuer la confiance dans l'IA pour le grand public avec leur Copilot+ (rebranded into BigBrother+) :stress:
votre avatar
Mode nostalgie: et le début des moteurs de recherche? Altavista et copernic s'installaient en local et permettaient de mixer les résultat locaux et distants (vers début 2000).

Concernant Windows Search, c'est dingue comme ils le pourrissent. Le moteur est bien (il existe depuis Windows 2000, il y a avait une page web interne pour taper des requêtes). La recherche via l'explorateur est pas mal quand on maîtrise les mots clés ("contenu: wordpress type:powerpoint").
La recherche via la barre de recherche: une nullité
votre avatar
Alors là je découvre.

J'ignorais qu' Altavîsta avait aussi un moteur interne. Ils étaient pas mal à l'époque, un peu comme ICQ,, pionniers et leaders dans leur domaine et ça a fini en sucette totale.

Pareil pour Windows Search, j'ignorais le coup de la page Web.
:yes: :smack:

Sinon pour l'avoir constaté de nombreuses fois, peu de personne (en entreprise ou ailleurs) connaissent l'option bien bien mal mise en évidence par Microsoft : "et aussi indexer le contenu des fichiers" parce qu'uniquement avec le libellé d'un fichier, hmm, bof bof... on peut chercher longtemps des fois...
votre avatar
Si l'on utilise n'importe quel autre appareil sans Recall (Mac, Linux, smartphone…), on aura tôt fait de se dire « je ne suis pas concerné ». Mais vous l’êtes : si vous communiquez avec une personne utilisant un PC Copilot+ avec Recall activé, les informations que vous lui transmettrez pourront se retrouver dans sa base de données.
Le problème n'est pas nouveau ?
Depuis mon adresse @monpropredomaine.com j'envoie un e-mail à une adresse @gmail.com : Google analysera mon message et les métadata associées.
Le problème est juste déporté sur une autre application ici.
Et puis si on utilise un système Windows à la maison, on a validé le CLUF qui avertit grosso modo qu'il y a de la télémétrie et autres joyeusetés qui capturent tout et n'importe quoi "pour améliorer l'expérience utilisateur", non ? (j'exclus les Windows professionnels qui sont imposés par l'employeur).
votre avatar
Le problème n'est pas tant que TOI, tu valides le CLUF de TA machine, mais que la vie privée de TES contacts en dépend, et certains parmi eux n'auront pas forcément validé ce CLUF, eut égard à leur vie privée (mais personne ne leur demandera leur avis quand ils communiquerons avec toi, même si LEUR vie privée n'est pas forcément respectée)
votre avatar
C'est exactement ce que je dis avec Gmail. MON contact ne M'a pas demandé MON avis, et MA vie privée ne sera pas respectée.
votre avatar
Au moins, avec gmail, tu sais qu'il y a ce traitement quand tu envoies ton e-mail à l'adresse en gmail.com. Ce n'est pas le cas quand tu envoies vers une adresse proton lue sur un PC avec Windows Recall.
votre avatar
Oui, en effet, j'ai confondu ta réponse, et ce que tu citais !
Effectivement, c'est le même soucis...
votre avatar
La seule chose à faire pour Microsoft est d'abandonner purement et simplement ce truc.
votre avatar
Ou de convaincre la population qu'elle doit abandonner TOUTE notion de vie privée, car c'est incompatible avec l'usage de l'IA dans le quotidien direct des usagers.

L'IA ne peut pas inventer ce qu'elle ne connait pas donc soit elle est limitée à aider sur des cosidérations annexes (genre Nvidia G-Assist), soit il faut scruter les usagers (Recall) afin de pouvoir agir.

Évidemment dans le second cas ça ouvre des boulevards pour accéder aux données privées des usagers que Microsoft adorerait pouvoir exploiter sur le long terme, peut-être à la façon de Facebook dont on se rappelera qu'au début ils étaient moins gourmands sur ces données pour dériver par la suite. La grenouille dans la marmite d'eau chaude...

C'est peut-être pourquoi la fonction est activée par défaut : il faut forcer la main, changer les mentalités.

Sauf qu'ils ont sûrement mal réfléchi aux potentielles conséquences nuisibles de leur création, soit par manque d'expérience de vie des commerciaux qui ont demandé cela :D soit par minimisation de ces risques.
votre avatar
Et ils doivent être très joueurs concernant le RGPD et autres lois européennes à portée mondiale ...
votre avatar
si vous communiquez avec une personne utilisant un PC Copilot+ avec Recall activé, les informations que vous lui transmettrez pourront se retrouver dans sa base de données.
Les afficionados du profiling, de l'espionnage et du flinguage du chiffrement doivent être aux anges, l'OS majoritaire du marché propose un outil pour contourner le problème : lire les données en clair et en faire des résumés suffisamment court à l'aide de « l'IA » pour être traités en masse.

Les mécaniques de Recall seront les premières visées par les hackers, s'il y parviennent ils pourront accéder à des infos plus précises qu'aucun publicitaire n'avait encore jamais pu rêver ! Le spyware ultime !

Sans déconner, il faut râler fort là, il faut bad-buzzer à mort, expliquer les dangers de ces conneries au grand public, boycotter ouvertement le label Copilot+ (ce qui peut faire peut à Microsoft vu que tous leurs projets commerciaux « IA » sont estampillés Copilot-qq-chose), relayer ça dans les blogs / médias / RS, et il faut le faire suffisamment fort pour que toute la clique ne nous proposent pas une autre connerie du même genre dans 2 ans ! ✊

Correspondances, violences conjugales : les dangers de Windows Recall s’étendent

Fermer