La fonction de capture d'écran Recall de Windows 11 qualifiée de désastreuse pour la sécurité

Il y a quelques jours, Microsoft annonçait le lancement prochain des PC Copilot+, des ordinateurs spécifiquement conçus autour de l'intelligence artificielle. L'une des fonctionnalités présentées par le géant de Redmond s'appelle Recall, un outil conçu pour prendre régulièrement des captures d'écran du contenu de l'ordinateur afin d'aider les utilisateurs à retrouver tout ce qu'ils ont vu ou fait sur leur machine. Une sorte de Time Machine, mais à la sauce Microsoft.

La sécurité et Microsoft ne font toujours pas bon ménage

Il s'avère que Recall n'aurait pas comme priorité la sécurité des données des utilisateurs de Windows. L'expert Kevin Beaumont a récemment déclaré qu'il était en mesure d'automatiser un programme qui fournit des données en texte clair de tout ce qu'un utilisateur a consulté, malgré les affirmations de Microsoft selon lesquelles les informations de Recall ne peuvent pas être récupérées à distance.

Pour le chercheur, qui ne mâche pas ses mots, Recall est « essentiellement un voleur d'informations » inclus par défaut dans Windows et qu'il « fera reculer la cybersécurité d'une décennie en donnant plus de pouvoir aux hackers ». Avec Recall, les pirates sont en mesure de récupérer « tout ce que vous avez jamais regardé en quelques secondes », et les utilisateurs doivent se préparer à de « super brèches alimentées par l'IA ».

Microsoft décrit Recall comme une fonctionnalité qui vous permet de « faire des recherches dans le temps pour trouver le contenu dont vous avez besoin ».

Concrètement, Recall prend des instantanés toutes les cinq secondes lorsque le contenu de l'écran évolue et stocke les captures dans une chronologie, avec un logiciel d'IA utilisant l'OCR (reconnaissance optique de caractères) pour rendre le texte des instantanés consultable. Microsoft indique que ces derniers sont stockés localement et analysés sur l'appareil, ce qui devrait les rendre sûrs, mais les données OCR sont stockées dans une base de données SQLite à laquelle pourraient accéder des pirates informatiques qui infiltreraient un PC à l'aide d'un logiciel malveillant.

Par exemple, un cheval de Troie comme « infostealer » peut être « facilement modifié pour prendre en charge Recall » et les données de cette fonction peuvent être consultées à distance. Microsoft prétend avoir renforcé la sécurité, mais il n'en est apparemment rien. La base de données théoriquement accessible par des acteurs malveillants contient tout ce qu'un utilisateur a vu, comme des messages textuels et des mots de passe, chaque interaction avec l'utilisateur et tous les sites web visités (à l'exception de Microsoft Edge en mode privé).

M. Beaumont n'a pas donné tous les détails techniques sur la manière dont il a réussi l'extraction de la base de données Recall, et il attend que l'outil soit livré pour donner à Microsoft « le temps de faire quelque chose ».

J'ai automatisé l'exfiltration et créé un site web où l'on peut télécharger une base de données et y faire des recherches instantanées.
Je garde délibérément les détails techniques pour moi jusqu'à ce que Microsoft lance la fonctionnalité, car je veux leur laisser le temps de faire quelque chose.
En fait, j'ai tout un tas de choses à montrer et je pense que la cybercommunauté au sens large s'amusera beaucoup avec cette fonction lorsqu'elle sera disponible... mais je pense aussi que c'est vraiment triste, car il en résultera des dommages dans le monde réel.

Au final, Beaumont recommande carrément au fabricant de retirer cette fonctionnalité pour le moment.

Regardez la vidéo de présentation de Recall :

Le lancement des PC Copilot+ équipés de Recall est prévu pour le 18 juin. Pour l'instant, Recall est activé par défaut, mais les utilisateurs peuvent le désactiver dans les réglages. Ouf.