Microsoft apporte des modifications à la prochaine fonctionnalité de « rappel » de Windows basée sur l'IA après la réaction des experts en sécurité

La prochaine fonctionnalité Windows « Rappel » basée sur l'IA de Microsoft, qui prend des captures d'écran de l'écran actif des utilisateurs toutes les quelques secondes, subira quelques modifications suite aux réactions négatives des experts en sécurité.

Microsoft has announced some changes to its upcoming AI-powered Windows “Recall” feature following backlash from security experts.

Microsoft a annoncé quelques modifications à sa prochaine fonctionnalité « Rappel » de Windows, basée sur l'IA, à la suite des réactions négatives des experts en sécurité.

The feature, which takes screenshots of users’ active screen every few seconds, came under fire immediately after it was announced on May 20, with Malwarebytes calling it a “built-in keylogger” and software engineer and Web3 critic Molly White calling it “spyware.”

La fonctionnalité, qui prend des captures d'écran de l'écran actif des utilisateurs toutes les quelques secondes, a été critiquée immédiatement après son annonce le 20 mai, Malwarebytes la qualifiant de « enregistreur de frappe intégré » et l'ingénieur logiciel et critique du Web3 Molly White la qualifiant de « logiciel espion ». .»

The concerns were largely due to the fact that Recall does not censor sensitive information in the snapshots it takes, such as passwords or financial information. This would potentially make the database of Recall snapshots on a user’s computer a gold mine for hackers, with tons of sensitive data all in one place and easily searchable using the AI-powered search feature.

Ces inquiétudes étaient en grande partie dues au fait que Recall ne censure pas les informations sensibles dans les instantanés qu'il prend, telles que les mots de passe ou les informations financières. Cela pourrait potentiellement faire de la base de données des instantanés Recall sur l'ordinateur d'un utilisateur une mine d'or pour les pirates informatiques, avec des tonnes de données sensibles regroupées au même endroit et facilement consultables à l'aide de la fonction de recherche basée sur l'IA.

Microsoft insisted users’ privacy was protected due to all Recall data being stored locally and encrypted by Device Encryption or BitLocker. The feature, which would be enabled by default on Copilot+ PCs, could also be disabled and configured to not record specific sites and apps.

Microsoft a insisté sur le fait que la confidentialité des utilisateurs était protégée car toutes les données Recall étaient stockées localement et cryptées par Device Encryption ou BitLocker. La fonctionnalité, qui serait activée par défaut sur les PC Copilot+, pourrait également être désactivée et configurée pour ne pas enregistrer de sites et d'applications spécifiques.

However, in the weeks since Recall was announced, multiple security pros have put available previews to the test and demonstrated ways the Recall database can be accessed and exploited to steal sensitive data en masse.

Cependant, dans les semaines qui ont suivi l'annonce de Recall, plusieurs professionnels de la sécurité ont testé les aperçus disponibles et démontré comment la base de données Recall peut être consultée et exploitée pour voler en masse des données sensibles.

For example, Alex Hagenah, head of cyber controls at SIX Group and technical advisory board member at HackerOne, developed a “very simple’ proof-of-concept tool called “TotalRecall,” which copies, searches and extracts information from the Recall database file.

Par exemple, Alex Hagenah, responsable des cybercontrôles chez SIX Group et membre du conseil consultatif technique de HackerOne, a développé un outil de validation de principe « très simple » appelé « TotalRecall », qui copie, recherche et extrait les informations du fichier de base de données Recall. .

Additionally, James Forshaw, a security research in Google Project Zero, published a blog post about bypassing access control lists, which includes an edit revealing that the Recall database can be accessed by a user without administrative privileges by using a token from the Windows AIXHost.exe process or simply rewriting the discretionary access control list, as the database is considered to be owned by the user.

De plus, James Forshaw, chercheur en sécurité dans Google Project Zero, a publié un article de blog sur le contournement des listes de contrôle d'accès, qui inclut une modification révélant qu'un utilisateur sans privilèges administratifs peut accéder à la base de données Recall en utilisant un jeton de Windows AIXHost. exe ou simplement réécrire la liste de contrôle d'accès discrétionnaire, car la base de données est considérée comme appartenant à l'utilisateur.

In response to “customer feedback,” Microsoft announced in a blog post on Friday that Recall would no longer be activated by default, requiring users to opt-in to use the feature. Additionally, users will need to complete the Windows Hello biometric enrollment process to enable Recall, lowering the chance that a hacker could enable it on the machine of a user who had opted out.

En réponse aux « commentaires des clients », Microsoft a annoncé vendredi dans un article de blog que le rappel ne serait plus activé par défaut, obligeant les utilisateurs à s'inscrire pour utiliser la fonctionnalité. De plus, les utilisateurs devront terminer le processus d'inscription biométrique de Windows Hello pour activer le rappel, réduisant ainsi le risque qu'un pirate informatique puisse l'activer sur la machine d'un utilisateur qui s'est désabonné.

Proof of presence through Windows Hello will be required to view the Recall timeline and use the AI-powered search tool, and the snapshots will only be decrypted upon user authentication via Windows Hello Enhanced Sign-in Security, Microsoft said.

Une preuve de présence via Windows Hello sera requise pour afficher la chronologie du rappel et utiliser l'outil de recherche basé sur l'IA, et les instantanés ne seront déchiffrés que lors de l'authentification de l'utilisateur via la sécurité de connexion améliorée de Windows Hello, a déclaré Microsoft.

“We want to reinforce what has previously been shared from David Weston, vice president of Enterprise and OS Security, about how Copilot+ PCs have been designed to be secure by default,” the blog post stated.

"Nous souhaitons renforcer ce qui a déjà été partagé par David Weston, vice-président de la sécurité de l'entreprise et du système d'exploitation, sur la façon dont les PC Copilot+ ont été conçus pour être sécurisés par défaut", indique le blog.

Kevin Beaumont, a security researcher and former senior threat intelligence analyst at Microsoft, who has been a vocal critic of Recall since its announcement, responded positively to the update.

Kevin Beaumont, chercheur en sécurité et ancien analyste principal des renseignements sur les menaces chez Microsoft, qui a vivement critiqué Recall depuis son annonce, a répondu positivement à la mise à jour.

“Turns out speaking up works,” Beaumont wrote on X.

"Il s'avère que parler fonctionne", a écrit Beaumont sur X.

“There are obviously going to be devils in the details – potentially big ones – but there’s some good elements here. Microsoft needs to commit to not trying to sneak users to enable it in the future, and it needs turning off by default in Group Policy and Intune for enterprise orgs,” Beaumont added.

« Il y aura évidemment des problèmes dans les détails – potentiellement importants – mais il y a quelques bons éléments ici. Microsoft doit s'engager à ne pas essayer de tromper les utilisateurs pour l'activer à l'avenir, et il doit le désactiver par défaut dans la stratégie de groupe et Intune pour les organisations d'entreprise », a ajouté Beaumont.