Microsoft Recall a été un désastre en matière de sécurité, mais Apple a-t-il pu réussir ?

Marion Legrand

Microsoft Recall semblait être une idée très intéressante, mais s’est très vite révélé être un désastre en matière de sécurité. Au lieu d’aider toi rappelez-vous tout ce que vous avez fait sur votre PC Windows, il a été constaté que cela pourrait facilement aider un pirate informatique à faire de même.

Cependant, même si l’entreprise a gâché la mise en œuvre, je pense que le concept a du sens, et s’il y a une entreprise en qui je ferais confiance pour le faire avec des protections de confidentialité appropriées, c’est bien Apple…

Le problème que Microsoft Recall a tenté de résoudre

Nous avons probablement tous vécu l’expérience frustrante de savoir que nous avons lu ou vu quelque chose qui ne semblait pas significatif à l’époque, mais qui serait vraiment pertinent par rapport à quelque chose que nous faisons actuellement. La frustration vient du fait d’essayer de retrouver cette information.

Nous fouillons dans l’historique de notre navigateur ou essayons de répéter la recherche Google qui a généré l’information en premier lieu, mais cela s’avère une tâche difficile et longue.

C’est le problème que Microsoft Recall a tenté de résoudre. Il prend des captures d’écran toutes les cinq secondes, puis utilise la reconnaissance optique des caractères pour créer une base de données textuelle de tout ce qui apparaît sur notre écran. Nous pouvons ensuite effectuer une recherche dans cette base de données pour rappeler facilement n’importe quel contenu.

Par exemple, peut-être que votre patron vient de vous demander de rédiger un bref résumé d’un nouveau développement technologique et que vous vous souvenez vaguement avoir vu une statistique il y a quelques jours ou semaines disant que 45 % des entreprises y étaient intéressées – mais vous pouvez le faire. Je ne me souviens pas exactement où ni quand. Avec Recall, vous pouvez simplement rechercher le nom de la technologie et « 45 % » et recevoir instantanément le document correspondant.

Le cauchemar de la sécurité

Aussi utile que cela puisse être, les risques de sécurité d’une base de données complète de tout ce qui se trouve sur l’écran de votre ordinateur portable auraient dû être très évidents pour Microsoft, et les mesures de sécurité adoptées étaient ultra-robustes.

Au lieu de cela, il s’est avéré que Microsoft n’avait apparemment presque aucune réflexion sur la manière de protéger les informations contre un pirate informatique qui avait réussi à compromettre un PC pour y accéder. Kévin Beaumont était l’un des nombreux experts en cybersécurité à démontrer à quel point les données sont vulnérables.

Microsoft a déclaré aux médias qu’un pirate informatique ne pouvait pas exfiltrer l’activité de Copilot+ Recall à distance. Réalité : comment pensez-vous que les pirates informatiques vont exfiltrer cette base de données en texte brut de tout ce que l’utilisateur a déjà consulté sur son PC ? Très facilement, je l’ai automatisé.

C’est juste une base de données SQLite, la fonctionnalité sera livrée dans quelques semaines – je l’ai déjà moddée dans un Infostealer hébergé sur le Github de Microsoft (quelques lignes de code) (…)

J’ai testé cela avec des applications de messagerie comme WhatsApp, Signal et Teams. Quelqu’un vous envoie des messages qui disparaissent ? Ils sont enregistrés de toute façon. Écrire un message qui disparaît ? C’est enregistré. Supprimer un message ? C’est enregistré.

Microsoft a également réussi à créer un outil d’IA sans la partie intelligence. Le rappel n’a absolument effectué aucune vérification du nature des informations qu’il s’agissait d’une capture d’écran. Mots de passe visibles ? Ajoutée. Des sessions de navigation privées ? Capturé. Écrire dans une application de journal personnel ? Enregistré. Une lettre intitulée « Privée et confidentielle » ? Scanné.

L’entreprise a annoncé tardivement qu’elle apportait des changements en réponse à certaines de ces critiques. Le rappel sera désormais opt-in. Windows Hello (l’équivalent de Face ID de l’entreprise) sera nécessaire pour l’utiliser. Le cryptage a été renforcé. Mais il ne semble toujours pas y avoir de filtre intelligent sur ce qui est capturé, et il sera difficile de faire confiance à une entreprise qui a commis une telle erreur au départ.

Mais je ferais confiance à Apple pour le faire

Cependant, s’il existe une entreprise sur la planète à laquelle je ferais confiance pour mettre en œuvre ce type de fonctionnalité dans le respect de la vie privée, c’est bien Apple.

Pour moi, il existe un certain nombre de façons assez évidentes de rendre plus sécurisée une version Apple de Recall.

Premièrement, l’intelligence réelle, selon les exemples que j’ai énumérés ci-dessus. Un autre exemple simple serait d’exclure les notes verrouillées dans l’application Notes.

Deuxièmement, les options utilisateur. Un exemple évident ici est celui des exclusions basées sur les applications, Apple utilisant à nouveau l’intelligence pour les suggérer de manière proactive, comme les gestionnaires de mots de passe et les applications de journalisation. Peut-être pourrions-nous inverser cela et le rendre opt-in sur la base d’une application, nous spécifions donc spécifiquement les applications que nous souhaitons inclure. Ou peut-être que la première fois que nous ouvrons une application, nous recevons une invite nous demandant si nous devons l’inclure ou l’exclure.

Troisièmement, une fonction de planification, permettant de l’activer automatiquement pendant les heures de travail et de la désactiver automatiquement en dehors de celles-ci.

Quatrièmement, un simple bouton marche/arrêt dans la barre de menus. Si nous savons que nous sommes sur le point de faire quelque chose de sensible, nous appuyons simplement sur le bouton et la sauvegarde s’arrête. Encore une fois, certains pourraient choisir de le garder désactivé par défaut et de l’activer lorsqu’ils le souhaitent.

Ce ne sont que des choses qui me viennent à l’esprit, et je trouve assez étonnant que Microsoft n’y ait pensé à aucune pendant la phase de brainstorming de ce projet.

Voudriez-vous qu’Apple propose cela ?

Quelles sont vos pensées? Souhaitez-vous ce genre de fonctionnalité sur les appareils Apple ? Feriez-vous confiance à Apple pour le mettre en œuvre de manière à protéger la vie privée ? Et quelles garanties supplémentaires souhaiteriez-vous ?

Veuillez répondre à notre sondage et partager vos réflexions dans les commentaires.

Image: Microsoft

FTC : Nous utilisons des liens d’affiliation automatique générateurs de revenus. Plus.

Laisser un commentaire