Microsoft déclare que le « rappel » sera désormais opt-in
Copilot+ Recall prend des captures d'écran de votre PC et enregistre toute votre activité. Les utilisateurs devront désormais activer la fonctionnalité s’ils souhaitent l’utiliser.
Après des semaines de critiques de la part des experts en cybersécurité, Microsoft prend des mesures pour répondre aux préoccupations concernant sa nouvelle fonctionnalité de sauvegarde de l'historique informatique basée sur l'IA : Copilot+ Recall.
Plus particulièrement, Microsoft fait passer le rappel d'une fonctionnalité par défaut à une fonctionnalité qui nécessite d'abord l'inscription de l'utilisateur. La société effectue le changement avant le déploiement officiel de Recall le 18 juin.
« Nous mettons à jour l'expérience de configuration des PC Copilot+ pour donner aux utilisateurs un choix plus clair d'accepter d'enregistrer des instantanés à l'aide de Recall », a écrit Pavan Davuluri, vice-président de Microsoft Windows, dans une mise à jour officielle de l'entreprise sur la fonctionnalité. « Si vous ne choisissez pas de l'activer de manière proactive, il sera désactivé par défaut. »
Réponse au contrecoup du rappel
Le mois dernier, Microsoft a annoncé une série de nouvelles fonctionnalités basées sur l'IA pour Windows. L’une des fonctionnalités centrales annoncées par la société était le rappel.
Recall prend des captures d'écran constantes en arrière-plan pendant qu'un utilisateur utilise un appareil. L'IA de Microsoft analyse ensuite les captures d'écran et crée une archive consultable de tout l'historique des activités effectuées par un utilisateur. Quels sites Web ont été visités, ce qu’un utilisateur a saisi dans les formulaires – presque tout est enregistré.
Les experts en cybersécurité se sont immédiatement inquiétés. Un ancien analyste des menaces de Microsoft, qui avait une expérience pratique de l'utilisation de Recall, a qualifié cette fonctionnalité de « désastre ».
Il s'avère que Recall enregistre pratiquement tout, y compris les mots de passe textuels, les informations financières sensibles, l'historique privé du navigateur Google Chrome, etc. Et Recall l'enregistre dans une base de données facilement accessible par un acteur malveillant qui prend le contrôle à distance de l'appareil d'un utilisateur.
Pire encore, le rappel allait être une fonctionnalité activée par défaut, ce qui signifie que les utilisateurs n'auraient peut-être même pas conscience de ce qui se passait en arrière-plan de leur appareil.
Heureusement, les utilisateurs devront désormais adhérer à la fonctionnalité, pleinement conscients de ce qu'ils activent et de ce que fait Recall.
Davantage de fonctionnalités de sécurité Recall sont également déployées
Microsoft ne se contente pas non plus d'activer le rappel. La société a également annoncé que pour activer le rappel, les utilisateurs devront s'inscrire à Windows Hello, une fonctionnalité de sécurité qui oblige les utilisateurs à se connecter via la reconnaissance faciale, l'empreinte digitale ou un code PIN.
Cette même authentification sera également requise pour qu'un utilisateur puisse accéder ou effectuer une recherche dans la chronologie de son historique de rappel.
De plus, Microsoft affirme « ajouter des couches supplémentaires de protection des données ». Les instantanés de rappel ne seront déchiffrés et accessibles qu'après l'authentification de l'utilisateur. La base de données d’index de recherche sera également désormais cryptée.
Le billet de blog de Microsoft sur la mise à jour de sécurité Recall passe également en revue un certain nombre de dispositions liées à la sécurité déjà intégrées, telles que les captures d'écran n'étant disponibles que localement sur l'appareil. La fonctionnalité fournissait déjà des images pour montrer qu'elle était utilisée : une icône de rappel épinglée sur la barre des tâches sur le bureau d'un utilisateur. Cependant, de nombreux utilisateurs n'auraient probablement pas su ce que signifiait l'icône si le rappel avait simplement été activé par défaut.
Nous espérons que la nouvelle option d’adhésion devrait indiquer clairement qu’un utilisateur consent à ce que fait Recall.