Microsoft a annoncé en grande pompe la fonction d’IA Recall dans Windows 11 lors de l’événement Surface qui s’est tenu récemment. Il s’agit de la principale fonction d’intelligence artificielle de Windows 11 version 24H2, qui sera lancée exclusivement sur les Copilot+ PC, équipés de processeurs de série Snapdragon X.
Microsoft précise que le traitement de Recall est effectué localement sur l’appareil à l’aide du NPU dédié. La base de données vectorielle de Recall est chiffrée à l’aide de BitLocker.
Cependant, Kevin Beaumont, un chercheur en sécurité, souligne que la fonction Recall est un « désastre » en matière de sécurité. Selon lui, la base de données Recall locale peut être facilement piratée par des acteurs malveillants. L’index vectoriel est en fait une base de données SQLite, enregistrée dans le dossier « AppData ». Le chercheur démontre également que la base de données Recall peut être consultée en texte clair.
Microsoft told media outlets a hacker cannot exfiltrate Copilot+ Recall activity remotely.
Reality: how do you think hackers will exfiltrate this plain text database of everything the user has ever viewed on their PC? Very easily, I have it automated.
HT detective pic.twitter.com/Njv2C9myxQ
— Kevin Beaumont (@GossiTheDog) May 30, 2024
De plus, Beaumont mentionne dans son blog que la base de données peut également être consultée par un autre utilisateur sur le même PC, ce qui constitue une préoccupation majeure. Il ajoute que le chiffrement BitLocker n’est utile que si quelqu’un vole votre ordinateur portable et tente d’accéder à la base de données Recall.
Cependant, une fois que vous êtes connecté à votre PC, tous les fichiers et programmes sont déchiffrés. Si vous exécutez un programme malveillant par erreur, il peut accéder à votre base de données Recall et envoyer toutes vos données sensibles à un point de contrôle dans le nuage en quelques secondes.
Recall, un nouveau vecteur d’attaque pour les cybercriminels dans Windows 11
Dans la plupart des attaques, les données sensibles du navigateur, notamment les mots de passe, les jetons de session et les cookies, sont volées par un type de logiciel malveillant appelé « voleur d’informations ». Ce type d’attaque est de plus en plus fréquent, comme en témoignent les comptes YouTube populaires détournés par des pirates.
Pour s’attaquer à ce problème répandu, Google travaille à l’introduction de DBSC (Device Bound Session Credentials) dans Chrome, qui liera le jeton de session à votre appareil à l’aide d’un TPM. Alors que les entreprises cherchent à combler les lacunes, la mise en œuvre de Recall par Microsoft soulève plusieurs questions. Avec Recall, Microsoft ouvre effectivement un nouveau vecteur d’attaque pour les cybercriminels.
Will release TotalRecall in a few days. Loads to play with and to work on.
Thank you @GossiTheDog for the inspiration!#WindowsRecall #CyberSecurity #Microsoft #TotalRecall pic.twitter.com/vm3qxienV1
— Alex (@xaitax) June 2, 2024
Beaumont indique qu’il a déjà mis au point un outil d’exfiltration automatisé qui permet de télécharger la base de données Recall afin de trouver toutes les données d’activité. Cependant, il ne publie pas cet outil et « retient délibérément les détails techniques jusqu’à ce que Microsoft expédie la fonctionnalité, car je veux leur donner le temps de faire quelque chose ».
Pas une fonctionnalité facultative
Par ailleurs, n’oubliez pas que Recall n’est pas une fonctionnalité facultative, mais qu’elle est activée par défaut. Lors de l’installation, vous ne pouvez pas la désactiver. Vous avez seulement la possibilité d’activer une case à cocher qui ouvrira les Paramètres plus tard pour ajuster les préférences de rappel.
For what it’s worth I’ve heard this might change by the time Copilot+ PCs launch on June 18. The option to not enable Recall during OOBE is actively being discussed internally. https://t.co/zBXLEcxIvu
— Zac Bowden (@zacbowden) June 1, 2024
Zac Bowden affirme que Microsoft discute activement de l’ajout d’une option permettant de désactiver Recall lors de l’accueil des nouveaux utilisateurs. Cependant, nous n’avons rien entendu de la part de Microsoft jusqu’à présent. Aujourd’hui, au Computex 2024, Satya Nadella a déclaré que l’entreprise était enthousiaste à l’idée d’apporter Recall aux Copilot+ PC. Il est clair que Microsoft n’a pas l’intention de démanteler la fonction Recall.
