Windows 11 Recall : un cauchemar pour la sécurité et une aubaine pour les pirates

Windows 11 Recall : un cauchemar pour la sécurité et une aubaine pour les pirates

Selon un chercheur en cybersécurité, la toute nouvelle fonction IA de Microsoft, Recall, ne serait absolument pas sécurisée et offrirait aux pirates un accès inédit à absolument tout ce que vous faites sur votre PC.

Dévoilée lors de l'annonce en grande pompe de la nouvelle génération de PC Copilot+, la fonction Recall de Windows 11 (voir notre article) s'annonce comme un enfer pour la confidentialité et la sécurité des utilisateurs. Ce nouvel outil, qui se présente comme un super historique capable de retrouver n'importe quelle action que vous avez effectuée ou n'importe quel contenu que vous avez consulté sur votre ordinateur, ne serait absolument pas sécurisé pour le moment et constituerait une opportunité inespérée pour les pirates. Avant son arrivée le 18 juin prochain avec les premiers PC Copilot+, la fonction Recall a été examinée par un chercheur en cybersécurité indépendant et ses premières constatations sont pour le moins inquiétantes.

Windows 11 Recall : une porte grande ouverte pour les pirates

Le titre de l'article donne immédiatement la couleur : « Voler tout ce que vous avez déjà tapé ou consulté sur votre propre PC Windows est désormais possible avec deux lignes de code – dans le désastre Copilot+ Recall ». Dans un papier sur son blog DoublePulsar, Kevin Beaumont, un chercheur en cybersécurité français, livre ses réflexions sur les implications en matière de sécurité de la nouvelle fonction Recall de Windows 11, et autant dire qu'elles sont pessimistes. L'auteur a pu mettre la main sur Recall et faire tourner le programme avant sa sortie officielle, afin d'en examiner le fonctionnement et d'en tester les limites. Son constat est sans appel : Recall n'est pas sécurisé et les données de l'utilisateur peuvent être dérobées.

La nouvelle fonction star de Windows 11 se propose d'agir comme un super assistant personnel, capable de se souvenir de tout ce qui est fait sur l'ordinateur, afin que l'utilisateur puisse le retrouver facilement, en formulant des questions en langage naturel. On peut le voir comme une sorte de fusion entre ChatGPT et un super historique de navigation sur Internet, mais qui s'appliquerait à l'échelle du PC tout entier. Pour fonctionner, Recall prend des captures d'écran de l'activité du PC toutes les quelques secondes, les analyse par reconnaissance optique de caractères (OCR pour Optical Character Recognition) puis enregistre les informations dans une base de données locale au format SQLite.

Toutes les actions réalisées, de la minimisation d'une fenêtre à l'installation d'un logiciel, et tous les contenus consultés, comme ses réseaux sociaux, ses comptes bancaires ou même une vidéo pornographique, sont donc indexés et enregistrés dans un fichier en texte brut. Selon les déclarations de Microsoft, Recall fonctionnerait exclusivement de manière locale, directement sur l'appareil de l'utilisateur donc sans envoyer aucune information en ligne, et l'historique des activités serait évidemment chiffré, ce qui garantirait la confidentialité et les sécurité de toutes ces données ultra sensibles. Cependant les choses ne sont pas si simples et les protections actuellement en place n'empêcherait pas des acteurs malveillants d'accéder aux données.

Tout d'abord, le fonctionnement exclusivement local de Recall n'empêche pas un attaquant d'accéder aux données produites si il a pu obtenir un accès distant à l'appareil. Ensuite, le chiffrement de la base de données générée par Recall ne protège que de la lecture des informations par une personne qui aurait dérobé physiquement l'appareil, les données étant déchiffrées lors de la connexion à la session Windows. Enfin, les fichiers de base de données Recall seraient simplement stockés dans le répertoire AppData de Windows 11 et très facilement accessibles par un compte utilisateur disposant des droits d'administrateur, comme le prouve une vidéo partagée par l'auteur et montrant deux ingénieurs de chez Microsoft en train d'accéder en quelques secondes au dossier en question.

Contrairement aux affirmations de Microsoft, les informations collectées et indexées par Recall seraient donc parfaitement accessibles à un attaquant suffisamment qualifié. Et pour ne rien arranger, la nature et la forme des données générées faciliteraient même leur exploitation par des acteurs malveillants. D'une part, la "mémoire photographique" de Recall n'oublie rien : même en cas de suppression d'un courriel, d'un message sur WhatsApp ou d'une conversation sur Teams, les informations correspondantes restent stockées dans la base de données. D'autre part, toutes les actions et les contenus mémorisés sont enregistrés sous la forme d'un fichier de données structurées, ce qui rend très facile et rapide leur analyse et leur exploitation, bien plus qu'avec des données éparses récoltées à l'aide d'un malware classique de type infostealer ou keylogger.

Recall pourrait donc agir comme un gigantesque facilitateur de vol de données pour les pirates, et ouvrir la voie à des attaques informatiques d'une ampleur inédite. D'autant plus que cette fonction sera activée par défaut sur les nouveaux ordinateurs Copilot+ qui arrivent très bientôt dans le commerce, et qu'il faudra donc la désactiver manuellement dans les paramètres de Windows 11 si l'on souhaite s'en prémunir, ce dont probablement peu d'utilisateurs auront connaissance.

Sans porter de jugement de valeur sur l'utilité de la fonction Recall, une tâche qui reviendra à chaque utilisateur selon ses envies et ses besoins, il convient toutefois d'appeler à la prudence. Que vous soyez réfractaire, indifférent ou franchement enthousiaste face à la nouvelle fonction Recall de Windows 11, il semble plus raisonnable de la désactiver lors de sa sortie, afin de laisser aux différents acteurs de la cybersécurité le temps d'étudier le programme pour en découvrir les failles, et à Microsoft celui de consolider la sécurité et la robustesse de son outil.