Microsoft a révisé sa position sur la manière dont il envisage de le mettre en œuvre
Une patate chaude : La fonctionnalité de rappel de Microsoft est universellement critiquée pour les implications en matière de confidentialité liées à la capture d'écran de tout ce que vous faites sur un ordinateur. Cependant, au moins une personne semble penser que ces inquiétudes sont exagérées. Sans surprise, c'est le scientifique en chef de Microsoft Research, qui n'a pas vraiment répondu lorsqu'on l'a interrogé sur les points négatifs de Recall.
Mise à jour: Suite à quelques réactions négatives et critiques concernant la sécurité de la nouvelle fonctionnalité Windows Recall dans les prochains PC Copilot+, Microsoft a révisé sa position sur la manière dont il prévoit de la mettre en œuvre.
Premièrement, le rappel sera uniquement opt-in, ce qui signifie qu'il sera désactivé par défaut (Microsoft avait prévu le contraire). L'inscription Windows Hello sera obligatoire pour activer le rappel et avec ce décryptage « juste à temps » des données, garantissant que les instantanés de rappel ne sont déchiffrés et accessibles qu'après l'authentification de l'utilisateur. La base de données de l’index de recherche sera également cryptée pour plus de sécurité – honnêtement, il n’aurait jamais dû en être autrement.
Avant même de mettre Recall à la disposition des clients, nous avons entendu un signal clair selon lequel nous pouvons faciliter le choix des utilisateurs d'activer Recall sur leur PC Copilot+ et améliorer les garanties de confidentialité et de sécurité. Dans cet esprit, nous annonçons des mises à jour qui entreront en vigueur avant la livraison du rappel (aperçu) aux clients le 18 juin.
Microsoft a fait une grande affaire avec Recall, l'une des principales fonctionnalités qui seront lancées avec les nouveaux PC Copilot+. Il fonctionne en prenant constamment des captures d'écran de tout ce que vous faites sur un ordinateur, présentant ainsi aux utilisateurs une chronologie déroulante des activités passées. L’idée est que les utilisateurs peuvent facilement trouver quelque chose sur lequel ils ont déjà travaillé/regardé, grâce à la puissance de l’IA.
Satya Nadella dit que les PC Windows auront une fonction de mémoire photographique appelée Recall qui se souviendra et comprendra tout ce que vous faites sur votre ordinateur en prenant des captures d'écran constantes pic.twitter.com/Gubi4DGHcs
– Tsarathoustra (@tsarnick) 20 mai 2024
Bien que Microsoft ait déclaré que toutes les données de rappel restent locales et privées sur un PC et que les utilisateurs peuvent suspendre ou supprimer la journalisation, il a admis qu'il ne masquerait pas les données sensibles telles que les mots de passe ou les détails de paiement.
Plus tôt cette semaine, le chercheur en sécurité Kevin Beaumont a averti que Recall présentait des failles de sécurité « à travers lesquelles vous pouvez conduire un avion », car les données OCR (reconnaissance optique de caractères) de chaque instantané sont stockées dans un fichier de base de données SQLite en texte brut.
Microsoft a déclaré aux médias qu'un pirate informatique ne pouvait pas exfiltrer l'activité de Copilot+ Recall à distance.
Réalité : comment pensez-vous que les pirates informatiques vont exfiltrer cette base de données en texte brut de tout ce que l'utilisateur a déjà consulté sur son PC ? Très facilement, je l'ai automatisé.
Détective HT pic.twitter.com/Njv2C9myxQ
– Kevin Beaumont (@GossiTheDog) 30 mai 2024
Jaime Teevan, scientifique en chef et chercheur technique chez Microsoft Research, ne semble pas très préoccupé par les implications de Recall en matière de sécurité. Dans une interview lors d'une conférence sur l'IA (via The Reg), Erik Brynjolfsson, directeur du Stanford Digital Economy Lab, a souligné la réaction négative contre Recall et les défis en matière de confidentialité autour de la fonctionnalité lors de son annonce.
Brynjolfsson a demandé à Teevan de parler des avantages et des inconvénients du rappel et de certains des risques qu'il crée. La réponse n’était pas vraiment rassurante.
« Oui, c'est donc une excellente question, Erik. Cela a également été évoqué tout au long de la matinée : l'importance des données. Et cette révolution de l'IA dans laquelle nous nous trouvons actuellement change vraiment la façon dont nous comprenons les données », a déclaré Teevan. .
Après avoir parlé de Microsoft aidant les entreprises à gérer leurs données, Teevan a déclaré : « Et en tant qu'individus aussi, nous disposons de données importantes, les données avec lesquelles nous interagissons tout le temps, et il existe une opportunité de commencer à réfléchir à la manière de le faire et de commencer à réfléchir. sur ce que signifie être capable de capturer et d'utiliser cela. Mais bien sûr, nous repensons ce que signifient les données et comment nous les utilisons, comment nous les valorisons, comment elles sont utilisées.
Donc, cela ne répond pas du tout aux problèmes de sécurité de Recall. Teevan a réitéré que rien de ce que la fonctionnalité capture n'est transféré dans le cloud, mais elle n'a donné aucune nouvelle information susceptible d'apaiser les inquiétudes des utilisateurs.
Le mois dernier, nous avons appris qu'un passionné de Windows avait réussi à faire fonctionner Recall sur un ordinateur portable alimenté par un ancien processeur basé sur Arm, c'est-à-dire sans NPU.