Microsoft veut atténuer les craintes autour de Recall (update)
La fonction Recall de Windows 11, qui a suscité des inquiétudes en matière de cybersécurité et de protection des données, sera désactivée par défaut. Dans un article de blog, Microsoft explique en outre comment les utilisateurs peuvent garder le contrôle de leurs données.
Mise à jour du 1er octobre 2024: Microsoft veut redonner confiance vis-à-vis de la fonction Recall présentée l'été dernier. Avec cette fonction, le système d'exploitation Windows 11 prend toutes les quelques secondes une capture d'écran du bureau et l'analyse. Après l'annonce, de sérieuses réserves ont été émises. Dans un article de blog, David Weston, vice-président Enterprise & OS Security chez Microsoft, tente d'apaiser la méfiance et mentionne quelques adaptations de la fonctionnalité. Il souligne que la fonction est opt-in, c'est-à-dire que les utilisateurs doivent l'activer consciemment lors de la configuration de Copilot+-PC. Les utilisateurs qui ne sont pas intéressés peuvent désinstaller complètement Recall.
Pour celles et ceux qui souhaitent utiliser cette fonctionnalité, Microsoft a renforcé la protection des données. Les snapshots et toutes les informations qui y sont liées dans la base de données vectorielles sont toujours chiffrés, peut-on lire dans le billet de blog. Microsoft protège les clés de chiffrement avec le Trusted Platform Module et les lie à l'identité de sécurité Enhanced Sign-in de Windows Hello. Les autres utilisateurs n'ont ainsi pas accès aux clés et donc pas non plus aux données Recall.
Pour plus de transparence, une icône indique lorsqu'un snapshot est créé. En outre, Microsoft veut donner aux utilisateurs davantage de contrôle sur les données qui sont collectées par Recall. C'est pourquoi:
- Recall n'enregistre pas les informations des fenêtres de navigation privées (Edge, Firefox, Opera, Chrome et les navigateurs basés sur Chromium).
- les utilisateurs peuvent exclure des applications et des sites web spécifiques de la collecte de données (Edge, Firefox, Opera et Chrome).
- les mots de passe, les informations d'identification et de paiement sont filtrés par défaut et ne sont pas enregistrés par Recall.
- les utilisateurs peuvent déterminer la durée de conservation des contenus de Recall et l'espace mémoire disponible à cet effet.
- les utilisateurs peuvent supprimer une plage horaire, tout le contenu d'une application ou d'un site web ou tout ce qu'ils trouvent dans la recherche de Recall.
Mise à jour du 11 juin 2024: Microsoft fait marche arrière concernant Recall. La fonctionnalité, annoncée il y a peu pour la nouvelle ligne de PC Copilot+ (lire ci-dessous), réalise des captures d'écran de toutes les actions effectuées sur un ordinateur. Bien que Microsoft ait assuré que les données resteraient locales et ne seraient jamais envoyées dans le cloud ou sur le web, de sérieuses inquiétudes sont rapidement apparues. En effet, l'outil ne modère pas le contenu et ne cache pas les informations sensibles telles que les mots de passe ou les numéros de compte bancaire. Les défenseurs de la vie privée, dont l'Information Commissioner's Office (ICO) du Royaume-Uni, ont exprimé leurs craintes quant aux conséquences potentielles sur la cybersécurité et la vie privée.
Pavan Davuluri, responsable de l’unité Devices chez Microsoft, a déclaré dans un billet de blog que l'entreprise avait entendu ces préoccupations et qu'elle souhaitait faciliter le choix de l'activation de Recall sur les PC Copilot+. Avant le lancement de la version preview de la fonctionnalité, prévu pour le 18 juin, plusieurs changements interviennent. Premièrement, l'expérience de configuration sur les PC Copilot+ sera mise à jour pour permettre aux utilisateurs de choisir clairement d'activer Recall. Si les utilisateurs ne choisissent pas proactivement de l'activer, la fonction restera désactivée par défaut. Deuxièmement, l'enregistrement Windows Hello sera nécessaire pour activer Recall. Troisièmement, Microsoft ajoute des couches supplémentaires de protection des données, notamment un déchiffrement protégé par Windows Hello Enhanced Sign-In Security (ESS), garantissant que les captures d'écran de Recall ne seront décryptées et accessibles que lorsque l'utilisateur s'authentifie.
Article du 23 mai 2024: Recall enregistre chaque fait et geste sur les nouveaux PC Copilot+
Microsoft a annoncé une nouvelle catégorie de PC Windows conçus pour l'intelligence artificielle. Labellisés Copilot+, ces PC se fondent sur une nouvelle architecture système intégrant un nouveau processeur neuronal haute performance (NPU). Optimisés par de grands modèles de langage (LLM) fonctionnant sur Azure, de concert avec de petits modèles de langage (SLM) on-device, les PC Copilot+ sont, selon la firme de Redmond, particulièrement puissants et efficaces lorsqu’il s'agit de traiter des charges de travail d'IA. «Ils surpassent le MacBook Air 15" d'Apple de 58% en termes de performances multithread soutenues», souligne Microsoft, avant de mettre en avant les capacités améliorées concernant la batterie, qui garantirait une autonomie d’une journée. Commercialisés prochainement, les premiers modèles Copilot+ incluent les Microsoft Surface, ainsi que des PC des partenaires Acer, Asus, Dell, HP, Lenovo et Samsung.
Recall: toutes les interactions avec un PC enregistrées
Lors de la présentation des PC Copilot+, Microsoft a mis en avant la fonctionnalité Recall. Exclusive à cette nouvelle catégorie de PC, celle-ci permet aux utilisateurs d’accéder à ce qu'ils ont vu ou fait sur leur PC d'une manière qui s'apparente à une mémoire photographique, explique Microsoft. Avec les petits modèles de langage qu’abritent les PC Copilot+, il est ainsi possible d’interagir avec un fil chronologique regroupant l'historique des interactions effectuées sur l'ordinateur. Les utilisateurs peuvent survoler leur chronologie pour revoir leur activité dans une fenêtre de prévisualisation. Pour rechercher avec Recall, il suffit par exemple de taper ou dicter «pizza au fromage de chèvre» pour retrouver une recette vue plus tôt, peu importe où. En sélectionnant un emplacement sur la fenêtre de prévisualisation, il est permis d’interagir directement avec le contenu (une fonctionnalité nommée «Sceenray»). Les utilisateurs qui sélectionnent une image peuvent la copier, la modifier ou l'envoyer à une autre application. Mettre un texte en surbrillance permet de l'ouvrir dans un éditeur de texte. Dans de nombreux cas, les utilisateurs peuvent utiliser la fonction Recall pour revenir à l'emplacement exact de l'élément, par exemple en rouvrant la page web, la présentation PowerPoint ou l'application en cours d'exécution au moment où une image («snapshot») a été prise.
Un snapshot toutes les cinq secondes
Recall est actuellement optimisé pour un nombre limité de langues, dont le français. La fonctionnalité utilise les capacités de traitement avancées de PC Copilot+ pour prendre des snapshots de l'écran actif à intervalles de quelques secondes (des snapshots sont pris toutes les cinq secondes lorsque le contenu de l'écran est différent de celui du snapshot précédent). Les snapshots sont chiffrés et sauvegardés sur l'ordinateur. L'allocation par défaut de Recall sur un appareil de 256 Go est de 25 Go, soit environ trois mois de snapshots. Il est toutefois possible d'augmenter l'espace de stockage alloué à Recall dans les paramètres de l'ordinateur. Recall utilise la reconnaissance optique de caractères (OCR), au niveau local, pour analyser les images et faciliter les recherches.
Désactivation et contrôles possibles
Microsoft a conscience que cette fonctionnalité pourrait ne pas être accueillie à bras ouverts par tout un chacun. A l'intention des administrateurs IT, la firme indique que Recall peut être désactivé via la règle «Turn off saving snapshots for Windows». En procédant ainsi, les snapshots déjà enregistrés seront supprimés. Il est en outre possible de garder un certain contrôle sur la fonctionnalité si celle-ci reste active, notamment en la mettant en pause et en paramétrant l'heure de réactivation. Les utilisateurs peuvent également accéder aux paramètres de Recall pour supprimer des snapshots spécifiques, ou pour exclure certaines applications et sites web tels que les services bancaires. A noter que Recall n'enregistre aucune activité de navigation en mode privé, avec Microsoft Edge, Google Chrome ou d'autres navigateurs basés sur Chromium.
La fonctionnalité préoccupe
Toutefois, malgré ces paramètres de contrôle et les garanties de Microsoft selon lesquelles les données stockées localement ne seront jamais envoyées dans le cloud ou sur le web, Recall préoccupe. Microsoft précise par exemple que l’outil n'effectue pas de modération de contenu et qu’il ne masque pas les informations telles que les mots de passe ou les numéros de comptes financiers. «Ces données peuvent se trouver dans des snapshots stockés sur votre appareil, en particulier lorsque les sites ne respectent pas les protocoles Internet standard, comme la dissimulation de la saisie du mot de passe», souligne Microsoft. De quoi alerter le bureau britannique de régulation des questions de protection des données, l’Information Commissioner's Office (ICO), qui a rapidement déclaré: «Nous nous renseignons auprès de Microsoft pour comprendre les garanties mises en place pour protéger la vie privée des utilisateurs».
De nombreux commentaires en ligne font remarquer que Recall évoque un épisode de la série dystopique «Black Mirror». C’est notamment l’avis exprimé sur X par Elon Musk, qui précise qu’il va s’empresser de désactiver la fonctionnalité.
This is a Black Mirror episode.
— Elon Musk (@elonmusk) May 20, 2024
Definitely turning this “feature” off. https://t.co/bx1KLqLf67