Imaginez en tant qu’utilisateur de Windows 11 que tout ce que vous avez fait au cours des trois derniers mois soit enregistré. C’est le genre de possibilités qu’offre la nouvelle fonctionnalité Microsoft Recall qui enregistre et maintient une chronologie des activités informatiques de l’utilisateur du système d’exploitation et lui permet de localiser instantanément le contenu sur lequel il a travaillé.
Microsoft Recall effectue des captures d’écran à une certaine fréquence et les stocke sur l’appareil. Un chercheur en sécurité démonte plusieurs éléments de la communication de Microsoft à propos de cette fonctionnalité et selon lesquels la sécurité des données enregistrée est garantie.Le rapport résumé des failles de Recall pour Windows 11
- Des captures d’écran sont effectuées à une certaine fréquence. Celles-ci sont automatiquement analysées par Azure AI, qui fonctionne sur l’ordinateur, et enregistrées dans une base de données SQLite au sein du dossier utilisateur.
- Seul l’utilisateur d’un compte donné peut avoir accès à cette base de données, d’après Microsoft, mais les tests ont révélé qu’un utilisateur d’un autre compte sur le même PC peut y avoir accès. Il suffit pour cela que ce dernier accède depuis son compte au dossier CoreAIPlatform sous AppData.
- La base de données est accessible à distance et ce, sans que l’attaquant n’ait besoin de disposer de droits d’administrateur.
- Le niveau de compression de la base de données est tel que l’archive occupe un espace disque de l’ordre de centaines de kilooctets pour plusieurs jours de captures d’écran. Elle est donc extractible en quelques secondes par des tiers malveillants.
« J'ai automatisé l'exfiltration et créé un site web où l'on peut télécharger une base de données et y faire des recherches instantanées. Je garde délibérément les détails techniques pour moi jusqu'à ce que Microsoft livre la fonctionnalité, car je veux leur laisser le temps de faire quelque chose. En fait, j'ai tout un tas de choses à montrer et je pense que la cybercommunauté au sens large s'amusera beaucoup avec cette fonction lorsqu'elle sera disponible... mais je pense aussi que c'est vraiment triste, car il en résultera des dommages dans le monde réel », commente le chercheur en sécurité derrière ces révélations à propos de la fonctionnalité Recall sous Windows 11.
« Il s'agit simplement d'une base de données SQLite, dont les fonctionnalités seront disponibles dans quelques semaines. J’ai déjà développé un Infostealer qui cible cette dernière et je l’ai hébergé sur le Github de Microsoft (quelques lignes de code). Microsoft va délibérément faire reculer la cybersécurité d'une décennie et mettre en danger ses clients en donnant du pouvoir à des criminels de bas étage », ajoute-t-il.
Microsoft told media outlets a hacker cannot exfiltrate Copilot+ Recall activity remotely.
— Kevin Beaumont (@GossiTheDog) May 30, 2024
Reality: how do you think hackers will exfiltrate this plain text database of everything the user has ever viewed on their PC? Very easily, I have it automated.
HT detective pic.twitter.com/Njv2C9myxQ
Des explications qui confirment des risques auxquels les utilisateurs de Recall pour Windows 11 sont exposés
- Vous utilisez un ordinateur public : disons que vous faites des achats ou des opérations bancaires en ligne sur un ordinateur de la bibliothèque. Vous n'avez pas réalisé que Recall était actif. Cela permettrait à la personne qui utilise l'ordinateur après vous vient d'aller dans les archives de Recall pour récupérer toutes vos coordonnées bancaires, votre adresse et vos mots de passe. C'est comme remettre les clés de votre maison à un cambrioleur avant de lui dire que vous partez en vacances pour la semaine.
- Vous utilisez un ordinateur portable professionnel : Votre patron, votre équipe informatique et toute personne ayant accès à votre appareil pourront voir quel usage vous faites de l’appareil. Ils peuvent s'en servir pour suivre votre rendement au travail et même lire les messages privés que vous envoyez à d'autres personnes.
- Vous utilisez un PC familial : si vous utilisez l'ordinateur familial et que vous n'avez pas de profil protégé par un mot de passe, n'importe qui peut entrer et ouvrir votre historique de rappel. Si vous avez fait quelque chose de peu recommandable, cela va se voir, même si vous avez supprimé l'historique de vos recherches
- Vous êtes victime d'un piratage ou votre ordinateur portable est volé : si quelqu'un vole votre ordinateur portable et que vous ne disposez pas d'un mot de passe fort pour le verrouiller, un cybercriminel peut utiliser Microsoft Recall pour entrer en possession de vos données et informations personnelles.
Microsoft fait déjà l'objet d'une enquête sur la nouvelle fonction d'IA
« Nous attendons des organisations qu'elles soient transparentes avec les utilisateurs sur la manière dont leurs données sont utilisées et qu'elles ne traitent les données personnelles que dans la mesure où cela est nécessaire pour atteindre un objectif spécifique. L'industrie doit prendre en compte la protection des données dès le départ et évaluer et atténuer rigoureusement les risques pour les droits et libertés des personnes avant de mettre des produits sur le marché.
Nous nous renseignons auprès de Microsoft pour comprendre les garanties mises en place pour protéger la vie privée des utilisateurs », écrit l'ICO (« Information Commissioner's Office ») – l'autorité en charge du respect de la règlementation applicable aux données personnelles au Royaume Uni.
« Nous attendons des organisations qu'elles soient transparentes avec les utilisateurs sur la manière dont leurs données sont utilisées et qu'elles ne traitent les données personnelles que dans la mesure où cela est nécessaire pour atteindre un objectif spécifique. L'industrie doit prendre en compte la protection des données dès le départ et évaluer et atténuer rigoureusement les risques pour les droits et libertés des personnes avant de mettre des produits sur le marché.
Nous nous renseignons auprès de Microsoft pour comprendre les garanties mises en place pour protéger la vie privée des utilisateurs », écrit l'ICO (« Information Commissioner's Office ») – l'autorité en charge du respect de la règlementation applicable aux données personnelles au Royaume Uni.
Aucun commentaire:
Enregistrer un commentaire
Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.