Techonologie

Cybersécurité : la fonctionnalité Recall de Microsoft universellement fustigée

salwa

Microsoft a présenté fin mai sa nouvelle fonctionnalité Recall, qui sera disponible sur les PC Copilot+. Elle permet de prendre des captures d’écran en continu et de les analyser directement sur l’ordinateur, afin de créer une “mémoire photographique”. Le géant de l’informatique affirme avoir mis en place des mesures de sécurité, notamment de privilèges administrateur, pour consulter les données Recall. Des chercheurs en cybersécurité ont toutefois pu contourner ces obstacles et accéder aux données comme bon leur semble.

Quelques semaines après avoir officiellement lancé son vaste programme d’amélioration de ses pratiques de sécurité informatique, Microsoft est sous le feu des critiques avec Recall, sa nouvelle fonctionnalité disponible sur les PC Copilot+.

Cet outil permet de prendre des captures d’écran du bureau toutes les cinq secondes, afin d’obtenir un historique qui sera ensuite analysé par les outils d’intelligence artificielle intégrés à l’ordinateur. Yusuf Mehdi, vice-président de Microsoft, a présenté fin mai cette fonctionnalité comme une sorte de “mémoire photographique” pour retrouver directement sur son PC des éléments flous ou imprécis.

Les listes de contrôle d’accès d’un appareil Windows peuvent être contournées

Lors de la keynote de présentation de l’outil, Microsoft a pris les devants pour contrer d’éventuelles critiques sur la sécurité informatique. Le vice-président de la firme a alors assuré que les captures d’écran ne “seront pas utilisées pour entraîner un outil d’intelligence artificielle”, et qu’elles resteront sur le PC, en étant uniquement sauvegardées dans le disque dur. La fonctionnalité peut être désactivée pour certains programmes, à la demande de l’utilisateur, et n’enregistre en principe pas l’activité de navigation privée sur Microsoft Edge. La firme de Redmond affirme enfin que ces données seront chiffrées, et surtout, que l’accès aux données Recall sera subordonné à un privilège administrateur sur l’appareil de l’utilisateur.

C’est là que le bât blesse. Mercredi, James Forshaw, chercheur en cybersécurité de Project Zero – une équipe employée par Google pour trouver des vulnérabilités 0-day – a publié une mise à jour de son article, soulignant qu’il avait réussi à accéder aux données Recall sans privilèges administrateur. Le chercheur exploite deux méthodes permettant de contourner une fonction de sécurité de base de Windows, qui liste les éléments nécessitant des privilèges pour être lus et modifiés.

L’une consiste à usurper l’identité d’un programme sur les appareils Windows, appelé AIXHost.exe, pour accéder à des bases de données restreintes. L’autre méthode est encore moins complexe. Partant du constat que les données Recall stockées sur un appareil appartiennent à un utilisateur, il suffirait à un hacker disposant des mêmes privilèges utilisateur de réécrire les listes de contrôle d’accès sur un appareil cible, pour avoir ensuite accès à la base de données complète.

Des données stockées en texte clair

Sans ces privilèges administrateur, un hacker pourrait donc installer un logiciel malveillant sur l’appareil de sa victime, sans ouvrir de fenêtre contextuelle lui demandant un accès plus élevé, et aurait donc accès à l’intégralité de ses données personnelles sur Recall. Un autre chercheur en cybersécurité, Kevin Beaumont, a décelé une seconde faille. Il explique qu’après analyse, les données Recall sont stockées dans une base de données SQLite, dans le dossier de l’utilisateur. Or ces données sont visibles… en texte clair. Autrement dit, si un acteur malveillant s’introduit dans le PC, il peut avoir directement accès aux données sans les déchiffrer.

Pour ne rien arranger, Microsoft prévient que Recall “ne cache pas les informations telles que des mots de passe ou des numéros de comptes bancaires”. Quant aux captures d’écran, elles sont en principe protégées par le chiffrement, avec BitLocker. Une mesure de sécurité utile en cas de vol physique, méthode rarement utilisée par les hackers, et qui ne s’applique donc pas en cas d’intrusion à distance.

Microsoft a pourtant fait de la sécurité sa priorité

Ces manquements interviennent quelques semaines après la présentation par Microsoft de son grand chantier visant à transformer ses pratiques de cybersécurité. Ce programme passe par trois piliers, avec une primauté de la sécurité sur la conception d’un produit ou d’un service, l’application de mesures de sécurité par défaut et des contrôles réguliers.

Dans une note adressée aux salariés. “Si vous êtes confrontés à un dilemme entre la sécurité et une autre priorité, votre réponse est claire : choisissez la sécurité, avait déclaré Satya Nadella, CEO de Microsoft, dans une note adressée aux salariés. Dans certains cas, cela signifie donner la priorité à la sécurité avant d’autres choses, comme la publication de nouvelles fonctionnalités”. Reste à savoir si la fonctionnalité Recall sera présente ou non le 18 juin, lors de la sortie des premiers PC Copilot+.

Source : usine-digitale.fr

Vous pourrez aussi aimer

TikTok : Les vidéos vont pouvoir durer jusqu’à 10 minutes

salwa

Mastercard teste un système de paiement par reconnaissance faciale

salwa

Match Group (Tinder, Meetic) s’oppose à la mainmise de Google sur le système de paiement

salwa