Microsoft repousse le lancement de son outil Recall dans Windows

Microsoft a annoncé le 13 juin qu’il avait décidé de repousser le lancement de sa fonctionnalité Recall, qui devait être disponible mardi prochain lors de la sortie des nouveaux PC Copilot+. Dans un premier temps, le groupe informatique effectuera des tests dans le cadre de son programme Windows Insider, qui permet aux utilisateurs qui possèdent un ordinateur labelisé Copilot+ d’accéder gratuitement aux versions développeur.

Des mesures de sécurité initiales pas suffisantes

“Nous ajustons le modèle de sortie de Recall afin de tirer parti de l’expertise de la communauté Windows Insider, afin de garantir que l’expérience répond à nos normes élevées de qualité et de sécurité, écrit la firme. Lorsque Recall (preview) sera disponible dans le programme Windows Insider, nous publierons un article de blog avec des détails sur la façon d’obtenir cette preview.” Aucune date précise n'a été communiquée, Microsoft précisant simplement que la disponiblité dans Windows Insider se fera dans les prochaines semaines.

Recall avait été lancé le mois dernier par Microsoft comme une sorte de “mémoire photographique”, permettant de prendre des captures d’écran du bureau toutes les cinq secondes, afin d’obtenir un historique qui sera ensuite analysé par les outils d’intelligence artificielle intégrés à l’ordinateur. Pour s’assurer que cette fonctionnalité soit conforme aux exigences de cybersécurité, Microsoft avait assuré que ces captures d’écran ne seraient pas utilisées pour entraîner un outil d’IA extérieur au PC.

Il affirmait également que la fonctionnalité pouvait être désactivée pour certains programmes, n’enregistrait pas l’activité de navigation privée sur Microsoft Edge, et que les données seront chiffrées et subordonnées à un privilège administrateur.

Recall ne cache pas les mots de passe et informations bancaires

Or dans la foulée, Microsoft s’était attiré les foudres de nombreux utilisateurs, doutant d’une entière protection des données personnelles. Le groupe informatique avait prévenu que Recall ne cachait pas “les informations telles que les mots de passe ou les numéros de comptes bancaires”. Des chercheurs en cybersécurité avaient démontré qu’il était possible de contourner le privilège administrateur nécessaire pour accéder aux données Recall, et que ces dernières étaient stockées dans une base de données SQLite, en texte clair, et donc non chiffrées.

Microsoft avait ensuite publié trois mises à jour pour garantir une meilleure sécurité de son outil, avec une désactivation par défaut de la fonctionnalité, et la nécessité d’une “preuve de présence” sous forme d’authentification biométrique pour effectuer des recherches dans Recall ou afficher l’historique. Il affirmait également que les captures d’écran Recall ne seraient déchiffrées et accessibles qu’après authentification de l’utilisateur, et que la base de données de l’index de recherche avait été chiffrée.

Satya Nadella s’est engagé à donner la priorité à la sécurité

Malgré ces mises à jour, le groupe informatique a choisi de reporter le lancement de cette fonctionnalité. Une décision qui s’inscrit dans le cadre de ses efforts pour améliorer ses pratiques de cybersécurité. Le Cyber Safety Review Board (CSRB), comité gouvernemental américain, avait publié début avril un sévère rapport sur la cybersécurité chez Microsoft à propos de la campagne d’espionnage menée par la Chine ayant visé la messagerie Exchange l’été dernier. L’autorité dénonçait une “culture d’entreprise” inadéquate, ajoutant que l’intrusion était “évitable”.

Le groupe informatique avait alors détaillé son grand plan de cybersécurité, intitulé “Secure Future Initiative”. Les principes de ce programme indique que “la sécurité passe avant tout lors de la conception de tout produit ou service”, que les mesures de sécurité seront activées et appliquées par défaut, et que les contrôles seront continuellement améliorés. Satya Nadella, CEO de Microsoft, avait par ailleurs déclaré : “Si vous êtes confrontés à un dilemme entre la sécurité et une autre priorité, votre réponse est claire : choisissez la sécurité. Dans certains cas, cela signifie donner la priorité à la sécurité avant d’autres choses, comme la publication de nouvelles fonctionnalités ou la fourniture d’un support continu pour les systèmes existants.”