Cet outil de piratage extrait toutes les données collectées par Windows New Recall AI
Hagenah affirme qu’un attaquant pourrait obtenir une énorme quantité d’informations sur sa cible, notamment des informations sur ses e-mails, ses conversations personnelles et toute information sensible capturée par Recall.
Les travaux de Hagenah s’appuient sur les conclusions du chercheur en cybersécurité Kevin Beaumont, qui a détaillé la quantité d’informations capturées par Recall et la facilité avec laquelle il peut être extrait. Beaumont dit également avoir créé un site Web sur lequel une base de données de rappel peut être téléchargée et recherchée instantanément. Il dit qu’il n’a pas encore publié le site, pour laisser à Microsoft le temps de potentiellement modifier le système. Les chevaux de Troie InfoStealer, qui volent automatiquement les noms d’utilisateur et les mots de passe, constituent un problème majeur depuis plus d’une décennie. Ils peuvent désormais être facilement modifiés pour prendre en charge Recall, écrit Beaumont.
Ces critiques surviennent alors que les piratages des systèmes Microsoft ont conduit à diverses violations de données du gouvernement américain ; Nadella a déclaré que la sécurité devrait être la priorité absolue de Microsoft. Microsoft n’a pas répondu à la demande de commentaires de WIRED sur les fonctionnalités de sécurité de Recall au moment de la publication.
Les pages de confidentialité des rappels indiquent qu’il est possible de désactiver l’enregistrement des captures d’écran (en désactivant effectivement le rappel), de suspendre temporairement le système, de filtrer les applications dans lesquelles les captures d’écran sont prises et de supprimer ce qui est collecté à tout moment. Le rappel s’exécute sur l’ordinateur portable lui-même, stockant les données qu’il capture sur l’appareil et n’envoyant pas ces informations aux serveurs de Microsoft. Hagenah affirme que cette affirmation semble être vraie, sans aucun signe indiquant que des données sont envoyées à Microsoft.
Microsoft est, au moins, conscient de certains des problèmes possibles liés à la confidentialité et à la sécurité avec Recall : ses pages d’aide indiquent que le système n’effectue aucune modération du contenu sur le contenu des images qu’il enregistre. Cela signifie, explique Microsoft dans le guide, qu’il ne masquera pas les informations telles que les mots de passe ou les numéros de comptes financiers. Les chercheurs en sécurité ont déjà pu extraire des mots de passe de Recall.
La base de données principale de Rappels est stockée dans le répertoire système de l’ordinateur portable et, même si elle nécessite des droits d’administrateur pour y accéder, les attaques par élévation de privilèges existent depuis des années, ce qui permet théoriquement à un attaquant d’obtenir un accès initial à un appareil à distance.
Hagenah affirme que dans le cas d’employeurs ayant adopté une politique d’apport de vos propres appareils, il existe un risque que quelqu’un reparte avec d’énormes volumes de données d’entreprise enregistrées sur son ordinateur portable. C’est un risque particulier s’ils sont mécontents ou s’ils partent en mauvais termes, dit-il. Le régulateur britannique de la protection des données, l’Information Commissioners Office, a demandé à Microsoft de fournir plus de détails sur Recall et sa confidentialité.
Bien que Recall reste une fonctionnalité en avant-première et, selon les petits caractères de Microsoft, pourrait changer avant son lancement, Beaumont écrit dans ses recherches que la société devrait rappeler Recall et le retravailler pour qu’il soit la fonctionnalité qu’il mérite, livrée à une date ultérieure. Il ajoute : Ils doivent également revoir les décisions internes qui ont conduit à cette situation, car ce genre de chose ne devrait pas se produire.