Microsoft annule « la mesure de cybersécurité la plus stupide depuis une décennie »
🔒 Microsoft annonce des modifications majeures à un produit d’IA controversé suite aux critiques de sécurité 🔒
📢 Microsoft a annoncé vendredi qu’il apporterait des modifications majeures à un produit d’IA récemment annoncé qui s’appuie sur des captures d’écran des écrans des utilisateurs pour créer un journal consultable des activités passées, une décision qui fait suite aux critiques acerbes des chercheurs en sécurité.
📅 Lorsque Microsoft a annoncé la fonctionnalité baptisée Recall le mois dernier, le PDG Satya Nadella l’a qualifiée de « mémoire photographique » qui pourrait « recréer des moments du passé » de tout ce qu’un utilisateur fait, en utilisant les modèles d’intelligence artificielle exclusifs de l’entreprise fonctionnant sur les prochains PC Copilot+.
⚠️ Les chercheurs en sécurité ont rapidement souligné que de telles captures d’écran incluraient des informations sensibles, notamment des noms d’utilisateur et des mots de passe, mais Microsoft a déclaré que les données étaient sécurisées. D’éminents experts en sécurité, dont Kevin Beaumont, ont rapidement souligné que les données étaient en fait stockées en texte brut et ont qualifié la décision de déployer le produit, dont la sortie était prévue le 18 juin, de « mesure de cybersécurité la plus stupide jamais vue depuis une décennie ».
🔍 L’exploitation de cette fonctionnalité s’est avérée assez simple. Alex Hagenah, chercheur chez SIX Group AG, par exemple, a créé un outil appelé « TotalRecall » qui copiait la base de données et l’analysait pour obtenir des détails intéressants.
🔄 Vendredi, Microsoft a annoncé une série de modifications apportées au produit, notamment l’activation et la désactivation de Recall par défaut. De plus, le produit nécessitera une inscription biométrique via le produit Windows Hello de l’entreprise pour être activé, ainsi qu’une preuve de présence pour afficher la chronologie des captures d’écran et effectuer une recherche dans Recall. La société a également déclaré qu’elle améliorerait le cryptage de la base de données Recall.
📝 « Avant même de mettre Recall à la disposition des clients, nous avons entendu un signal clair selon lequel nous pouvons permettre aux utilisateurs de choisir plus facilement d’activer Recall sur leur PC Copilot+ et d’améliorer les garanties de confidentialité et de sécurité », a déclaré Pavan Davuluri, vice-président de Microsoft pour Windows et appareils, vendredi dans un article de blog.
🔐 Les modifications apportées à Recall font suite à la promesse de Microsoft de donner la priorité à la sécurité dans le développement de ses produits à la suite d’une série de violations de sécurité très médiatisées commises par des pirates informatiques russes et chinois. Un rapport du Cyber Safety Review Board des États-Unis concluait que Microsoft avait créé une culture d’entreprise qui dévalorisait la sécurité.
📜 Ce rapport a incité Nadella à émettre une directive aux employés de Microsoft, leur ordonnant de donner la priorité à la sécurité de ses produits. « Si vous êtes confronté à un compromis entre la sécurité et une autre priorité, votre réponse est claire : faites de la sécurité », a-t-il écrit dans une note adressée à l’entreprise.
🛡️ Les experts en sécurité ont souligné les problèmes de sécurité liés à Recall comme preuve que Microsoft ne respecte pas encore cet engagement, et Beaumont a déclaré vendredi que les détails sur la manière dont les changements seront mis en œuvre seront importants, suggérant que les chercheurs en sécurité poursuivent une « analyse approfondie dans les semaines à venir » sur les allégations de sécurité renforcée faites par Microsoft.
🔍 Les modifications apportées à Recall seront surveillées de près par les chercheurs en sécurité pour évaluer leur efficacité et la manière dont elles seront mises en œuvre.