Windows Recall est l’une des fonctionnalités les plus controversées de l’ère de l’IA. Il est frappant que Microsoft, qui a investi des milliards dans le créateur de ChatGPT, OpenAI, ait été si négligent dès le début. L’outil était un cauchemar en matière de confidentialité, ce qui a entraîné un retard dans son déploiement. Aujourd'hui, Microsoft reprend sa mise en œuvre après quelques ajustements, mais Recall, basé sur l'IA, capture toujours des données sensibles alors qu'il ne devrait pas.
Le rappel était un cauchemar en matière de confidentialité au lancement
Le lancement de Recall a été quelque peu cahoteux en raison de plusieurs facteurs menaçant la confidentialité et la sécurité des utilisateurs. Si vous ne le savez pas, une fois activée, la fonctionnalité prend constamment des captures d'écran pendant que vous utilisez votre PC. Cela vous permet de lui poser des questions sur les choses que vous avez vues lors de votre séance. Par exemple, vous pouvez demander à Recall où vous avez vu une paire de chaussures bleues, et Recall recherchera dans les captures d'écran le site Web sur lequel vous avez vu l'article.
Cependant, le manque de cryptage dans les captures d'écran de Recall constituait une menace pour la vie privée. Il n’existait également aucun outil permettant d’empêcher les tiers ayant accès à votre ordinateur portable ou PC d’obtenir les captures d’écran. En raison de la controverse, Microsoft a retardé la fonctionnalité et a travaillé sur des ajustements clés liés à la sécurité de vos données. Par exemple, la société a activé le cryptage des captures d'écran et intégré des outils permettant au PC de vous identifier avant d'invoquer le rappel, empêchant ainsi les tiers d'accéder aux données capturées.
Un autre problème avec le rappel de Microsoft était qu'il capturait des données sensibles, notamment les cartes de crédit et les numéros de sécurité sociale, sans les brouiller ni les masquer. Pour résoudre ce problème, la société a activé une option par défaut pour que le service ne capture pas d'informations confidentielles. Cependant, il semble que le problème persiste dans la version la plus récente de la fonctionnalité.
L'IA de rappel de Microsoft ne peut pas déterminer si les données sont sensibles en dehors des plateformes de paiement
Avram Piltch de Tom's Hardware a fait quelques expériences pour tester la sécurité actuelle de la fonctionnalité. Il s'est principalement concentré sur la capacité de Recall à identifier les données sensibles et à les masquer. Les résultats n’ont pas été particulièrement encourageants, car Recall n’identifie correctement ce type de données que sur les plateformes de paiement réelles. L'expérience a prouvé que le service basé sur l'IA ne capture pas de données sensibles lors de l'accès aux plateformes de paiement en magasin.
Cependant, dans son état actuel, la technologie de Recall semble incapable d'identifier les informations sensibles en fonction du contexte. En d’autres termes, Recall capturera les numéros de carte de crédit saisis dans une fenêtre du Bloc-notes ou dans un fichier PDF, par exemple. Piltch a même essayé de « rendre les choses plus faciles » pour Recall en incluant des références explicites au caractère privé des données. Par exemple, il a tapé « Capital One Visa » devant les numéros de carte de crédit dans une fenêtre du Bloc-notes. Cependant, la fonction IA a quand même capturé ces données sans hésitation.
Piltch a essayé d'être encore plus explicite dans un autre test. Il a créé une page HTML avec un formulaire qui disait explicitement : «Entrez votre numéro de carte de crédit ci-dessous.» Cependant, Recall a continué à capturer des données sensibles dans ces cas. Il semble que la fonctionnalité ne détecte pas la nature des données par contexte mais vérifie plutôt si vous entrez sur une plateforme de paiement. Ce n'est que dans ces cas que Recall bloquera les captures d'écran.
L'entreprise améliorera la détection des informations sensibles au fil du temps
Cependant, il semble que Microsoft envisage d'améliorer le filtrage des données au fil du temps. « Nous continuerons d'améliorer cette fonctionnalité, et si vous trouvez des informations sensibles qui doivent être filtrées, pour votre contexte, votre langue ou votre géographie, veuillez nous en informer via le Hub de commentaires.», lit-on dans une section du blog de Microsoft. « Nous avons également fourni une option dans les paramètres que nous vous encourageons à activer et qui partagera de manière anonyme les applications et les sites que vous préférez exclure du rappel pour nous aider à améliorer le produit. ajoute la firme.
Microsoft a bien fait certaines choses, mais il y a place à l'amélioration
Heureusement, Microsoft a rendu beaucoup plus difficile l’accès des tiers aux données de rappel. Si vous souhaitez l'utiliser, il sera obligatoire de configurer Windows Hello pour la vérification biométrique. Cela signifie que votre PC vérifie s'il s'agit bien de vous avant de vous autoriser à appeler des captures d'écran.
Cela dit, Piltch rappelle que Windows Hello permet également l'accès avec un code PIN. Ainsi, un tiers pourrait toujours accéder à vos données s’il obtenait d’une manière ou d’une autre votre code PIN privé. Cela pourrait vous arriver dans d'autres contextes, par exemple si quelqu'un vole votre téléphone, c'est donc à vous de protéger vos identifiants ou vos mots de passe.
De plus, quelque chose de bien qui n'a pas changé depuis le début, c'est que le traitement des captures d'écran se fait uniquement sur l'appareil. Le cryptage des captures d’écran constitue un bouclier supplémentaire au cas où quelqu’un parviendrait à contourner les mesures de sécurité précédentes.
Pourtant, beaucoup se sentiraient sûrement plus en sécurité si Recall était réellement capable de bloquer la capture de données sensibles depuis n'importe où, pas seulement sur les plateformes de paiement. Ce n'est bien sûr pas une tâche facile, mais c'est Microsoft qui a décidé de développer une fonctionnalité qui vous « surveille » constamment pendant que vous l'utilisez. Il doit donc également être prêt à accepter les demandes des utilisateurs en matière de sécurité et de confidentialité.
