Le 21 mai 2024, Microsoft a annoncé qu’il sortirait un nouveau produit en 2025, en lien avec la nouvelle gamme de PC Copilot+ : Microsoft Recall.
Microsoft Recall est une nouvelle fonction de recherche pour Windows 11 qui permet de rechercher l’historique de l’activité de votre PC. Recall doit servir d’aide-mémoire à l’utilisateur. Pour cela, Recall enregistre des informations ou des sites internet que l’utilisateur a vus il y a quelque temps, mais dont il ne se souvient plus exactement. En fin de compte, Recall est la réponse à la consommation rapide d’informations actuelle, que ce soit dans les e-mails, les vidéoconférences ou sur internet.
Comment Recall procède-t-il ? Recall effectue des captures d’écran de l’ensemble de l’écran à quelques secondes d’intervalle et stocke les images dans la base de données SQLite pour une durée minimale de trois mois et jusqu’à 18 mois, selon la capacité de stockage du PC.
En fin de compte, une chronologie complète du comportement de l’utilisateur est créée. L’utilisateur peut ensuite interroger Recall via un prompt et Recall fournit les captures d’écran qui correspondent à cette description. Selon Microsoft, l’objectif est d’imiter la mémoire humaine.
Si l’on examine cet outil de plus près du point de vue de la protection des données, il soulève toutefois des problèmes juridiques. Recall enregistre tout ce qui se passe sur l’écran de l’utilisateur et en fait des captures d’écran. Microsoft a déjà confirmé que cela inclut des utilisations extrêmement sensibles telles que les services bancaires en ligne ou la saisie de mots de passe. Toutefois, les vidéoconférences peuvent également être enregistrées. Il s’agit là d’un tout nouveau type de surveillance, en plus de la transcription Copilot basée sur l’IA. Les droits des interlocuteurs externes sont ici également concernés.
À l’intersection de la protection des données et du droit du travail se trouve également la préoccupation que Recall permet essentiellement de suivre les employés à la trace à chaque seconde de leur journée de travail, ce qui va bien au-delà de ce que le RGPD autorise ou justifie. Microsoft a déjà mis en place des mécanismes tels que Purview ou Productivity Score qui, s’ils ne sont pas réglementés, sont largement critiqués par la communauté de la protection des données. Recall va bien au-delà d’une simple protocolisation et pourrait être utilisé pour le « contrôle des performances et du comportement » bien connu.
Bien que Microsoft assure que Recall sera basé sur le consentement, les tests de sécurité des nouveaux ordinateurs portables équipés de cette fonctionnalité ont montré qu’il s’agissait d’un paramètre standard. Microsoft Recall peut être désactivé lors de la configuration de l’ordinateur portable, mais uniquement en cochant une case et nécessite des actions supplémentaires de la part de l’utilisateur. Le principe de privacy by design fonctionne autrement !
En résumé, Recall va bien au-delà d’une simple journalisation. De plus, la base de données SQLite dans laquelle sont stockées toutes les captures d’écran est accessible aux utilisateurs disposant de droits d’administration, ce qui signifie que le service informatique peut également accéder à distance aux données stockées localement, à condition de disposer des droits appropriés.
Du point de vue de la sécurité des informations, tous les mots de passe d’accès aux systèmes de l’entreprise, y compris les mots de passe administrateur extrêmement sensibles, ainsi que toutes les informations confidentielles de l’entreprise sont également enregistrés par capture d’écran et, selon la configuration, conservés pendant des mois.
Bien que Microsoft assure que les mesures de sécurité mises en place et le stockage local garantissent que ces captures d’écran sont à l’abri de tout accès par des tiers, nous sommes tous conscients de l’agilité avec laquelle de nouveaux mécanismes de ransomwares et autres cyber-attaques sont développés. On connaît également l’attrait des systèmes de back up des victimes potentielles. Il est donc probable que l’emplacement des captures d’écran de Recall soit également une cible privilégiée à l’avenir. La comparaison avec un cheval de Troie est évidente, car l’outil ou la base de données sous-jacente peut fournir aux pirates toutes les informations dont ils ont besoin en cas de cyberattaque.
L’autorité britannique de protection des données (ICO) a déjà annoncé qu’elle avait pris contact avec Microsoft en raison des fortes préoccupations en matière de protection des données. Il reste à voir quelle sera la position des autres autorités de contrôle de l’espace européen, par exemple la CNIL.
Pour l’instant, Microsoft Recall ne sera utilisé que sur les PC Copilot+, car il nécessite beaucoup de mémoire. Il ne constitue donc pas un défi immédiat pour le matériel d’entreprise existant. Cependant, toute nouvelle acquisition de matériel d’entreprise à partir de 2025 devrait avoir cette fonctionnalité en tête afin de prévenir les risques liés à la protection des données et à la sécurité des informations.
La protection des données reste un sujet passionnant et legitimis continue bien entendu à suivre ces évolutions, afin d’assister ses clients légalement, techniquement et personnellement.
Mise à jour du 18.06.2024
Microsoft a annoncé sur son blog que Recall ne serait désormais disponible que pour un cercle de développeurs sélectionnés dans le cadre du programme Windows Insider (WIP). Initialement prévu pour tous les PC Colpilot+ optimisés, des mesures de sécurité ont été introduites, comme une authentification supplémentaire lors de l’accès à la base de données. Il s’agit d’une réaction aux critiques émanant du secteur de la sécurité et de la communauté de la protection des données, qui avaient critiqué la surveillance globale et la protection insuffisante des captures d’écran. Entre-temps, legitimis recommande à ses clients de continuer à utiliser le moyen démodé mais tout à fait conforme au RGPD pour le stockage et la récupération des données : la mémoire humaine.