Microsoft RECALL propose de révolutionner l’expérience utilisateur en capturant des instantanés de l'écran et en permettant une navigation temporelle au sein de votre journée et bien plus encore. Bien que prometteur, ce système soulève des préoccupations sur la sécurité des données. Cet article examine ses implications, balançant entre ses avantages potentiels et les risques de confidentialité.
Recall utilise l'IA Copilot+PC et s'appuie sur les capacités matérielles de la machine pour cette nouvelle fonctionnalité signée Microsoft. Des copies de l'écran de l'utilisateur sont effectuées à intervalles réguliers. Ces images, appelées "instantanés", sont chiffrées et sauvegardées sur le disque dur du PC, dans la session de l'utilisateur. Ces données permettent de remonter le temps en utilisant une barre chronologique qui permet de naviguer dans ces "instantanés". Une fois le moment choisi, les images prises à cet instant sont soumises à l'IA qui les analyse pour définir un contexte et une situation. Ce système fonctionne très bien. Lorsque nous soumettons une image à une IA générative, celle-ci décrit avec précision les éléments visibles et peut même extrapoler. Nous avons réalisé deux essais, dont les résultats sont présentés ci-dessous. En se basant sur les commandes tapées dans le terminal, l'IA a déterminé que la machine est un Mac et non un PC sous Windows sur la capture d'écran fournie pour analyse.
Les usages sont infinis, cette fonction permet de revenir en arrière. Il est ainsi possible de retracer sa journée complète, rechercher dans ses réunions visio, ou même retrouver un document effacé par erreur. Recall permet d’aller très loin avec une fonctionnalité alimentée par l'IA qui transcrit et traduit la parole.
L'enregistrement continu de notre activité peut-elle engendrer des risques pour la sécurité de nos données ?
Le principal problème de sécurité que ce système peut poser concerne la collecte et le stockage des instantanés de l'écran. Ces instantanés peuvent contenir des informations sensibles ou personnelles, telles que des mots de passe, des données financières, ou des discussions privées. Si ces données sont compromises, les conséquences sont préjudiciables pour les utilisateurs, comme la divulgation de leurs données privée. Plus encore, si la personne en question est un journaliste ou des personnes dont les activités sont sensibles. Imaginons maintenant que plusieurs personnes partagent un ordinateur et utilisent le même compte Windows. Ceci est valable pour une famille ou un ordinateur partagé dans un cyber café ou une bibliothèque. Il serait ainsi possible de voir toutes les activités récentes sur le PC. Ceci pose question quant au respect de la vie privée, au sein d’un famille, sans même parler d’un accès illégal et frauduleux d’un logiciel malveillant contrôlé par un pirate ou un maitre chanteur.
Quelles sont les mesures mises en place pour répondre à cette problématique et seront-elles efficaces ?
Pour répondre à ces problèmes de sécurité, Microsoft a mis en place plusieurs mesures :
- Les instantanés sont chiffrés et sauvegardés localement sur l'appareil de l'utilisateur (ce qui voudrait dire qu’ils ne sont pas envoyés à Microsoft ou dans un cloud).
- Les images sont liées à un compte utilisateur spécifique.
- Microsoft assure que les instantanés ne sont pas partagés avec d'autres utilisateurs.
- D’ailleurs Microsoft affirme ne pas être en mesure de les consulter, par conséquence, de ne pas pouvoir les utiliser pour des publicités ciblées.
- Les utilisateurs peuvent mettre en pause, arrêter ou supprimer le contenu capturé, et exclure des applications ou sites web spécifiques.
- Pour finir, Recall ne prend pas d'instantanés des sessions de navigation privée dans Microsoft Edge ou du contenu protégé par DRM.
Cependant, malgré ces mesures, il reste légitime de se préoccuper quant à l'efficacité de ces mesures. La sécurité des données dépendra de la robustesse du système de chiffrement utilisé et de la sécurité générale de la machine et du comportement de l'utilisateur. De plus, Recall ne cache pas activement les informations sensibles comme les mots de passe et les numéros de comptes financiers qui apparaissent à l'écran, ce qui peut toujours poser un risque. Les mesures mises en place par Microsoft sont donc une étape importante pour protéger la vie privée des utilisateurs, mais elles ne peuvent pas complètement éliminer tous les risques potentiels.
C’est un outil intéressant sur le plan théorique, qui apporte assurément des avantages potentiels pour les employés, mais il incombe à l’utilisateur, ou à l’entreprise, de comprendre et maitriser les implications de cet outil, ainsi que les conséquences de son utilisation en arrière-plan, sur une période prolongée.
Essai numéro 1 : d’analyse d’un instantané par GPT 4.0.
GPT4 : « Cette image montre l'écran d'un ordinateur avec deux fenêtres principales ouvertes. La fenêtre principale à gauche affiche une présentation PowerPoint intitulée "NIS2 & Solutions" par Benoît Grunemwald, un expert en sécurité chez ESET. La présentation contient plusieurs diapositives sur des sujets de sécurité informatique, visibles dans la colonne de gauche.
La fenêtre de droite affiche une console de terminal avec des lignes de commande en cours d'exécution. Il semble que des processus liés à des mises à jour de logiciels soient en cours, avec des commandes telles que "brew cleanup" et "brew autoremove" qui sont typiques des systèmes de gestion de paquets sur macOS. L'écran est un modèle IIyama ProLite XU2793QSU, un moniteur de 27 pouces avec une résolution de 2560x1440 pixels et des fonctionnalités comme FreeSync. L'ensemble de l'image reflète un environnement de travail technique, axé sur la sécurité informatique et la gestion de logiciels. »
A la question : « est il possible d’extraire des données personnelles de cette image ? » voici la réponse de l’AI :
GPT4 :« Non, il n'est pas possible d'extraire des données personnelles sensibles de cette image. La seule information personnelle identifiable visible est le nom de Benoît Grunemwald, mentionné sur la diapositive de la présentation PowerPoint. Cependant, ce nom est associé à un rôle professionnel (ESET Security Awareness), et il n'y a pas d'autres informations sensibles ou privées présentes sur l'image. Les autres informations visibles, comme les commandes dans la console de terminal et les détails du moniteur, ne contiennent pas de données personnelles ou sensibles. Elles sont simplement des éléments techniques et professionnels sans implication directe sur la vie privée de quelqu'un. »
Analyse d’une photo par GPT 4.0 d’OpenAI.
GPT4 :« Cette photo montre un espace de bureau de l'entreprise ESET, reconnaissable grâce au logo sur le mur bleu. L'aménagement est moderne et accueillant, avec des meubles confortables dans des couleurs variées. La zone de détente comprend un canapé bleu foncé, deux fauteuils de couleur claire, et plusieurs poufs colorés (jaune, rose). Il y a aussi une petite table basse en bois avec une plante décorative. En arrière-plan, on voit des bureaux équipés de chaises ergonomiques et d'ordinateurs, séparés par des panneaux. L'éclairage semble naturel, avec de grandes fenêtres permettant l'entrée de la lumière du jour. L'ensemble donne une impression de convivialité et de confort, propice à un environnement de travail agréable. »