Microsoft relance la fonctionnalité « Rappel » de Copilot sur ses prochains PC Copilot+ avec des améliorations de sécurité après que la société ait « écouté les commentaires » concernant les préoccupations initiales en matière de confidentialité du produit.
Microsoft affirme avoir pris en compte les commentaires sur l’outil comme un potentiel « cauchemar en matière de confidentialité », comme décrit par Dr Kris Shrishak, conseiller en matière d’IA et de confidentialité. Après avoir supprimé plusieurs fonctionnalités controversées, notamment Recall en tant que fonctionnalité opt-in plutôt qu’activée par défaut, Microsoft prévoit de relancer Recall sur les PC Copillot+ en novembre.
Que s’est-il passé en mai ?
Lorsque Recall a été présenté en détail lors de la reconstruction de Microsoft au printemps, le géant de la technologie a devancé les problèmes de confidentialité entourant la solution, déclarant que les captures d’écran capturées par l’outil restaient sur l’ordinateur de l’utilisateur et étaient inaccessibles à Microsoft. La société a également déclaré dans la section FAQ que Recall ne filtrerait ni ne censurerait les informations sensibles, telles que les mots de passe et les coordonnées bancaires.
Malgré les tentatives anticipées de Microsoft pour calmer la tempête, l’outil a inévitablement suscité de nombreuses inquiétudes. Les critiques ont souligné les risques potentiels posés par la collecte de quantités aussi importantes de données sensibles, notamment le fait de faire des données des utilisateurs une cible pour les pirates informatiques ou une utilisation abusive par des agresseurs nationaux.
En réponse à cette surveillance croissante, l’Information Commissioner’s Office (ICO) du Royaume-Uni a confirmé qu’il était en discussion avec Microsoft pour mieux comprendre les protections de la vie privée intégrées à Recall.
L’ICO a souligné l’importance de la transparence dans l’utilisation des données, déclarant sur son site Web : « Nous attendons des organisations qu’elles soient transparentes avec les utilisateurs sur la manière dont leurs données sont utilisées et qu’elles ne traitent les données personnelles que dans la mesure où cela est nécessaire pour atteindre un objectif spécifique. »
L’ICO a ajouté que les entreprises devraient envisager la protection des données dès le départ, en évaluant et en atténuant rigoureusement les risques pour les droits et libertés des utilisateurs avant de lancer de nouveaux produits. Il a confirmé qu’il enquêtait auprès de Microsoft pour garantir que des garanties adéquates en matière de confidentialité étaient en place.
Bien que Recall ait été destiné à être inclus avec les PC Copilot lorsque les premières itérations sont arrivées en juin, il n’a jamais été rendu disponible pour tous. Microsoft a expliqué ce retard par son intention de rendre le service plus sécurisé.
Comment le rappel a-t-il changé pour être plus sécurisé et plus conforme ?
Microsoft a introduit plusieurs améliorations de sécurité significatives qui ont apaisé bon nombre, sinon la totalité, des craintes en matière de confidentialité que Recall avait initialement déclenchées.
En plus d’être opt-in, Microsoft a souligné que toutes les captures d’écran et les données qu’elles transmettent seront cryptées tout en décrivant l’introduction de plusieurs outils pour aider les utilisateurs à personnaliser leurs options de confidentialité. Les clés de chiffrement sont protégées par le module de plateforme sécurisée (TPM) lié à l’identité de sécurité de connexion améliorée Windows Hello d’un utilisateur. Ces clés ne sont accessibles que pour des opérations dans un environnement sécurisé connu sous le nom d’enclave de sécurité basée sur la virtualisation (VBS Enclave).
Parallèlement, la société a également souligné que les captures d’écran capturées par Recall ne sont accessibles que via une connexion biométrique, ajoutant ainsi une couche de sécurité supplémentaire. Les informations sensibles telles que les détails de la carte de crédit ne seront pas capturées par défaut, tandis que les services de rappel qui fonctionnent sur des instantanés et des données associées sont isolés.
Pavan Davuluri, vice-président de Microsoft pour Windows et les appareilsa déclaré dans un communiqué :
Le rappel est une expérience opt-in. Les instantanés et toutes les informations associées sont toujours cryptés. Windows propose des outils pour vous aider à contrôler votre confidentialité et à personnaliser ce qui est enregistré pour que vous puissiez le retrouver plus tard.
L’ICO a publié la semaine dernière une déclaration selon laquelle elle avait été informée d’une « série de changements » apportés au rappel. “Nous continuerons d’évaluer Recall à mesure que Microsoft se dirige vers le lancement”, a expliqué l’ICO.
Cependant, selon un blog technique de David Weston de Microsoft, vice-président de la sécurité de l’entreprise et du système d’exploitation chez Microsoftles « données de diagnostic » de l’outil peuvent être partagées avec l’entreprise, en fonction des paramètres de confidentialité individuels.
Microsoft a « l’équivalent de 34 000 ingénieurs » travaillant sur des projets de sécurité
La semaine dernière, Microsoft a indiqué qu’il disposait de « l’équivalent de 34 000 ingénieurs à temps plein » travaillant sur son projet Secure Future Initiative (SFI) pour renforcer considérablement son infrastructure de sécurité.
Ce chiffre a été révélé dans le récent rapport SFI de Microsoft de septembre 2024, dans lequel l’entreprise décrit ses efforts visant à améliorer les systèmes de sécurité comme le « plus grand projet d’ingénierie de cybersécurité de l’histoire ». Microsoft a souligné la grande quantité d’expertise et de ressources humaines dédiées à cette initiative.
Le géant de la technologie a lancé son premier SFI en novembre 2023, à la suite de plusieurs failles de sécurité majeures, notamment la cyberattaque très médiatisée Storm-0558 en juillet 2023. Lors de cette attaque, des pirates chinois ont piraté les courriers électroniques du gouvernement américain via des vulnérabilités de Microsoft Exchange Online. En avril 2024, le Cyber Safety Review Board (CSRB) américain a critiqué Microsoft pour son manque de préparation à empêcher l’incident.
En réponse aux conclusions du CSRB, Microsoft a renforcé son SFI en s’engageant à mettre en œuvre les recommandations du conseil. L’entreprise a également défini un ensemble de principes et d’objectifs de sécurité complets, réaffirmant son engagement à renforcer la cybersécurité.
#rappel #Microsoft #Copilot #est #relancé #avec #une #sécurité #renforcée #après #une #controverse #sur #confidentialité
