Recall de Windows 11 encore épinglé pour ses failles de sécurité
Microsoft a de nouveau été mis sous pression concernant Recall, sa fonction phare intégrée aux PC Copilot+ sous Windows 11. Annoncée en juin 2024 et repoussée d'environ un an pour corriger de graves failles de sécurité, Recall permet de retrouver n'importe quel document, page web ou application en analysant des captures d'écran réalisées toutes les quelques secondes. Après une refonte complète de son architecture, stockage des données dans une enclave chiffrée, authentification obligatoire via Windows Hello, désactivation par défaut et exclusion des identifiants bancaires, Microsoft avait relancé la fonction en croyant avoir colmaté les brèches. C'est désormais le chercheur en sécurité Alexander Hagenah qui remet en cause cette certitude. Auteur du premier outil d'extraction TotalRecall en 2024, il publie sur GitHub une nouvelle version baptisée TotalRecall Reloaded, qui démontre qu'il est possible d'injecter une bibliothèque DLL dans AIXHost.exe, le processus Windows responsable de l'affichage de la chronologie Recall, afin d'accéder aux données déchiffrées en temps réel, captures d'écran, texte extrait par OCR, métadonnées, sans droits administrateur ni exploitation technique complexe.
L'enjeu est considérable pour les millions d'utilisateurs de PC Copilot+ équipés de Recall : un simple logiciel malveillant, une fois exécuté après une session Windows Hello, peut silencieusement aspirer l'intégralité de l'historique enregistré par la fonction. TotalRecall Reloaded va plus loin encore : il peut récupérer la dernière capture d'écran réalisée par Recall sans même passer par l'authentification Windows Hello, et effacer complètement l'historique. Pour Hagenah, le problème est précis : ce n'est pas le chiffrement, ni l'enclave sécurisée, ni le modèle d'authentification qui sont défaillants, mais le fait que les données déchiffrées soient transmises à un processus non protégé, AIXHost.exe, qui n'est soumis à aucune vérification d'intégrité supplémentaire. La porte de sécurité existe, mais elle se referme trop tôt dans la chaîne de traitement.
Microsoft a répondu début mars, après avoir reçu le signalement du chercheur, en fermant le dossier : selon l'éditeur, les modes d'accès observés sont "conformes aux protections prévues et aux contrôles existants" et ne constituent pas une vulnérabilité. Cette position illustre une tension plus large dans le domaine de la sécurité logicielle : la frontière entre comportement "by design" et faille exploitable est souvent décidée unilatéralement par l'éditeur. Recall cristallise depuis son annonce les inquiétudes des chercheurs et des défenseurs de la vie privée, qui voient dans la collecte systématique d'écrans une surface d'attaque structurellement difficile à sécuriser. L'affaire relance le débat sur la responsabilité des fabricants qui intègrent des fonctions de surveillance de masse dans les systèmes d'exploitation grand public, et sur les limites des certifications de sécurité internes quand des chercheurs indépendants parviennent à des conclusions opposées.
Les utilisateurs européens de PC Copilot+ équipés de Recall sont directement exposés, et la collecte systématique de captures d'écran soulève des questions de conformité au RGPD que les autorités comme la CNIL pourraient être amenées à examiner.
L'enclave chiffrée, Windows Hello, la désactivation par défaut... tout ça pour que la donnée déchiffrée finisse dans un processus non protégé, accessible sans droits admin. C'est pas une faille subtile, c'est une erreur d'architecture de base, et je vois pas comment ça passe une revue interne sérieuse. Quand Microsoft te répond "c'est by design" après un exploit qui aspire tout ton historique sans élévation de privilège, t'as ta réponse sur ce que vaut Recall.
Vu une erreur factuelle dans cet article ? Signalez-la. Toutes les corrections valides sont publiées sur /corrections.
