PC Copilot+ : comment Microsoft a revu la fonction Recall

Microsoft avait annoncé la fonctionnalité Recall en même temps que les PC Copilot+ infusés à l’IA, fin mai dernier.

Présentée comme phare, elle permet de « mémoriser » – sous la forme d’une timeline de vignettes et de captures d’écran – ce que l’utilisateur a vu et fait sur le PC (documents, images, vidéos et sites web), pour retrouver plus facilement ses contenus.

À l’occasion de sa présentation, Microsoft expliquait : « les PC Copilot+ organiseront l’information en fonction de l’expérience et des associations propres à chacun d’entre nous, à l’instar d’une mémoire photographique. Recall rappelle à votre souvenir des éléments que vous aviez oubliés » et exploite « l’index sémantique » propre à chaque utilisateur. La fonctionnalité pourra être mise en pause, paramétrée ou désactivée pour certaines applications ou certains sites.

Potentiellement séduisante, la fonctionnalité Recall a été accueillie particulièrement froidement par les premiers experts en sécurité informatique ayant pu se pencher dessus. Ceux-ci s’inquiétaient des risques que l’implémentation retenue faisait peser sur la sécurité et la confidentialité des données des utilisateurs.

Dans un billet de blog, David Weston, vice-président de Microsoft en charge des entreprises et de la sécurité des systèmes d’exploitation, fait le point sur les évolutions mises en place par l’éditeur.

Tout d’abord, les captures d’écran réalisées par Recall constituent une fonction que l’utilisateur devra délibérément activer. Il sera aussi possible de la désactiver à tout moment. 

En outre, les captures et données associés stockées dans la base de données vectorielle « sont toujours chiffrées », avec des clés protégées par la puce TPM. Elles ne peuvent être utilisées que dans une enclave sécurisée virtuelle (VBS). Ces enclaves « offrent une frontière d’isolation du noyau autant que des administrateurs ». 

Qui plus est, selon David Weston, les sessions de navigation Web privées « dans les navigateurs supportés ne sont jamais enregistrées ». Les utilisateurs peuvent également exclure des applications, et même des sites Web précis, des captures de Recall. De plus, « le filtrage des contenus sensibles est activé par défaut et permet d'éviter que les mots de passe, les numéros d'identification nationaux et les numéros de cartes de crédit ne soient stockés dans Recall ».