top of page

Recall : Risques de Sécurité, Exploit TotalRecall et Comment le Désactiver

La fonctionnalité Recall de Microsoft Copilot+ sur Windows 11 a fait couler beaucoup d’encre. Cette innovation permet de prendre constamment des captures d'écran de votre PC et de les stocker dans une base de données, rendant ainsi toutes vos activités informatiques recherchables instantanément par Copilot. Bien que cela puisse sembler pratique pour retrouver des informations rapidement, cette fonctionnalité pose de sérieuses questions en matière de confidentialité et de sécurité.


Qu'est-ce que la Fonctionnalité Recall ?

Recall, introduite avec Microsoft Copilot+ sur Windows 11, permet de retracer vos activités passées en prenant des instantanés (screenshots) de votre écran toutes les cinq secondes. Ces instantanés sont stockés localement et analysés pour permettre une recherche par langage naturel (Copilot). En théorie, cette fonctionnalité est conçue pour améliorer la productivité en offrant un accès rapide aux informations précédemment vues sur votre PC.


Problèmes de Sécurité avec Recall

L'article de Kevin Beaumont sur DoublePulsar met en lumière plusieurs préoccupations majeures :


Stockage Local des Données

Les captures d'écran sont stockées localement dans une base de données SQLite, accessible à tout utilisateur avec les bonnes permissions. Bien que les données soient traitées localement, leur stockage sous forme de texte brut dans des fichiers facilement accessibles représente une vulnérabilité significative. La base de données se trouve simplement dans un dossier dans AppData, ce qui la rend facilement accessible.


Accès Non Sécurisé

Malgré l'utilisation de chiffrement, les données peuvent être accédées par des logiciels malveillants lorsque l'utilisateur est connecté. Le chiffrement n'aide que si quelqu'un vole physiquement votre appareil, mais cela n'empêche pas un hacker d'accéder aux données via des logiciels malveillants. Par exemple, un trojan présent sur la machine pourra exfiltrer les données de Recall.


Exfiltration Facile

La facilité d'exfiltration des données est un autre aspect préoccupant de Copilot+ Recall. La base de données contenant les informations de l'utilisateur est relativement légère et peut être transmise rapidement via une connexion Internet standard. En quelques secondes, des mois d'enregistrement peuvent être exfiltrés sans que l'utilisateur ne s'en rende compte. Cette vulnérabilité ouvre la porte à des violations massives de données, où les informations des utilisateurs peuvent être rassemblées et vendues sur des marchés noirs.


Impact sur la Vie Privée

L'impact sur la vie privée des utilisateurs est peut-être la conséquence la plus alarmante de cette fonctionnalité. Copilot+ Recall stocke chaque interaction de l'utilisateur, y compris les sites web visités, les messages supprimés, les gestionnaires de mots de passes, les données médicales, etc. Pour faire simple, il screenshot tout chaque 5 secondes et conserver ces informations. Cette surveillance constante et l'incapacité à effacer définitivement des informations sensibles soulèvent des préoccupations majeures. La promesse de sécurité de Microsoft est fondamentalement compromise par cette fonctionnalité, qui transforme l'expérience personnelle de Windows en une source potentielle de violations de la vie privée.


TotalRecall : un exploit pour Recall

L'outil TotalRecall, développé par Alexander Hagenah, exploite cette vulnérabilité en extrayant et affichant les données collectées par la fonctionnalité Recall de Windows 11. Cet outil simple permet d'accéder facilement aux informations sur les instantanés d'activité de votre PC.


Fonctionnement de TotalRecall

TotalRecall copie la base de donnée "ukg.db" ainsi que le dossier contenant les captures d'écran "ImageStore", puis parse la DB et change l'extension des screenshots en .jpg pour en faciliter la lecture. Le tout permet de trouver des artefacts potentiellement intéressants. 😈 Vous pouvez définir des dates pour limiter l'extraction et rechercher des chaînes de texte spécifiques extraites par l'OCR de Copilot/Recall. Le processus est basique mais très efficace pour exposer les vulnérabilités de la fonctionnalité Recall.


Caractéristiques Clés de TotalRecall

  • Filtrage par Date : Limitez l'extraction à une période spécifique.

  • Recherche de Texte : Trouvez des informations spécifiques dans les données capturées.

  • Rapports Détaillés : Génère des rapports résumant les fenêtres capturées, les images prises, et les résultats de recherche.


Comment Désactiver Recall

Pour ceux qui souhaitent désactiver cette fonctionnalité pour protéger leur vie privée, voici un script que vous pouvez utiliser. Ce script, proposé par privacy.sexy, permet de désactiver Recall en modifiant le registre Windows.


privacy.sexy - disable Recall

Script pour Désactiver Recall


@echo off
:: https://privacy.sexy — v0.13.4 — Thu, 06 Jun 2024 07:48:34 GMT
:: Ensure admin privileges
fltmc >nul 2>&1 || (
    echo Administrator privileges are required.
    PowerShell Start -Verb RunAs '%0' 2> nul || (
        echo Right-click on the script and select "Run as administrator".
        pause & exit 1
    )
    exit 0
)
:: Initialize environment
setlocal EnableExtensions DisableDelayedExpansion


:: ----------------------------------------------------------
:: ----------------------Disable Recall----------------------
:: ----------------------------------------------------------
echo --- Disable Recall
PowerShell -ExecutionPolicy Unrestricted -Command "reg add 'HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsCopilot' /v 'DisableAIDataAnalysis' /t 'REG_DWORD' /d '1' /f"
:: ----------------------------------------------------------


:: Pause the script to view the final state
pause
:: Restore previous environment settings
endlocal
:: Exit the script successfully
exit /b 0

Étapes pour Exécuter le Script

  1. Créer un Fichier de Script :

  • Ouvrez un éditeur de texte comme le Bloc-notes.

  • Copiez le script ci-dessus et collez-le dans l'éditeur de texte.

  • Enregistrez le fichier avec une extension .bat, par exemple disable_recall.bat.

  1. Exécuter le Script en tant qu'Administrateur :

  • Faites un clic droit sur le fichier de script que vous avez créé.

  • Sélectionnez "Exécuter en tant qu’administrateur".

  1. Vérifier l'Exécution :

  • Le script va vérifier si vous avez les privilèges d'administrateur. Si ce n'est pas le cas, il vous demandera de le relancer avec ces droits.

  • Une fois exécuté, il ajoutera une entrée dans le registre pour désactiver l'analyse des données par l'IA de Microsoft Copilot.


Conclusion

La fonctionnalité Recall de Microsoft Copilot+ soulève des questions importantes sur la sécurité et la confidentialité des utilisateurs. Désactiver cette fonctionnalité peut être crucial pour protéger vos données personnelles. En suivant les étapes décrites ci-dessus, vous pouvez désactiver Recall et reprendre le contrôle de votre vie privée.


Enjoy 😎


AlexIn Tech


45 vues

コメント


コメント機能がオフになっています。
bottom of page