Outil « TotalRecall Reloaded » trouve une entrée dérobée vers la base de données Recall de Windows 11
Un chercheur en sécurité a découvert une nouvelle méthode pour accéder à la base de données Recall de Windows 11, contournant certaines des protections de sécurité mises en place par Microsoft. L’outil appelé « TotalRecall Reloaded » exploite ce que le chercheur décrit comme une « porte dérobée » vers les données sensibles capturées par la fonctionnalité controversée de Recall.
Recall est une fonction de Windows 11 qui prend régulièrement des captures d’écran de l’activité de l’utilisateur pour permettre une recherche ultérieure. La fonctionnalité a suscité d’importantes préoccupations en matière de confidentialité depuis son annonce, et Microsoft a depuis ajouté plusieurs couches de protection, notamment le chiffrement et l’authentification biométrique.
Cependant, le chercheur en sécurité Alexander Hagenah a découvert que même avec ces protections en place, il existe toujours des moyens d’accéder à la base de données Recall. Son outil TotalRecall Reloaded démontre comment un attaquant ayant un accès physique ou à distance à un ordinateur pourrait potentiellement extraire les données de Recall.
La vulnérabilité réside dans la façon dont Windows gère les processus système et les autorisations. Bien que la base de données Recall soit chiffrée et protégée par Windows Hello, l’outil peut accéder aux données en exploitant certains processus système légitimes qui ont déjà les autorisations nécessaires.
Hagenah a expliqué que son outil ne casse pas le chiffrement ni ne contourne directement Windows Hello. Au lieu de cela, il utilise une approche différente qui tire parti de la façon dont Windows gère la mémoire et les processus système.
Microsoft n’a pas encore commenté publiquement cette découverte spécifique. La société a précédemment déclaré que Recall est conçu avec la sécurité à l’esprit et que les données sont protégées par plusieurs couches de défense.
Cette découverte soulève de nouvelles questions sur la viabilité de la fonctionnalité Recall et si elle peut vraiment être sécurisée de manière adéquate. Les critiques ont longtemps soutenu que le stockage de captures d’écran constantes de l’activité des utilisateurs crée un risque de sécurité inhérent, quelles que soient les protections mises en place.
Pour l’instant, Recall reste une fonctionnalité optionnelle disponible uniquement sur certains PC Copilot Plus. Microsoft a reporté plusieurs fois son déploiement généralisé en réponse aux préoccupations de sécurité et de confidentialité.
La communauté de la sécurité continue de surveiller de près Recall, de nombreux experts recommandant aux utilisateurs de désactiver la fonctionnalité s’ils sont préoccupés par la confidentialité ou la sécurité. Cette dernière découverte ne fera probablement que renforcer ces recommandations.
