Un expert en sécurité a de nouveau mis en évidence une faiblesse potentielle dans la sécurité de Windows Recall. Selon Microsoft, il n’y a aucun problème.
La fonction Windows Recall a déjà connu un long calvaire. Depuis l’annonce de la fonction il y a deux ans, Recall est sous le feu des critiques. La tempête s’était calmée pendant un certain temps, mais le chercheur en sécurité Alexander Hagenah remet le feu aux poudres. Via GitHub, il partage la manière dont la sécurité de Recall mise en œuvre par Microsoft peut être contournée.
L’expert n’en est pas à son coup d’essai. Il y a deux ans, il avait déjà développé un outil TotallRecall pour exposer les vulnérabilités de Recall. Aujourd’hui, il réitère son exploit avec TotallRecall Reloaded. Selon Hagenah, la faiblesse ne réside pas cette fois dans le « coffre-fort », mais dans la « camionnette ». Microsoft nie tout problème avec Recall.
Lancement difficile
Revenons d’abord au printemps 2024 : Microsoft annonce Recall lors de sa conférence Build. Recall est une fonction qui prend régulièrement des captures d’écran de ce qui se passe sur votre PC et les enregistre localement. Cela vous permet de retrouver rapidement des informations spécifiques, selon l’argumentaire de vente de Microsoft. La fonction utilise le NPU local et est donc exclusive aux PC Copilot+, ce qui a immédiatement fait de Recall l’emblème du label marketing de Microsoft.
L’annonce de Recall a été accueillie très froidement. Les utilisateurs de PC n’appréciaient guère que chaque clic de souris et chaque frappe de touche soient enregistrés. Il n’a pas fallu longtemps pour que les experts en sécurité voient des problèmes avec Recall. Au début, Microsoft avait oublié de penser à la sécurité, ce qui permettait à toute personne ayant accès à votre PC d’accéder sans effort à vos captures d’écran Recall et à d’éventuelles informations sensibles.
Microsoft a dû revoir sa copie. Des mesures de sécurité supplémentaires telles que l’opt-in, l’authentification avec Windows Hello, les enclaves VBS et le chiffrement au niveau de la puce TPM, obligatoire pour tout PC Windows 11, devaient éteindre les critiques. La fonction Recall a été déployée sur tous les appareils compatibles à partir de 2025. L’année dernière, notre rédaction l’avait déjà testée.
Camionnette non protégée
Tout est bien qui finit bien pour Recall ? Pas tout à fait. Hagenah a trouvé un nouveau maillon faible dans Recall. Bien que le chercheur reconnaisse que le « coffre-fort » de Recall est inviolable, la « camionnette » peut, elle, toujours être attaquée. La camionnette dont parle Hagenah est un processus AIXHost.exe non sécurisé qui transporte les captures d’écran, le texte et les métadonnées.
Le processus entre en action après que l’utilisateur s’est authentifié auprès de Recall avec Windows Hello. Ce moment spécifique de la chaîne semble avoir été négligé par Microsoft. Par conséquent, toute application s’exécutant sous le même utilisateur connecté peut y injecter du code. En effet, les privilèges standard de Windows permettent aux processus d’un même utilisateur d’avoir un accès étendu les uns aux autres. Les données de Recall peuvent ainsi se retrouver à la portée de tous.
Le chercheur souligne que cette méthode ne nécessite pas de piratage de Windows Hello ou du chiffrement de Recall. L’attaquant n’aurait qu’à attendre que vous vous connectiez normalement à Recall et, au bon moment, à profiter des processus légitimes pour récupérer les données.
Mais il a également découvert un moyen de demander des captures d’écran Recall en pleine résolution et de lire les métadonnées sans autorisation. Il décrit aussi un contournement pour la révocation de l’accès aux données en reconfigurant les droits d’accès. Ainsi, l’extraction de données peut se poursuivre discrètement, même après que l’utilisateur a fermé Recall.
Le coffre-fort de Recall est en titane, mais la camionnette doit rouler sans sécurité
Alexander Hagenah, chercheur en sécurité
Aucun problème selon Microsoft
Hagenah a d’abord partagé ses conclusions avec Microsoft avant de les rendre publiques sur GitHub. Cependant, il n’a pas été entendu par le géant du logiciel. La réponse de Microsoft est que la sécurité de Recall fonctionne comme prévu et qu’il n’est pas question d’une faille de sécurité. Microsoft n’enverra donc aucun correctif.
L’étude va, à tout le moins, relancer la discussion sur Recall. La fonction a accès à des informations sensibles sur votre PC, telles que des fichiers, des e-mails, mais aussi, par exemple, des mots de passe et des coordonnées bancaires que vous saisissez quelque part. Si vous souhaitez utiliser Recall, réfléchissez bien aux applications auxquelles vous voulez donner accès à l’outil. Votre PC n’a pas besoin de tout voir et de tout retenir.