Le chercheur en sécurité Alexander Hagenah a publié un outil mis à jour baptisé TotalRecall Reloaded qui révèle des faiblesses dans la fonctionnalité Recall de Microsoft Windows 11. Malgré les refontes de sécurité opérées par Microsoft, l'outil peut intercepter les données des utilisateurs après l'authentification via Windows Hello sans nécessiter de privilèges d'administrateur. Microsoft soutient que cela ne constitue pas une vulnérabilité.
Il y a deux ans, Microsoft a introduit Recall dans le cadre de ses PC Copilot+, une fonctionnalité conçue pour suivre l'utilisation du PC via des captures d'écran afin de faciliter la remémoration des activités passées. Initialement critiqué pour le stockage de données non chiffrées, Microsoft a retardé son déploiement et amélioré la sécurité : les données sont désormais chiffrées, accessibles uniquement via Windows Hello, désactivées par défaut et mieux protégées contre l'inclusion d'informations sensibles telles que les données financières. Cependant, Hagenah soutient que si la base de données Recall elle-même, protégée par une enclave VBS, est « à toute épreuve », le processus AIXHost.exe qui traite les données manque de protections similaires. « Le coffre-fort est solide. Le camion de livraison ne l'est pas », a-t-il écrit sur la page GitHub de l'outil. L'outil TotalRecall Reloaded injecte une DLL dans AIXHost.exe, lui permettant de capturer des captures d'écran, du texte OCR et des métadonnées une fois l'utilisateur authentifié. Il peut également accéder aux captures d'écran récentes, aux métadonnées de la base de données ou supprimer l'intégralité de la base de données sans authentification, et continue d'intercepter des données même après la fermeture de Recall. Hagenah a signalé le problème au Microsoft Security Response Center le 6 mars ; l'entreprise l'a classé comme « non vulnérable » le 3 avril. Un porte-parole de Microsoft a déclaré : « Nous remercions Alexander Hagenah d'avoir identifié et signalé ce problème de manière responsable. Après une enquête approfondie, nous avons déterminé que les modèles d'accès démontrés sont conformes aux protections prévues et aux contrôles existants, et ne représentent pas un contournement d'une limite de sécurité ou un accès non autorisé aux données. La période d'autorisation dispose d'un délai d'expiration et d'une protection anti-hammering qui limitent l'impact des requêtes malveillantes. » Des applications comme Signal Messenger, AdGuard et Brave Browser ont mis en œuvre des solutions de contournement pour exclure leur contenu de Recall.
