Les capteurs d’empreintes digitales utilisés pour la reconnaissance biométrique de Windows Hello sont mal sécurisés, selon des chercheurs mandatés par Microsoft pour découvrir des failles dans le système d’authentification. Mission réussie donc, mais le danger demeure.
Windows Hello regroupe sous sa bannière plusieurs systèmes d’authentification de l’utilisateur : un code PIN de déverrouillage, la reconnaissance faciale, et celle des empreintes digitales. C’est justement cette dernière qui fait l’objet d’une publication de Blackwing Intelligence à qui Microsoft a demandé de fouiner à la recherche de vulnérabilités. Bonne pioche !
Microsoft Surface Pro 9 (Core i7, RAM 16 Go, SSD 256 Go) au meilleur prix Prix de base : 1 769 €
Voir plus d’offres
Des failles dans les capteurs
Les chercheurs en sécurité ont effectivement débusqué des failles dans un Inspiron 15 (Dell), ThinkPad T14 (Lenovo), et une Surface Pro X de Microsoft. Les capteurs d’empreinte digitale de ces portables, qui proviennent des fournisseurs Goodix, Synaptics et ELAN, peuvent prendre des vessies pour des lanternes. En l’occurrence, il est possible de tromper la reconnaissance biométrique avec l’aide d’un appareil USB qui fait l’intermédiaire entre le pirate et la machine.
L’attaque permet au hacker d’accéder à l’ensemble du contenu du PC. Pour y parvenir, il faut tout de même que l’ordinateur en question ait été protégé par une empreinte digitale, ce qui paraît logique. Bon courage tout de même aux pirates qui voudront se lancer dans cette manipulation : elle nécessite de décoder et de réimplanter des protocoles propriétaires, ce qui n’est pas à la portée du premier venu.
Les chercheurs de Blackwing Intelligence ont présenté leur découverte le mois dernier, durant une conférence BlueHat de Microsoft. L’éditeur sera-t-il en mesure de boucher ces failles ? Il va falloir travailler avec les sous-traitants pour qu’ils fassent leur part, à commencer par activer SDCP, le protocole de connexion sécurisée de Microsoft… Même si cette mesure ne couvre qu’un type d’attaque, ce sera déjà un premier pas vers une meilleure protection.
En 2021, des chercheurs avaient déjà identifié une faille dans Windows Hello, touchant cette fois la webcam. Microsoft avait alors fait le nécessaire pour corriger la vulnérabilité.
Lire Des chercheurs en sécurité ont réussi à tromper Windows Hello, la sécurité biométrique de Microsoft
Source :
Blackwing Intelligence