Des chercheurs en sécurité sont récemment parvenus à démontrer que certains capteurs d'empreintes pouvaient tromper la vigilance de Windows Hello.
Vous connaissez peut-être Windows Hello, ce dispositif de connexion sécurisée, basé sur une « authentification biométrique ». En d'autres termes, Windows Hello permet à l'utilisateur de se connecter à ses appareils et applications avec son visage ou encore son empreinte digitale, sans oublier bien sûr un code PIN. À la demande de Microsoft, certains chercheurs en sécurité sont parvenus à dénicher certaines failles concernant le capteur d'empreintes.
Des failles dans les capteurs d'empreintes de certains PC
En effet, le service MORSE (pour Microsoft Offensive Research and Security Engineering) a demandé récemment à Blackwing Intelligence d'évaluer la sécurité des capteurs d'empreintes digitales. À ce titre, les chercheurs ont présenté leurs conclusions lors de la conférence BlueHat de Microsoft en octobre.
Ces derniers ont ainsi pu mettre en lumière des failles de sécurité présentes directement au sein des capteurs d'empreintes digitales de certains ordinateurs. C'est le cas de certains ordinateurs signés Dell et Lenovo… mais aussi de la Surface Pro X de Microsoft.
Des dispositifs biométriques mal installés
À condition de disposer de certaines connaissances en piratage informatique, il serait tout à fait possible de tromper la vigilance des capteurs en question, lesquels proviennent de chez Goodix, Synaptics ou encore ELAN. C'est le protocole SDCP (Secure Device Connection Protocol) qui est en cause, ce dernier n'étant pas toujours respecté par les fabricants.
C'est un dispositif USB, installé entre le pirate et l'ordinateur cible, qui permettrait d'outrepasser la sécurité Windows Hello, à condition bien sûr que ce dernier soit protégé par une authentification à base d'empreintes digitales. Les chercheurs indiquent toutefois que la manipulation reste très complexe, et nécessite notamment de décoder des protocoles propriétaires, avant de les réimplanter. Pas à la portée de tout le monde donc.
Ce n'est pas la première fois que la sécurité de Windows Hello est mise à mal. En 2021 déjà, certains avaient réussi à duper le système de reconnaissance faciale du système, même s'il fallait pour cela (entre autres) se procurer une capture d’image infrarouge du visage de la victime. Une faille alors rapidement corrigée par Microsoft.
Pour ce qui est de la sécurité, rappelons que Microsoft a récemment lancé une nouvelle fonctionnalité d'identification concernant Windows Hello, à base de passkeys.
- Refonte graphique de l'interface réussie
- Snap amélioré
- Groupes d'ancrage efficaces
Source : The Verge