Selon l'entreprise allemande Syss, spécialisée dans la sécurité informatique, cette fonctionnalité peut être trompée par une simple photo imprimée de façon particulière.
La reconnaissance faciale dans Windows 10 peu sécurisée
Dans une vidéo mise en ligne sur Youtube par Syss le 17 décembre 2017, les chercheurs en informatique Matthias Deeg et Philipp Buchegger montrent comment il leur a été possible d'ouvrir une session avec l'aide d'une simple photo. Cette dernière ne demande pas de gros efforts à être créée, puisqu'il s'agit tout simplement d'une photo imprimée par une imprimante laser avec une définition de 340*340 pixels.Seul détail, mais peu rassurant pour les utilisateurs de la fonction Windows Hello, la photo doit avoir été prise par une caméra infrarouge et avoir été légèrement modifiée par la suite. Mais pour les deux chercheurs, cette modification est un travail « négligeable » pour un hacker qui aurait l'intention d'accéder à l'ordinateur.
Les vieilles versions de Windows 10 trompées... et même celles plus récentes
Syss estime que la vulnérabilité est présente dans toutes les versions de Windows Hello et particulièrement toutes celles jusqu'à la première version de la Fall Creators Update, connues sous le nom de code Build 1703 et 1709. Dans les versions plus récentes, il semblerait que Microsoft ait amélioré le système de reconnaissance faciale.Toutefois, même ce système peut être facilement trompé avec le même type de photo, en réalisant d'autres modifications que les chercheurs estiment « négligeables » pour un hacker. D'une manière générale, donc, Windows Hello n'est pas un système biométrique sécurisé et les utilisateurs qui l'ont paramétré devraient réfléchir à revenir au plus classique mot de passe pour sécuriser leur session.
Reste à voir si Microsoft, désormais au courant de la faille, va réaliser des changements dans la future grosse mise à jour de Windows, la Redstone 4 attendue pour le printemps 2018, ou si la firme de Redmond va déployer une mise à jour de sécurité dans le cadre du programme Patch Tuesday.