Des chercheurs ont découvert des vulnérabilités dans plusieurs scanners d’empreintes digitales pour les ordinateurs portables Windows. Il est même possible de controunet complètement Windows Hello.
Microsoft se vante fièrement que près de neuf utilisateurs de Windows sur dix, un chiffre qui remonte bien à 2020, utilisent Windows Hello pour se connecter sans mot de passe. Mais comment l’identification biométrique est-elle vraiment sûre ? Microsoft a elle-même chargé Blackwing de tester minutieusement les scanners d’empreintes digitales des ordinateurs portables de Dell, Lenovo et de sa propre gamme Surface. Le test montre que Windows Hello, lui aussi, n’est pas totalement sans faille.
Pour commencer, quelques mots sur le fonctionnement exact d’un scanner d’empreintes digitales. Il en existe de diverses variétés, mais dans les ordinateurs portables, on utilise généralement un scanner de type « match-on-chip ». Cela signifie que ton empreinte digitale est stockée sur la puce du scanner et non sur les serveurs de Microsoft. En posant le doigt sur le scanner, il recherche une correspondance dans sa base de données et, si la correspondance est positive, le scanner indique à Windows, via une connexion USB interne, qu’il s’agit bien de vous.
Windows Hello contourné
Les scanners d’empreintes digitales ne sont pas conçus par Microsoft, mais par des fabricants tiers. Blackwing a analysé les scanners de Goodix, Synaptics et ELAN. Tous les trois se sont révélés sensibles aux attaques « de l’homme du milieu », les uns plus que les autres, où le signal entre le scanner et Windows peut être intercepté.
Heureusement, il y avait des problèmes. Les chercheurs ont dû appliquer la rétro-ingénierie au logiciel et au matériel du scanner, en combinaison avec le recodage des protocoles de l’entreprise. Ils ont également découvert une faille dans l’implémentation cryptographique du capteur de Synaptics. Au final, les chercheurs ont pu contourner complètement Windows Hello une fois l’identification biométrique activée sur l’appareil. Lisez une analyse détaillée et une description de la méthodologie dans un blog.
Ce n’est pas la première fois que des chercheurs exposent les faiblesses de Windows Hello. La reconnaissance faciale peut également être contournée. Grâce à une image infrarouge d’une personne, il est possible de faire croire à la webcam d’un ordinateur portable que son propriétaire légitime est assis devant la caméra. Pour en savoir plus sur ce sujet, lisez ce blog de Cyberark.
Ce n’est pas Microsoft qui est responsable de ces vulnérabilités. Le géant du logiciel a justement développé le protocole Secure Device Connection Protocol pour éviter que la clé d’accès ne soit utilisée par d’autres personnes. Cependant, ce protocole n’était effectivement activé que sur un des trois appareils testés.
Plus sûr qu’un mot de passe
Bien que pirater Windows Hello exige déjà des compétences techniques poussées, il faut prendre les conclusions de ces études au sérieux. Après tout, les pirates deviennent de plus en plus habiles. Microsoft veut également investir massivement dans l’identification biométrique pour remplacer les mots de passe. Windows 11 a récemment commencé à prendre en charge les passkeys pour se connecter à des sites web grâce à Windows Hello.
L’identification biométrique a la réputation d’être plus sûre que les mots de passe. Cette réputation est vraie à 99 %, mais il apparaît maintenant qu’elle n’est pas encore complètement infaillible non plus. Les attaquants adopteront davantage leurs méthodes pour cette forme d’authentification dans les années à venir. Il est donc essentiel d’intégrer plusieurs couches d’authentification (AMF) pour garantir la protection de votre identité numérique.