S’identifier par lecture d’une empreinte digitale sur un ordinateur Windows est finalement beaucoup moins sécurisé qu’il le faudrait. Des chercheurs en sécurité du cabinet Blackwing Intelligence ont en effet découvert plusieurs vulnérabilités critiques au sein des capteurs d’empreintes digitales utilisés par la plupart des partenaires de Microsoft… qui exploitent sur leurs machines son système d’identification biométrique : Windows Hello. Un dispositif dont la réputation est en partie écornée, puisqu’il peut être contourné par d’éventuels hacker, grâce aux vulnérabilités identifiées par les chercheurs de Blackwing.
Fait intéressant, ces failles de sécurité ont été identifiées après que la branche de Microsoft chargée de l’ingénierie et de la sécurité ait chargé Blackwing Intelligence de mettre à l’épreuve son dispositif Windows Hello, rapporte BFMTV. Les chercheurs ont alors testé les principaux capteurs d’empreintes du marché, qui se sont avérés être le maillon faible d’un système censé être inviolable.
Les fabricants de capteurs d’empreintes pointés du doigt
Parmi les capteurs passés au crible, ceux de Goodix, Synaptics et ELAN. Des capteurs très fortement diffusés sur le marché, employés entre autres par Dell, Lenovo ou encore Microsoft lui-même pour ses produits Surface. Pour les piéger, les spécialistes de Blackwing sont passé par une clé USB configurée de manière à contourner le système d’identification. Comment ? En s’appuyant sur un type d’attaque surnommé « l’homme du milieu ». En clair, « intercepter l’envoi d’une information entre deux points pour la modifier, sans que l’expéditeur ou le destinataire ne s’en rendent compte », résume BFM. Cette méthode permet alors de déverrouiller l’ordinateur cible sans se confronter à Windows Hello.
Les conclusions de Blackwing sont d’ailleurs inquiétantes. Elles ne mettent pas en cause le travail de Microsoft, mais la compréhension des enjeux par les constructeurs de capteurs d’empreintes eux-mêmes. Une perspective déconcertante.
« Microsoft a fait du bon travail en concevant le protocole Secure Device Connection Protocol (SDCP) pour fournir un canal sécurisé entre l’hôte et les dispositifs biométriques, mais malheureusement les fabricants de dispositifs semblent mal comprendre certains des objectifs », expliquent notamment les chercheurs de Blackwing.
Dans ce contexte, le géant de Redmond pourrait avoir du mal à résoudre le problème. La solution pourrait toutefois passer par la mise en place d’un audit pour veiller à ce que les fabricants installent correctement les dispositifs biométriques, et ce afin d’éviter la création de failles durant les processus de fabrication et d’implémentation des capteurs.
Rendez-vous un mercredi sur deux sur Twitch, de 17h à 19h, pour suivre en direct l’émission SURVOLTÉS produite par Frandroid. Voiture électrique, vélo électrique, avis d’expert, jeux ou bien témoignages, il y en a pour tous les goûts !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix