Windows Hello n’est plus gage de sûreté, des hackers savent désormais le contourner

Plusieurs failles découvertes sur les lecteurs d'empreintes digitales...

 
Le système d’identification biométrique de Microsoft, Windows Hello, peut désormais être contourné par des hackers. Des chercheurs ont en effet découvert plusieurs failles de sécurité sur les capteurs d’empreintes utilisés par la majeure partie des constructeurs de PC exploitant Windows.
Windows Hello n’est pas aussi sécurisé que prévu… à cause de failles découvertes sur les lecteurs d’empreintes // Source : Sunrise King sur Unsplash

S’identifier par lecture d’une empreinte digitale sur un ordinateur Windows est finalement beaucoup moins sécurisé qu’il le faudrait. Des chercheurs en sécurité du cabinet Blackwing Intelligence ont en effet découvert plusieurs vulnérabilités critiques au sein des capteurs d’empreintes digitales utilisés par la plupart des partenaires de Microsoft… qui exploitent sur leurs machines son système d’identification biométrique : Windows Hello. Un dispositif dont la réputation est en partie écornée, puisqu’il peut être contourné par d’éventuels hacker, grâce aux vulnérabilités identifiées par les chercheurs de Blackwing.

Fait intéressant, ces failles de sécurité ont été identifiées après que la branche de Microsoft chargée de l’ingénierie et de la sécurité ait chargé Blackwing Intelligence de mettre à l’épreuve son dispositif Windows Hello, rapporte BFMTV. Les chercheurs ont alors testé les principaux capteurs d’empreintes du marché, qui se sont avérés être le maillon faible d’un système censé être inviolable.

Les fabricants de capteurs d’empreintes pointés du doigt

Parmi les capteurs passés au crible, ceux de Goodix, Synaptics et ELAN. Des capteurs très fortement diffusés sur le marché, employés entre autres par Dell, Lenovo ou encore Microsoft lui-même pour ses produits Surface. Pour les piéger, les spécialistes de Blackwing sont passé par une clé USB configurée de manière à contourner le système d’identification. Comment ? En s’appuyant sur un type d’attaque surnommé « l’homme du milieu ». En clair, « intercepter l’envoi d’une information entre deux points pour la modifier, sans que l’expéditeur ou le destinataire ne s’en rendent compte », résume BFM. Cette méthode permet alors de déverrouiller l’ordinateur cible sans se confronter à Windows Hello.

Les conclusions de Blackwing sont d’ailleurs inquiétantes. Elles ne mettent pas en cause le travail de Microsoft, mais la compréhension des enjeux par les constructeurs de capteurs d’empreintes eux-mêmes. Une perspective déconcertante.

« Microsoft a fait du bon travail en concevant le protocole Secure Device Connection Protocol (SDCP) pour fournir un canal sécurisé entre l’hôte et les dispositifs biométriques, mais malheureusement les fabricants de dispositifs semblent mal comprendre certains des objectifs », expliquent notamment les chercheurs de Blackwing.

Dans ce contexte, le géant de Redmond pourrait avoir du mal à résoudre le problème. La solution pourrait toutefois passer par la mise en place d’un audit pour veiller à ce que les fabricants installent correctement les dispositifs biométriques, et ce afin d’éviter la création de failles durant les processus de fabrication et d’implémentation des capteurs.


Rendez-vous un mercredi sur deux sur Twitch, de 17h à 19h, pour suivre en direct l’émission SURVOLTÉS produite par Frandroid. Voiture électrique, vélo électrique, avis d’expert, jeux ou bien témoignages, il y en a pour tous les goûts !