Sécurité : Des chercheurs contournent la reconnaissance d’empreintes Windows Hello

Votre ordinateur portable dispose d’un capteur d’empreintes digitales pratique, mais est-il vraiment sécurisé? D’après les recherches menées par Blackwing Intelligence, des chercheurs ont réussi à contourner le système de reconnaissance d’empreintes digitales Windows Hello sur des ordinateurs portables Dell, Lenovo et Microsoft. Les fabricants devraient remédier à ce problème en adoptant des pratiques de sécurité strictes et cohérentes, selon Blackwing Intelligence.

Microsoft a demandé à Blackwing Intelligence d’étudier le système de reconnaissance d’empreintes digitales de Windows Hello en prévision de la conférence BlueHat de 2023. Blackwing Intelligence n’avait que trois mois pour mener ses recherches et a donc ciblé trois ordinateurs portables : le Dell Inspiron 15, le Lenovo ThinkPad T14 et le Microsoft Surface Pro X. Ces ordinateurs portables ont été choisis car ils contiennent les trois capteurs d’empreintes digitales intégrés les plus populaires (Goodix, Synaptics et ELAN).

Des vulnérabilités uniques ont été découvertes dans le système de reconnaissance d’empreintes digitales Windows Hello de chaque ordinateur portable. L’équipe de Blackwing Intelligence a utilisé un dispositif USB sur mesure pour exploiter ces vulnérabilités et contourner la connexion par empreinte digitale. En théorie, le protocole de connexion sécurisée de Microsoft (SDCP) devrait protéger les ordinateurs portables contre ce type d’attaque. Cependant, le SDCP n’est pas utilisé par le lecteur d’empreintes digitales du Thinkpad T13 ou du Surface Pro X, et Blackwing Intelligence a réussi à contourner le système SDCP de l’Inspiron 15 en redirigeant la base de données d’empreintes digitales de l’ordinateur portable sur Linux.

Étonnamment, le Surface Pro X s’est avéré être la victime la plus facile. Ce portable hybride aurait dû représenter un défi unique. Après tout, il est fabriqué par Microsoft et tourne sous le système d’exploitation Windows sur ARM. Mais, comme l’explique Blackwing Intelligence, n’importe quel périphérique USB peut se faire passer pour le capteur d’empreintes digitales du Surface Pro X (en usurpant son VID/PID). Le seul véritable obstacle posé par le Surface Pro X est un test de vérification du nombre d’empreintes digitales, qui demande au clavier amovible combien d’empreintes il a enregistrées (ceci est probablement pour éviter que deux utilisateurs de Surface Pro X ne se mélangent les claviers).

La bonne nouvelle est que ces attaques d’homme du milieu (MitM) nécessitent un accès physique à l’ordinateur portable de la victime. Et si vous êtes assez important pour être la cible d’une telle attaque, vous pouvez vous protéger en désactivant la connexion par empreinte digitale de votre ordinateur portable. Mais ces recherches mettent en évidence un fait gênant : les fabricants d’ordinateurs portables Windows, y compris Microsoft, ne suivent pas des pratiques de sécurité cohérentes.

Blackwing Intelligence demande à tous les fabricants d’ordinateurs portables et de capteurs d’empreintes digitales d’implémenter le SDCP et d’embaucher des auditeurs en sécurité tiers à l’avenir. Pour plus d’informations, veuillez consulter l’article « A Touch of Pwn«  de Blackwing Intelligence ou regarder la présentation de la société lors de la conférence BlueHat.