Sécurité : Des chercheurs contournent la reconnaissance d’empreintes Windows Hello

Votre ordinateur portable dispose d’un capteur d’empreintes digitales pratique, mais est-il vraiment sécurisé? D’après les recherches menées par Blackwing Intelligence, des chercheurs ont réussi à contourner le système de reconnaissance d’empreintes digitales Windows Hello sur des ordinateurs portables Dell, Lenovo et Microsoft. Les fabricants devraient remédier à ce problème en adoptant des pratiques de sécurité strictes et cohérentes, selon Blackwing Intelligence.

Microsoft a demandé à Blackwing Intelligence d’étudier le système de reconnaissance d’empreintes digitales de Windows Hello en prévision de la conférence BlueHat de 2023. Blackwing Intelligence n’avait que trois mois pour mener ses recherches et a donc ciblé trois ordinateurs portables : le Dell Inspiron 15, le Lenovo ThinkPad T14 et le Microsoft Surface Pro X. Ces ordinateurs portables ont été choisis car ils contiennent les trois capteurs d’empreintes digitales intégrés les plus populaires (Goodix, Synaptics et ELAN).

Des vulnérabilités uniques ont été découvertes dans le système de reconnaissance d’empreintes digitales Windows Hello de chaque ordinateur portable. L’équipe de Blackwing Intelligence a utilisé un dispositif USB sur mesure pour exploiter ces vulnérabilités et contourner la connexion par empreinte digitale. En théorie, le protocole de connexion sécurisée de Microsoft (SDCP) devrait protéger les ordinateurs portables contre ce type d’attaque. Cependant, le SDCP n’est pas utilisé par le lecteur d’empreintes digitales du Thinkpad T13 ou du Surface Pro X, et Blackwing Intelligence a réussi à contourner le système SDCP de l’Inspiron 15 en redirigeant la base de données d’empreintes digitales de l’ordinateur portable sur Linux.

Étonnamment, le Surface Pro X s’est avéré être la victime la plus facile. Ce portable hybride aurait dû représenter un défi unique. Après tout, il est fabriqué par Microsoft et tourne sous le système d’exploitation Windows sur ARM. Mais, comme l’explique Blackwing Intelligence, n’importe quel périphérique USB peut se faire passer pour le capteur d’empreintes digitales du Surface Pro X (en usurpant son VID/PID). Le seul véritable obstacle posé par le Surface Pro X est un test de vérification du nombre d’empreintes digitales, qui demande au clavier amovible combien d’empreintes il a enregistrées (ceci est probablement pour éviter que deux utilisateurs de Surface Pro X ne se mélangent les claviers).

La bonne nouvelle est que ces attaques d’homme du milieu (MitM) nécessitent un accès physique à l’ordinateur portable de la victime. Et si vous êtes assez important pour être la cible d’une telle attaque, vous pouvez vous protéger en désactivant la connexion par empreinte digitale de votre ordinateur portable. Mais ces recherches mettent en évidence un fait gênant : les fabricants d’ordinateurs portables Windows, y compris Microsoft, ne suivent pas des pratiques de sécurité cohérentes.

Blackwing Intelligence demande à tous les fabricants d’ordinateurs portables et de capteurs d’empreintes digitales d’implémenter le SDCP et d’embaucher des auditeurs en sécurité tiers à l’avenir. Pour plus d’informations, veuillez consulter l’article A Touch of Pwn de Blackwing Intelligence ou regarder la présentation de la société lors de la conférence BlueHat.

Partager
Kamleu Noumi Emeric

Je suis un ingénieur en télécommunications et je suis le créateur du site tech-connect.info. J'ai une grande passion pour l'art, les hautes technologies, les jeux, les vidéos et le design. Aimant partager mes connaissances, Je suis également blogueur pendant mon temps libre. Vous pouvez me suivre sur ma page sociale Facebook.

Publié par
Kamleu Noumi Emeric

Articles récents

Pourquoi les bureauticiens doivent proposer des offres télécoms ?

Avec la transformation numérique qui bouleverse les entreprises de toutes tailles, les bureauticiens, traditionnellement associés…

20 août 2024

Votre smartphone est cassé ? Réparez-le !

Si vous lisez ces lignes, c'est peut-être que votre smartphone est cassé… La bonne nouvelle,…

12 août 2024

Conseils de la NSA : Redémarrez votre smartphone chaque semaine pour sa sécurité

Un document publié par la NSA met en avant l'importance de prendre des mesures concrètes…

16 juin 2024