Windows Hello, le système biométrique de Microsoft, est maintenant vulnérable aux attaques de pirates informatiques. Des experts en sécurité ont détecté diverses vulnérabilités dans les lecteurs d’empreintes digitales employés par la plupart des fabricants de PC qui utilisent Windows.

Il semble que l’authentification par empreinte digitale sur un PC Windows n’est pas aussi sûre qu’on pourrait le penser. Des experts en sécurité de Blackwing Intelligence ont découvert plusieurs failles importantes dans les lecteurs d’empreintes digitales qui sont utilisés par la majorité des collaborateurs de Microsoft. Ces collaborateurs utilisent le système biométrique de Microsoft, Windows Hello, sur leurs machines. Cette découverte a quelque peu entaché la réputation de ce système, puisqu’il est maintenant possible pour des pirates informatiques d’y accéder en exploitant ces vulnérabilités que les experts de Blackwing ont identifiées.

Ce qui est intéressant, c’est que ces vulnérabilités ont été découvertes après que Microsoft ait demandé à Blackwing Intelligence de tester la robustesse de son système Windows Hello. Les experts ont alors examiné les principaux lecteurs d’empreintes digitales disponibles sur le marché et ont découvert que ceux-ci étaient le point faible d’un système qui était supposé être inviolable.

Les fabricants de lecteurs d’empreintes digitales sont mis en cause

Les lecteurs d’empreintes digitales de Goodix, Synaptics et ELAN ont été particulièrement examinés. Ces lecteurs sont largement utilisés sur le marché, notamment par Dell, Lenovo et même Microsoft pour ses produits Surface. Pour les tromper, les experts de Blackwing ont utilisé une clé USB configurée pour contourner le système d’authentification. Comment ont-ils fait ? Ils ont utilisé une technique d’attaque connue sous le nom de « l’homme du milieu ». En d’autres termes, ils ont intercepté l’envoi d’informations entre deux points pour les modifier, sans que l’expéditeur ou le destinataire ne s’en rende compte. Cette technique leur a permis de déverrouiller l’ordinateur cible sans avoir à faire face à Windows Hello.

Les résultats de l’étude de Blackwing sont assez préoccupants. Ils ne mettent pas en cause le travail de Microsoft, mais plutôt la compréhension des enjeux par les fabricants de lecteurs d’empreintes digitales eux-mêmes. C’est une perspective assez déconcertante.

« Microsoft a fait un bon travail en concevant le Secure Device Connection Protocol (SDCP) pour fournir une connexion sécurisée entre l’hôte et les dispositifs biométriques, mais malheureusement, il semble que les fabricants de ces dispositifs aient du mal à comprendre certains des objectifs », expliquent les experts de Blackwing.

Dans ce contexte, il pourrait être difficile pour Microsoft de résoudre ce problème. Cependant, une solution possible serait de mettre en place un audit pour s’assurer que les fabricants installent correctement les dispositifs biométriques, afin d’éviter la création de vulnérabilités pendant les processus de fabrication et d’implémentation des lecteurs.

Articles Relatifs :

Microsoft vise à améliorer Windows 10 avec technologie de Windows 11 Windows 11: Nouvelles options pour un système plus léger Connaître son IP publique et privée : Comment Trouver Votre Adresse IP Android 13 percée malgré 2 ans de retard pour la majorité des utilisateurs Android