Windows Hello: l'authentification par empreinte digitale peut être contournée sur ordinateur
Dell, Lenovo, et même Microsoft. Sur de nombreux ordinateurs, il est possible d'accéder à une session à partir d'une empreinte digitale. Mais des chercheurs alertent sur des failles dans le système Windows Hello qui introduit la fonction, indique The Verge.
Les chercheurs en sécurité de Blackwing Intelligence ont découvert plusieurs vulnérabilités dans les capteurs utilisés par les fabricants d'ordinateurs. Ces constatations ont été faites après que la section chargée de l'ingénierie en recherche et sécurité de Microsoft a chargé Blackwing Intelligence d'évaluer l'efficacité de son système.
Parmi les capteurs testés, on retrouve les très populaires - et très diffusés - capteurs d'empreinte digitale de Goodix, Synaptics ou encore ELAN. Ce sont ces éléments qui sont mis en cause dans les failles observées. Pour contourner cette protection, les chercheurs ont eu recours à une clé USB pouvant outrepasser le système d'authentification, détaille Blackwing Intelligence sur son site.
Des objectifs mal compris par les fabricants
La technique repose sur une attaque de l'homme du milieu (Man in the Middle, en anglais). Cela consiste à intercepter l'envoi d'une information entre deux points pour la modifier, sans que l'expéditeur ou le destinataire ne s'en rendent compte. Il est ainsi possible de déverrouiller un ordinateur volé.
Il y a trois ans, Microsoft a indiqué que près de 85% des utilisateurs de Windows 10 utilisent Windows Hello pour accéder à leur session. Mais Blackwing Intelligence laisse entendre que Microsoft pourrait avoir du mal à corriger le problème.
"Microsoft a fait du bon travail en concevant le protocole Secure Device Connection Protocol (SDCP) pour fournir un canal sécurisé entre l'hôte et les dispositifs biométriques, mais malheureusement les fabricants de dispositifs semblent mal comprendre certains des objectifs", expliquent les chercheurs Jesse D'Aguanno et Timo Teräs.
Pour Blackwing Intelligence, il faudrait que Microsoft instaure un système d'audit pour s'assurer que les fabricants installent correctement les dispositifs biométriques. Cela permettrait d'éviter de créer des failles dans leur protocole de protection. Aujourd'hui, ce protocole n'est pas disponible sur deux des trois dispositifs examinés.
Seul problème, ces failles s'inscrivent dans un contexte où le recours à un mot de passe est de moins en moins nécessaire. Désormais, les passkeys tentent de supprimer les codes à retenir pour accéder aux services d'un téléphone - et dans une moindre mesure d'un ordinateur.
Les plus lus
Les images des aurores boréales observées dans le ciel français après une tempête solaire
Eurovision 2024: le parcours sans faute de Slimane, candidat pour la France
Incidents à répétition: faut-il vraiment redouter de voler à bord d'un Boeing?
Pourquoi Mbappé n'a pas annoncé sa signature au Real Madrid dans son message d'adieu au PSG
Jusqu'à 29°C à Bordeaux: où va-t-il faire le plus chaud ce samedi?