Pour de nombreux utilisateurs de Windows, la saisie d’un mot de passe pour déverrouiller un PC fait partie de l’histoire ancienne. En effet, avec Windows 10, Microsoft a introduit la fonctionnalité Hello, qui permet de déverrouiller le système d’exploitation en utilisant des informations biométriques, comme le visage ou les empreintes digitales. Et la firme de Redmond a toujours vanté la sécurité de ce système d’identification.
Cependant, un nouveau rapport publié par Blackwing remet tout cela en question. Dans sa publication, cette entreprise indique qu’à la demande d’une équipe de sécurité de Microsoft (Offensive Research and Security Engineering ou MORSE), elle a évalué la sécurité des scanners d’empreintes digitales sur PC. Plus exactement, Blackwing s’est penché sur les trois capteurs d’empreintes digitales les plus utilisés par les PC portables pour l’authentification par empreinte digitale de Windows Hello.
Ces travaux ont révélé des failles au niveau des trois PC utilisés. Blackwing a pu exploiter ces failles, pour complètement contourner la sécurité de Windows Hello, sur les trois machines. Ces trois PC étaient le Dell Inspiron 5, le Lenovo ThinkPad T14, et le Clavier Type Cover avec identification biométrique pour Surface Pro pour le Surface Pro 8 et le Surface X. Ces machines utilisent des capteurs fournis par les sociétés Goodix, Synaptics, et ELAN.
Méfiez-vous des capteurs
Selon Blackwing, il leur a fallu trois mois pour trouver des moyens de contourner les scanners d’empreintes de ces trois ordinateurs portables. Les détails techniques sont partagés sur le site de l’entreprise (la “source”, à la fin de cet article) et des informations supplémentaires pourraient être partagées plus tard. Mais en résumé, si ces chercheurs ont réussi à contourner l’authentification par empreintes digitales sur PC, des hackers pourraient aussi en être capables.
On ne sait pas encore comment Microsoft compte renforcer la sécurité de Windows Hello. Mais dans sa publication, Blackwing explique que la firme de Redmond a fait du bon boulot en concevant son protocole Secure Device Connection Protocol (SDCP), qui permet l’authentification biométrique sur Windows. L’entreprise blâme plutôt les fabricants qui ont mal compris les objectifs de ce protocole. Par ailleurs, Blackwing indique aussi que sur les trois PC utilisés lors de ses recherches, le protocole SDCP n’était activé que sur une machine.
Prochaine étape : Linux, Android et Apple
Pour résoudre ce problème, Blackwing recommande aux fabricants d’ordinateurs et aux fabricants de capteurs d’empreintes de s’assurer que le protocole SDCP de Microsoft est activé sur leurs produits. Blackwing recommande aussi à ces acteurs de consulter des auditeurs externes pour s’assurer de la bonne implémentation de l’authentification biométrique.
Sinon, dans sa publication, l’entreprise indique que ses futurs travaux pourraient se tourner vers d’autres systèmes d’exploitation : Linux, Android et l’écosystème Apple.
- Les chercheurs de Blackwing, à la demande de Microsoft, se sont penchés sur la sécurité des scanners d’empreintes digitales utilisés sur les PC
- Ils ont trouvé des failles qu’ils ont utilisées pour contourner l’identification sur 3 laptops différents (dont un produit Microsoft)
- Blackwing félicite le protocole proposé par Microsoft, mais évoque des problèmes au niveau de l’implémentation par les constructeurs d’ordinateurs et de scanners d’empreintes
- Prochainement, Blackwing pourrait mener des recherches similaires sur Linux, Android et sur l’écosystème Apple
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
