Avec Windows Hello Microsoft promet à la fois une grande facilité d’usage de vos machines et une protection renforcée de vos données. Pour se faire le système d’identification biométrique emploie deux méthodes. Une reconnaissance faciale grâce à une webcam infrarouge ou une identification d’empreintes. Problème pour cette dernière méthode, elle n’est pas fiable.
Des machines signées Dell, Lenovo et Microsoft ont été utilisées par des chercheurs en sécurité de Blackwing Intelligence en outrepassant l’identification des lecteurs d’empreintes embarqués. De multiples vulnérabilités ont été découvertes dans le top trois des lecteurs d’empreintes employés par les constructeurs pour exploiter Windows Hello. Cela veut dire qu’une personne peut lancer une session sur une machine protégée par ce système sans avoir besoin de votre empreinte pour s’authentifier au préalable.
Des capteurs biométriques de Goodix, Synaptics et ELAN peuvent être outrepassés par l’emploi d’un accessoire USB qui permet de s’identifier sans problème. Cela n’est évidemment pas un gros souci pour de simples particuliers car on doute que des personnes entrent chez eux pour voler leurs données avec ce type de produit USB. Mais pour des entreprises ou des états, c’est évidemment un souci bien plus préoccupant. Si ce genre d’appareil USB se retrouvait publié et fabriqué en série, cela changerait totalement la donne car tout portable volé et protégé par Windows Hello pourrait être analysé et reformaté pour être revendu.
Dans la liste des machines qui ont été détournées, on note la présence d’un Dell Inspiron 15, d’un Lenovo ThinkPad T14 et d’une Surface Pro X de Microsoft. Le seul impératif pour que la méthode fonctionne étant qu’une empreinte ait été enregistrée au préalable. Ce qui revint à dire qu’une machine protégée par un mot de passe efficace sera mieux protégée qu’une solution protégée par une empreinte digitale… Cela pose problème quand on se rend compte que 85% des utilisateurs de Windows 10 emploient Windows Hello. Ce chiffre très important communiqué il y a trois ans par Microsoft tient toutefois également compte des identifications par code PIN1 et par reconnaissance faciale. En 2021, Microsoft était confronté à un problème similaire avec son identification faciale : les webcams embarquées étaient bernées par des captures d’images infrarouges des propriétaires. Leurs ordinateurs pouvant être ouverts sans qu’ils soient physiquement présents face à leurs machines.
A la décharge de Microsoft, les chercheurs de Blackwing Intelligence soulignent que les constructeurs ne suivent pas forcément toutes les directives de sécurité proposées. Beaucoup n’installent que le minimum pour ne profiter que du côté « Waouh » du dispositif. A savoir une identification facile et amusante… en oubliant une partie du protocole de sécurisation. Si celui-ci ne permet pas de régler la totalité du problème détecté ici, il aurait peut être permis une mise à jour globale du problème via une mise à jour de Windows. En l’état, il faudra que chaque constructeur se penche sur chaque machine pour déterminer comment résoudre cette faille. Autrement dit, il y des chances pour que pas mal de portables vendus sous Windows 10 n’en voient jamais la couleur.
Source : The Verge.
Notes :
| 2,5€ par mois | 5€ par mois | 10€ par mois | Le montant de votre choix |
« 85% des utilisateurs de Windows 10 emploient Windows Hello. Ce chiffre (…) tiens toutefois également compte des identifications par code PIN »
Je sais pas ce que ça donne en entreprise, mais côté particulier j’ai l’impression que peu de machines embarquent un lecteur d’empreintes digitales compatible Hello, donc ça doit surtout être l’utilisation du code PIN qui booste le chiffre.
Parce qu’avec la quasi obligation d’avoir un compte Microsoft pour ouvrir une session, et le fait que les mots de passe sécurisé pour email sont chiants à taper 20 fois par jour (encore plus sur un écran tactile), ça incite vraiment à utiliser le code PIN à la place.
Et pour les traces de doigts sur l’écran tactile, je confirme. J’utilise assez peu l’écran tactile de ma tablette, du coup les traces qui correspondent aux chiffres du code sont bien visibles.
Concernant les traces de doigts, certains sites utilisent un positionnement aléatoire du chiffre au sein d’un clavier virtuel pour pouvoir s’identifier…pourquoi pas Microsoft ?????
@Xo7: des chiffres
Pardon
« Ce qui revint à dire qu’une machine protégée par un mot de passe efficace sera mieux protégée qu’une solution protégée par une empreinte digitale… »
En plus des doutes sur la confidentialité, ça ne fonctionne pas comme prévu. Merci pour cette article !