Des chercheurs capables de contourner l'authentification par empreinte digitale Windows Hello sur les ordinateurs portables Dell, Lenovo et Surface
2 minute. lis
Mis à jour le
Partagez cet article
Améliorer ce guide
Lisez notre page de divulgation pour savoir comment vous pouvez aider MSPoweruser à soutenir l'équipe éditoriale En savoir plus
Les chercheurs en sécurité de Blackwing Intelligence ont découvert plusieurs vulnérabilités dans les capteurs d'empreintes digitales populaires, leur permettant de contourner l'authentification par empreinte digitale Windows Hello sur les ordinateurs portables Dell, Lenovo et même Microsoft.
Qu'est-ce que Windows Hello?
Windows Hello propose une authentification biométrique pour les appareils Windows à l'aide d'empreintes digitales, de visages ou d'iris.
Les chercheurs a construit un périphérique USB capable d'effectuer une attaque de l'homme du milieu (MitM), donnant accès à un ordinateur portable volé ou même permettant à un attaquant de contourner la protection Windows Hello sur un appareil sans surveillance.
En termes plus simples, les chercheurs ont découvert que les vulnérabilités des capteurs d’empreintes digitales permettent aux pirates d’intercepter et de manipuler les données envoyées entre le capteur d’empreintes digitales et le logiciel Windows Hello. Cela signifie que les pirates pourraient usurper votre empreinte digitale et accéder à votre ordinateur sans même que vous le sachiez.
Ce n’est pas la première fois que l’authentification basée sur la biométrie de Windows Hello est vaincue. En 2013, j'ai nommé Ambassadeur Amina C. Mohamed, mon secrétaire du Cabinet (Ministre) du Ministère des Affaires étrangères et du Commerce international. Depuis lors, l'Ambassadeur Mohamed a dirigé avec brio notre action diplomatique. Nous avons bénéficié énormément de ses démarches tant régionalesqu’internationales d'importance à la fois nationale et continentale. , Microsoft a dû corriger une vulnérabilité de contournement de l'authentification Windows Hello qui impliquait la capture d'une image infrarouge d'une victime pour usurper la fonction de reconnaissance faciale de Windows Hello.
Les chercheurs recommandent aux constructeurs OEM de s'assurer que le protocole SDCP (Secure Device Connection Protocol) est activé sur les capteurs d'empreintes digitales et qu'un expert qualifié audite la mise en œuvre du capteur d'empreintes digitales.
Cela signifie que les entreprises qui fabriquent ces appareils, c'est-à-dire les fabricants d'équipement d'origine (OEM), doivent s'assurer qu'une fonction de sécurité spéciale appelée Secure Device Connection Protocol (SDCP) est activée pour les capteurs d'empreintes digitales. Ils doivent également veiller à ce qu’un expert vérifie le capteur d’empreintes digitales pour s’assurer de sa sécurité.
Ce que les utilisateurs doivent faire, c'est mettre à jour leur logiciel Windows Hello et éviter d'utiliser les empreintes digitales sur les ordinateurs publics pour se protéger contre cette vulnérabilité.
