Windows 10 et 11 : le lecteur d’empreinte est loin d’être infaillible, comme le prouvent ces chercheurs

Les experts en cybersécurité de Blackwing Intelligence ont été missionnés par Microsoft pour tester la vulnérabilité de l'authentification par empreinte digitale de Windows Hello, la fonctionnalité introduite dans Windows 10 qui permet de sécuriser votre compte par authentification biométrique.

empreinte laptop mains
Crédit : 123rf

Microsoft a demandé à Blackwing Intelligence de tester “la sécurité des trois principaux capteurs d'empreintes digitales intégrés dans les ordinateurs portables” utilisés par Windows Hello pour authentifier les empreintes digitales. Les chercheurs sont parvenus à exploiter diverses vulnérabilités sur trois PC (un ThinkPad T14 de Lenovo, un Dell Inspiron 15 et une Surface Pro X de Microsoft) pour passer outre Windows Hello.

Pour parvenir à leurs fins, les chercheurs ont opté pour une “Attaque de l'homme du milieu” (Man-in-the-middle attack) qui consiste à intercepter les communications entre le lecteur d’empreinte (ou tout autre capteur biométrique) et la puce intégrée dans le PC responsable de vérifier la concordance des données biométriques avec celles qui sont chiffrées “en dur”. Ils ont utilisé la rétro-ingénierie pour analyser le code et le matériel utilisé dans les capteurs de Synaptics et d’autres fabricants.

La reconnaissance digitale de Windows Hello n’est pas infaillible, ces chercheurs le prouvent

Ils ont ensuite exploité un défaut dans le code de la version personnalisée du TLS, un protocole de sécurisation des échanges, pour en implémenter leur propre version, piratée bien évidemment. En d’autres termes, avec beaucoup de savoir-faire, il est possible de créer un dispositif qui intercepte les données entre le lecteur d’empreintes légitime et la puce (ou le serveur) chargée de “matcher” les données. Une technique qui n’est pas à la portée de tout le monde, mais qui permet de voler le contenu d’un PC volé, par exemple.

D’après les scientifiques, ce problème pourrait être partiellement réglé si les fabricants de capteurs implémentaient correctement la technologie Secure Device Connection Protocol créée par Microsoft, ou mieux encore, s’ils la mettaient vraiment en place. En effet, seuls deux ordinateurs de test sur trois profitaient de cette fonctionnalité de sécurité. Certes, le SDCP n’est pas non plus la panacée, mais permet au moins d’assurer que le lecteur d’empreinte est authentifié (on peut lui faire confiance), qu’il n’a pas été trafiqué, et que les communications avec le système hôte sont protégées.


La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

Cette étrange orbite entre un trou noir et une étoile à neutrons défie les modèles actuels de la physique

Les collisions entre objets extrêmes révèlent souvent de nouvelles surprises. Des astronomes ont observé un comportement inattendu entre un trou noir et une étoile à neutrons. Leur orbite particulière remet…

Avec le Deebot T90 Pro Omni, ECOVACS lance un robot aspirateur silencieux ET puissant !

Vous cherchez un robot aspirateur qui s’intègre dans un salon comme un objet de design, nettoie en silence pendant une réunion Teams et n’a pas besoin que vous vous en…

Intel officialise les Core Ultra 270K Plus et 250K Plus, ses “processeurs de bureau gaming les plus puissants”

Les Core Ultra 270K Plus et 250K Plus sont les nouveaux processeurs d’Intel pour PC de bureau. Ils sont décrits comme “les plus puissants” jamais conçus par le fabricant pour…

Steam Machine : Valve annonce les performances à atteindre pour que les jeux soient considérés compatibles

Comme pour le Steam Deck, Valve va lancer un programme de vérification de compatibilité des jeux pour sa Steam Machine. La Game Developer Conference (GDC) 2026 bat son plein et…

ChatGPT débarque dans l’application Canal+, voici à quoi l’IA va servir

Canal+ annonce l’intégration de la technologie d’IA d’OpenAI au sein de son application. Le groupe audiovisuel français promet une expérience plus personnalisée et une recherche de contenus plus intuitive. Canal+…

TV

Windows 11 : ce nouveau Planificateur de tâches donne un sérieux coup lifting au système (spoiler : on l’a testé, on l’a adoré)

Le Planificateur des tâches fait partie de ces fonctionnalités de Windows qui aurait bien besoin d’un ravalement de façade. Un développeur indépendant vient justement de coiffer Microsoft au poteau en…

Le MacBook Neo d’Apple provoque un choc inattendu chez les fabricants de PC

Apple s’attaque désormais à un segment longtemps dominé par les fabricants de PC. Avec le MacBook Neo, la marque propose un ordinateur portable plus abordable que d’habitude. Ce lancement pousse…

PC

Proton VPN renforce sa protection contre les malwares et les traqueurs : jusqu’à six fois plus efficace

Proton VPN vient de mettre à jour l’une de ses fonctionnalités phares : NetShield. Directement intégré au VPN, ce bloqueur de publicités, de malwares et de traqueurs est désormais jusqu’à…

Test Bluetti Elite 300 : la station d’énergie portable haute capacité et compacte

Décidemment Bluetti est sur tous les fronts. Après le Charger 2 testé récemment, voici une toute nouvelle station d’énergie de la série Elite : l’Elite 300. Au programme, une capacité…

Bouygues Telecom veut augmenter le prix de tous ses abonnements Bbox chaque année, pour suivre l’inflation

Bouygues Telecom pourrait bouleverser le paysage des télécoms en France en adaptant le prix de ses abonnements Bbox tous les ans en fonction de l’inflation. Anciens comme nouveaux clients seraient…