Windows 10 et 11 : le lecteur d’empreinte est loin d’être infaillible, comme le prouvent ces chercheurs

Les experts en cybersécurité de Blackwing Intelligence ont été missionnés par Microsoft pour tester la vulnérabilité de l'authentification par empreinte digitale de Windows Hello, la fonctionnalité introduite dans Windows 10 qui permet de sécuriser votre compte par authentification biométrique.

empreinte laptop mains
Crédit : 123rf

Microsoft a demandé à Blackwing Intelligence de tester “la sécurité des trois principaux capteurs d'empreintes digitales intégrés dans les ordinateurs portables” utilisés par Windows Hello pour authentifier les empreintes digitales. Les chercheurs sont parvenus à exploiter diverses vulnérabilités sur trois PC (un ThinkPad T14 de Lenovo, un Dell Inspiron 15 et une Surface Pro X de Microsoft) pour passer outre Windows Hello.

Pour parvenir à leurs fins, les chercheurs ont opté pour une “Attaque de l'homme du milieu” (Man-in-the-middle attack) qui consiste à intercepter les communications entre le lecteur d’empreinte (ou tout autre capteur biométrique) et la puce intégrée dans le PC responsable de vérifier la concordance des données biométriques avec celles qui sont chiffrées “en dur”. Ils ont utilisé la rétro-ingénierie pour analyser le code et le matériel utilisé dans les capteurs de Synaptics et d’autres fabricants.

La reconnaissance digitale de Windows Hello n’est pas infaillible, ces chercheurs le prouvent

Ils ont ensuite exploité un défaut dans le code de la version personnalisée du TLS, un protocole de sécurisation des échanges, pour en implémenter leur propre version, piratée bien évidemment. En d’autres termes, avec beaucoup de savoir-faire, il est possible de créer un dispositif qui intercepte les données entre le lecteur d’empreintes légitime et la puce (ou le serveur) chargée de “matcher” les données. Une technique qui n’est pas à la portée de tout le monde, mais qui permet de voler le contenu d’un PC volé, par exemple.

D’après les scientifiques, ce problème pourrait être partiellement réglé si les fabricants de capteurs implémentaient correctement la technologie Secure Device Connection Protocol créée par Microsoft, ou mieux encore, s’ils la mettaient vraiment en place. En effet, seuls deux ordinateurs de test sur trois profitaient de cette fonctionnalité de sécurité. Certes, le SDCP n’est pas non plus la panacée, mais permet au moins d’assurer que le lecteur d’empreinte est authentifié (on peut lui faire confiance), qu’il n’a pas été trafiqué, et que les communications avec le système hôte sont protégées.


La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

L’Arcom s’attaque au streaming sportif illégal sur Telegram

L’Autorité de Régulation de la Communication Audiovisuelle et Numérique tacle l’application de messagerie privée Telegram. Selon l’organisme, elle n’agit pas assez vite pour lutter contre la retransmission illégale de rencontres…

Cette IA bat les médecins aux urgences, mais les chercheurs refusent de s’emballer

Les intelligences artificielles battent les médecins aux urgences, et une nouvelle étude le prouve. Mais derrière les chiffres impressionnants se cachent des limites que personne n’évoque assez. Les auteurs de…

IA

Ce bonus astronomique pousse Elon Musk à coloniser Mars à tout prix

SpaceX vient de lier la rémunération d’Elon Musk à un objectif vertigineux. Pour toucher sa prime, le milliardaire doit établir une colonie humaine d’un million d’habitants sur Mars. Ce pari…

Victoire pour le piratage : l’action de l’Arcom est jugée illégale par le Conseil d’État, qu’est-ce que ça change ?

Le Conseil d’État a rendu son verdict et juge que le dispositif de « réponse graduée » pour lutter contre le piratage en ligne d’œuvres protégées n’est pas légal. Il…

Gemini va perdre ses voix actuelles, pour quel remplaçant ?

Google prépare la suppression des voix actuelles utilisées pour son assistant vocal IA Gemini. Par quoi seront-elles remplacées ? Apprêtez-vous à être bientôt surpris par la voix de l’assistant Gemini….

IA

Jusqu’à -520 € sur le Pixel 10 Pro XL : Boulanger brade le smartphone Google pour les French Days

Le Pixel 10 Pro XL, smartphone le plus avancé de Google, perd 320 € sur son prix, avec 200 € de bonus reprise en plus. De quoi économiser pas moins…

Réparer un smartphone Samsung coûte plus cher que réparer un iPhone

Selon une analyse d’experts en assurance, faire réparer un smartphone Samsung revient plus cher que de faire réparer un iPhone via les programmes Samsung Care+ et AppleCare+. Quand on achète…

Facebook, WhatsApp et Instagram ont perdu 20 millions d’utilisateurs en seulement 3 mois

Dans son dernier bilan financier, Meta annonce avoir perdu pas moins de 20 millions d’utilisateurs sur le dernier trimestre sur l’ensemble de ses applications. La bourse n’a pas tardé à…

On peut désormais jouer à Super Smash Bros. sur PC sans émulateur, mais…

Super Smash Bros. en natif sur PC ? C’est ce que propose le jeu BattleShip, généré à 100 % par IA. Le créateur du projet décrit le processus qu’il a…

IA

French Days Dyson V8 Advanced : l’aspirateur balai passe à petit prix, c’est le bon moment pour craquer !

Les aspirateurs Dyson sont réputés pour être puissants, mais également hors de prix. Heureusement, durant les French Days, vous pouvez vous équiper en faisant de belles économies. Normalement en vente…

Retrouvez sur Phonandroid toute l’actualité autour de l’OS mobile de Google. Le site est une véritable mine d’or autour des produits Android et bien plus ! Vous cherchez un téléphone ou souhaitez maîtriser parfaitement le votre ? Nos articles, dossiers et tutoriels sont là pour vous informer et vous guider. Votre smartphone n’aura plus aucun secret pour vous. Nous vous ferons découvrir les meilleures applications android sur le Google Play. Si les tablettes vous intéressent, vous pourrez suivre l’actualité des différentes marques. Elles sont nombreuses et s’y retrouver est compliqué. Phonandroid et son forum sont là pour vous informer et vous guider.