La connexion par empreinte digitale Windows Hello contournée par les chercheurs en sécurité

Les chercheurs en sécurité ont réussi à contourner la mesure d’authentification par empreinte digitale Windows Hello. Les chercheurs de Blackwing Intelligence, basé à New York, ont apparemment réussi à contourner l’authentification par empreinte digitale sur les ordinateurs portables Dell, Lenovo et Microsoft en exploitant une faille dans les capteurs d’empreintes digitales, en particulier ceux des meilleurs fabricants Goodix, Synaptics et ELAN.

Sur son site Blackwing Intelligence a publié un article détaillant comment elle a pu utiliser un MitM basé sur USB (« Man in the Middle ») pour contourner l’authentification Windows Hello et accéder à un appareil. Les résultats ont été présentés lors de la conférence Microsoft BlueHat du mois dernier. À l’heure actuelle, on ne sait pas exactement comment Microsoft va résoudre le problème.

Logiciel de reconnaissance faciale pour Windows 10 : le meilleur pour 2023

Microsoft encourage les mesures d’authentification biométrique depuis un certain temps et a signalé en 2020 que près de 85 % des utilisateurs d’ordinateurs portables sous Windows utilisaient Windows Hello pour se connecter à Windows 10 (en prenant en compte les simples connexions authentifiées par code PIN).

Bien que présentées comme un moyen plus sûr de protéger les appareils Windows, les mesures de connexion biométriques telles que l’analyse des empreintes digitales et la reconnaissance faciale ne sont pas infaillibles, comme l’a montré la présentation BlueHat de Blackwing Intelligence. Il y a quelques années Cyberark Labs a pu fournir une preuve de concept montrant comment la technologie de reconnaissance faciale de Windows Hello pouvait être contournée, toujours avec l’utilisation d’un Clé USB chargée d’une photo du visage de la cible. Microsoft a ensuite pu corriger cette vulnérabilité.

Pourtant, les fonctionnalités d’authentification biométrique sont de plus en plus répandues, y compris sur les appareils Windows.