Un groupe de sécurité engagé par Microsoft pour tester le matériel et le logiciel d'authentification par empreinte digitale Windows Hello a publié des informations selon lesquelles il a réussi à contourner cette technologie sur un certain nombre d'ordinateurs portables, y compris un produit Microsoft Surface.Le groupe Blackwing Intelligence a révélé ses découvertes en octobre dans le cadre de la conférence de sécurité BlueHat de Microsoft, mais n'a publié ses résultats sur son propre site que cette semaine. Le billet de blog, au titre accrocheur "A Touch of Pwn", indique que le groupe a utilisé les capteurs d'empreintes digitales des ordinateurs portables Dell Inspiron 15 et Lenovo ThinkPad T14, ainsi que la Microsoft Surface Pro Type Cover with Fingerprint ID fabriquée pour les tablettes Surface Pro 8 et X. Les capteurs d'empreintes digitales en question ont été fabriqués par Goodix, Synaptics et ELAN.
Tous les capteurs d'empreintes digitales compatibles avec Windows Hello qui ont été testés utilisaient du matériel "match on chip", ce qui signifie que l'authentification est gérée sur le capteur lui-même, qui dispose de son propre microprocesseur et de son propre stockage. Blackwing a déclaré :
Une base de données de "modèles d'empreintes digitales" (les données biométriques obtenues par le capteur d'empreintes digitales) est stockée sur la puce, et l'enrôlement et la correspondance sont effectués directement dans la puce. Comme les modèles d'empreintes digitales ne quittent jamais la puce, cela élimine les problèmes de confidentialité liés au stockage et à l'exfiltration potentielle de données biométriques à partir de l'hôte, même en cas de compromission de ce dernier. Cette approche empêche également les attaques qui consistent simplement à envoyer des images d'empreintes digitales valides à l'hôte pour qu'il les compare.
Blackwing a eu recours à l'ingénierie inverse pour trouver des failles dans les capteurs d'empreintes digitales et a ensuite créé son propre dispositif USB capable de réaliser une attaque de type "man-in-the-middle" (MitM). Ce dispositif leur a permis de contourner le matériel d'authentification des empreintes digitales de ces appareils.
Le blog souligne également que si Microsoft utilise le protocole Secure Device Connection Protocol (SDCP) "pour fournir un canal sécurisé entre l'hôte et les dispositifs biométriques", deux des trois capteurs d'empreintes digitales testés n'avaient même pas activé le SDCP. Blackwing recommande à tous les fabricants de capteurs d'empreintes digitales d'activer le protocole SDCP sur leurs produits et de demander à une société tierce de s'assurer de son bon fonctionnement.
Il convient de souligner que le contournement de ces produits matériels à empreintes digitales a demandé "environ trois mois" de travail à Blackwing, avec beaucoup d'efforts, mais le fait est qu'ils ont réussi. Il reste à voir si Microsoft ou les fabricants de capteurs d'empreintes digitales peuvent utiliser ces recherches pour résoudre ces problèmes.
Source : Blackwing
Et vous ?
Pensez-vous que cette recherche de Blackwing est crédible ou pertinente ? Quel est votre avis sur le sujet ?Voir aussi :
Des chercheurs en sécurité déjouent Windows Hello en trompant une webcam du système de reconnaissance faciale : une photo infrarouge et une trame vidéo leur ont suffi Microsoft prévoit de mettre fin au mot de passe en 2021 pour s'appuyer sur de nouvelles méthodes d'authentification comme Windows Hello, Microsoft Authenticator et la biométrie Les attaquants peuvent contourner l'authentification basée sur l'empreinte digitale, avec un taux de réussite d'environ 80 %, selon une nouvelle étude