Les utilisateurs de Windows étaient ravis de voir des appareils dotés d'un système d'authentification biométrique basé sur une empreinte digitale (fingerprint), sur le modèle du Touch ID existant sur les ordinateurs portables et ordinateurs Apple. Le problème est que les choses ne se passent pas aussi bien sous Windows, avec des vulnérabilités d'authentification par empreinte digitale Windows Hello découvertes sur les meilleurs ordinateurs portables.

Des chercheurs en sécurité ont révélé que le système d'authentification par empreinte digitale Windows Hello, présent sur trois des ordinateurs portables Windows les plus populaires, n'offre pas le niveau de sécurité attendu. À la demande de Microsoft, la société de cybersécurité Blackwing Intelligence a mené des tests d'intrusion et a constaté que les trois ordinateurs portables avaient échoué à ces tests.

Malgré le fait que la Microsoft Surface ait été soumise à des tests, elle s'est avérée être le plus vulnérable des trois modèles testés, permettant de contourner facilement l'authentification biométrique par empreinte digitale Windows Hello.

L'équipe de recherche de Microsoft (MORSE) a explicitement demandé une évaluation de la sécurité des capteurs d'empreintes digitales les plus performants intégrés aux ordinateurs portables, mais les résultats ont montré de multiples vulnérabilités exploitées avec succès par l'équipe. Chaque ordinateur portable, y compris le Dell Inspiron 15 et le Lenovo ThinkPad T14, nécessitait des approches distinctes pour contourner les protocoles de sécurité existants.

Ces vulnérabilités d’authentification par empreinte digitale Windows Hello soulignent l’importance continue d’améliorer les systèmes d’authentification pour garantir un niveau de sécurité accru.

Vulnérabilités d’authentification par empreinte digitale Windows Hello sur Dell Inspiron 15

Dell Inspiron 15 présente d’importantes vulnérabilités d’authentification par empreinte digitale Windows Hello. Lorsque l'appareil est démarré sous Windows, il suit tous les protocoles de sécurité, notamment Secure Device Connection Protocol (SDCP). Ces protocoles effectuent des contrôles essentiels, comme s'assurer que l'hôte communique avec un appareil de confiance et que les données d'empreintes digitales ne sont pas stockées ou relayées. Cependant, l'équipe qui teste les vulnérabilités de Windows Hello a remarqué que si l'accès au lecteur d'empreintes digitales sous Windows utilise SDCP, ce n'est pas le cas pour Linux. Et ils ont eu une idée.

En démarrant le périphérique cible sous Linux et en utilisant le côté Linux pour saisir l'empreinte digitale de l'attaquant dans la base de données en spécifiant le même identifiant qu'un utilisateur légitime inscrit via Windows, l'équipe a identifié une vulnérabilité. Bien que cette tentative ait initialement échoué, suite à la découverte de bases de données distinctes sur puce pour Windows et Linux, il a été possible de déterminer comment Windows savait à quelle base de données accéder et était capable de la diriger vers celle de Linux.

Cela a ouvert la voie à la solution suivante, impliquant une attaque Man in the Middle (MitM). Voici les étapes pour cette vulnérabilité d'authentification par empreinte digitale Windows Hello Dell Inspiron 15.

1. Démarrez sous Linux.
2. Les identifiants valides sont répertoriés. Ainsi, ceux qui peuvent être autorisés sont déterminés.
3. L'enregistrement de l'empreinte digitale de l'attaquant en utilisant le même identifiant qu'un utilisateur Windows légitime est effectué.
4. Type d'attaque Man in the Middle (MitM) sur la connexion entre l'hôte et le capteur.
5. Le système démarre sous Windows.
6. Intercepter et réécrire le package de configuration pour pointer vers la base de données Linux à l'aide de l'attaque MitM.
7. L'authentification se fait en tant qu'utilisateur légitime avec l'empreinte digitale de l'attaquant.

Une méthode relativement simple pour le type d'utilisateur ayant une connaissance moyenne de l'architecture des systèmes d'exploitation Linux et des systèmes Windows.

Quant à la Microsoft Surface Pro 8/X, la vulnérabilité est encore plus simple à exploiter.

Vulnérabilité d’identification par empreinte digitale sur Microsoft Surface Pro Type Cover

Concernant la vulnérabilité identifiée sur le Microsoft Surface Pro Type Cover avec identification par empreinte digitale, l'équipe de recherche s'attendait à ce qu'un produit Microsoft officiel présente le plus haut degré de difficulté, mais elle a été stupéfaite de constater que la sécurité était incroyablement faible. Dans ce cas, l’absence de protocole SDCP (Secure Device Connection Protocol) était évidente, ainsi que la communication USB en texte clair (non crypté) et l’absence d’authentification.

Face à ce manque de sécurité, l’équipe a découvert qu’elle pouvait simplement débrancher le capteur d’empreintes digitales et brancher son propre appareil pour l’imiter. La procédure consistait à déconnecter le Type Cover (le pilote ne peut pas gérer deux capteurs connectés, devenant instable), à ​​connecter le périphérique d'attaque, à promouvoir le VID/PID du capteur, à observer le SID valide du pilote Windows, à passer le contrôle “how many fingerprints” et lancer l'authentification par empreinte digitale sur le système Windows, suivi de l'envoi d'une réponse de connexion valide à partir du périphérique usurpé.

En conclusion, ces vulnérabilités d’authentification par empreinte digitale Windows Hello ont mis en évidence les vulnérabilités importantes qui peuvent exister dans la mise en œuvre de systèmes d’authentification biométrique.

En rapport: Comment nous désactivons l'authentification avec la broche Hello Windows, également l'empreinte digitale dans Windows 10

Qu’est-ce que Windows Hello ?

Introduit pour la première fois avec le lancement du système d'exploitation Windows 10 et continuant à offrir des fonctionnalités améliorées sur les PC et ordinateurs portables Windows 11, Windows Hello est un moyen plus rapide et plus sécurisé d'obtenir un accès instantané aux appareils Windows.

Ce système d'authentification avancé vous donne la possibilité d'accéder aux appareils Windows 11 à l'aide d'un code PIN, d'une reconnaissance faciale ou d'une empreinte digitale. Pour profiter de ces options, vous devez configurer un code PIN lors de l'initialisation de l'empreinte digitale ou de la reconnaissance faciale, mais vous pouvez également vous authentifier avec uniquement votre code PIN.

Ces options facilitent non seulement la connexion à votre PC, mais la rendent également plus sécurisée, car votre code PIN est associé à un seul appareil et est sauvegardé pour être récupéré via votre compte Microsoft.