L’empreinte digitale n’est plus un gage de sécurité. Des chercheurs missionnés par Microsoft ont révélé des vulnérabilités dans trois capteurs d’empreintes digitales intégrés dans les ordinateurs. Le mode opératoire a été dévoilé dans un rapport publié cet automne.
L’équipe d’experts s’est penché sur trois modèles : le Microsoft Surface Pro X, le Lenovo ThinkPad T14 et le Dell Inspiron 15. Tous les capteurs testés sont de type « Match-on-Chip », ce qui signifie que la puce stocke les données d’empreintes digitales. Il faut donc attaquer le composant pour de contourner l’authentification. Les opérations ont été menées en connectant un dispositif de piratage à chaque ordinateur portable, via USB, ou avec un dispositif Raspberry Pi 4 programmé à cet effet. Le processus est assez compliqué puisqu’il demande de décoder et de réimplanter des protocoles propriétaires.
Comment les hackers sont parvenus à tromper Windows
Avec U-Cyber 360°, la société française Mailinblack vous permet de protéger votre organisation et d’éduquer vos collaborateurs à la cybersécurité.
Du gestionnaire de mots de passe à la sécurisation des e-mails en passant par la formation continue ou les simulations d’attaques, cette solution regroupe tous les outils pour prévenir les risques cyber.
Dans le cas des modèles Dell et Lenovo, l’authentification par empreinte digitale Windows Hello a été contournée en énumérant les identifiants valides associés aux empreintes digitales de l’utilisateur. Les attaquants ont ensuite enregistré leur propre empreinte en usurpant l’identifiant du propriétaire de l’ordinateur.
Pour le Surface de Windows, le hacker doit d’abord débrancher le clavier Type Cover de l’écran, puisque celui-ci contient la puce. Les chercheurs y ont connecté un périphérique USB qui usurpe le capteur d’empreintes digitales et indique au système qu’un utilisateur autorisé est en train de se connecter. Le rapport offre plus de détails sur le processus pour copier les protocoles Windows.
« Microsoft a fait du bon travail en concevant le protocole pour fournir un canal sécurisé entre l’hôte et les appareils biométriques, mais malheureusement les fabricants d’appareils comprennent mal son intérêt, puisque tous les filtres de protection n’étaient pas activés », indiquent les chercheurs dans le rapport.
Microsoft a déclaré il y a trois ans que le nombre d’utilisateurs se connectant à leurs appareils Windows 10 en utilisant Windows Hello au lieu d’utiliser un mot de passe était passé de 69,4 % en 2019 à 84,7 %.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.