Au fil du temps, l’authentification biométrique devient de plus en plus importante. Nous avons vu cela dans la croissance des capteurs d’empreintes digitales et des logiciels de reconnaissance faciale, tels que Windows Hello et Face ID sur l’iPhone X. Mais à quel point ces méthodes d’authentification biométrique sont-elles infaillibles ? Dans le cas de Windows Hello, il se peut qu’il ne soit pas aussi sécurisé que vous le pensiez.
Dans un article publié sur son Pentest Blog, SySS GmbH décrit une série de tests récemment exécutés sur Windows Hello. Le but du test était de voir à quel point il est facile de tromper Windows Hello à travers quelque chose d’aussi inoffensif qu’une photo de la personne en question. Sur certaines versions de Windows, les deux chercheurs en sécurité de SySS GmbH — Matthias Deeg et Philipp Buchegger — ont découvert qu’une photo suffisait à duper Windows Hello.
Néanmoins, la photo a besoin d’être « spéciale ». Deeg et Buchegger expliquent qu’il n’y a que quatre caractéristiques qui rendent la photo qu’ils ont utilisée spéciale. La première est qu’elle montre une vue de face du visage de la personne, tandis que la seconde est qu’elle est prise avec une caméra infrarouge de près. Après que la photo a été prise, les deux chercheurs ont apporté de simples modifications au contraste et à la luminosité, et finalement, elle a été imprimée avec une imprimante laser.
Les résultats sont assez préoccupants. Sur leur premier appareil de test, qui était un Dell Latitude E7470 avec une caméra USB LilBit, ils ont été en mesure de tromper Windows Hello avec une impression photo sur toutes les versions de Windows 10 Pro qu’ils ont testées. Cependant, il y a des nouvelles plus encourageantes dans la mesure où les tests sur une Surface Pro 4 n’ont pas toujours été couronnés de succès.
L’anti-usurpation un élément clé de la sécurité de Windows Hello
La principale différence est que la Surface Pro 4 permet aux utilisateurs d’activer une fonctionnalité anti-usurpation améliorée. Quand celle-ci est activée, les tests sur les deux versions les plus récentes de Windows 10 Pro, 1709 et 1703, ont échoué. Cela signifie que Microsoft a amélioré la sécurité avec ces mises à jour. En résumé, si vous utilisez les versions 1709 ou 1703 de Windows 10 Pro et que vous avez la possibilité d’activer l’anti-usurpation, vous devez absolument le faire (bien que cela nécessite de réexécuter le processus de configuration de Windows Hello).
Cela fait partie du problème, car seules certaines configurations matérielles prennent en charge l’anti-usurpation améliorée. Cela va peut-être changer à l’avenir, mais ces tests montrent clairement que l’anti-usurpation est le facteur de différenciation quand il s’agit de savoir si Windows Hello peut être berné avec quelque chose d’aussi simple qu’une photo. SySS GmbH dit qu’elle va poursuivre ses recherches, et qu’elle partagera les résultats de celles-ci au printemps. Mais, pour l’instant, assurez-vous de lire ce premier rapport.
