Les smartphones utilisent l’authentification biométrique (empreintes digitales et visages) bien avant que celle-ci ne devienne plus courante sur les ordinateurs portables et même les ordinateurs de bureau. Le framework Windows Hello de Microsoft est sa tentative d’apporter le même mélange de commodité et de sécurité à sa plateforme de bureau, et, pour la plupart, il semble fonctionner assez bien.
De nouvelles recherches en matière de sécurité révèlent toutefois une faille fatale dans le processus de reconnaissance faciale de Windows Hello, qui pourrait contourner l’authentification à l’aide d’un périphérique USB personnalisé. Heureusement, l’exploitation de cette faille dans la vie réelle n’est pas aussi simple que la faille elle-même.
Le processus suivi par les chercheurs en sécurité de CyberArk montre à quel point il est facile de tromper Windows Hello, ou du moins son système de reconnaissance faciale. Pour que la reconnaissance faciale de Windows Hello fonctionne, Windows exige qu’un PC dispose d’une caméra dotée de capteurs RVB et IR. Il s’avère toutefois que seules les données du capteur IR sont essentielles pour contourner la sécurité de Windows.
Les chercheurs ont développé un dispositif USB à partir d’une carte d’évaluation NXP qui se présentait comme une caméra USB avec des capteurs RVB et IR. En réalité, le dispositif se contentait d’envoyer des images préétablies : des images IR du propriétaire réel et des images RVB de Bob l’éponge. Après plusieurs tests, les chercheurs ont découvert qu’ils n’avaient besoin que d’une image IR et d’une image RVB noire pour tromper Windows Hello.
Selon CyberArk, la vulnérabilité existe parce que Windows Hello permet aux périphériques externes d’agir comme des sources de données pour l’authentification biométrique. D’une part, il n’a pas d’autre choix que de le faire puisque tous les PC Windows ne disposent pas de caméras ou de capteurs d’empreintes digitales intégrés. D’autre part, la recherche prouve qu’il s’agit également du maillon le plus faible de ce qui devrait être un système de sécurité infaillible.
Une faille, mais…
Heureusement, ce n’est pas vraiment une catastrophe qui attend de se produire. Pour qu’un hacker puisse exploiter cette faiblesse, il doit obtenir des images IR du visage de la cible, ce qui n’est pas une mince affaire.
Il lui faudrait également avoir un accès physique à l’ordinateur de bureau ou portable et, à ce stade, il pourrait de toute façon trouver d’autres moyens de pénétrer dans le système.
