Windows Hello : des failles dans l’authentification par empreinte digitale

Deux chercheurs en cybersécurité de Blackwing Intelligence ont présenté, fin octobre 2023, les résultats d’une étude mandatée par Microsoft sur l’authentification Windows Hello. Cette dernière utilise l’empreinte digitale de l’utilisateur pour déverrouiller le PC, à l’aide d’une puce située sous le capteur. Les deux chercheurs ont réussi à tromper Windows Hello sur trois PC populaires de trois marques différentes, utilisant trois capteurs d’empreinte différents.

La méthode de compromission reste toutefois extrêmement complexe, puisqu’elle impose de décoder et de réimplanter des protocoles propriétaires. Dans le détail, les chercheurs ont testé le Microsoft Surface Pro X (équipé d’un capteur ELAN), le Lenovo ThinkPad T14 (avec un capteur Synaptics) et le Dell Inspiron 15 (avec un capteur Goodix).

C’est l’appareil de Microsoft qui leur a donné le plus de fil à retordre. Pour le compromettre, ils ont dû débrancher le clavier Type Cover, avant de connecter un périphérique USB usurpant le capteur d’empreintes. Les deux chercheurs indiquent qu’ils ont exploité des mauvaises configurations matérielles, plutôt qu’une vulnérabilité dans Windows Hello à proprement parler.

« Microsoft a fait du bon travail en concevant le protocole pour fournir un canal sécurisé entre l’hôte et les appareils biométriques, mais malheureusement les fabricants d’appareils comprennent mal son intérêt, puisque tous les filtres de protection n’étaient pas activés », peut-on ainsi lire dans le rapport.