Utilisez-vous votre empreinte digitale pour déverrouiller Windows ? Tu es en danger

Tout comme sur les téléphones mobiles, l’empreinte digitale est devenue une option très rapide, confortable et simple pour se connecter au PC. Depuis Windows 1o, le système d’exploitation dispose d’un outil, appelé Windows Hello, qui simplifie au maximum la connexion, en permettant d’utiliser la reconnaissance faciale, l’empreinte digitale, un code PIN, etc. Cependant, cette mesure de sécurité n’est peut-être pas aussi sécurisée qu’elle devrait l’être.

Il y a quelques jours, un groupe de chercheurs en sécurité de Intelligence de l’Aile Noire a signalé une série de failles de sécurité très graves dans les trois lecteurs d’empreintes digitales les plus courants du marché. De nombreux modèles sont concernés, mais l’un de ceux qui a le plus retenu notre attention est le lecteur inclus dans le Couverture de type Microsoft Surface Prola tablette 2-en-1 par excellence de Microsoft.

Les capteurs concernés par ces failles de sécurité sont de type MoC, c’est-à-dire Match sur puce. Ce type de capteurs se caractérise par l’utilisation de microprocesseurs intégrés avec lesquels ils vérifient les demandes d’authentification. C’est le moyen le moins coûteux de fabriquer un lecteur d’empreintes digitales, mais c’est aussi le moins sûr, car il ouvre plusieurs voies d’attaque aux pirates.

Pour prévenir ces vecteurs d’attaque, Microsoft a créé un protocole de connexion sécurisé, SDCP, grâce auquel il est garanti que le lecteur est digne de confiance et non manipulé. Cependant, les chercheurs ont découvert plusieurs techniques permettant d’échapper aux mesures de sécurité et d’usurper les connexions SDCP afin de réécrire la base de données d’empreintes digitales stockée par d’autres. Ils ont même découvert que l’une des puces, ELAN, utilisée par Microsoft Surface Pro, n’utilisait même pas la connexion SDCP, mais communiquait via USB non crypté.

Qu’est-ce que je peux faire?

Malheureusement, ces problèmes de sécurité ne dépendent pas de nous. Nous ne pouvons donc pas faire grand-chose. Ce sont les fabricants qui, s’ils veulent offrir aux utilisateurs la connexion la plus sécurisée possible, doivent mettre à jour le firmware des puces des lecteurs, ce qui, pour être honnête, est difficile à réaliser.

De plus, selon la nature du conception de lecteur d’empreintes digitales (par exemple, dans le cas de la Surface), il sera même impossible de le réparer sans une revue matérielle.

Désormais, la faille de sécurité existe, et elle est réelle. Mais est-ce que cela nous affecte vraiment ? La première chose que nous devons savoir est qu’il s’agit d’un bug assez compliqué à exploiter, il n’est donc pas accessible à tout le monde. Il nécessite également un accès physique à l’appareil (c’est-à-dire qu’il a été volé) et il faut d’abord échapper aux autres couches de sécurité, telles que BitLocker, pour pouvoir atteindre la fenêtre. Connexion Windows Hello.

Si l’on ajoute à tout ce qui précède que ces failles de sécurité ne sont pas publiques, mais ont été détectées par les chercheurs en sécurité de White Hat, il est difficile qu’elles finissent entre les mains de pirates. Dans tous les cas, si vous ne faites plus confiance à la sécurité de Windows Hello, vous pouvez toujours désactiver l’utilisation de votre empreinte digitale en vous connectant avec un code PIN, un mot de passe ou toute autre méthode que vous préférez.