Des chercheurs ont réussi à contourner l’authentification par empreinte digitale Windows Hello de Microsoft

Un groupe de sécurité engagé par Microsoft pour tester son matériel et son logiciel d’authentification par empreinte digitale Windows Hello a publié un message indiquant qu’il était capable de contourner cette technologie sur un certain nombre d’ordinateurs portables, y compris un produit Microsoft Surface.

Le groupe Blackwell Intelligence a dévoilé ses conclusions en octobre dans le cadre de la conférence sur la sécurité BlueHat de Microsoft, mais n’a publié ses résultats sur son propre site que cette semaine (via The Verge< un je=2>). Le billet de blog, au titre accrocheur « A Touch of Pwn », indique que le groupe a utilisé les capteurs d’empreintes digitales du Dell Inspiron 15 et du Lenovo ThinkPad. Ordinateurs portables T14, ainsi que le Microsoft Surface Pro Type Cover avec identification par empreinte digitale conçu pour les tablettes Surface Pro 8 et X. Les capteurs d’empreintes digitales spécifiques ont été fabriqués par Goodix, Synaptics et ELAN.

Tous les capteurs d’empreintes digitales pris en charge par Windows Hello qui ont été testés utilisaient du matériel « match on chip », ce qui signifie que l’authentification est gérée sur le capteur lui-même, qui possède son propre microprocesseur et son propre stockage. Blackwell a déclaré :

Une base de données de « modèles d’empreintes digitales » (les données biométriques obtenues par le capteur d’empreintes digitales) est stockée sur la puce, et l’enregistrement et la mise en correspondance sont effectués directement dans la puce. Étant donné que les modèles d’empreintes digitales ne quittent jamais la puce, cela élimine les problèmes de confidentialité liés au matériel biométrique stocké et potentiellement exfiltré de l’hôte, même si l’hôte est compromis. Cette approche empêche également les attaques qui impliquent simplement l’envoi d’images d’empreintes digitales valides à l’hôte pour correspondance.

Blackwell a utilisé l’ingénierie inverse pour trouver des failles dans les capteurs d’empreintes digitales, puis a créé son propre périphérique USB capable d’effectuer une attaque de l’homme du milieu (MitM). Cet appareil leur a permis de contourner le matériel d’authentification par empreinte digitale de ces appareils.

Le blog a également souligné que même si Microsoft utilise le Secure Device Connection Protocol (SDCP) « pour fournir un canal sécurisé entre l’hôte et les appareils biométriques », deux des trois capteurs d’empreintes digitales testés n’avaient même pas le SDCP activé. Blackwell a recommandé à toutes les sociétés de capteurs d’empreintes digitales non seulement d’activer SDCP sur leurs produits, mais également de faire appel à une société tierce pour s’assurer que cela fonctionne.

Il convient de souligner que le contournement de ces produits matériels à empreintes digitales a nécessité « environ trois mois » de travail de la part de Blackwell, avec beaucoup d’efforts, mais le fait est qu’ils ont réussi. Il reste à voir si Microsoft, ou les sociétés de capteurs d’empreintes digitales, peuvent utiliser cette recherche pour résoudre ces problèmes.