Le capteur d’empreinte digitale sur les ordinateurs Windows n’est pas si sûr que ça…

Le groupe de chercheurs en cybersécurité Blackwing Intelligence a identifié des failles majeures dans le système d'authentification par empreinte digitale Windows Hello, déployé sur les ordinateurs portables de fabricants tels que Dell, Lenovo et Microsoft. Cette méthode d'authentification biométrique, basée sur des caractéristiques biologiques comme l'empreinte digitale, offre une connexion simplifiée et sécurisée, éliminant la nécessité constante de saisir un mot de passe.

Au cours d'une enquête menée sur trois mois pour le compte du groupe Offensive Research and Security Engineering (MORSE) de Microsoft, les experts de Blackwing Intelligence ont ciblé les ordinateurs portables Dell Inspiron 15, Lenovo ThinkPad T14, ainsi que le type cover de l'appareil Microsoft Surface Pro avec identification par empreinte digitale. Les capteurs d'empreintes digitales de sociétés telles que Goodix, Synaptics et ELAN ont également été étudiés.

Des vulnérabilités du protocole de Windows

L'analyse approfondie du logiciel et du matériel, ainsi que l'examen du protocole Secure Device Connection Protocol (SDCP) de Microsoft, a permis de révéler des vulnérabilités présentes dans la mise en œuvre cryptographique du protocole TLS personnalisé. Ces failles permettent aux cybercriminels d'accéder à un ordinateur portable Windows en contournant le lecteur d'empreintes digitales via un périphérique USB équipé d'un lecteur, facilitant ainsi une attaque de type homme du milieu (MitM). Cette méthode permet aux acteurs malveillants d'obtenir des empreintes digitales valides dans la base de données Windows et même d'enregistrer les leurs, autorisant ainsi l'accès à l'ordinateur sans utiliser Windows Hello.

Il est à noter que cette technique n'est efficace que sur les appareils où le lecteur d'empreintes digitales a déjà été utilisé. Bien que le protocole SDCP fournisse un canal sécurisé entre l'hôte et les dispositifs biométriques, les chercheurs ont souligné que les fabricants d'appareils comprennent mal certains des objectifs du SDCP, laissant une surface d'attaque non couverte.

Blackwing Intelligence recommande aux fournisseurs de solutions d'authentification biométrique de garantir que le SDCP est activé en permanence et que ces solutions sont examinées par un expert tiers avant d'être déployées sur des ordinateurs. Ces découvertes soulèvent des préoccupations sérieuses quant à la sécurité des données biométriques sur les dispositifs Windows, nécessitant une action immédiate pour atténuer les risques potentiels.

La vulnérabilité identifiée par Blackwing Intelligence expose un risque significatif pour la confidentialité des utilisateurs, car elle permet aux attaquants d'accéder non seulement aux données stockées sur l'ordinateur portable, mais également aux informations sensibles liées aux empreintes digitales.

Cette menace compromet l'intégrité du système de sécurité biométrique, initialement conçu pour offrir une protection renforcée. Les implications de cette faille vont au-delà de l'accès non autorisé à l'ordinateur, car une fois les empreintes digitales compromises, les utilisateurs pourraient faire face à des risques plus graves, tels que l'usurpation d'identité et le potentiel accès à des systèmes plus sensibles.

Face à ces révélations, il est impératif que Microsoft, ainsi que les fabricants de dispositifs compatibles, prennent des mesures immédiates pour corriger ces vulnérabilités. Des mises à jour de sécurité doivent être déployées rapidement pour renforcer le système d'authentification Windows Hello et garantir la protection des données biométriques des utilisateurs. Parallèlement, il est essentiel que les utilisateurs finaux soient informés de ces risques potentiels et encouragés à mettre en œuvre les correctifs dès leur disponibilité.