La sécurité biométrique continue de se généraliser peu à peu et de remplacer l’ancestral mot de passe. Les smartphones ont été parmi les premiers à généraliser le capteur d’empreinte digitale ou la reconnaissance faciale, mais les ordinateurs ne sont pas en reste.
C’est ainsi que Microsoft avait fait l’éloge de Windows Hello, une sécurité biométrique reposant sur la reconnaissance faciale. Néanmoins, puisque Windows est amené à tourner sur de très nombreuses configurations différentes, ce système ne serait pas si sécurisé que cela.
Une image infrarouge suffit à tromper le système
Pour faire fonctionner Windows Hello, votre ordinateur doit impérativement être équipé d’une webcam embarquant un capteur infrarouge en plus de son capteur principal, et cela afin de fournir des informations fiables au système permettant de déverrouiller l’ordinateur. Néanmoins, il semblerait que Windows ne soit pas trop regardant quant aux données infrarouges récoltées.
Comme l’explique Omer Tsarfati, chercheur en cybersécurité pour CyberArk auprès de Ars Technica, le système mis au point par Microsoft ne serait pas aussi sécurisé qu’il l’entend. « Nous avons cherché à trouver le point faible de la reconnaissance faciale » explique-t-il, en visant spécifiquement le système infrarouge.
Puisque Windows doit s’accommoder de nombreuses configurations différentes, il suffirait en réalité de remplacer les données fournies en temps réel par le capteur infrarouge par une image infrarouge du propriétaire de l’appareil. « Le plus simple pour un attaquant serait de prétendre être la caméra, parce que tout le système repose sur ses informations » précise le chercheur.
Néanmoins, ce type d’attaque n’est pas aussi simple que cela à mettre en place. L’assaillant doit en effet avoir accès à l’ordinateur ciblé et disposer d’une image infrarouge correcte du propriétaire de l’appareil. Cela n’empêche pas Microsoft de s’en inquiéter et d’avoir qualifié ce problème de « vulnérabilité de contournement de la fonction de sécurité Windows Hello » tout en publiant un énième patch de sécurité afin de colmater la faille.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
