Windows Hello : la reconnaissance faciale un peu trop facile à berner ?

Microsoft

Par Remi Lou le

Le système de reconnaissance faciale mis au point par Microsoft pourrait être contourné assez facilement, d’après des chercheurs en cybersécurité.

Windows Hello
© Windows / Unsplash

La sécurité biométrique continue de se généraliser peu à peu et de remplacer l’ancestral mot de passe. Les smartphones ont été parmi les premiers à généraliser le capteur d’empreinte digitale ou la reconnaissance faciale, mais les ordinateurs ne sont pas en reste.

C’est ainsi que Microsoft avait fait l’éloge de Windows Hello, une sécurité biométrique reposant sur la reconnaissance faciale. Néanmoins, puisque Windows est amené à tourner sur de très nombreuses configurations différentes, ce système ne serait pas si sécurisé que cela.

Une image infrarouge suffit à tromper le système

Pour faire fonctionner Windows Hello, votre ordinateur doit impérativement être équipé d’une webcam embarquant un capteur infrarouge en plus de son capteur principal, et cela afin de fournir des informations fiables au système permettant de déverrouiller l’ordinateur. Néanmoins, il semblerait que Windows ne soit pas trop regardant quant aux données infrarouges récoltées.

Comme l’explique Omer Tsarfati, chercheur en cybersécurité pour CyberArk auprès de Ars Technica, le système mis au point par Microsoft ne serait pas aussi sécurisé qu’il l’entend. « Nous avons cherché à trouver le point faible de la reconnaissance faciale » explique-t-il, en visant spécifiquement le système infrarouge.

Puisque Windows doit s’accommoder de nombreuses configurations différentes, il suffirait en réalité de remplacer les données fournies en temps réel par le capteur infrarouge par une image infrarouge du propriétaire de l’appareil. « Le plus simple pour un attaquant serait de prétendre être la caméra, parce que tout le système repose sur ses informations » précise le chercheur.

Néanmoins, ce type d’attaque n’est pas aussi simple que cela à mettre en place. L’assaillant doit en effet avoir accès à l’ordinateur ciblé et disposer d’une image infrarouge correcte du propriétaire de l’appareil. Cela n’empêche pas Microsoft de s’en inquiéter et d’avoir qualifié ce problème de « vulnérabilité de contournement de la fonction de sécurité Windows Hello » tout en publiant un énième patch de sécurité afin de colmater la faille.