Certains OEM n’utilisent pas toutes les fonctionnalités de sécurité de Microsoft
En bref: Microsoft et d’autres géants de la technologie encouragent un virage général vers la biométrie – généralement considérée comme plus sécurisée que les mots de passe classiques. Cependant, les recherches ont montré à plusieurs reprises que la biométrie n’est pas infaillible, et une étude récente démontre comment un seul maillon faible dans une chaîne de production complexe peut compromettre l’ensemble d’un système de sécurité.
Une société de renseignement a récemment commencé à partager des preuves de concept pour contourner l’authentification par empreinte digitale Windows Hello sur certains des ordinateurs portables les plus populaires. Dans chaque cas, le principal défaut était la communication entre le lecteur d’empreintes digitales et le reste du système.
Microsoft a demandé aux chercheurs de Blackwing Intelligence de déchiffrer les implémentations de Windows Hellow dans trois principaux modèles d’ordinateurs portables dotés de capteurs d’empreintes digitales à l’aide de cette fonctionnalité : un Dell Inspiron 15, un Lenovo ThinkPad T14 et un clavier amovible avec capteur d’empreintes digitales pour Microsoft Surface Pro. Blackwing a réussi à compromettre les trois en utilisant diverses méthodes, dont aucune n’impliquait des méthodes de piratage biométrique typiques comme l’utilisation de photos.
Pour empêcher les attaquants de copier des données biométriques telles que les empreintes digitales ou les scans faciaux, les authentificateurs de sociétés comme Microsoft et Apple conservent les informations sur des puces distinctes, inaccessibles au stockage principal d’un appareil. Cependant, ces puces doivent toujours indiquer au système d’exploitation lorsqu’elles reçoivent la signature correcte. Ce signal est le point faible exploité par les chercheurs.
Microsoft a conçu un système appelé Secure Device Connection Protocol (SDCP) pour protéger la connexion entre les capteurs d’empreintes digitales et leurs appareils hôtes. Cependant, parmi les produits testés par Blackwing, seul le Dell Inspiron l’utilisait et sa mise en œuvre n’était pas parfaite.
La faiblesse de cet appareil réside dans sa capacité à effectuer un double démarrage sous Windows et Linux, qui certifient différemment les empreintes digitales. Blackwing a découvert qu’un attaquant pouvait enregistrer son empreinte digitale sous Linux et la faire correspondre à l’identifiant Windows de quelqu’un d’autre, bien que le processus soit complexe et nécessite du matériel supplémentaire, notamment un Raspberry Pi 4.
Blackwing a vaincu le Thinkpad grâce à une négociation similaire entre Windows et Linux, mais les chercheurs ont découvert que Lenovo expédiait le portable avec le SDCP désactivé. Au lieu de cela, l’entreprise utilise un système personnalisé qui déchiffre les données d’empreintes digitales avec une clé basée sur le nom de produit et le numéro de série de chaque machine.
L’accessoire Surface Pro de Microsoft a une sécurité particulièrement faible pour son capteur d’empreintes digitales. Il n’engage pas non plus SDCP et communique en texte clair sans couches d’authentification supplémentaires. Les chercheurs ont découvert qu’ils pouvaient usurper une pièce d’identité en utilisant pratiquement n’importe quel périphérique USB.
Blackwing prévoit de publier éventuellement plus de détails sur ses recherches. Le groupe suggère que les OEM utilisant Windows Hello activent SDCP et testent minutieusement leurs implémentations. Cependant, comme les exploits nécessitent un accès physique à chaque appareil, les connexions biométriques restent plus sécurisées que les mots de passe.
