Les scanners d’empreintes digitales Windows Hello ont été piratés : Faut-il encore les utiliser ?

Il est facile de se connecter à un ordinateur portable Windows équipé d’un lecteur d’empreintes digitales : il suffit de placer son doigt sur le lecteur pour que le système d’exploitation vous laisse entrer. Cependant, des chercheurs ont montré que, si cette méthode est pratique, elle n’est pas à l’abri du piratage.

Alors, comment les gens peuvent-ils pirater un scanner d’empreintes digitales Windows Hello, et devez-vous vous en inquiéter ?

Peut-on pirater les scanners d’empreintes digitales Windows Hello ?

Si un pirate veut contourner un lecteur d’empreintes digitales sur une machine Windows, il cherche à passer un service appelé Windows Hello. Ce service gère la façon dont vous vous connectez à Windows, comme les codes PIN, les scans faciaux et les scans d’empreintes digitales.

Dans le cadre d’une recherche sur la force de Windows Hello, deux hackers white-hat, Jesse D’Aguanno et Timo Teräs, ont publié un rapport sur leur site web, Blackwing HQ. Le rapport détaille la façon dont ils ont pénétré dans trois appareils populaires : le Dell Inspiron 15, le Lenovo ThinkPad T14 et le Microsoft Surface Pro Type Cover.

Comment les pirates ont violé Windows Hello sur le Dell Inspiron 15

Pour le Dell Inspiron 15, les pirates ont remarqué qu’ils pouvaient démarrer Linux sur l’ordinateur portable. Une fois connectés à Linux, ils peuvent enregistrer leurs empreintes digitales dans le système et lui donner le même identifiant que l’utilisateur Windows auquel ils veulent se connecter.

Ensuite, ils effectuent une attaque de type « man-in-the-middle » sur la connexion entre le PC et le capteur. Ils s’arrangent pour que, lorsque Windows vérifie qu’une empreinte digitale scannée est légitime, il consulte la base de données d’empreintes digitales de Linux au lieu de la sienne.

Voir aussi :  4 Signes qu'il est probablement temps de réinitialiser votre PC Windows

Pour éviter Windows Hello, les pirates ont téléchargé leurs empreintes digitales dans la base de données Linux, lui ont attribué le même identifiant que l’utilisateur sur Windows, puis ont essayé de se connecter à Windows avec leurs empreintes digitales. Pendant le processus d’authentification, ils ont redirigé le paquet vers la base de données Linux, qui a indiqué à Windows que l’utilisateur avec l’ID spécifié était prêt à se connecter.

Comment les pirates ont violé Windows Hello sur le Lenovo ThinkPad T14

Pour le Lenovo ThinkPad, les pirates ont découvert que l’ordinateur portable utilisait une méthode de cryptage personnalisée pour vérifier les empreintes digitales. Avec un peu de travail, les pirates ont réussi à décrypter cette méthode, ce qui leur a permis d’accéder au processus de vérification des empreintes digitales.

Une fois cette opération effectuée, les pirates ont pu forcer la base de données d’empreintes digitales à accepter leurs empreintes comme étant celles de l’utilisateur. Il ne leur restait plus qu’à scanner leur empreinte pour accéder au Lenovo ThinkPad.

Comment les pirates ont violé Windows Hello sur la Surface Pro Type Cover de Microsoft

Les pirates pensaient que la Surface Pro serait l’appareil le plus difficile à pirater, mais ils ont été surpris de constater que la Surface Pro ne disposait pas de nombreuses mesures de sécurité pour vérifier les empreintes digitales valides. En fait, ils ont découvert qu’il leur suffisait d’esquiver une défense, puis de dire à la Surface Pro que la numérisation des empreintes digitales était réussie, pour que l’appareil les laisse entrer.

Que signifient ces piratages pour vous ?

Ces piratages peuvent sembler assez effrayants si vous utilisez vos empreintes digitales pour vous connecter à votre ordinateur portable. Cependant, il est essentiel de se rappeler quelques points cruciaux avant de renoncer complètement aux scans d’empreintes digitales.

Voir aussi :  Comment tirer le meilleur parti de la fonction de sous-titrage codé de Windows 10 ?

1. Les attaques ont été menées par des pirates informatiques compétents

La raison pour laquelle les menaces telles que le ransomware en tant que service sont si mortelles est que n’importe qui, avec un minimum de cybersécurité, peut les utiliser. Cependant, les piratages susmentionnés nécessitent un haut niveau d’expertise, avec une compréhension approfondie de la manière dont les dispositifs authentifient les empreintes digitales et de la manière de les éviter.

2. Les attaques nécessitent que l’attaquant interagisse physiquement avec l’appareil

Les pirates doivent avoir un contact physique avec l’appareil pour effectuer les piratages susmentionnés. Dans le rapport, les pirates ont déclaré qu’ils pourraient être en mesure de créer des dispositifs USB capables d’effectuer l’attaque une fois branchés, mais cela signifie qu’un pirate potentiel doit brancher quelque chose sur votre PC pour le pirater.

3. Les attaques ne fonctionnent que sur des appareils spécifiques

Vous remarquerez que chaque attaque a emprunté un chemin différent pour atteindre le même objectif. Chaque appareil est unique, et un hack qui fonctionne sur un appareil peut ne pas fonctionner sur un autre. Il ne faut donc pas croire que Windows Hello a été éventé sur tous les appareils ; ce sont seulement ces trois-là qui ont échoué.

Si ces piratages peuvent sembler effrayants, il sera difficile de les réaliser contre des cibles réelles. Le pirate devra probablement voler l’appareil pour effectuer ces piratages, ce qui alerterait sans aucun doute l’ancien propriétaire.

Comment se prémunir contre le piratage des empreintes digitales ?

Comme indiqué ci-dessus, les piratages découverts sont compliqués à réaliser et peuvent nécessiter que le pirate retire l’appareil pour le pirater physiquement. Il y a donc très peu de chances que ces attaques vous visent personnellement.

Voir aussi :  Comment dépanner une connexion d'imprimante sous Windows

Toutefois, si vous n’êtes toujours pas satisfait, il existe des moyens de vous protéger contre les piratages de scanners d’empreintes digitales :

1. Ne laissez pas vos appareils sans surveillance et sans protection

Étant donné qu’un pirate informatique devra interagir physiquement avec votre appareil, vous devez vous assurer qu’il ne tombe pas entre de mauvaises mains. Pour les ordinateurs, vous pouvez prendre des mesures pour éviter qu’ils ne soient volés. Si vous utilisez un ordinateur portable, ne le laissez jamais seul dans un espace public et utilisez une sacoche antivol pour ordinateur portable afin d’empêcher les gens d’ouvrir votre sac.

2. Utiliser une méthode de connexion différente

Windows Hello prend en charge de nombreuses méthodes de connexion, certaines plus sûres que d’autres. Si vous n’aimez plus les scans d’empreintes digitales, vérifiez si les connexions par visage, iris, empreintes digitales, code PIN ou mot de passe sont plus sûres, et choisissez celle qui vous convient le mieux.

Si ces piratages vous inquiètent, n’oubliez pas qu’il y a très peu de chances qu’ils vous ciblent spécifiquement. Vous pouvez donc utiliser les scanners d’empreintes digitales en toute sécurité ; il suffit de ne pas laisser les gens voler vos appareils.

Améliorez votre QI technologique grâce à nos lettres d’information gratuites

En vous abonnant, vous acceptez notre politique de confidentialité et pouvez recevoir des communications occasionnelles sur les marchés ; vous pouvez vous désabonner à tout moment.

Cliquez pour évaluer cet article !
[Total: Moyenne : ]

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *