A l'image du Touch ID d'Apple, certains PC proposent des lecteurs d'empreintes digitales couplés au système Windows Hello de Microsoft. Des chercheurs en sécurité se sont penchés sur les éventuelles failles de sécurité du système, avec une certaine réussite.
Windows Hello face aux pirates
La division Microsoft Offensive Research and Security Engineering (aka MORSE) a demandé à l'équipe de chercheurs en sécurité Blackwing Intelligence d'évaluer son système d'authentification par lecteur d'empreintes digitales Windows Hello (une reconnaissance faciale via les webcam est également proposée, mais n'a pas été scrutée par les chercheurs). Les chercheurs se sont penchés sur trois modèles spécifiques et assez communs sur le marché, les Microsoft Surface Pro X, Lenovo ThinkPad T14 et Dell Inspiron 15.
Les spécialistes ont examiné les éventuelles failles des lecteurs d'empreintes Synaptics, ELAN et Goodix pour le côté matériel, ainsi que la partie logicielle de Windows Hello fournie par Microsoft.
Des failles sur les 3 modèles examinés
Dasn un long billet de blog, les chercheurs détaillent les moyens, plus ou moins complexes selon le constructeur, qui leur ont permis de mettre à mal le système sur les trois machines. Etonnamment, c'est la machine de Microsoft qui a été la plus simple à berner, le Secure Device Connection Protocol (SDCP) de la firme n'étant pas mis à profit sur le Surface Pro X. Les chercheurs Jesse D’Aguanno et Timo Teräs de Blackwing Intelligence indiquent :
Microsoft a fait du bon travail en concevant le protocole SDCP (Secure Device Connection Protocol) pour fournir un canal sécurisé entre l'hôte et les appareils biométriques, mais malheureusement les fabricants d'appareils semblent mal comprendre certains des objectifs. De plus, le SDCP ne couvre qu'une portée très étroite du fonctionnement d'un appareil typique, alors que la plupart des appareils ont une surface d'attaque importante qui n'est pas du tout couverte par le SDCP.
Reste à savoir si le système d'Apple et sa Secure Enclave auraient mieux résister aux tentatives des experts, mais le niveau de sécurité de Touch ID et Face ID semble assez élevé depuis le lancement de ces technologies, contrairement à Windows Hello dont un correctif a déjà été déployé en 2021 pour la reconnaissance faciale par la webcam qui pouvait être trompée avec un cliché infrarouge de l'utilisateur.
