Un monde sans mot de passe, et sûr. C’est la promesse que fait le système de reconnaissance faciale de Microsoft, Windows Hello. Une solution simple et efficace pour sécuriser l’accès à votre ordinateur, sans avoir à vous embêter à saisir un mot de passe. Evidemment, toute solution technique a ses failles et ses limites.
En l’occurrence, des chercheurs en sécurité ont réussi à tromper la Webcam nécessaire à Windows Hello. Il semblerait en effet que certaines vieux modèles de Webcam ne soient pas assez performants pour assurer le niveau de sécurité requis. A l’heure actuelle, Windows Hello ne fonctionne qu’avec les caméras qui embarquent un capteur infrarouge en plus du capteur RGB. Or, des chercheurs ont découvert que le système de Microsoft ne se soucie en fait pas du tout des données fournis par ce capteur. Autrement dit, avec une image infrarouge du visage de la personne qui peut déverrouiller le PC et un cadre noir, il est possible d’accéder à la machine protégée.
« Nous avons cherché à trouver le point faible de la reconnaissance faciale, et ce qui serait le plus intéressant du point de vue de l’attaquant, l’option la plus accessible », explique Omer Tsarfati, un cherheur de CyberArk, à Ars Technica.
« Nous avons créé une carte complète du processus de reconnaissance faciale de Windows Hello et nous sommes aperçus que le plus simple pour un attaquant serait de prétendre être la caméra, parce que tout le système repose sur ses informations ».
A découvrir aussi en vidéo :
Si la manipulation semble simple, elle ne l’est pas tant que ça. Il faut en effet que le cliché infrarouge soit de bonne qualité, et bien entendu, que les attaquants aient également accès à la machine visée. Cependant, selon Omer Tsarfati, le problème risque d’être récurrent car la grande diversité d’appareils dans l’écosystème Windows renforce le problème de confiance qui existe entre les caméras et le système de sécurité
Microsoft, qui a été alerté de ce problème, le qualifie de « vulnérabilité de contournement de la fonction de sécurité de Windows Hello », et a publié un patch mardi dernier pour le corriger. Le géant de Redmond conseille également à ses utilisateurs d’activer la version le plus sécurisée de Windows Hello, qui chiffre les données de Windows Hello et les traite dans une zone protégée de la mémoire, où il n’est pas possible (en théorie) de les modifier.
Les détails du travail d’Omer Tsarfati et de son équipe seront présentés lors de la Black Hat, le mois prochain, à Las Vegas.
Source : Ars Technica
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.