Certains articles de veille peuvent faire l'objet de traduction automatique.
L’authentification biométrique est une pièce maîtresse des plans de l’industrie technologique visant à rendre le monde sans mot de passe. Mais une nouvelle méthode pour tromper le système de reconnaissance faciale Windows Hello de Microsoft montre qu’une petite manipulation matérielle peut inciter le système à se déverrouiller alors qu’il ne devrait pas le faire.
Des services comme FaceID d’Apple ont rendu l’authentification par reconnaissance faciale plus courante ces dernières années, et Windows Hello a poussé l’adoption encore plus loin. Apple ne vous permet d’utiliser FaceID qu’avec les caméras intégrées aux iPhones et iPads récents, et ce service n’est toujours pas pris en charge par les Macs. Mais comme le matériel Windows est très diversifié, la reconnaissance faciale Hello fonctionne avec toute une série de webcams tierces. Là où certains pourraient voir une facilité d’adoption, cependant, les chercheurs de la société de sécurité CyberArk ont vu une vulnérabilité potentielle.
En effet, vous ne pouvez pas faire confiance à une vieille webcam pour offrir des protections solides dans la façon dont elle collecte et transmet les données. La reconnaissance faciale de Windows Hello ne fonctionne qu’avec les webcams dotées d’un capteur infrarouge en plus du capteur RVB habituel. Mais le système, en fait, ne regarde même pas les données RVB. Cela signifie qu’avec une image infrarouge directe du visage d’une cible et un cadre noir, les chercheurs ont découvert qu’ils pouvaient déverrouiller l’appareil de la victime protégé par Windows Hello.
En manipulant une webcam USB pour fournir une image choisie par l’attaquant, les chercheurs ont pu faire croire à Windows Hello que le visage du propriétaire de l’appareil était présent et le déverrouiller.
« Nous avons essayé de trouver le point faible de la reconnaissance faciale et ce qui serait le plus intéressant du point de vue de l’attaquant, l’option la plus approchable », explique Omer Tsarfati, chercheur à la société de sécurité CyberArk. « Nous avons créé une carte complète du flux de reconnaissance faciale de Windows Hello et nous avons vu que le plus pratique pour un attaquant serait de se faire passer pour la caméra, car l’ensemble du système repose sur cette entrée. »
Microsoft appelle cette découverte une « vulnérabilité de contournement de la fonction de sécurité de Windows Hello » et a publié des correctifs mardi pour résoudre le problème. En outre, la société suggère aux utilisateurs d’activer la « sécurité de connexion améliorée Windows Hello », qui utilise la « sécurité basée sur la virtualisation » de Microsoft pour chiffrer les données du visage Windows Hello et les traiter dans une zone protégée de la mémoire où elles ne peuvent pas être altérées. La société n’a pas répondu à une demande de commentaires du WIRED concernant les conclusions de CyberArk.
Tsarfati, qui présentera les résultats le mois prochain lors de la conférence Black Hat sur la sécurité à Las Vegas, explique que l’équipe de CyberArk a choisi d’examiner l’authentification par reconnaissance faciale de Windows Hello, en particulier, parce qu’il y a déjà eu beaucoup de recherches dans l’industrie sur le craquage des codes PIN et l’usurpation des capteurs d’empreintes digitales. Il ajoute que l’équipe a été attirée par l’importante base d’utilisateurs de Windows Hello. En mai 2020, Microsoft a déclaré que le service comptait plus de 150 millions d’utilisateurs. En décembre, l’entreprise a ajouté que 84,7 % des utilisateurs de Windows 10 se connectent avec Windows Hello.
Bien que cela semble simple – montrer deux photos au système et vous êtes accepté – ces contournements de Windows Hello ne seraient pas faciles à réaliser dans la pratique. Le piratage nécessite que les attaquants disposent d’une image infrarouge de bonne qualité du visage de la cible et qu’ils aient un accès physique à son appareil. Mais le concept est important, car Microsoft continue de promouvoir l’adoption de Hello avec Windows 11. La diversité du matériel parmi les appareils Windows et l’état lamentable de la sécurité de l’IdO pourraient se combiner pour créer d’autres vulnérabilités dans la façon dont Windows Hello accepte les données du visage.
« Un attaquant vraiment motivé pourrait faire ces choses », dit Tsarfati. « Microsoft a été formidable pour travailler avec et a produit des atténuations, mais le problème plus profond lui-même sur la confiance entre l’ordinateur et la caméra reste là. »
Poster un commentaire