En mai, Microsoft a amorcé une transition significative vers un avenir sans mot de passe en configurant par défaut les nouveaux comptes pour utiliser des alternatives telles que les clés d’accès et Windows Hello. Cette initiative s’inscrit dans une tendance plus large visant à renforcer la sécurité tout en simplifiant l’accès des utilisateurs.
Cependant, des découvertes récentes des chercheurs allemands Tillmann Osswald et Baptiste David, présentées lors de la conférence Black Hat à Las Vegas, ont révélé des vulnérabilités dans la version professionnelle de Windows Hello. Leur démonstration illustre une méthode permettant de compromettre la sécurité biométrique du système.
Lors de l’incident, le Dr David s’est connecté à son appareil grâce à la reconnaissance faciale. Osswald, agissant en tant qu’attaquant disposant de privilèges d’administrateur local, a alors exploité une série de commandes. Il a injecté un scan facial capturé sur un autre ordinateur dans la base de données biométrique du système cible.Étonnamment, l’appareil s’est déverrouillé sans hésitation lorsque l’attaquant s’est penché, le reconnaissant comme étant le Dr David.
Comprendre la vulnérabilité
Le cœur du problème réside dans le fonctionnement interne de l’infrastructure métier de Windows Hello. Lors de sa configuration initiale, le système génère une paire de clés publique/privée, la clé publique étant enregistrée auprès d’un fournisseur d’identification d’entreprise tel qu’Entra ID. Bien que les données biométriques soient stockées dans une base de données chiffrée gérée par le service biométrique Windows (WBS), les méthodes de chiffrement actuelles ne parviennent parfois pas à déjouer les attaques d’un attaquant disposant de droits d’administrateur local, lui permettant ainsi de déchiffrer ces données critiques.
Sécurité de connexion renforcée comme solution
Pour remédier à ces vulnérabilités, Microsoft a introduit la sécurité de connexion renforcée (ESS). Cette fonctionnalité isole efficacement le processus d’authentification biométrique au sein d’un environnement sécurisé géré par l’hyperviseur du système. Cependant, la mise en œuvre de l’ESS nécessite un matériel spécifique : un processeur 64 bits moderne prenant en charge la virtualisation matérielle, une puce TPM 2.0, un démarrage sécurisé intégré au micrologiciel et des capteurs biométriques certifiés.
L’ESS est très efficace pour bloquer cette attaque, mais tout le monde ne peut pas l’utiliser. Par exemple, nous avons acheté des ThinkPad il y a environ un an et demi, mais malheureusement, ils ne sont pas équipés d’un capteur photo sécurisé, car ils utilisent des puces AMD et non Intel.
Le défi à venir
Malgré l’efficacité d’ESS, la mise en place d’un correctif complet pour les vulnérabilités existantes dans les systèmes non ESS représente un défi de taille. Selon Osswald et David, corriger les problèmes d’architecture sous-jacents sans une refonte complète est impossible. Par conséquent, les entreprises utilisant Windows Hello sans ESS doivent envisager de désactiver complètement l’authentification biométrique et d’opter pour des alternatives telles qu’un code PIN.
Comment vérifier la compatibilité ESS
Pour déterminer si votre système prend en charge ESS, accédez à vos paramètres et cochez la case « Options de connexion » sous votre compte. Recherchez l’option « Se connecter avec une caméra externe ou un lecteur d’empreintes digitales ».Si cette option est désactivée, ESS est actif, ce qui signifie que votre lecteur d’empreintes digitales USB ne fonctionnera pas pour les connexions. L’activer désactive la fonction ESS, permettant ainsi aux périphériques externes de fonctionner, mais au risque d’une sécurité réduite.
Selon Microsoft, certains périphériques compatibles avec Windows Hello peuvent activer ESS. Bien que cette fonctionnalité ne présente pas de problème de sécurité en soi, elle complique l’utilisation de l’appareil. Microsoft recommande de laisser tout périphérique compatible connecté en permanence, la prise en charge complète des périphériques externes sous ESS n’étant prévue que fin 2025.
Articles connexes:
Sortie de l’ISO Windows 11 25H2 retardée : le téléchargement et l’installation ne sont pas encore disponibles
11:01
Le prochain festival de démonstration ID@Xbox propose plus de 40 jeux indépendants à découvrir la semaine prochaine
10:15
Transformez votre expérience Windows 11 avec ces hacks Winget
10:13
Laisser un commentaire