Des chercheurs en scurit ont russi tromper Windows Hello, la scurit biomtrique de Microsoft




Le systme de Microsoft est oblig de composer avec une grande diversit de Webcam, ce qui limite sa scurit. En l’occurrence, la camra a t trompe avec une simple image infrarouge…

Un monde sans mot de passe, et sr. C’est la promesse que fait le systme de reconnaissance faciale de Microsoft, Windows Hello.

Une solution simple et efficace pour scuriser l’accs votre ordinateur, sans avoir vous embter saisir un mot de passe. Evidemment, toute solution technique a ses failles et ses limites.

En l’occurrence, des chercheurs en scurit ont russi tromper la Webcam ncessaire Windows Hello. Il semblerait en effet que certaines vieux modles de Webcam ne soient pas assez performants pour assurer le niveau de scurit requis.

A l’heure actuelle, Windows Hello ne fonctionne qu’avec les camras qui embarquent un capteur infrarouge en plus du capteur RGB.

Or, des chercheurs ont dcouvert que le systme de Microsoft ne se soucie en fait pas du tout des donnes fournis par ce capteur.

Autrement dit, avec une image infrarouge du visage de la personne qui peut dverrouiller le PC et un cadre noir, il est possible d’accder la machine protge.


Nous avons cherch trouver le point faible de la reconnaissance faciale, et ce qui serait le plus intressant du point de vue de l’attaquant, l’option la plus accessible , explique Omer Tsarfati, un cherheur de CyberArk, Ars Technica.
Nous avons cr une carte complte du processus de reconnaissance faciale de Windows Hello et nous sommes aperus que le plus simple pour un attaquant serait de prtendre tre la camra, parce que tout le systme repose sur ses informations .


Si la manipulation semble simple, elle ne l’est pas tant que a. Il faut en effet que le clich infrarouge soit de bonne qualit, et bien entendu, que les attaquants aient galement accs la machine vise.

Cependant, selon Omer Tsarfati, le problme risque d’tre rcurrent car la grande diversit d’appareils dans l’cosystme Windows renforce le problme de confiance qui existe entre les camras et le systme de scurit

Microsoft, qui a t alert de ce problme, le qualifie de vulnrabilit de contournement de la fonction de scurit de Windows Hello , et a publi un patch mardi dernier pour le corriger.

Le gant de Redmond conseille galement ses utilisateurs d’activer la version le plus scurise de Windows Hello, qui chiffre les donnes de Windows Hello et les traite dans une zone protge de la mmoire, o il n’est pas possible (en thorie) de les modifier.

Les dtails du travail d’Omer Tsarfati et de son quipe seront prsents lors de la Black Hat, le mois prochain, Las Vegas.







Source :Ars Technica