23 novembre 2023 · 1 min de lecture
De nouvelles vulnérabilités découvertes dans Windows Hello

Deux chercheurs en sécurité de Blackwing Intelligence ont présenté leurs conclusions à la conférence BlueHat en octobre concernant des vulnérabilités touchant les trois principaux capteurs d'empreintes digitales utilisés sur les ordinateurs portables. Ces failles pourraient permettre de contourner le système d'authentification biométrique Windows Hello de Microsoft.
Les chercheurs ont examiné les capteurs de Goodix, Synaptics et Elan, intégrés respectivement dans les Dell Inspiron 15, Lenovo ThinkPad T14 et Surface Pro X.
Microsoft avait introduit le protocole SDCP (Secure Device Connection Protocol) pour vérifier l'intégrité des dispositifs d'empreintes digitales et protéger les communications entre le capteur et le système hôte. Malgré cela, les chercheurs sont parvenus à contourner l'authentification Windows Hello sur les trois modèles d'ordinateurs portables au moyen d'attaques de type « homme du milieu » exécutées via un Raspberry Pi 4 sous Linux.
Microsoft se heurte à des limites pour corriger ces problèmes de façon autonome, puisque certaines des vulnérabilités proviennent des implémentations des fabricants d'appareils plutôt que du logiciel de Microsoft lui-même.
Cette recherche a été menée dans le cadre d'un projet collaboratif avec l'équipe MORSE (Offensive Research and Security Engineering) de Microsoft. Une présentation complète des résultats est disponible en ligne.
