Selon Neowin , l'équipe de Blackwell Intelligence a dévoilé ses conclusions en octobre lors de la conférence BlueHat de Microsoft sur la sécurité, mais n'a publié les résultats sur son site web que cette semaine. L'article de blog, intitulé « A Touch of Pwn », indiquait que l'équipe avait utilisé des capteurs d'empreintes digitales dans les ordinateurs portables Dell Inspiron 15 et Lenovo ThinkPad T14, ainsi que dans les claviers Microsoft Surface Pro Type Cover avec identification par empreinte digitale conçus pour les Surface Pro 8 et X. Ces capteurs d'empreintes digitales ont été fabriqués par Goodix, Synaptics et ELAN.
Il a fallu environ 3 mois de recherche à Blackwell pour découvrir une vulnérabilité dans Windows Hello.
Tous les capteurs d’empreintes digitales compatibles Windows Hello que nous avons testés utilisent du matériel à puce, ce qui signifie que l’authentification est gérée sur le capteur lui-même, qui possède sa propre puce et son propre stockage.
Dans sa déclaration, Blackwell a indiqué que la base de données des « modèles d'empreintes digitales » (données biométriques capturées par le capteur d'empreintes digitales) est stockée sur la puce , et que l'enregistrement et la comparaison s'effectuent directement sur celle-ci. Comme les modèles d'empreintes digitales ne quittent jamais la puce, cela élimine les problèmes de confidentialité, car les données biométriques sont stockées en toute sécurité. Cela empêche également les attaques impliquant l'envoi d'images d'empreintes digitales valides à un serveur pour comparaison.
Blackwell a cependant réussi à contourner le système en utilisant la rétro-ingénierie pour identifier les vulnérabilités des capteurs d'empreintes digitales, puis en créant son propre périphérique USB capable de lancer une attaque de l'homme du milieu (MitM). Ce dispositif a permis au groupe de contourner le matériel d'authentification par empreintes digitales de ces appareils.
Blackwell a également indiqué que, bien que Microsoft utilise le protocole SDCP (Secure Device Connection Protocol) pour assurer un canal sécurisé entre le serveur et le dispositif biométrique, deux des trois capteurs d'empreintes digitales testés n'avaient même pas activé le SDCP. Blackwell recommande à tous les fabricants de capteurs d'empreintes digitales d'activer le SDCP sur leurs produits, mais également de faire appel à un prestataire tiers pour en vérifier le fonctionnement.
Il est important de noter qu'il a fallu environ trois mois de travail à Blackwell pour déjouer ces dispositifs de détection d'empreintes digitales. D'après ces recherches, on ignore comment Microsoft et les autres fabricants de capteurs d'empreintes digitales comptent résoudre ce problème.
Lien source
Comment (0)