Une vulnérabilité dans l’authentification biométrique du Windows Hello permettrait à des utilisateurs malintentionnés d’accéder facilement à des comptes d’entreprise en contournant la sécurité. Les experts pointent une faille dans le stockage et la vérification des données biométriques, soulignant la nécessité d’une précaution accrue pour les utilisateurs.
Ça ne prend pas grand-chose pour tromper Windows Hello
Un nouvel attaquant a montré qu’il était possible d’ignorer l’authentification biométrique du Windows Hello afin d’accéder à des comptes professionnels. Microsoft a confirmé cette vulnérabilité et conseille de la traiter avec prudence. Des chercheurs en sécurité ont mis en lumière une faille critique dans le système de biométrie de Microsoft.
Cette vulnérabilité a été dévoilée lors de la conférence Black Hat, aux États-Unis, via une technique nommée FacePlant. Cela permet aux attaquants avec des privilèges administratifs de contourner l’authentification grâce à la reconnaissance faciale ou à l’empreinte digitale, accédant à des comptes professionnels sans avoir besoin de véritables identifiants.
L’attaque ne trompe pas la caméra ni n’exploite des failles matérielles, mais cible la manière dont Windows Hello gère et vérifie les données biométriques. Elle débute par la création d’un profil biométrique sur n’importe quel appareil Windows, générant un modèle numérique du visage de l’attaquant qui peut ensuite être déchiffré, extrait et inséré dans la base de données biométrique de la cible.
Un trou sérieux dans la sécurité biométrique
Une fois que le modèle a été remplacé, l’attaquant peut se connecter en utilisant uniquement son propre visage, usurpant ainsi l’identité de l’utilisateur initial. Cette méthode permet de préparer le modèle sur n’importe quel appareil avant d’atteindre le système de la victime.
Le problème réside dans l’intégration de ces données avec le Login ID et Active Directory. Bien que l’information biométrique soit protégée par divers mécanismes de sécurité, un administrateur local peut contourner ces protections et introduire de nouvelles données. Microsoft a confirmé cette vulnérabilité, en précisant qu’elle nécessite un accès administratif antérieur pour fonctionner.
Les experts estiment que la correction totale de cette faille demanderait une refonte importante de Windows Hello ou un traitement biométrique accru pour renforcer la protection hardware. Les organisations sont incitées à envisager le retour à l’authentification par code PIN, jugée plus sûre dans les conditions présentes, même si elle est moins pratique que la biométrie.