Le géant Microsoft a demandé une expertise concernant la sécurité des scanners d’empreintes des ordinateurs. Or, la société de cybersécurité en charge du dossier a découvert certaines failles et pu détourner la sécurité de plusieurs ordinateurs portables. Comment la firme pourrait-elle limiter ce problème ?
Microsoft voulait tester les capteurs d’empreintes les plus communs
De nombreux utilisateurs du système d’exploitation Windows de Microsoft n’ont plus besoin de taper un code personnel pour déverrouiller leur appareil. Avec l’arrivée de Windows 10, la firme a en effet lancé Windows Hello, une fonctionnalité permettant de déverrouiller le système en utilisant des informations biométriques, à savoir les empreintes digitales ou encore le visage.
Récemment, Microsoft a voulu tester la sécurité des scanners d’empreintes des ordinateurs. Pour ce faire, la firme a récemment fait appel à Blackwing, une société américaine de recherche en sécurité de l’information, par l’intermédiaire de son Offensive Research and Security Engineering (MORSE). La société en question a ensuite publié les détails techniques de son intervention dans un rapport complet le 21 novembre 2023.
Blackwing dit avoir testé les trois capteurs d’empreintes digitales les plus communs sur les ordinateurs portables. Les PC passés au crible étaient le Dell Inspiron 5, le Lenovo ThinkPad T14 ainsi que le clavier Type Cover avec identification biométrique de Microsoft pour une utilisation sur les tablettes Surface Pro 8 et Surface X
La faute aux fabricants ?
Dans leur rapport, les équipes de Blackwing expliquent avoir réussi à contourner la sécurité des scanners d’empreintes des machines testées. Pour les experts, des hackers pourraient ainsi tout à fait se montrer capables de le faire également. Néanmoins, rien n’indique pour l’instant si Microsoft désire ou non renforcer la sécurité de Windows Hello.
Selon Blackwing, le Secure Device Connection Protocol (SDCP) mis au point par la firme est très bon, mais les fabricants de laptops auraient mal compris son objectif. Durant leurs tests, les équipes de Blackwing ont d’ailleurs remarqué que le protocole SDCP était activité sur une seule des machines testées. Ainsi, les auteurs du rapport conseillent vivement aux fabricants d’ordinateurs et aux fabricants de capteurs d’empreintes de s’assurer de l’activation de ce fameux protocole. Blackwing préconise également l’audit d’acteurs externes pour confirmer pleinement la bonne implémentation de l’authentification biométrique.
En attendant la réaction de Microsoft, la société Blackwing a déclaré vouloir poursuivre ses recherches. Les équipes vont désormais se pencher sur d’autres systèmes d’exploitation (comme Linux) et se concentrer également sur le monde de la téléphonie (iOS et Android).
