Les scanners d’empreintes digitales Windows Hello ont été piratés : devriez-vous toujours les utiliser ?

Il est facile de se connecter à un ordinateur portable Windows à l’aide d’un lecteur d’empreintes digitales. Il suffit de placer votre doigt sur un scanner et le système d’exploitation vous permet d’entrer.

Cependant, les chercheurs ont montré que, bien que cette méthode soit pratique, elle n’est pas à l’épreuve du piratage.

Alors, comment les gens peuvent-ils contourner un scan d’empreintes digitales Windows Hello, et devriez-vous vous en inquiéter ?

Les gens peuvent-ils pirater les scanners d’empreintes digitales Windows Hello ?

Si un pirate veut contourner un scanner d’empreintes digitales sur une machine Windows, il vise à contourner un service appelé Windows Hello. Ce service gère la façon dont vous vous connectez à Windows, comme les codes PIN, les scans faciaux et les scans d’empreintes digitales.

Dans le cadre d’une recherche sur la force de Windows Hello, deux hackers white-hat, Jesse D’Aguanno et Timo Teräs, ont publié un rapport sur leur site Web, Blackwing HQ. Le rapport détaille comment ils ont piraté trois appareils populaires : le Dell Inspiron 15, le Lenovo ThinkPad T14 et le Microsoft Surface Pro Type Cover.

Comment les pirates ont violé Windows Hello sur le Dell Inspiron 15

Pour le Dell Inspiron 15, les pirates ont remarqué qu’ils pouvaient démarrer sous Linux sur l’ordinateur portable. Une fois connectés à Linux, ils peuvent enregistrer leurs empreintes digitales dans le système et lui donner le même identifiant que l’utilisateur Windows auquel ils souhaitent se connecter.

Ensuite, ils effectuent une attaque de l’homme du milieu sur la connexion entre le PC et le capteur. Ils l’ont configuré de telle sorte que lorsque Windows vérifie qu’une empreinte digitale numérisée est légitime, il finit par vérifier la base de données Linux des empreintes digitales au lieu de la sienne.

Pour esquiver Windows Hello, les pirates ont téléchargé leurs empreintes digitales dans la base de données Linux, lui ont attribué le même ID que l’utilisateur sous Windows, puis ont essayé de se connecter à Windows avec leurs empreintes digitales.

Au cours du processus d’authentification, ils ont redirigé le paquet vers la base de données Linux, qui a indiqué à Windows que l’utilisateur à l’ID spécifié était prêt à se connecter.

Comment les pirates ont violé Windows Hello sur le Lenovo ThinkPad T14

Pour le Lenovo ThinkPad, les pirates ont découvert que l’ordinateur portable utilisait une méthode de cryptage personnalisée pour vérifier les empreintes digitales. Avec un peu de travail, les pirates ont réussi à le décrypter, ce qui leur a permis d’accéder au processus de vérification des empreintes digitales.

Une fois cela fait, les pirates pourraient forcer la base de données d’empreintes digitales à accepter leur empreinte digitale comme celle de l’utilisateur. Ensuite, tout ce qu’ils avaient à faire était de scanner leur empreinte digitale pour accéder au Lenovo ThinkPad.

Comment les pirates ont violé Windows Hello sur le clavier Type Cover de Microsoft Surface Pro

Les pirates pensaient que la Surface Pro serait l’appareil le plus difficile à pirater, mais ils ont été surpris de constater que la Surface Pro manquait de nombreuses mesures de sécurité pour vérifier les empreintes digitales valides.

En fait, ils ont découvert qu’ils n’avaient qu’à esquiver une seule défense, puis dire à la Surface Pro que le scan d’empreintes digitales avait réussi, et l’appareil les a laissés entrer.

Qu’est-ce que ces hacks signifient pour vous ?

Ces hacks peuvent sembler assez effrayants si vous utilisez des empreintes digitales pour vous connecter à votre ordinateur portable. Cependant, il est essentiel de se souvenir de certaines choses cruciales avant de renoncer complètement aux scans d’empreintes digitales.

1. Les attaques ont été menées par des pirates informatiques qualifiés

La raison pour laquelle les menaces telles que les ransomwares en tant que service sont si mortelles est que toute personne disposant d’une cybersécurité minimale peut les utiliser.

Cependant, les piratages ci-dessus nécessitent un haut niveau d’expertise, avec une compréhension approfondie de la façon dont les appareils authentifient les empreintes digitales et de la façon de les éviter.

2. Les attaques nécessitent que l’attaquant interagisse physiquement avec l’appareil

Les pirates doivent avoir un contact physique avec l’appareil pour effectuer les piratages ci-dessus. Dans le rapport, les pirates ont déclaré qu’ils pourraient être en mesure de créer des périphériques USB capables d’effectuer l’attaque une fois branchés, mais cela signifie qu’un attaquant potentiel doit brancher quelque chose sur votre PC pour le pirater.

3. Les attaques ne fonctionnent que sur des appareils spécifiques

Vous remarquerez que chaque attaque devait emprunter un chemin différent pour atteindre le même objectif. Chaque appareil est unique, et un piratage qui fonctionne sur un appareil peut ne pas fonctionner sur un autre.

En tant que tel, vous ne devriez pas croire que Windows Hello a maintenant été largement ouvert sur tous les appareils ; Il n’y a que ces trois-là qui ont échoué.

Bien que ces piratages puissent sembler effrayants, ils seront difficiles à effectuer contre des cibles réelles. Le pirate devra probablement voler l’appareil pour effectuer ces piratages, ce qui alerterait sans aucun doute l’ancien propriétaire.

Comment se protéger du piratage d’empreintes digitales

Comme indiqué ci-dessus, les piratages découverts sont compliqués à réaliser et peuvent nécessiter que le pirate retire l’appareil pour le pirater physiquement. En tant que tel, il y a extrêmement peu de chances que ces attaques vous ciblent personnellement.

Cependant, si vous n’êtes toujours pas satisfait, il existe quelques moyens de vous protéger contre les piratages de scanners d’empreintes digitales :

1. Ne laissez pas les appareils sans surveillance et sans protection

Étant donné qu’un pirate informatique devra interagir physiquement avec votre appareil, vous devez vous assurer qu’il ne tombe pas entre de mauvaises mains. Pour les ordinateurs, vous pouvez prendre des mesures pour empêcher le vol.

Si vous utilisez un ordinateur portable, ne le laissez jamais seul dans un espace public et utilisez un sac antivol pour ordinateur portable pour empêcher les gens de déchirer votre sac.

2. Utilisez une méthode de connexion différente

Windows Hello prend en charge de nombreuses méthodes de connexion différentes, certaines plus sécurisées que d’autres. Si vous n’aimez plus les scans d’empreintes digitales, vérifiez si les connexions au visage, à l’iris, aux empreintes digitales, au code PIN ou au mot de passe sont plus sûres et choisissez celle qui vous convient le mieux.

Si vous êtes préoccupé par ces piratages, il est important de se rappeler qu’il y a très peu de chances qu’ils vous ciblent spécifiquement.

En tant que tel, vous devriez être en sécurité en utilisant les scans d’empreintes digitales ; Ne permettez pas aux gens de voler vos appareils.

Partagez sur les réseaux sociaux

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.