Il est facile de se connecter à un ordinateur portable Windows à l’aide d’un lecteur d’empreintes digitales. Il suffit de placer votre doigt sur un scanner et le système d’exploitation vous permet d’entrer.
Cependant, les chercheurs ont montré que, bien que cette méthode soit pratique, elle n’est pas à l’épreuve du piratage.
Alors, comment les gens peuvent-ils contourner un scan d’empreintes digitales Windows Hello, et devriez-vous vous en inquiéter ?
Si un pirate veut contourner un scanner d’empreintes digitales sur une machine Windows, il vise à contourner un service appelé Windows Hello. Ce service gère la façon dont vous vous connectez à Windows, comme les codes PIN, les scans faciaux et les scans d’empreintes digitales.
Dans le cadre d’une recherche sur la force de Windows Hello, deux hackers white-hat, Jesse D’Aguanno et Timo Teräs, ont publié un rapport sur leur site Web, Blackwing HQ. Le rapport détaille comment ils ont piraté trois appareils populaires : le Dell Inspiron 15, le Lenovo ThinkPad T14 et le Microsoft Surface Pro Type Cover.
Pour le Dell Inspiron 15, les pirates ont remarqué qu’ils pouvaient démarrer sous Linux sur l’ordinateur portable. Une fois connectés à Linux, ils peuvent enregistrer leurs empreintes digitales dans le système et lui donner le même identifiant que l’utilisateur Windows auquel ils souhaitent se connecter.
Ensuite, ils effectuent une attaque de l’homme du milieu sur la connexion entre le PC et le capteur. Ils l’ont configuré de telle sorte que lorsque Windows vérifie qu’une empreinte digitale numérisée est légitime, il finit par vérifier la base de données Linux des empreintes digitales au lieu de la sienne.
Pour esquiver Windows Hello, les pirates ont téléchargé leurs empreintes digitales dans la base de données Linux, lui ont attribué le même ID que l’utilisateur sous Windows, puis ont essayé de se connecter à Windows avec leurs empreintes digitales.
Au cours du processus d’authentification, ils ont redirigé le paquet vers la base de données Linux, qui a indiqué à Windows que l’utilisateur à l’ID spécifié était prêt à se connecter.
Pour le Lenovo ThinkPad, les pirates ont découvert que l’ordinateur portable utilisait une méthode de cryptage personnalisée pour vérifier les empreintes digitales. Avec un peu de travail, les pirates ont réussi à le décrypter, ce qui leur a permis d’accéder au processus de vérification des empreintes digitales.
Une fois cela fait, les pirates pourraient forcer la base de données d’empreintes digitales à accepter leur empreinte digitale comme celle de l’utilisateur. Ensuite, tout ce qu’ils avaient à faire était de scanner leur empreinte digitale pour accéder au Lenovo ThinkPad.
Les pirates pensaient que la Surface Pro serait l’appareil le plus difficile à pirater, mais ils ont été surpris de constater que la Surface Pro manquait de nombreuses mesures de sécurité pour vérifier les empreintes digitales valides.
En fait, ils ont découvert qu’ils n’avaient qu’à esquiver une seule défense, puis dire à la Surface Pro que le scan d’empreintes digitales avait réussi, et l’appareil les a laissés entrer.
Ces hacks peuvent sembler assez effrayants si vous utilisez des empreintes digitales pour vous connecter à votre ordinateur portable. Cependant, il est essentiel de se souvenir de certaines choses cruciales avant de renoncer complètement aux scans d’empreintes digitales.
La raison pour laquelle les menaces telles que les ransomwares en tant que service sont si mortelles est que toute personne disposant d’une cybersécurité minimale peut les utiliser.
Cependant, les piratages ci-dessus nécessitent un haut niveau d’expertise, avec une compréhension approfondie de la façon dont les appareils authentifient les empreintes digitales et de la façon de les éviter.
Les pirates doivent avoir un contact physique avec l’appareil pour effectuer les piratages ci-dessus. Dans le rapport, les pirates ont déclaré qu’ils pourraient être en mesure de créer des périphériques USB capables d’effectuer l’attaque une fois branchés, mais cela signifie qu’un attaquant potentiel doit brancher quelque chose sur votre PC pour le pirater.
Vous remarquerez que chaque attaque devait emprunter un chemin différent pour atteindre le même objectif. Chaque appareil est unique, et un piratage qui fonctionne sur un appareil peut ne pas fonctionner sur un autre.
En tant que tel, vous ne devriez pas croire que Windows Hello a maintenant été largement ouvert sur tous les appareils ; Il n’y a que ces trois-là qui ont échoué.
Bien que ces piratages puissent sembler effrayants, ils seront difficiles à effectuer contre des cibles réelles. Le pirate devra probablement voler l’appareil pour effectuer ces piratages, ce qui alerterait sans aucun doute l’ancien propriétaire.
Comme indiqué ci-dessus, les piratages découverts sont compliqués à réaliser et peuvent nécessiter que le pirate retire l’appareil pour le pirater physiquement. En tant que tel, il y a extrêmement peu de chances que ces attaques vous ciblent personnellement.
Cependant, si vous n’êtes toujours pas satisfait, il existe quelques moyens de vous protéger contre les piratages de scanners d’empreintes digitales :
Étant donné qu’un pirate informatique devra interagir physiquement avec votre appareil, vous devez vous assurer qu’il ne tombe pas entre de mauvaises mains. Pour les ordinateurs, vous pouvez prendre des mesures pour empêcher le vol.
Si vous utilisez un ordinateur portable, ne le laissez jamais seul dans un espace public et utilisez un sac antivol pour ordinateur portable pour empêcher les gens de déchirer votre sac.
Windows Hello prend en charge de nombreuses méthodes de connexion différentes, certaines plus sécurisées que d’autres. Si vous n’aimez plus les scans d’empreintes digitales, vérifiez si les connexions au visage, à l’iris, aux empreintes digitales, au code PIN ou au mot de passe sont plus sûres et choisissez celle qui vous convient le mieux.
Si vous êtes préoccupé par ces piratages, il est important de se rappeler qu’il y a très peu de chances qu’ils vous ciblent spécifiquement.
En tant que tel, vous devriez être en sécurité en utilisant les scans d’empreintes digitales ; Ne permettez pas aux gens de voler vos appareils.
Informations sur le stage Titre du Poste : 01 STAGIAIRE JURIDIQUE/ ASSURANCE (H/F) Niveau Requis…
Informations sur l'emploi Titre du Poste : 04 postes Lieu du Travail : Sénégal Date…
Informations sur l'emploi Titre du Poste : Responsable financier Lieu du Travail : Ghana Description…
Informations sur l'emploi Titre du Poste : Gestionnaire, Gestion des talents et engagement Lieu du…
Informations sur l'emploi Titre du Poste : Directeur général en chef, Production Niveau Requis :…
Informations sur l'emploi Titre du Poste : Spécialiste en productivité des développeurs, ceinture noire mondiale…