L'authentification biométrique est un élément clé des plans de l'industrie technologique qui vise à supprimer les mots de passe dans le monde. Mais une nouvelle méthode pour contourner le système de reconnaissance faciale Windows Hello de Microsoft montre qu'une petite manipulation matérielle peut inciter le système à se déverrouiller alors qu'il ne devrait pas le faire. En effet, les chercheurs de CyberArk ont trompé Windows Hello, le système d'authentification sans mot de passe intégré à Windows 10 et Windows 11, en utilisant une seule image infrarouge accompagnée d'une trame vidéo. Windows Hello englobe trois méthodes d'authentification : un code PIN généré par l'utilisateur, un scanner d'empreintes digitales et un outil de reconnaissance faciale. Les chercheurs de CyberArk ont spécifiquement ciblé ses capacités de reconnaissance faciale, mais des problèmes ont également été découverts dans d'autres aspects du système.
Des services comme FaceID d'Apple ont rendu l'authentification par reconnaissance faciale plus courante ces dernières années, et Windows Hello a poussé l'adoption encore plus loin. Apple ne permet d'utiliser FaceID qu'avec les caméras intégrées aux iPhone et iPad récents, et ce service n'est toujours pas pris en charge par les Macs. Mais comme le matériel Windows est très diversifié, la reconnaissance faciale Hello fonctionne avec toute une série de webcams tierces. Là où certains pourraient voir une facilité d'adoption, cependant, les chercheurs de la société de sécurité CyberArk ont vu une vulnérabilité potentielle. En effet, vous ne pouvez pas faire confiance à une vieille webcam pour offrir des protections solides dans la manière dont elle collecte et transmet les données. La reconnaissance faciale de Windows Hello ne fonctionne qu'avec les webcams dotées d'un capteur infrarouge en plus du capteur de couleur RGB. Mais le système, en fait, ne regarde même pas les données RGB. Cela signifie qu'avec une image infrarouge directe du visage d'une cible et un cadre noir, les chercheurs ont découvert qu'ils pouvaient déverrouiller l'appareil de la victime protégé par Windows Hello.
Procédé : les chercheurs ont branché une carte de prototypage sur un PC en USB . Celle-ci se fait passer pour une webcam et envoie deux images statiques (une image noire + une photo infrarouge de l'utilisateur). Windows hello prend l'ensemble pour l'utilisateur et se déverrouille. « Nous avons essayé de trouver le point faible de la reconnaissance faciale et ce qui serait le plus intéressant du point de vue de l'attaquant, l'option la plus approchable. Nous avons créé une carte complète du flux de reconnaissance faciale de Windows Hello et avons vu que le plus pratique pour un attaquant serait de se faire passer pour la caméra, car tout le système repose sur cette entrée », explique Omer Tsarfati, chercheur à la société de sécurité CyberArk.
Microsoft appelle la découverte une "vulnérabilité de contournement de la fonction de sécurité de Windows Hello" et a publié des correctifs mardi dernier pour résoudre le problème. En outre, la société suggère aux utilisateurs d'activer la "sécurité de connexion améliorée de Windows Hello", qui utilise la "sécurité basée sur la virtualisation" de Microsoft pour chiffrer les données du visage de Windows Hello et les traiter dans une zone de mémoire protégée où elles ne peuvent pas être altérées.
Tsarfati, qui présentera ses conclusions le mois prochain lors de la conférence Black Hat sur la sécurité à Las Vegas, explique que l'équipe de CyberArk a choisi d'examiner l'authentification par reconnaissance faciale de Windows Hello, en particulier, car de nombreuses recherches ont déjà été menées dans l'ensemble du secteur sur le piratage des codes PIN et l'usurpation des capteurs d'empreintes digitales. Il ajoute que l'équipe a été attirée par l'importante base d'utilisateurs de Windows Hello. En mai 2020, Microsoft a déclaré que le service comptait plus de 150 millions d'utilisateurs. En décembre, l'entreprise a ajouté que 84,7 % des utilisateurs de Windows 10 se connectent avec Windows Hello.
Bien que cela semble simple (montrez deux photos au système et vous êtes accepté) ces contournements de Windows Hello ne seraient pas faciles à réaliser dans la pratique. Le piratage nécessite que les attaquants disposent d'une image infrarouge de bonne qualité du visage de la cible et qu'ils aient un accès physique à son appareil. Mais le concept est important, car Microsoft continue de promouvoir l'adoption de Hello avec Windows 11. La diversité du matériel parmi les appareils Windows et l'état lamentable de la sécurité de l'IdO pourraient se combiner pour créer d'autres vulnérabilités dans la façon dont Windows Hello accepte les données du visage. « Un attaquant vraiment motivé pourrait faire ces choses. Microsoft a été formidable pour travailler avec et a produit des atténuations, mais le problème plus profond en soi, concernant la confiance entre l'ordinateur et la caméra, reste présent », dit Tsarfati.
Il existe différentes façons de prendre et de traiter les images pour la reconnaissance faciale. La technologie FaceID d'Apple, par exemple, ne fonctionne qu'avec les réseaux de caméras TrueDepth, une caméra infrarouge combinée à un certain nombre d'autres capteurs. Mais Apple est en mesure de contrôler à la fois le matériel et le logiciel de ses appareils d'une manière que Microsoft n'a pas pour l'écosystème Windows. Les informations de configuration de Windows Hello Face indiquent simplement « S'identifier avec la caméra infrarouge de votre PC ou une caméra infrarouge externe ».
Marc Rogers, chercheur de longue date en sécurité des capteurs biométriques et vice-président de la cybersécurité de la société de gestion des identités numériques Okta, estime que Microsoft devrait indiquer clairement aux utilisateurs quelles sont les webcams tierces certifiées comme offrant des protections solides pour Windows Hello. Les utilisateurs peuvent toujours décider s'ils veulent acheter l'un de ces produits plutôt que n'importe quelle vieille webcam infrarouge, mais des directives et des recommandations spécifiques aideraient les gens à comprendre les options.
Les recherches de CyberArk s'inscrivent dans une catégorie plus large de piratages connus sous le nom d'"attaques de déclassement", dans lesquelles un appareil est amené à utiliser un mode moins sûr, comme une tour de téléphonie mobile malveillante qui force votre téléphone à utiliser des données mobiles 3G, avec ses défenses plus faibles, au lieu de la 4G. Une attaque visant à faire accepter à Windows Hello des données faciales statiques et préenregistrées utilise le même principe, et des chercheurs ont déjoué la reconnaissance faciale de Windows Hello avant de faire accepter au système des photos en utilisant différentes techniques. Selon Rogers, il est surprenant que Microsoft n'ait pas anticipé la possibilité d'attaques contre des caméras tierces comme celle conçue par CyberArk.
Source : CyberArk, Microsoft
Et vous ?
Que pensez-vous de l'authentification sans mot de passe ? Garantit-elle plus de sécurité que le mot de passe ?
Avez déjà utilisé l'une des alternatives au mot de passe de Microsoft ? Si oui, laquelle ? Quel est votre retour d'expérience ?
Voir aussi :
Microsoft prévoit de mettre fin au mot de passe en 2021 pour s'appuyer sur de nouvelles méthodes d'authentification comme Windows Hello, Microsoft Authenticator et la biométrie
Yubico et Microsoft annoncent la disponibilité générale d'une connexion sans mot de passe pour tous les utilisateurs d'Azure Active Directory (Azure AD) Grâce à la Yubikey avec le protocole FIDO2
Windows 11 exigera que les nouveaux ordinateurs portables aient une caméra frontale dès 2023
Des chercheurs en sécurité déjouent Windows Hello en trompant une webcam du système de reconnaissance faciale :
Une photo infrarouge et une trame vidéo leur ont suffi
Des chercheurs en sécurité déjouent Windows Hello en trompant une webcam du système de reconnaissance faciale :
Une photo infrarouge et une trame vidéo leur ont suffi
Le , par Nancy Rey
Une erreur dans cette actualité ? Signalez-nous-la !