IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des chercheurs en sécurité déjouent Windows Hello en trompant une webcam du système de reconnaissance faciale :
Une photo infrarouge et une trame vidéo leur ont suffi

Le , par Nancy Rey

125PARTAGES

16  0 
L'authentification biométrique est un élément clé des plans de l'industrie technologique qui vise à supprimer les mots de passe dans le monde. Mais une nouvelle méthode pour contourner le système de reconnaissance faciale Windows Hello de Microsoft montre qu'une petite manipulation matérielle peut inciter le système à se déverrouiller alors qu'il ne devrait pas le faire. En effet, les chercheurs de CyberArk ont trompé Windows Hello, le système d'authentification sans mot de passe intégré à Windows 10 et Windows 11, en utilisant une seule image infrarouge accompagnée d'une trame vidéo. Windows Hello englobe trois méthodes d'authentification : un code PIN généré par l'utilisateur, un scanner d'empreintes digitales et un outil de reconnaissance faciale. Les chercheurs de CyberArk ont spécifiquement ciblé ses capacités de reconnaissance faciale, mais des problèmes ont également été découverts dans d'autres aspects du système.


Des services comme FaceID d'Apple ont rendu l'authentification par reconnaissance faciale plus courante ces dernières années, et Windows Hello a poussé l'adoption encore plus loin. Apple ne permet d'utiliser FaceID qu'avec les caméras intégrées aux iPhone et iPad récents, et ce service n'est toujours pas pris en charge par les Macs. Mais comme le matériel Windows est très diversifié, la reconnaissance faciale Hello fonctionne avec toute une série de webcams tierces. Là où certains pourraient voir une facilité d'adoption, cependant, les chercheurs de la société de sécurité CyberArk ont vu une vulnérabilité potentielle. En effet, vous ne pouvez pas faire confiance à une vieille webcam pour offrir des protections solides dans la manière dont elle collecte et transmet les données. La reconnaissance faciale de Windows Hello ne fonctionne qu'avec les webcams dotées d'un capteur infrarouge en plus du capteur de couleur RGB. Mais le système, en fait, ne regarde même pas les données RGB. Cela signifie qu'avec une image infrarouge directe du visage d'une cible et un cadre noir, les chercheurs ont découvert qu'ils pouvaient déverrouiller l'appareil de la victime protégé par Windows Hello.

Procédé : les chercheurs ont branché une carte de prototypage sur un PC en USB . Celle-ci se fait passer pour une webcam et envoie deux images statiques (une image noire + une photo infrarouge de l'utilisateur). Windows hello prend l'ensemble pour l'utilisateur et se déverrouille. « Nous avons essayé de trouver le point faible de la reconnaissance faciale et ce qui serait le plus intéressant du point de vue de l'attaquant, l'option la plus approchable. Nous avons créé une carte complète du flux de reconnaissance faciale de Windows Hello et avons vu que le plus pratique pour un attaquant serait de se faire passer pour la caméra, car tout le système repose sur cette entrée », explique Omer Tsarfati, chercheur à la société de sécurité CyberArk.

Microsoft appelle la découverte une "vulnérabilité de contournement de la fonction de sécurité de Windows Hello" et a publié des correctifs mardi dernier pour résoudre le problème. En outre, la société suggère aux utilisateurs d'activer la "sécurité de connexion améliorée de Windows Hello", qui utilise la "sécurité basée sur la virtualisation" de Microsoft pour chiffrer les données du visage de Windows Hello et les traiter dans une zone de mémoire protégée où elles ne peuvent pas être altérées.

Tsarfati, qui présentera ses conclusions le mois prochain lors de la conférence Black Hat sur la sécurité à Las Vegas, explique que l'équipe de CyberArk a choisi d'examiner l'authentification par reconnaissance faciale de Windows Hello, en particulier, car de nombreuses recherches ont déjà été menées dans l'ensemble du secteur sur le piratage des codes PIN et l'usurpation des capteurs d'empreintes digitales. Il ajoute que l'équipe a été attirée par l'importante base d'utilisateurs de Windows Hello. En mai 2020, Microsoft a déclaré que le service comptait plus de 150 millions d'utilisateurs. En décembre, l'entreprise a ajouté que 84,7 % des utilisateurs de Windows 10 se connectent avec Windows Hello.


Bien que cela semble simple (montrez deux photos au système et vous êtes accepté) ces contournements de Windows Hello ne seraient pas faciles à réaliser dans la pratique. Le piratage nécessite que les attaquants disposent d'une image infrarouge de bonne qualité du visage de la cible et qu'ils aient un accès physique à son appareil. Mais le concept est important, car Microsoft continue de promouvoir l'adoption de Hello avec Windows 11. La diversité du matériel parmi les appareils Windows et l'état lamentable de la sécurité de l'IdO pourraient se combiner pour créer d'autres vulnérabilités dans la façon dont Windows Hello accepte les données du visage. « Un attaquant vraiment motivé pourrait faire ces choses. Microsoft a été formidable pour travailler avec et a produit des atténuations, mais le problème plus profond en soi, concernant la confiance entre l'ordinateur et la caméra, reste présent », dit Tsarfati.

Il existe différentes façons de prendre et de traiter les images pour la reconnaissance faciale. La technologie FaceID d'Apple, par exemple, ne fonctionne qu'avec les réseaux de caméras TrueDepth, une caméra infrarouge combinée à un certain nombre d'autres capteurs. Mais Apple est en mesure de contrôler à la fois le matériel et le logiciel de ses appareils d'une manière que Microsoft n'a pas pour l'écosystème Windows. Les informations de configuration de Windows Hello Face indiquent simplement « S'identifier avec la caméra infrarouge de votre PC ou une caméra infrarouge externe ».

Marc Rogers, chercheur de longue date en sécurité des capteurs biométriques et vice-président de la cybersécurité de la société de gestion des identités numériques Okta, estime que Microsoft devrait indiquer clairement aux utilisateurs quelles sont les webcams tierces certifiées comme offrant des protections solides pour Windows Hello. Les utilisateurs peuvent toujours décider s'ils veulent acheter l'un de ces produits plutôt que n'importe quelle vieille webcam infrarouge, mais des directives et des recommandations spécifiques aideraient les gens à comprendre les options.

Les recherches de CyberArk s'inscrivent dans une catégorie plus large de piratages connus sous le nom d'"attaques de déclassement", dans lesquelles un appareil est amené à utiliser un mode moins sûr, comme une tour de téléphonie mobile malveillante qui force votre téléphone à utiliser des données mobiles 3G, avec ses défenses plus faibles, au lieu de la 4G. Une attaque visant à faire accepter à Windows Hello des données faciales statiques et préenregistrées utilise le même principe, et des chercheurs ont déjoué la reconnaissance faciale de Windows Hello avant de faire accepter au système des photos en utilisant différentes techniques. Selon Rogers, il est surprenant que Microsoft n'ait pas anticipé la possibilité d'attaques contre des caméras tierces comme celle conçue par CyberArk.

Source : CyberArk, Microsoft

Et vous ?

Que pensez-vous de l'authentification sans mot de passe ? Garantit-elle plus de sécurité que le mot de passe ?
Avez déjà utilisé l'une des alternatives au mot de passe de Microsoft ? Si oui, laquelle ? Quel est votre retour d'expérience ?

Voir aussi :

Microsoft prévoit de mettre fin au mot de passe en 2021 pour s'appuyer sur de nouvelles méthodes d'authentification comme Windows Hello, Microsoft Authenticator et la biométrie

Yubico et Microsoft annoncent la disponibilité générale d'une connexion sans mot de passe pour tous les utilisateurs d'Azure Active Directory (Azure AD) Grâce à la Yubikey avec le protocole FIDO2

Windows 11 exigera que les nouveaux ordinateurs portables aient une caméra frontale dès 2023

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de sergio_is_back
Expert confirmé https://www.developpez.com
Le 16/09/2021 à 15:32
C'est sympa l'authentification par SMS sur ton tél, lorsque tu es sur site classé SEVESO avec interdiction des téléphones portables....
5  0 
Avatar de totozor
Membre expert https://www.developpez.com
Le 16/09/2021 à 16:26
Citation Envoyé par sergio_is_back Voir le message
C'est sympa l'authentification par SMS sur ton tél, lorsque tu es sur site classé SEVESO avec interdiction des téléphones portables....
Ou quand il sert à débloquer une application qui est sur ton téléphone
4  0 
Avatar de fatbob
Membre éclairé https://www.developpez.com
Le 24/09/2021 à 10:13
Quelqu'un sait-il pourquoi aucun site où l'on a besoin d'un mot de passe n'interdit de faire des dizaines de milliers d'essais chaque seconde ?
Si il n'était pas possible de faire plus d'un essais toute les trois secondes, par exemple, cela ne serait-il pas déjà un bon début pour limiter le problème ?
Avec 6 caractères alphanumériques, et 3 secondes par essais, on atteint déjà 5400 ans pour un algo de force brute.

Toutes ces méthodes alternative de double authentification, cela ressemble plus à un moyen de récupérer les numéros de téléphone de tous les clients qui ouvrent un compte.
Pour ma part, je n'ai pas envie de filer ce numéro à n'importe qui sous prétexte de sécurité.
On reparlera de ça quand les opérateurs téléphoniques permettront d'avoir au moins un ou deux alias modifiables pour nos numéros de téléphones afin de pouvoir virer périodiquement tous les spammeurs sans avoir besoin de prévenir tous ses contacts mais pour l'instant, c'est juste un moyen de plus pour nous envoyer de la pub.
4  0 
Avatar de Fagus
Membre expert https://www.developpez.com
Le 19/07/2021 à 12:25
En résumé : Ils ont branché une carte de prototypage sur un PC en USB . Celle-ci se fait passer pour une webcam et envoie deux images statiques (une image noire + une photo infrarouge de l'utilisateur). Windows hello prend ça pour l'utilisateur et se déverrouille.
3  0 
Avatar de OliverDuncan
Inactif https://www.developpez.com
Le 17/09/2021 à 11:37
Les chercheurs de CyberArk ont trompé Windows Hello, le système d'authentification sans mot de passe intégré à Windows 10 et Windows 11, en utilisant une seule image infrarouge accompagnée d'un cadre vidéo. Windows Hello comprend trois méthodes d'authentification : un code PIN utilisateur, un scanner d'empreintes digitales et un outil de reconnaissance faciale. Les chercheurs de CyberArk ont spécifiquement ciblé ses capacités de reconnaissance faciale, mais des problèmes ont également été constatés dans d'autres aspects du système
3  0 
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 17/09/2021 à 12:56
D’où l’intérêt de l'authentification à double facteur.

Si on peut utiliser plusieurs sources pour le second facteur d’authentification comme par exemple une adresse mail ou un tél, c'est un bon compromis.
3  0 
Avatar de Jules34
Membre expérimenté https://www.developpez.com
Le 16/09/2021 à 15:23
Citation Envoyé par Stéphane le calme Voir le message
Toute personne possédant un compte Microsoft peut désormais supprimer complètement son mot de passe,
pour disposer d'une meilleure alternative de sécurité selon Microsoft

Que pensez-vous des alternatives aux mots de passe comme Windows Hello, Microsoft Authenticator, la clé de sécurité ou le code de vérification envoyé à votre téléphone ou par e-mail ?

Des retombées sur des outils comme les gestionnaires de mots de passe si ces alternatives venaient à être adopté massivement par internet et les internautes ?
1. C'est au mieux une opération commerciale, au pire encore un truc qui va dérésponsabiliser les gens : pourquoi ne pas former les gens à la gestion de mot de passe. Bordel je connais par coeur mon numéro de sécu, mon numéro de compte, un mot de passe c'est pas tant pire même si effectivement il se complique, d'ou le 2.

2. Oui j'ai un gestionnaire de mot de passe, dont je change le mot de passe mensuellement et active le 2FA dans tout les cas ou c'est possible. (même si je sais que ça a aussi ses limites mais je suis pas à l'abri de me faire renverser par une voiture non plus).
2  0 
Avatar de JaDu-GHU
Nouveau membre du Club https://www.developpez.com
Le 25/09/2021 à 15:37
Mes comptes bancaires ont été vidés car mon numéro de mobile avait été piraté et donc les pirates recevaient les codes "SÉCURISÉS" de ma banque !
Ce n'est donc pas fiable du tout !
2  0 
Avatar de Gluups
Membre chevronné https://www.developpez.com
Le 22/07/2021 à 2:06
J'entends qu'un mot de passe de quatre chiffres est plus fiable qu'un mot de passe de huit caractères alphanumériques

Outre que 9999 tentatives me semblent plus vite faites que 70 puissance 8 (si on considère 52 lettres, 10 chiffres, 8 signes de ponctuation), si dans un Open Space je tape quatre chiffres sur la rangée du haut, la tendance naturelle est de faire ça avec deux doigts. Quelle est la difficulté de lire ce code depuis l'autre bout de l'Open Space ?

Alors qu'en ayant passé le temps qu'il faut à maîtriser la frappe dactylographique, la position des mains reste constante, ça requiert déjà plus d'attention de repérer quel est le doigt qui bouge, de combien, dans quel ordre. Et si il est changé tous les mois, il faut mémoriser ça en 80 essais, si on fait une pause par demi-journée et qu'on travaille vingt jours dans le mois.

Cela étant, je suis d'accord que les 4 chiffres sont plus vite tapés.

Verrouiller l'ordinateur quand j'éloigne le téléphone ? La dernière fois que j'ai essayé, ça n'a pas marché.

J'ai eu un portable qui était vendu avec sur le pavé tactile un lecteur d'empreinte digitale, spécifiquement pour être utilisé avec Windows Hello. Ça fonctionnait très bien, sauf qu'au bout de neuf mois ce que Microsoft a trouvé de plus urgent à faire, a été de modifier Windows Hello pour ne plus reconnaître ce modèle. Et plutôt que de l'annoncer clairement en expliquant les enjeux, a joué à cache-cache et dit à l'utilisateur voyez avec le constructeur. Qu'est-ce que le constructeur peut bien y faire si Windows change et ne reconnaît plus le matériel ?
Parce que si Microsoft a communiqué aussi efficacement avec le constructeur qu'avec l'utilisateur, le constructeur n'a aucune chance de fournir un pilote à jour.
Donc, lorsque la machine a été obstruée par l'appétit des mises à jour Windows en espace disque, et qu'il a de nouveau fallu passer à la caisse, cette fois j'ai acheté un portable sans lecteur d'empreinte digitale, puisque ça ne sert à rien.

À la maison c'est bien pratique, à l'extérieur j'ai entendu des histoires de gens qui ont réussi à déverrouiller la reconnaissance d'empreinte digitale avec une photo de l'empreinte du doigt sur un verre.
J'imagine que c'est quelques gugusses, qui sont capables de faire ça, mais peut-être justement ceux qu'il ne faudrait pas.

Donc, euh ... Quelque chose de fiable ?
Ah, vaste question.
Normalement, il faut changer souvent ses mots de passe.
Ah oui, mais plus on les change souvent, moins ils sont faciles à se rappeler. Et quoi de moins sécurisé qu'un ordinateur dont l'utilisateur a oublié le mot de passe ?

Ah, oui, d'où les autres solutions proposées ...
1  0 
Avatar de Fagus
Membre expert https://www.developpez.com
Le 28/07/2021 à 23:20
Citation Envoyé par Gluups Voir le message
...
Apparemment, le PIN peut être autre chose que 4 chiffres et est stocké dans le TPM qui se verrouille après "trop" d'essais selon le lob de Microsoft.

Si on en a assez, des mots de passe, on peut aussi acheter une yubikey.

Si on veut juste durcir un peu sans tout ça, on peut aussi ajouter son téléphone en comme authentification à deux facteurs avec l'appli Duo security (usage privé gratuit). ça marche aussi sur les sessions RDP.
1  0