Les chercheurs en sécurité ont contourné la connexion par empreinte digitale Windows Hello

Le capteur d’empreintes digitales de votre ordinateur portable est pratique, mais est-il sécurisé ? Les chercheurs de Blackwing Intelligence ont contourné le système d’empreintes digitales Windows Hello sur les ordinateurs portables de Dell, Lenovo et Microsoft. Les fabricants devraient résoudre ce problème en suivant des pratiques de sécurité strictes et cohérentes, selon Blackwing Intelligence.

Microsoft a demandé à Blackwing Intelligence d’enquêter sur le système d’empreintes digitales de Windows Hello avant octobre 2023 Conférence BlueHat. Blackwing Intelligence n’ayant eu que trois mois pour effectuer ses recherches, elle s’est donc concentrée sur trois ordinateurs portables : le Dell Inspiron 15, le Lenovo ThinkPad T14 et le Microsoft Surface Pro X. Ces ordinateurs portables ont été choisis car ils contiennent les trois capteurs d’empreintes digitales intégrés les plus populaires (de Goodix, Synaptics et ELAN, respectivement).

Des vulnérabilités uniques ont été découvertes dans le système d’empreintes digitales Windows Hello de chaque ordinateur portable. L’équipe Blackwing Intelligence a utilisé un périphérique USB personnalisé pour exploiter ces vulnérabilités et contourner la connexion par empreinte digitale. Techniquement parlant, le protocole SDCP (Secure Device Connection Protocol) de Microsoft devrait protéger les ordinateurs portables contre une telle attaque. Mais SDHP n’est pas utilisé par le lecteur d’empreintes digitales du Thinkpad T13 ou de la Surface Pro X, et Blackwing Intelligence a réussi à contourner le système SDCP de l’Inspiron 15 en redirigeant la base de données d’empreintes digitales de l’ordinateur portable vers Linux.

Curieusement, la Surface Pro X s’est avérée être la victime la plus facile. Cet ordinateur portable 2 en 1 devrait ont posé un défi unique. Après tout, il est fabriqué par Microsoft et exécute le système d’exploitation de niche Windows sur ARM. Mais, comme l’explique Blackwing Intelligence, n’importe lequel Le périphérique USB peut prétendre être le capteur d’empreintes digitales de la Surface Pro X (en usurpant son VID/PID). Le seul véritable obstacle présenté par la Surface Pro X est la vérification du « combien d’empreintes digitales », qui demande au clavier amovible combien d’empreintes digitales il a enregistrées (vraisemblablement pour empêcher deux utilisateurs de Surface Pro X de mélanger leurs claviers).

La bonne nouvelle est que ces attaques de type man-in-the-middle (MitM) nécessitent un accès physique à l’ordinateur portable de la victime. Et si vous êtes suffisamment important pour être la cible d’une telle attaque, vous pouvez vous protéger en désactivant la connexion par empreinte digitale de votre ordinateur portable. Mais cette recherche met en évidence un fait inconfortable : les fabricants d’ordinateurs portables Windows, y compris Microsoft, ne suivent pas de pratiques de sécurité cohérentes.

Blackwing Intelligence demande à tous les fabricants d’ordinateurs portables et de capteurs d’empreintes digitales de mettre en œuvre le SDCP et d’embaucher des auditeurs de sécurité tiers à l’avenir. Pour plus d’informations, veuillez lire « Une touche de Pwn » article de blog ou regardez le cabinet Présentation BlueHat.

Source: Intelligence de l’Aile Noire via Le bord