Les scanners d’empreintes digitales Windows Hello ont été piratés : devriez-vous toujours les utiliser ?

Les scanners d’empreintes digitales Windows Hello ont été piratés : devriez-vous toujours les utiliser ?
Des lecteurs comme vous contribuent à soutenir MUO. Lorsque vous effectuez un achat en utilisant des liens sur notre site, nous pouvons gagner une commission d'affiliation. En savoir plus.

La connexion à un ordinateur portable Windows avec un scanner d’empreintes digitales est simple ; placez simplement votre doigt sur un scanner et le système d'exploitation vous laisse entrer. Cependant, des chercheurs ont montré que, même si cette méthode est pratique, elle n'est pas à l'épreuve du piratage.





Vidéo MUO du jour DÉFILEZ POUR CONTINUER AVEC LE CONTENU

Alors, comment les gens peuvent-ils contourner une analyse d’empreintes digitales Windows Hello, et devriez-vous vous en inquiéter ?



Les gens peuvent-ils pirater les scanners d’empreintes digitales Windows Hello ?

Verrouiller avec une empreinte digitale au milieu sur fond bleu

Si un pirate informatique souhaite contourner un scanner d'empreintes digitales sur une machine Windows, il vise à contourner un service appelé Windows Hello. Ce service gère la manière dont vous vous connectez à Windows, comme les codes PIN, les analyses faciales et les analyses d'empreintes digitales.





comment vérifier si un lien est sûr

Dans le cadre de la recherche sur les points forts de Windows Hello, deux hackers au chapeau blanc , Jesse D'Aguanno et Timo Teräs, ont publié un rapport sur leur site Internet, QG de l'Aile Noire . Le rapport détaille comment ils ont piraté trois appareils populaires : le Dell Inspiron 15, le Lenovo ThinkPad T14 et le Microsoft Surface Pro Type Cover.

Comment les pirates ont violé Windows Hello sur le Dell Inspiron 15

Pour le Dell Inspiron 15, les pirates ont remarqué qu'ils pouvaient démarrer sous Linux sur l'ordinateur portable. Une fois connectés à Linux, ils peuvent enregistrer leurs empreintes digitales dans le système et lui donner le même identifiant que l'utilisateur Windows auquel ils souhaitent se connecter.



Ensuite, ils effectuent une attaque de l’homme du milieu sur la connexion entre le PC et le capteur. Ils l'ont configuré de telle sorte que lorsque Windows vérifie à nouveau qu'une empreinte digitale numérisée est légitime, il finit par vérifier la base de données Linux d'empreintes digitales au lieu de la sienne.

Pour esquiver Windows Hello, les pirates ont téléchargé leurs empreintes digitales dans la base de données Linux, lui ont attribué le même identifiant que l'utilisateur sous Windows, puis ont tenté de se connecter à Windows avec leurs empreintes digitales. Au cours du processus d'authentification, ils ont redirigé le paquet vers la base de données Linux, qui a indiqué à Windows que l'utilisateur portant l'ID spécifié était prêt à se connecter.



combien coute linkedin premium

Comment les pirates ont violé Windows Hello sur le Lenovo ThinkPad T14

Pour le Lenovo ThinkPad, les pirates ont découvert que l'ordinateur portable utilisait une méthode de cryptage personnalisée pour vérifier les empreintes digitales. Avec un peu de travail, les pirates ont réussi à le décrypter, leur donnant ainsi accès au processus de vérification des empreintes digitales.

Une fois cela fait, les pirates pourraient forcer la base de données d'empreintes digitales à accepter leur empreinte digitale comme celle de l'utilisateur. Ensuite, il leur suffisait de scanner leur empreinte digitale pour accéder au Lenovo ThinkPad.



Comment les pirates ont violé Windows Hello sur le Microsoft Surface Pro Type Cover

Les pirates pensaient que la Surface Pro serait l'appareil le plus difficile à pirater, mais ils ont été surpris de constater que la Surface Pro manquait de nombreuses mesures de sécurité pour vérifier les empreintes digitales valides. En fait, ils ont découvert qu’il leur suffisait d’esquiver une seule défense, puis d’indiquer à la Surface Pro que l’analyse des empreintes digitales avait réussi et que l’appareil les laissait entrer.

Que signifient ces hacks pour vous ?

Réflexion professionnelle avec un ordinateur portable

Ces hacks peuvent sembler assez effrayants si vous utilisez vos empreintes digitales pour vous connecter à votre ordinateur portable. Cependant, il est essentiel de se rappeler certaines choses cruciales avant de renoncer complètement aux analyses d'empreintes digitales.

1. Les attaques ont été menées par des pirates informatiques qualifiés

La raison pour laquelle des menaces comme rançongiciel en tant que service sont si mortels que toute personne disposant d’un minimum de cybersécurité peut les utiliser. Cependant, les hacks ci-dessus nécessitent un haut niveau d’expertise, avec une compréhension approfondie de la manière dont les appareils authentifient les empreintes digitales et comment les éviter.

2. Les attaques nécessitent que l'attaquant interagisse physiquement avec l'appareil

Les pirates doivent avoir un contact physique avec l'appareil pour effectuer les hacks ci-dessus. Dans le rapport, les pirates ont déclaré qu'ils pourraient être en mesure de créer des périphériques USB capables d'effectuer l'attaque une fois branchés, mais cela signifie qu'un attaquant potentiel doit brancher quelque chose sur votre PC pour le pirater.

3. Les attaques ne fonctionnent que sur des appareils spécifiques

Vous remarquerez que chaque attaque a dû emprunter un chemin différent pour atteindre le même objectif. Chaque appareil est unique et un hack qui fonctionne sur un appareil peut ne pas fonctionner sur un autre. En tant que tel, vous ne devriez pas croire que Windows Hello a désormais été largement ouvert sur tous les appareils ; ce sont juste ces trois-là qui ont échoué.

Même si ces hacks peuvent sembler effrayants, ils seront difficiles à réaliser contre des cibles réelles. Le pirate informatique devra probablement voler l’appareil pour effectuer ces piratages, ce qui alerterait sans aucun doute l’ancien propriétaire.

Comment se protéger du piratage d'empreintes digitales

Le visage d'un homme portant un sweat à capuche

Comme indiqué ci-dessus, les hacks découverts sont compliqués à réaliser et peuvent nécessiter que le pirate informatique retire l'appareil pour le pirater physiquement. Il y a donc très peu de chances que ces attaques vous ciblent personnellement.

Cependant, si vous n'êtes toujours pas satisfait, il existe plusieurs moyens de vous protéger contre les piratages du scanner d'empreintes digitales :

déposer une épingle dans google maps

1. Ne laissez pas les appareils sans surveillance et sans protection

Étant donné qu’un pirate informatique devra interagir physiquement avec votre appareil, vous devez vous assurer qu’il ne tombe pas entre de mauvaises mains. Pour les ordinateurs, vous pouvez prendre des mesures pour empêcher son vol . Si vous utilisez un ordinateur portable, ne le laissez jamais seul dans un espace public et utilisez un sac antivol pour ordinateur portable pour empêcher les gens de déchirer votre sac.

2. Utilisez une méthode de connexion différente

Windows Hello prend en charge de nombreuses méthodes de connexion différentes, certaines plus sécurisées que d'autres. Si vous n'aimez plus les analyses d'empreintes digitales, vérifiez si Les connexions par visage, iris, empreinte digitale, code PIN ou mot de passe sont plus sécurisées , et choisissez celui qui vous convient le mieux.

Si ces piratages vous inquiètent, il est important de garder à l’esprit qu’il y a très peu de chances qu’ils vous ciblent spécifiquement. En tant que tel, vous devriez être en sécurité en utilisant les analyses d’empreintes digitales ; ne permettez simplement pas aux gens de voler vos appareils.