Certaines entreprises ont abandonné l’identification par empreinte digitale et elles auraient eu parfaitement raison. C’est le cas d’Apple, qui ne devrait plus utiliser Touch ID sans le faire évoluer. Pourtant, cette méthode d’identification biométrique avait du succès il y a quelques années et certaines entreprises avaient même commercialisé des lecteurs d’empreintes universels.
Malheureusement, il semble que cette méthode d’enregistrement soit la proie de nombreux problèmes de sécurité. Par exemple, en 2018, Lenovo permettait de contourner le lecteur d’empreintes digitales avec un simple mot de passe oublié par l’équipe de développement. Ces problèmes de sécurité sont toujours d’actualité, puisque Windows Hello, l’outil d’identification de Microsoft sur ses PC, semble compromis sur certains ordinateurs.
C’est un véritable problème, sachant que Windows Hello veut abandonner les mots de passe au profit des clés d’accès (qui utilisent l’identification biométrique). Selon l’équipe de recherche en sécurité et ingénierie de Microsoft (MORSE), ce serait pas moins de trois modèles d’ordinateurs dont le lecteur d’empreintes digitales pourrait être contourné.
L’identification par empreinte digitale n’est pas une méthode totalement sûre.
L’équipe ajoute même que la méthode pour y arriver est assez simple et ne demande pas énormément d’effort quand on s’y connaît un peu. C’est donc lors du test de trois des lecteurs les plus vendus du marché que l’équipe embauchée par Microsoft, Blackwing Intelligence, a découvert la faille de sécurité.
L’équipe s’est vue remettre trois ordinateurs : un Dell Inspiron 15, un Lenovo ThinkPad T14 (encore eux) et une Surface Pro de Microsoft. En trois mois seulement, l’équipe a réussi à contourner totalement l’identification biométrique des appareils et selon elle, l’Inspiron 15 a été identifié comme le plus vulnérable des appareils.
Pour ce faire, Blackwing Intelligence a utilisé un Raspberry Pi 4 (RP4) comme appareil intermédiaire. L’équipe s’est rendu compte que le RP4, après la désactivation du lecteur d’empreintes, pouvait donner accès à l’intégralité de la base de données des empreintes utilisées sur les appareils.
Il a été possible ensuite d’ajouter de nouvelles empreintes au sein d’une base de données Linux, considérée comme valide par Windows Hello. Cela a permis à Blackwing de contourner les protocoles de sécurité biométrique de Microsoft (SDCP) et donc de s’enregistrer sans problème sur les ordinateurs.
Cependant, l’équipe ne rejette pas la faute sur Microsoft mais plutôt sur les constructeurs qui, selon eux, ne prennent pas la sécurité de leurs appareils assez au sérieux. D’après Blackwing, c’est tout de même deux des trois appareils où SDCP était totalement désactivé.
C’est un constat préoccupant pour les utilisateurs qui devraient y réfléchir à deux fois avant d’abandonner leurs mots de passe pour l’identification biométrique. En attendant que ces failles de sécurité soient colmatées, il vaudrait donc mieux éviter les appareils concernés par celles-ci.
Source : Blackwing Intelligence