Le système d'authentification Microsoft Windows Hello est compatible avec les webcams de différents fabricants, ce qui le rend aussi simple d'utilisation que possible. Cependant, cette polyvalence peut rendre la technologie moins sécurisée contre les attaquants. Les experts de la société CyberArk en étaient convaincus, qui ont réussi à tromper Windows Hello en utilisant une image du visage du propriétaire de l'ordinateur.
Windows Hello est compatible avec une variété de webcams dotées d'un capteur RVB ou infrarouge. Au cours de la recherche, il a été constaté que lors du processus d'authentification, le système ne traite que les trames infrarouges. Pour tester cette hypothèse, les chercheurs ont fabriqué un périphérique USB spécial dans lequel ils ont chargé des photographies infrarouges du propriétaire de l'ordinateur portable et des images RVB du personnage de dessin animé Bob l'éponge. Une fois connecté, Windows Hello a détecté l'appareil comme une caméra USB et l'ordinateur a été déverrouillé avec succès à l'aide d'une photo infrarouge.
Il est à noter qu'il sera extrêmement difficile de pirater l'ordinateur de quelqu'un à l'aide de cette technique, car cela nécessite d'obtenir une photographie infrarouge du propriétaire de l'appareil. Cependant, il s'agit toujours d'une faille de sécurité de Windows Hello qui pourrait théoriquement être exploitée par des attaquants. Microsoft a déjà publié un correctif pour ce que la société appelle la « vulnérabilité de contournement de la fonctionnalité de sécurité Hello ». Microsoft propose également Windows Hello Enhanced Sign-in Security, qui crypte le visage de l'utilisateur et le stocke dans une zone sécurisée distincte.
2021-07-18 10:23:23
Auteur: Vitalii Babkin