Windows Hello face aux pirates

Des failles sur les 3 modèles examinés

Microsoft a fait du bon travail en concevant le protocole SDCP (Secure Device Connection Protocol) pour fournir un canal sécurisé entre l'hôte et les appareils biométriques, mais malheureusement les fabricants d'appareils semblent mal comprendre certains des objectifs. De plus, le SDCP ne couvre qu'une portée très étroite du fonctionnement d'un appareil typique, alors que la plupart des appareils ont une surface d'attaque importante qui n'est pas du tout couverte par le SDCP.

(aka MORSE)(une reconnaissance faciale via les webcam est également proposée, mais n'a pas été scrutée par les chercheurs). Les chercheurs se sont penchés sur trois modèles spécifiques et assez communs sur le marché, les Microsoft Surface Pro X, Lenovo ThinkPad T14 et Dell Inspiron 15.Les spécialistes ont examiné les éventuelles faillespour le côté matériel, ainsi queDasn un long billet de blog , l. Etonnamment, c'est la machine de Microsoft qui a été la plus simple à berner, le Secure Device Connection Protocol (SDCP) de la firme n'étant pas mis à profit sur le Surface Pro X. Les chercheurs Jesse D’Aguanno et Timo Teräs de Blackwing Intelligence indiquent :Reste à savoir, mais le niveau de sécurité de Touch ID et Face ID semble assez élevé depuis le lancement de ces technologies, contrairement à Windows Hello dont un correctif a déjà été déployé en 2021 pour la reconnaissance faciale par la webcam qui pouvait être trompée avec un cliché infrarouge de l'utilisateur.