“Vous êtes le mot de passe”, est le slogan marketing accrocheur que Microsoft a utilisé pour lancer son système Windows 10 Hello face authentication en 2015.
Cependant, selon les chercheurs de la société allemande SySS, un slogan plus réaliste serait : “vous êtes le mot de passe, ainsi qu’une simple photo de vous !”.
Aussi incroyable que cela puisse paraître, l’équipe a constaté qu’elle pouvait contourner Windows Hello sur plusieurs versions de Windows 10, en présentant simplement une photo infrarouge (IR) imprimée du propriétaire du système en question.
Dans la démonstration de la preuve de concept, la photo a été imprimée en 340 x 340 sur une imprimante laser couleur, après un réglage de la luminosité et du contraste, et a été présentée à un Dell Latitude, avec une caméra USB LilBit NIR connectée à celui-ci.
Il s’agit là de la partie la plus simple de cette vulnérabilité, car le niveau de sensibilité d’un PC Windows spécifique dépend de l’interaction de trois paramètres :
- La version de Windows 10 utilisée.
- Si la fonction enhanced anti-spoofing de Windows Hello est activée.
- Si la caméra IR prend en charge la fonction enhanced anti-spoofing.
Les chercheurs ont également dû modifier l’image, en utilisant de la couleur ou une résolution plus élevée, en fonction de la configuration qu’ils voulaient tester.
A priori, l’attaque fonctionnerait sur toutes les versions de Windows où la technologie enhanced anti-spoofing de Hello n’a pas été activée (l’activation, qui doit être faite manuellement, n’est possible que si la caméra IR prend en charge cette fonctionnalité).
En d’autres termes, pour protéger votre PC vis-à-vis de potentiels contournements via l’utilisation de photos, vous devez utiliser la version la plus récente de Windows 10 (1709 ou au moins 1703 datant du mois d’avril), avec un PC ou une caméra dont le hardware prend en charge la technologie anti-spoofing. Assurez-vous, enfin, de l’avoir activée, et qu’une réinitialisation a bien été faite après une mise à niveau, la plus récente possible.
L’ordinateur portable Surface Pro 4 de Microsoft répond à tous ces critères… à partir du moment où la mise à jour Windows 10 Fall Creators (1709) a bien été installée, et que l’utilisateur s’est inscrit de nouveau sur Windows Hello.
Un peu plus de détails peuvent être trouvés dans l’advisory, bien que la façon avec laquelle l’utilisateur final détermine si la caméra est compatible avec l’anti-spoofing ne soit pas claire, car SySS ne les a pas toutes testées.
En réalité, la vulnérabilité est probablement faible dans des conditions réelles, car elle nécessite une prise de vue frontale du visage de l’utilisateur de l’ordinateur en question. En fait, il s’agit plutôt ici d’un rappel pratique, pour vous inciter à vous méfier des promesses faites par un système de sécurité biométrique.
Au moins, Microsoft n’est pas le seul acteur majeur du secteur à se débattre avec les subtilités de la reconnaissance faciale. En effet, Apple en a fait l’expérience en novembre, lorsqu’une autre entreprise de pentesting a réussi à tromper la technologie Face ID de l’iPhone X avec un masque peint.
Je m’attends à ce que la reconnaissance faciale devienne un jour une méthode de vérification biométrique sûre et fiable pour l’identification. À l’heure actuelle, il semble que les déploiements à grande échelle, tels que Windows Hello et Face ID, suscitent de plus en plus d’attention, et les éditeurs de logiciels parviennent à traiter les problèmes et découvrent toujours de nouveaux cas limites.
Si votre visage est véritablement votre mot de passe, il vaut mieux, comme tout mot de passe d’ailleurs, qu’il soit soumis à une authentification à deux facteurs.
Billet inspiré de Windows Hello face recognition spoofed with photographs, sur Sophos nakedsecurity.