La reconnaissance faciale de Microsoft a été trompée par des spécialistes en cybersécurité
S’identifier avec son empreinte digitale ou via un mécanisme reconnaissance faciale n’est pas dénué de tous risques.
La reconnaissance faciale trompée
Dans un billet de blog daté du 13 juillet 2021, la firme explique comment elle a réussi à tromper le mécanisme de reconnaissance faciale de Microsoft surnommé Windows Hello. Avec un peu de volonté et pas mal de connaissance technique, il a été possible de déverrouiller un ordinateur et d’accéder à son contenu comme si la personne se tenait juste devant son écran.
Contrairement à la technologie FaceID de chez Apple qui n’est disponible que sur les appareils de la marque, Windows Hello peut être adopté par tous les fabricants de webcams. En achetant simplement une webcam avec capteur infrarouge, il est possible d’activer la fonctionnalité de reconnaissance faciale sur Windows. Et malheureusement, cette diversité de matériel implique aussi une diversité dans les mesures de sécurité mises en place.
Comme l’explique CyberArk, il est possible de tromper une webcam Windows Hello en « injectant » dans le circuit d’authentification une photo infrarouge du propriétaire de l’ordinateur. Les informations de reconnaissance faciale transmises par la webcam au système n’étant pas toujours sécurisé, il est possible de les remplacer à la volée par une photo. Cette photo fera croire au système que c’est bel et bien le propriétaire de la machine qui est devant son ordinateur.
Un risque à largement tempérer
Les webcams se reposant sur Windows Hello embarquent un capteur infrarouge et un capteur photo standard. Sauf que le mécanisme d’identification ne se repose que sur l’image infrarouge, rendant le hack un peu plus facile puisqu’il n’y a pas besoin d’avoir deux images (standard et infrarouge) de la cible pour tromper le PC.
Il faut tout de même tempérer la portée d’une telle faille. Tout d’abord parce que Microsoft a déployé un patch pour corriger le bug il y a quelques jours, et surtout parce qu’il fallait un accès physique à la machine pour exploiter une telle faille. Une photo infrarouge du visage de quelqu’un ne s’obtient pas non plus facilement.
CyberArk l’avoue d’ailleurs volontiers. Le meilleur moyen d’obtenir un scan infrarouge d’un visage est de « passer à côté de la personne équipée d’une caméra ou de placer cette caméra IR dans un endroit que la personne va traverser, comme un ascenseur. [...] Grâce aux technologies avancées des caméras IR, il est possible de prendre cette photo même à distance, par exemple de l’autre côté de la rue ou depuis une voiture. » On est plus dans un scénario de James Bond que dans une situation que rencontrera le grand public.
La biométrie n’est pas infaillible
Néanmoins, cette découverte est intéressante. D’abord, parce que d’après Microsoft, 84,7 % des internautes qui se connectent à Windows 10 le font grâce à Windows Hello. La surface d’attaque était donc considérable, même si CyberArk écrit noir sur blanc que l’exploitation d’une telle faille hors de ses labos n’a pas été prouvée.
L’expérimentation montre aussi que l’authentification biométrique, qui a été pensée pour remplacer les mots de passe, n’est pas infaillible. La reconnaissance faciale peut être trompée, tout comme la reconnaissance d’empreintes digitales. Aucun mécanisme n’est infaillible et un hacker déterminé pourra quasiment toujours pénétrer dans une machine, qu’elle soit protégée par un mot de passe ou par une clé biométrique.
Ces méthodes d’authentification sont malgré tout plus sécurisées qu’un mot de passe puisqu’elle demande plus connaissances et plus de moyens. À moins que vous ne soyez un super-espion recherché par tous les gouvernements mondiaux, pas besoin donc de s'affoler.