Selon Neowin , l'équipe de Blackwell Intelligence a révélé ses conclusions en octobre dernier lors de la conférence sur la sécurité BlueHat de Microsoft, mais elle n'a publié les résultats sur son propre site Web que cette semaine. L'article de blog, intitulé « A Touch of Pwn », indique que l'équipe a utilisé des capteurs d'empreintes digitales à l'intérieur des ordinateurs portables Dell Inspiron 15 et Lenovo ThinkPad T14, ainsi que des Microsoft Surface Pro Type Covers avec Fingerprint ID conçus pour les Surface Pro 8 et X. Les capteurs d'empreintes digitales spécifiques ont été fabriqués par Goodix, Synaptics et ELAN.
Il a fallu environ 3 mois de recherche à Blackwell pour découvrir une vulnérabilité dans Windows Hello.
Tous les capteurs d’empreintes digitales compatibles Windows Hello que nous avons testés utilisent du matériel à puce, ce qui signifie que l’authentification est gérée sur le capteur lui-même, qui possède sa propre puce et son propre stockage.
Dans sa déclaration, Blackwell a déclaré que la base de données des « modèles d'empreintes digitales » (données biométriques capturées par le capteur d'empreintes digitales) est stockée sur la puce , et que l'enregistrement et la correspondance sont effectués directement dans la puce. Étant donné que les empreintes digitales ne quittent jamais la puce, cela élimine les problèmes de confidentialité puisque les données biométriques sont stockées en toute sécurité. Cela empêche également les attaques qui impliquent l’envoi d’une image d’empreinte digitale valide au serveur à des fins de comparaison.
Blackwell a cependant réussi à contourner le système en utilisant l'ingénierie inverse pour trouver une vulnérabilité dans le capteur d'empreintes digitales, puis en créant son propre périphérique USB pour effectuer une attaque de l'homme du milieu (MitM). Cet appareil permet au groupe de contourner le matériel d’authentification par empreintes digitales de ces appareils.
Toujours selon Blackwell, bien que Microsoft utilise le protocole SDCP (Secure Device Connection Protocol) pour fournir un canal sécurisé entre le serveur et le dispositif biométrique, deux des trois capteurs d'empreintes digitales testés n'avaient même pas le SDCP activé. Blackwell recommande à toutes les sociétés de capteurs d'empreintes digitales non seulement d'activer SDCP sur leurs produits, mais également de faire appel à une société tierce pour s'assurer de son fonctionnement.
Il faut noter qu’il a fallu environ 3 mois de travail acharné à Blackwell pour surpasser ces produits matériels d’empreintes digitales. On ne sait pas encore comment Microsoft et d’autres sociétés de capteurs d’empreintes digitales résoudront le problème sur la base de cette recherche.
Lien source
![[Photo] Surmonter toutes les difficultés et accélérer la construction du projet d'agrandissement de la centrale hydroélectrique de Hoa Binh](https://vstatic.vietnam.vn/vietnam/resource/IMAGE/2025/4/12/bff04b551e98484c84d74c8faa3526e0)
![[Photo] Clôture de la 11e Conférence du 13e Comité central du Parti communiste du Vietnam](https://vstatic.vietnam.vn/vietnam/resource/IMAGE/2025/4/12/114b57fe6e9b4814a5ddfacf6dfe5b7f)
Comment (0)