Passer au contenu

Biométrie : Windows Hello contourné par un simple portrait photo imprimé

Le système de reconnaissance faciale de Microsoft peut être facilement trompé. Dans certains cas, même les versions les plus récentes de Windows 10 sont vulnérables.

Méfiance si vous utilisez Windows Hello Face Authentication pour vous identifier sur votre ordinateur. Les chercheurs en sécurité Matthias Deeg et Philipp Buchegger de la société SySS GmbH viennent de montrer que ce système biométrique, qui détecte le visage de l’utilisateur au moyen d’une caméra classique (RGB) et d’une caméra infrarouge, est vulnérable. Dans de nombreux cas, il peut être trompé avec une photo imprimée. Les chercheurs ont réalisé trois vidéos YouTube qui démontrent le hack sur une tablette Windows Surface Pro 4.

S'abonner à 01net

Le principe du hack est assez simple. Il suffit de prendre une photo de face de la personne ciblée en mode infrarouge, bidouiller un peu la luminosité et le contraste, puis l’imprimer avec un copieur laser avec une résolution 340 x 340. Cette feuille de papier a permis aux chercheurs de tromper le système Hello sur Windows 10 v1607 (Anniversary Update), même si l’option « Enhanced Anti-spoofing » est activée. Celle-ci est pourtant censée renforcer la sécurité du système d’authentification. Elle n’est d’ailleurs disponible que pour certaines configurations matérielles.

Sans « Enhanced Anti-spoofing », point de salut

La bonne nouvelle, c’est que ce hack ne fonctionne pas sur les versions Windows 10 v1703 (Creators Update) et v1709 (Fall Creators Update) à condition que l’option « Enhanced Anti-spoofing » soit activée et que la configuration du système soit récente. En revanche, il fonctionne si cette fameuse option est désactivée, ou si l’utilisateur n’a pas reconfiguré Windows Hello après la mise à jour d’une version vulnérable.

Bref, pour être en sécurité, les utilisateurs de Windows Hello sont invités à installer la dernière version de Windows 10, refaire une configuration du système d’authentification et s’assurer que l’option « Enhanced Anti-spoofing » existe et soit activée. Dans le cas contraire, mieux vaut revenir au bon vieux mot de passe. Les deux chercheurs comptent publier davantage détails sur leurs attaques et les différentes variantes possibles début 2018.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Gilbert KALLENBORN
Les dernières actualités
Apple Airpods Pro (2nd Génération)
AirPods Pro 2 : Rakuten sacrifie le prix des écouteurs d’Apple avec une remise jamais vue
Bethesda Xbox
Microsoft liquide la branche France du studio Bethesda (Fallout, Starfield)
Smartphone Mains
30 Go à moins de 6€/mois : voilà le forfait mobile que tout le monde attendait (Bouygues Telecom) 
Iphone 15 Pro Max 11
Les ventes d’iPhone trébuchent lourdement en Chine
Bose Smart Soundbar 300
Sur Amazon, le prix de cette superbe barre de son BOSE n’en finit plus de chuter (-46%)  
Infogrames Logo 1
Le retour d’une icône du jeu vidéo : Atari va faire revivre Infogrames
Apple Event Ipad
Apple : un événement le 7 mai pour les nouveaux iPad
Ransomware Rançon Blackcat Payer
Ransomware : la dernière attaque de BlackCat prouve qu’il ne faut pas payer la rançon
Top téléchargements