Ataques contre Windows Hello : les pirates contournent les capteurs d’empreintes digitales

Les failles ont été découvertes par des chercheurs de la société de recherche offensive et de sécurité des produits matériels et logiciels Blackwing Intelligence, qui ont trouvé les faiblesses dans les capteurs d’empreintes digitales de Goodix, Synaptics et ELAN qui sont intégrés dans les appareils.

Pour que les lecteurs d’empreintes digitales puissent être exploités, il faut que les utilisateurs des ordinateurs portables ciblés aient déjà mis en place un système d’authentification par empreintes digitales.

Les trois capteurs d’empreintes digitales sont un type de capteur appelé « match on chip » (MoC), qui intègre la correspondance et d’autres fonctions de gestion biométrique directement dans le circuit intégré du capteur.

« Bien que le MoC empêche la relecture des données d’empreintes digitales stockées vers l’hôte pour les comparer, il n’empêche pas, en soi, un capteur malveillant d’usurper la communication d’un capteur légitime avec l’hôte et de prétendre à tort qu’un utilisateur autorisé s’est authentifié avec succès », ont déclaré les chercheurs Jesse D’Aguanno et Timo Teräs.
La MoC n’empêche pas non plus la relecture du trafic précédemment enregistré entre l’hôte et le capteur. Bien que le protocole Secure Device Connection Protocol (SDCP) créé par Microsoft vise à atténuer certains de ces problèmes en créant un canal sécurisé de bout en bout, les chercheurs ont découvert une nouvelle méthode qui pourrait être utilisée pour contourner ces protections et mettre en œuvre des attaques de type « adversaire au milieu » (AitM).

Plus précisément, le capteur ELAN s’est révélé vulnérable à une combinaison d’usurpation de capteur découlant de l’absence de prise en charge SDCP et de transmission en clair des identifiants de sécurité (SID), ce qui permet à n’importe quel périphérique USB de se faire passer pour le capteur d’empreintes digitales et de prétendre qu’un utilisateur autorisé est en train de s’y connecter.

Dans le cas de Synaptics, non seulement on a découvert que le SDCP était désactivé par défaut, mais on a également choisi de s’appuyer sur une pile TLS (Transport Layer Security) personnalisée défectueuse pour sécuriser les communications USB entre le pilote et le capteur. Cela pourrait être utilisé pour contourner l’authentification biométrique.

L’exploitation du capteur Goodix, en revanche, tire parti d’une différence fondamentale dans les opérations d’enrôlement effectuées sur une machine équipée à la fois de Windows et de Linux. Elle tire parti du fait que Linux ne prend pas en charge le protocole SDCP. Cela permet les actions suivantes

Il convient de souligner que, bien que Goodix dispose de bases de données d’empreintes digitales distinctes pour les systèmes Windows et non Windows, l’attaque est possible du fait que le pilote principal envoie un paquet de configuration non authentifié pour spécifier la base de données à utiliser lors de l’initialisation.

Pour limiter ces attaques, il est recommandé aux fabricants d’équipements d’origine (OEM) d’activer le SDCP et de veiller à ce que la mise en œuvre soit vérifiée par des experts qualifiés indépendants.

Ce n’est pas la première fois que l’authentification biométrique Windows Hello est mise en échec. En juillet 2021, Microsoft a publié des correctifs pour une faille de sécurité de gravité moyenne (CVE-2021-34466 , CVSS score : 6.1 )qui pourrait permettre à un adversaire d’usurper le visage de la cible pour contourner l’écran de connexion .

« Microsoft a fait du bon travail en concevant le SDCP pour fournir un canal sécurisé entre les dispositifs biométriques hôtes, mais malheureusement les fabricants de dispositifs semblent mal comprendre certains objectifs », ont déclaré les chercheurs. En outre, le SDCP ne couvre qu’un champ d’application très étroit du fonctionnement typique des dispositifs, alors que la plupart des dispositifs ont une surface d’attaque considérable exposée qui n’est pas du tout couverte par le SDCP ».