0rphn3

Des lecteurs d'empreintes Windows Hello piratés de trois manières différentes

Thu, 23 Nov 2023 19:30:26 +0100

0rphn3

aht@fedi.thechangebook.org

Un article de Pierre Dandumont pour MacG

Il ne s'agit pas ici de relater les folles aventures d'un gang de cybercriminels. Au contraire, les failles de sécurité de Windows Hello servent de support pour vulgariser la méthodologie de l'équipe de sécurité offensive qui les a trouvées.

On pose d'abord clairement le fonctionnement général du système : où sont stockées les empreintes, ce qui est communiqué entre le boîtier et l'OS, et comment (Nd0 : à voir certains fils Masto de paranos de la biométrie, ces précisions étaient nécessaires :D)
Ensuite, l'auteur détaille les tests d'intrusion sur trois PC différents : un Dell Inspiron 15, un Thinkpad T14 et une tablette hybride Surface Pro X (Microsoft). C'est ce à quoi les "trois manières différentes" du titre font référence : chez l'un c'est la commande qui permet de choisir la base de données Windows ou Linux qui est vulnérable, chez l'autre, c'est la clé de chiffrement qu'on peut facilement cracker... Les failles changent d'une marque à l'autre, obligeant les testeurs à s'adapter.
IMAO : c'est une belle incursion dans la cybersécurité offensive qui nous est proposée là, avec en prime un exemple original puisqu'il repose principalement sur la couche physique du système, et non seulement sur les couches réseau ou application.

Failles de sécurité Hacking éthique

show all 6 commentaires

Thu, 23 Nov 2023 20:00:44 +0100

Eric Libertad

ericalkaest@fedi.thechangebook.org

BFM a sorti un article sur ce sujet : https://www.bfmtv.com/tech/microsoft/windows-hello-l-authentification-par-empreinte-digitale-peut-etre-contournee-sur-ordinateur_AV-202311220675.html
... qui conclut que c'est sans doute la faute des fabricants qui installent mal en place le bidule :-D

Sinon, les gestionnaire de mots de passe du genre KeePass ça fait pas assez bien le job ?

Thu, 23 Nov 2023 21:36:32 +0100 dernière modification : Fri, 24 Nov 2023 01:59:07 +0100

0rphn3

aht@fedi.thechangebook.org

Coucou,

Les coffres forts de mots de passe sont très bien, et de toute façon bien mieux que le prénom et la date de naissance du petit dernier utilisés en MP unique pour toutes les connexions. Mais on est sur des usages différents. Tu ne peux pas tout sécuriser avec des données biométriques, mais il y a aussi des usages pour lesquels un mot de passe fort (minimum 14 caractères randomisés avec majuscules, minuscules, chiffres et caractères spéciaux) est contraignant, le déverrouillage de session par exemple. Et là, un gestionnaire de mot de passe ne peut pas t'aider.

Bref, les questions d'authentification reposent sur des moyens variés que l'on classifie selon leur origine : quelque chose qu'on sait (ex : mot de passe), quelque chose qu'on a (ex : les clés d'authentification dont il est question dans la vidéo de ton lien), quelque chose qu'on est (données biométriques). Marginalement, j'ai même entendu parler de systèmes d'accès expérimentaux analysant la démarche des personnes autorisées à pénétrer dans un bâtiment ! Donc là ce serait "quelque chose qu'on fait".
Les systèmes d'authentification renforcés croisent ces données de différentes natures : typiquement, donner ses identifiants (ce qu'on sait) va déclencher l'envoi d'un SMS ou d'un courriel (ce que l'on a) dont il faut donner le contenu, généralement un code de deux à quatre chiffres. Et même comme ça, une attaque SimSwap est toujours possible (j'en avais parlé il y a un mois).
Ce qui me ramène à ton lien : je n'ai jeté qu'un rapide coup d'oeil à la vidéo, mais la question de savoir si les clés d'authentification vont "remplacer les mots de passe" est fallacieuse et racoleuse, parce qu'on ne va pas remplacer ce qu'on sait avec ce qu'on a. Au mieux, ça va le compléter. Il y a des dangers spécifiques à être authentifié par ce qu'on possède : perte, vol, racket, falsification.

En gros, aucune authentification n'est sûre à 100%, même si certaines le sont plus que d'autres.

Pour le reste de l'article, il revient sur le test d'intrusion dont parle l'article que j'ai résumé ^^.

Mon, 27 Nov 2023 19:26:40 +0100

Eric Libertad

ericalkaest@fedi.thechangebook.org

Je n'avais pas répondu à ton commentaire vu il y a plusieurs jours, faute d'avoir compris l'utilité des authentifications biométriques.
Pur le coup, est-ce que cette image serait pertinente pour simplifier cette explication ? (en mode : je reconnais mon incompétence, mais j'essaye de comprendre^^)

Khaos Farbauti Ibn Oblivion ✅ a écrit publication qui suit Mon, 27 Nov 2023 18:46:29 +0100

J'ai encore entendu quelqu'un parler de biométrie pour tout et n'importe quoi alors du coup j'ai eu envie de vous la remettre. Donc voilà. #Cybersec

Mon, 27 Nov 2023 21:47:03 +0100

0rphn3

aht@fedi.thechangebook.org

Alors pour le coup, c'est moi qui ne comprend pas l'image XD

Et mon précédent message part sans doute un peu dans tous les sens, alors je vais tâcher de résumer.
Il y a différents moyens d'authentifier un utilisateur : avec ce qu'il sait (mot de passe, code PIN, etc.), avec ce qu'il a (un numéro de mobile, un pass RFID, une clé, etc.) ou avec ce qu'il est (biométrie). La biométrie est un moyen d'authentification parmi d'autres, ni plus, ni moins.
Dans chacune de ces catégories, il y a des moyens plus ou moins sécurisés. Par exemple, pour la biométrie, l'empreinte digitale est la méthode la moins sécurisée, la plus sécurisée est le scan rétinien.
Il y a aussi des facteurs de vulnérabilité propres à chaque catégorie : où et avec quel degré de sécurité sont stockées les données utilisées est un point crucial de la biométrie ; le vol et/ou l'usurpation du device est un risque avec "ce qu'on a"...
Pour renforcer la sécurité des systèmes d'authentification, ou utilise de plus en plus la MFA, en général 2FA, ou authentification multi-facteurs - généralement 2. C'est pourquoi je ne comprend pas sa place dans ton image.

Voila, j'espère avoir répondu à ta question.

Mon, 27 Nov 2023 21:57:06 +0100

Eric Libertad

ericalkaest@fedi.thechangebook.org

Merci, ton explication est plus claire.
Ce que j'avais compris de l'image, c'est que la biométrie se comportait comme comprenant (ou était équivalente) à la fois login, mot de passe et MFA

Mon, 27 Nov 2023 22:26:24 +0100

0rphn3

aht@fedi.thechangebook.org

De rien.
De fait, quant tu utilises la biométrie pour déverrouiller une session sur ton ordi ou ton téléphone, c'est à la place du traditionnel combo "identifiant + mot de passe".
Je suis déjà moins d'accord avec l'image du bas qui représente la biométrie par un objet idiot et inutile à force de vouloir tout combiner.
Mais alors la place de la MFA dans tout ça... Non, je ne vois pas.

La biométrie soulève plus de polémiques que les autres méthodes d'authentification précisément parce que "ce qu'on est" est utilisé.
Cela pose certaines craintes comme la question de savoir ce qu'il advient si cette donnée ultra-personnelle (et non remplaçable contrairement au mot de passe) venait à tomber entre de mauvaises mains.
Comme tu as pu le voir dans l'article initial, le système "Hello" stocke ces données dans la puce du lecteur d'empreintes, et non sur l'ordinateur ou sur un serveur distant.
Le but des chercheurs était ici de réussir à accéder au système en grugeant l'authentification, donc ils se sont concentrés sur la possibilité d'entrer leurs empreintes dans la base de données.
Du coup, l'histoire ne dit pas si une intrusion dans la puce du lecteur pour siphonner ses données est possible, et à ce jour, je n'ai pas entendu parler de fuites massives de données biométriques.