Windows 10 : la reconnaissance faciale trompée par une photo

La reconnaissance faciale comme moyen de débloquer des appareils est à la mode. L'iPhone X, notamment, l'intègre mais également le Samsung Galaxy S8 et, bien qu'elle soit moins utilisée, Windows 10. Dans l'OS de Microsoft, cette fonctionnalité s'appelle Windows Hello et permet de se passer du traditionnel mot de passe pour ouvrir une session.

Selon l'entreprise allemande Syss, spécialisée dans la sécurité informatique, cette fonctionnalité peut être trompée par une simple photo imprimée de façon particulière.

La reconnaissance faciale dans Windows 10 peu sécurisée


Dans une vidéo mise en ligne sur Youtube par Syss le 17 décembre 2017, les chercheurs en informatique Matthias Deeg et Philipp Buchegger montrent comment il leur a été possible d'ouvrir une session avec l'aide d'une simple photo. Cette dernière ne demande pas de gros efforts à être créée, puisqu'il s'agit tout simplement d'une photo imprimée par une imprimante laser avec une définition de 340*340 pixels.

Seul détail, mais peu rassurant pour les utilisateurs de la fonction Windows Hello, la photo doit avoir été prise par une caméra infrarouge et avoir été légèrement modifiée par la suite. Mais pour les deux chercheurs, cette modification est un travail « négligeable » pour un hacker qui aurait l'intention d'accéder à l'ordinateur.



Les vieilles versions de Windows 10 trompées... et même celles plus récentes


Syss estime que la vulnérabilité est présente dans toutes les versions de Windows Hello et particulièrement toutes celles jusqu'à la première version de la Fall Creators Update, connues sous le nom de code Build 1703 et 1709. Dans les versions plus récentes, il semblerait que Microsoft ait amélioré le système de reconnaissance faciale.

Toutefois, même ce système peut être facilement trompé avec le même type de photo, en réalisant d'autres modifications que les chercheurs estiment « négligeables » pour un hacker. D'une manière générale, donc, Windows Hello n'est pas un système biométrique sécurisé et les utilisateurs qui l'ont paramétré devraient réfléchir à revenir au plus classique mot de passe pour sécuriser leur session.

Reste à voir si Microsoft, désormais au courant de la faille, va réaliser des changements dans la future grosse mise à jour de Windows, la Redstone 4 attendue pour le printemps 2018, ou si la firme de Redmond va déployer une mise à jour de sécurité dans le cadre du programme Patch Tuesday.

Modifié le 14/02/2018 à 17h01
Commentaires