C’est officiel : Windows Hello ne fonctionne plus dans le noir, et ce n’est pas un bug

En avril dernier, de nombreux utilisateurs et utilisatrices constataient que Windows Hello ne fonctionnait plus dans l’obscurité. Ce que l’on prenait alors pour un bug vient d’être confirmé comme un changement de comportement assumé, lié à une faille de sécurité.

Nous vous en parlions en avril dernier, alors que la mise à jour obligatoire pour Windows 11 avait semé la zizanie dans la reconnaissance faciale de Windows Hello. Dans l’obscurité, le système refusait subitement de fonctionner, même sur les machines bien équipées. Les hypothèses allaient alors bon train, entre bug logiciel et incompatibilité matérielle. Certaines personnes pensaient avoir un problème de webcam, d’autres ont tenté de réinitialiser leur système, sans succès.

Deux mois plus tard, Microsoft clarifie enfin la situation. Si vous n’arrivez plus à déverrouiller votre PC avec votre visage dans le noir, ce n’est ni un bug ni une panne matérielle. La désactivation de cette possibilité est un choix assumé, introduit en avril 2025 pour corriger une vulnérabilité de spoofing. Une décision qui signe – temporairement, espérons-le – la disparition d’une des fonctions les plus pratiques de Windows Hello.

Un correctif de sécurité qui casse une fonctionnalité appréciée

Pour rappel, la reconnaissance faciale de Windows Hello repose sur un duo de capteurs : une caméra infrarouge (IR), capable de fonctionner dans l’obscurité, et une caméra couleur, censée valider que le visage détecté est bien réel et en trois dimensions. Or, c’est justement ce dispositif combiné, jugé trop permissif dans certaines conditions, qui a motivé Microsoft à revoir sa copie.

Dans ses notes de mise à jour, l’éditeur précise désormais clairement : « Après l'installation de cette mise à jour ou d'une mise à jour Windows ultérieure, pour une sécurité renforcée, la reconnaissance faciale Windows Hello nécessite des caméras couleur pour voir un visage visible lors de la connexion. » , et renvoie à la fiche de vulnérabilité CVE-2025-26644 pour plus d’informations.

Publiée le 8 avril 2025, cette faille a été signalée par trois chercheurs de la Nanyang Technological University à Singapour. Elle concerne le mécanisme de reconnaissance automatisée de Windows Hello, incapable dans certains cas de distinguer un vrai visage d’une image falsifiée. Microsoft précise qu’elle n’a pas été exploitée, ni même rendue publique, mais l’entreprise l’a tout de même jugée suffisamment sérieuse pour justifier le retrait d’une fonction-clé, bien qu’elle estime peu probable qu’un attaquant s’en serve localement sur une machine.

Une mesure de sécurité aux effets de bord très concrets

D’un point de vue sécurité, la décision est indiscutable. Mais elle entraîne une régression fonctionnelle nette, sans vraie alternative. Déverrouiller son PC d’un simple regard dans l’obscurité faisait partie des petits plus très appréciés de Windows Hello. Désormais, à moins d’allumer la lumière ou d’utiliser un autre mode d’authentification (mot de passe, code PIN, empreinte digitale), la reconnaissance faciale est inutilisable de nuit ou dans des environnements peu éclairés.

Certaines personnes ont bien trouvé une astuce – désactiver leur webcam dans le Gestionnaire de périphériques pour forcer Windows Hello à repasser uniquement sur la caméra IR –, mais cette manipulation empêche aussi d’utiliser la caméra dans les applications de visioconférence. Un compromis peu viable au quotidien.

Microsoft n’a pas encore indiqué si cette restriction serait levée à l’avenir, via une amélioration du système ou un nouveau mode d’authentification. En attendant, les utilisateurs et utilisatrices devront faire une croix sur le confort de la reconnaissance faciale dans le noir, au nom d’une sécurité renforcée.

Source : The Verge