Les chercheurs de Blackwing Intelligence ont évalué la sécurité des trois principaux capteurs d’empreinte digitale intégrés aux ordinateurs portables. Et ils ont découvert plusieurs vulnérabilités bien dangereuses.
Un monde sans mot de passe est un monde qui fait reposer sa sécurité sur des systèmes d’authentification souvent biométriques jugés plus fiables… Mais si, au final, ils ne l’étaient pas ?
C’est la question que soulève la lecture du dernier rapport des chercheurs de Blackwing Intelligence. Ces derniers se sont vus confiés par Microsoft et son MORSE (Microsoft’s Offensive Research and Security Engineering), l’évaluation des capteurs d’empreintes digitales intégrés à la plupart des PC portables. Microsoft voulait savoir jusqu’à quel point on pouvait faire confiance dans toute la stack allant du capteur à l’authentification par Windows Hello en passant par les technologies de reconnaissance de ces capteurs, les pilotes Windows associés et l’implémentation dans Windows Hello.
Il est vrai que, depuis Windows 10 et l’authentification biométrique Windows Hello intégrée en standard, bien des utilisateurs s’authentifient désormais à leur système soit via des capteurs faciaux soit via des capteurs d’empreintes. Des gadgets souvent intégrés par défaut mais souvent bon marché.
Techniquement, l’implémentation d’une telle authentification biométrique repose essentiellement sur le protocole de connexion sécurisée des périphériques « SDCP » et sur des capteurs de type Match on Chip (MoC). Le SDCP vise à créer un canal sécurisé entre l’hôte et le capteur d’empreintes digitales, tandis que les capteurs MoC effectuent la correspondance des empreintes digitales dans le capteur lui-même, sans exposer les données biométriques à l’hôte.
L’équipe de Blackwing a analysé à la loupe les pilotes, le firmware, le matériel et le protocole de communication de chaque capteur, en développant des outils personnalisés pour décrypter, inverser et modifier le trafic USB. Ils ont également utilisé des techniques d’attaque par présentation, comme la création d’empreintes digitales factices, pour contourner la vérification biométrique.
Leur recherche a révélé plusieurs vulnérabilités qu’ils ont réussi à exploiter avec succès pour contourner complètement l’authentification Windows Hello !
Plus concrètement, les capteurs évalués étaient ceux présents sur le clavier Surface Pro Type Cover (capteur Elan), sur le Lenovo Thinkpad T14 (capteur Synaptics) et sur le Dell Inspiron 15 (capteur Goodix). Et bien que différents, les 3 présentent des failles suffisamment graves pour contourner l’authentification Windows Hello…
L’équipe a notamment découvert que :
– le protocole SDCP n’était pas activé sur deux des trois appareils (Lenovo et Microsoft) alors qu’il est apparemment implémenté dans la stack fournie par Synaptics et Elan.
– Sur le Dell, le protocole était bien implémenté et activé sous Windows mais pas sous Linux. Les chercheurs ont donc booté sous Linux, récupéré des IDs valides, associé une des IDs à l’empreinte de l’attaquant, contourné la connexion entre le host et le capteur, booté sous Windows, intercepté les échanges pour forcer l’utilisation de la base d’IDs Linux et le tour était joué.
– Le protocole de communication activé sur Synaptics était un TLS maison (au lieu de SDCP) qu’ils ont facilement réussi à usurper.
– Sur le capteur du clavier Surface (signé Elan) non seulement SDCP n’est pas activé mais la communication USB utilisée se fait en clair, sans aucun chiffrement !
Au final, les chercheurs invitent les fournisseurs de capteurs et les constructeurs qui les utilisent à s’assurer que le SDCP est activé par défaut, ce dernier étant jugé très sûr par les chercheurs.
Ils les invitent également à faire auditer leur implémentation par un expert tiers (ça ne fait jamais de mal de faire sa propre pub).
Bref, si ces capteurs d’empreinte sont très utiles au quotidien et suffisants dans le cadre d’un usage familial, ils se révèlent inadaptés au monde professionnel pour protéger les identités, les données et les propriétés intellectuelles des entreprises. De quoi interpeler les DSI et RSSI…
puis