Le lecteur biométrique de Microsoft hacké

Le par  |  19 commentaire(s) Source : ComputerWorld
Microsoft Fingerprint Reader

Les mesures de sécurité biométriques qui se généralisent laissent penser, parfois à tort, qu'une empreinte digitale est un sésame infalsifiable.

Les mesures de sécurité biométriques qui se généralisent laissent penser, parfois à tort, qu'une empreinte digitale est un sésame infalsifiable. Pas si sûr...

Microsoft fingerprint readerUn chercheur militaire finlandais est parvenu à exploiter une faille dans le lecteur Fingerprint Reader de Microsoft, commercialisé depuis moins de deux ans, et qui permet surtout de faciliter la visite de différents sites Internet dont l'accès est protégé par un identifiant et un mot de passe. Contrairement aux appareils dévelopés par les fabricants de PC, et qui interdisent le démarrage pur et simple de la machine par qui que ce soit d'autre que son propriétaire, cet accessoire est donc davantage orienté vers le confort que vers la sécurité. Néanmoins, s'il commande l'accès à des sites sécurisés tels que votre banque en ligne ou votre compte PayPal, l'inquiétude est légitime.

Notre hacker finlandais a profité d'une omission de Microsoft dans la définition du transfert de l'empreinte digitale entre le lecteur et le PC qu'il accompagne : cette opération ne fait l'objet d'aucun chiffrement, et les informations, transmises "en clair", sont donc faciles à intercepter, et à contrefaire. Un simple logiciel de "reniflage" peut par conséquent faire l'affaire, et ils sont nombreux sur le marché...

En pratiquant ce que l'on nomme une "replay attack" (une attaque répétée), on peut donc retransmettre au PC une nouvelle identification par empreinte digitale, même si le lecteur biométrique a été déconnecté. L'opération est certes complexe, requiert du matériel adapté, mais elle demeure possible. Microsoft pourrait aisément supprimer, ou du moins amoindrir, cette menace, en modifiant les pilotes de son lecteur, et lui alouer une fonction de chiffrement, d'autant que l'éditeur de Redmond a emprunté pour ce produit une technologie développée par la petite firme californienne Digital Persona, dont le matériel U.are.U 4000 offre, lui, ce chiffrement au moment de l'identification. Comprenne qui pourra...

Sans commenter la décision de Microsoft de supprimer cette fonction de sécurité, un responsable de Digital Persona insiste sur le fait que pour pouvoir intercepter les données et les pirater, il faut déjà avoir accès au PC ainsi équipé, et que le choix de Microsoft ne présente pas de réel risque en terme de sécurité. Certains analystes pensent au contraire que les deux partenaires n'auraient pu s'entendre sur l'élargissement aux produits Microsoft du logiciel de chiffrement de Digital Persona, entraînant ce choix par défaut.


Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #91157
J'espere quand meme quand les gens qui utilisent du materiel informatique de securite sont au courant que TOUT est sujet au hack...

Le meilleur moyen de conserver ses donnees est encore un bon vieux cd/dvd, ou une clef usb que l'on garde sur soit en permanence.

Ca fait bien longtemps que je ne fais plus confiance a mon mot de passe (de session, d'MSN, et tous les autres) (windows, linux, mac, meme chose, je ne vise personne).

Ils ont trouve une faille dans le produit Microsoft (pas de chance pour eux) mais les autres vont tres vite suivre...
Le #91162
En gros si il y a un key logger sur le port, il peut le renifler ... c'est une grosse erreur de microsoft, mais ce n'est pas non plus bien gravissime ... autant que un keylogger sur un clavier quoi ...
Le #91164
De toutes facons on pouvait déja decouper le doigt de la victime

La premiere des failles tiens a la faible resistance qu'offrent les phalanges face à une simple hache.
Le #91168
Pauvres gars,

Les phalanges ou la vie... quel dilemme
Le #91169
Nan couper le doigt ne servirais a rien l'empreinte digitale serait inutilisable, elle dispaarait presque totallement avec l'absence de pression sanguine.
Le #91171
the fox : t'es médecin ''' LOL
Alala...

Sinon effectivement cette "faille" n'est pas franchement un drame, vu que le gars doit posseder du matos (oublions pas que le hacker est un chercheur militaire...) puis doit avoir accès au pc etc etc
Le #91175
Pas grave Fox, tu réinjectes du serum phy dans les arteres et hop voila
Le #91177
Ouais faille... Bah on peut toujours kidnapper la personne, le torturer pour quil avoue le mot de passe, je pense que cest plus simple que de trouver du materiel de ce genre (en plus de trouver le voisin qui possede deja ce systeme didentification...).
Le #91191
"Nan couper le doigt ne servirais a rien l'empreinte digitale serait inutilisable, elle dispaarait presque totallement avec l'absence de pression sanguine."

"Pas grave Fox, tu réinjectes du serum phy dans les arteres et hop voila"

Je crois que je vais vomir.... broufff...
Le #91203
"De toutes facons on pouvait déja decouper le doigt de la victime"

Regarder La Tour Montparnasse infernale, ça donne des idées !

W.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]