Les mesures de sécurité biométriques qui se généralisent laissent penser, parfois à tort, qu'une empreinte digitale est un sésame infalsifiable. Pas si sûr...
Un chercheur militaire finlandais est parvenu à exploiter une faille dans le lecteur Fingerprint Reader de Microsoft, commercialisé depuis moins de deux ans, et qui permet surtout de faciliter la visite de différents sites Internet dont l'accès est protégé par un identifiant et un mot de passe. Contrairement aux appareils dévelopés par les fabricants de PC, et qui interdisent le démarrage pur et simple de la machine par qui que ce soit d'autre que son propriétaire, cet accessoire est donc davantage orienté vers le confort que vers la sécurité. Néanmoins, s'il commande l'accès à des sites sécurisés tels que votre banque en ligne ou votre compte PayPal, l'inquiétude est légitime.
Notre hacker finlandais a profité d'une omission de Microsoft dans la définition du transfert de l'empreinte digitale entre le lecteur et le PC qu'il accompagne : cette opération ne fait l'objet d'aucun chiffrement, et les informations, transmises "en clair", sont donc faciles à intercepter, et à contrefaire. Un simple logiciel de "reniflage" peut par conséquent faire l'affaire, et ils sont nombreux sur le marché...
En pratiquant ce que l'on nomme une "replay attack" (une attaque répétée), on peut donc retransmettre au PC une nouvelle identification par empreinte digitale, même si le lecteur biométrique a été déconnecté. L'opération est certes complexe, requiert du matériel adapté, mais elle demeure possible. Microsoft pourrait aisément supprimer, ou du moins amoindrir, cette menace, en modifiant les pilotes de son lecteur, et lui alouer une fonction de chiffrement, d'autant que l'éditeur de Redmond a emprunté pour ce produit une technologie développée par la petite firme californienne Digital Persona, dont le matériel U.are.U 4000 offre, lui, ce chiffrement au moment de l'identification. Comprenne qui pourra...
Sans commenter la décision de Microsoft de supprimer cette fonction de sécurité, un responsable de Digital Persona insiste sur le fait que pour pouvoir intercepter les données et les pirater, il faut déjà avoir accès au PC ainsi équipé, et que le choix de Microsoft ne présente pas de réel risque en terme de sécurité. Certains analystes pensent au contraire que les deux partenaires n'auraient pu s'entendre sur l'élargissement aux produits Microsoft du logiciel de chiffrement de Digital Persona, entraînant ce choix par défaut.
Un chercheur militaire finlandais est parvenu à exploiter une faille dans le lecteur Fingerprint Reader de Microsoft, commercialisé depuis moins de deux ans, et qui permet surtout de faciliter la visite de différents sites Internet dont l'accès est protégé par un identifiant et un mot de passe. Contrairement aux appareils dévelopés par les fabricants de PC, et qui interdisent le démarrage pur et simple de la machine par qui que ce soit d'autre que son propriétaire, cet accessoire est donc davantage orienté vers le confort que vers la sécurité. Néanmoins, s'il commande l'accès à des sites sécurisés tels que votre banque en ligne ou votre compte PayPal, l'inquiétude est légitime.
Notre hacker finlandais a profité d'une omission de Microsoft dans la définition du transfert de l'empreinte digitale entre le lecteur et le PC qu'il accompagne : cette opération ne fait l'objet d'aucun chiffrement, et les informations, transmises "en clair", sont donc faciles à intercepter, et à contrefaire. Un simple logiciel de "reniflage" peut par conséquent faire l'affaire, et ils sont nombreux sur le marché...
En pratiquant ce que l'on nomme une "replay attack" (une attaque répétée), on peut donc retransmettre au PC une nouvelle identification par empreinte digitale, même si le lecteur biométrique a été déconnecté. L'opération est certes complexe, requiert du matériel adapté, mais elle demeure possible. Microsoft pourrait aisément supprimer, ou du moins amoindrir, cette menace, en modifiant les pilotes de son lecteur, et lui alouer une fonction de chiffrement, d'autant que l'éditeur de Redmond a emprunté pour ce produit une technologie développée par la petite firme californienne Digital Persona, dont le matériel U.are.U 4000 offre, lui, ce chiffrement au moment de l'identification. Comprenne qui pourra...
Sans commenter la décision de Microsoft de supprimer cette fonction de sécurité, un responsable de Digital Persona insiste sur le fait que pour pouvoir intercepter les données et les pirater, il faut déjà avoir accès au PC ainsi équipé, et que le choix de Microsoft ne présente pas de réel risque en terme de sécurité. Certains analystes pensent au contraire que les deux partenaires n'auraient pu s'entendre sur l'élargissement aux produits Microsoft du logiciel de chiffrement de Digital Persona, entraînant ce choix par défaut.
Source :
ComputerWorld
