Des chercheurs en cybersécurité viennent de le prouver : il est possible de pirater la sécurité par empreinte digitale proposée sur des appareils de grandes marques. Parmi eux : les PC Windows Hello de Microsoft, Dell, Lenovo, et bien d’autres encore. La preuve que notre doigt n’est pas le mot de passe infaillible qu’on imaginait.
Une forteresse aux fondations fragiles
Le principe de la protection par empreinte digitale est simple. Pas besoin de retenir un mot de passe ou de le taper à chaque fois. Vous enregistrez votre empreinte digitale, et c’est elle qui vous authentifie. La promesse, c’est une sécurité simple et solide. Dell, Lenovo, Microsoft… Tous les grands fabricants ont à cet effet intégré des lecteurs d’empreintes.
Mais en cybersécurité, la solidité d’une chaîne dépend de son maillon le plus faible. Et les chercheurs de Blackwing Intelligence viennent de le prouver. Ce maillon faible, c’est le capteur lui-même.
La faille « Match-on-Chip »
La faille ne vient pas du matériel. Elle vient de la communication entre les capteurs et le système. La plupart des lecteurs modernes utilisent une technologie : le « Match-on-Chip ». En théorie, c’est très sécurisé. L’empreinte est stockée et vérifiée sur une puce, directement dans le capteur. Elle ne passe jamais par le système d’exploitation. Elle devrait donc être inviolable.
Mais les chercheurs ont découvert une faiblesse. Sur certains capteurs très répandus, comme ceux de la marque IDEX, la communication peut être piratée. Même si elle est chiffrée, on peut l’intercepter et la manipuler.
Comment les pirates prennent le contrôle de votre doigt
Les experts ont analysé la communication entre le capteur et le PC. Ils ont réussi à déchiffrer les messages. Et à comprendre comment le capteur disait « oui » ou « non » à Windows.
Pire, ils ont trouvé un moyen de s’incruster dans la conversation et exploiter des failles dans le protocole. Ainsi, ils peuvent envoyer de fausses instructions au capteur. Ils lui ordonnent d’accepter n’importe quelle empreinte. Même une qui n’a jamais été enregistrée.
En clair, un pirate avec un accès physique à votre machine peut tout contourner. Il peut déverrouiller votre session en quelques minutes. Et il n’a même pas besoin de votre doigt.
Tous les ordinateurs ne sont pas logés à la même enseigne
L’étude montre de grandes différences entre les marques. Le Surface Pro X de Microsoft est le plus résistant. Mais les PC Dell Inspiron et Lenovo ThinkPad ont pu être piratés. Ils étaient équipés des capteurs vulnérables.
La faille ne vient donc pas de l’idée d’utiliser une empreinte. Elle vient des choix techniques des constructeurs. Certains ont pris des raccourcis ou ont utilisé des composants moins sécurisés. Et ça a créé une brèche énorme dans un système qui se voulait pourtant parfait.
L’illusion de la sécurité absolue
Cette découverte est un rappel brutal. Aucune technologie n’est infaillible. La sécurité par empreinte, c’est un bon compromis. C’est confortable et ça protège bien au quotidien. Mais ce n’est pas une solution magique.
Les fabricants concernés ont publié des correctifs. Il est donc vital de mettre à jour vos pilotes via Windows Update. Pour une sécurité maximale, le mieux reste de combiner plusieurs protections. L’empreinte, plus un code PIN ou un bon mot de passe. Surtout pour vos données les plus sensibles. Car on vient de le voir. Même votre identité la plus personnelle peut être usurpée.
