Microsoft Hello : une photo suffit pour leurrer la reconnaissance faciale

Dis « bonjour » à ma photo !

Image 1 : Microsoft Hello : une photo suffit pour leurrer la reconnaissance faciale

Après le mot de passe, le code PIN ou encore la reconnaissance d’empreinte digitale, la mode actuelle pour déverrouiller son ordinateur ou son périphérique est la reconnaissance faciale. Mais cette technologie biométrique n’est pas encore aussi fiable qu’on veut bien nous le faire croire : Syss, une société allemande spécialisée dans les questions de sécurité informatique, a en effet découvert qu’il était relativement facile de berner Microsoft Hello, le système propriétaire de l’éditeur. Ce n’est toutefois que le dernier exemple en date d’une vulnérabilité liée à la reconnaissance faciale : il y a quelques semaines, c’était Face ID – la technologie intégrée à l’iPhone X d’Apple – qui s’avouait vaincue par un simple masque 3D créé à partir de photos 2D.

Mise à jour et reconfiguration de Hello obligatoires

Dans le cas de Microsoft Hello, pas besoin de recréer un masque en 3D puisqu’il suffit d’une simple photo prise avec une caméra enregistrant le proche infrarouge (soit exactement le même type de caméra que celui nécessaire pour faire fonctionner Microsoft Hello, par exemple celle intégrée à la Surface Pro 4), légèrement modifiée puis imprimée pour que le système de reconnaissance pense avoir à faire avec le véritable utilisateur, et ce même si la photographie en question est d’une faible définition (340×340 pixels) !

Les différents tests des chercheurs en sécurité ont démontré que les versions de Windows 10 antérieures à Fall Creators Update sont vulnérables. Pire : la version 1709 est elle aussi vulnérable si la fonction avancée « d’anti-spoofing » – qui n’est pas disponible sur tous les appareils – est désactivée. Enfin, si la configuration de Microsoft Hello a été réalisée sur une ancienne version, le passage à Fall Creators Update et l’activation de l’option d’anti-usurpation ne seront pas suffisants : il faudra également reconfigurer Microsoft Hello. L’éditeur n’a hélas pas encore indiqué ce qui avait été modifié dans la dernière version de son système de reconnaissance faciale pour empêcher ce type d’usurpation d’identité.

Windows Hello Face Authentication Bypass PoC (Syss)

👉 Vous utilisez Google News ? Ajoutez Tom's Hardware sur Google News pour ne rater aucune actualité importante de notre site.

Votre Newsletter Tom's Hardware

📣 Souscrivez à notre newsletter pour recevoir par email nos dernières actualités !