Selon Neowin , l'équipe de Blackwell Intelligence a dévoilé ses découvertes en octobre lors de la conférence de sécurité BlueHat de Microsoft, mais n'a publié les résultats sur son site web que cette semaine. L'article de blog, intitulé « A Touch of Pwn », indique que l'équipe a utilisé des capteurs d'empreintes digitales intégrés aux ordinateurs portables Dell Inspiron 15 et Lenovo ThinkPad T14, ainsi qu'aux claviers Microsoft Surface Pro Type Cover avec identification par empreinte digitale, conçus pour les Surface Pro 8 et X. Ces capteurs d'empreintes digitales ont été fabriqués par Goodix, Synaptics et ELAN.
Il a fallu environ trois mois de recherche à Blackwell pour découvrir une vulnérabilité dans Windows Hello.
Tous les capteurs d'empreintes digitales compatibles Windows Hello que nous avons testés utilisent un matériel à base de puce, ce qui signifie que l'authentification est gérée par le capteur lui-même, qui possède sa propre puce et son propre espace de stockage.
Dans sa déclaration, Blackwell a indiqué que la base de données des « modèles d'empreintes digitales » (données biométriques capturées par le capteur d'empreintes digitales) est stockée sur la puce , et que l'enregistrement et la comparaison sont effectués directement sur celle-ci. Comme les modèles d'empreintes digitales ne quittent jamais la puce, les problèmes de confidentialité sont résolus, car les données biométriques sont stockées en toute sécurité. Cela empêche également les attaques consistant à envoyer des images d'empreintes digitales valides à un serveur pour comparaison.
Cependant, Blackwell est parvenu à contourner le système après avoir utilisé la rétro-ingénierie pour identifier des vulnérabilités dans les capteurs d'empreintes digitales, puis créé son propre dispositif USB capable de réaliser une attaque de type « homme du milieu » (MitM). Ce dispositif a permis au groupe de contourner le système d'authentification par empreinte digitale intégré à ces appareils.
D'après Blackwell, bien que Microsoft utilise le protocole SDCP (Secure Device Connection Protocol) pour établir une connexion sécurisée entre le serveur et le dispositif biométrique, deux des trois capteurs d'empreintes digitales testés n'avaient même pas le SDCP activé. Blackwell recommande à tous les fabricants de capteurs d'empreintes digitales d'activer le SDCP sur leurs produits et de faire appel à un organisme tiers pour vérifier son bon fonctionnement.
Il est à noter que Blackwell a passé environ trois mois à tenter de contourner ces dispositifs d'empreintes digitales. On ignore comment Microsoft et les autres fabricants de capteurs d'empreintes digitales comptent résoudre ce problème à la lumière de ces recherches.
Lien source
![[Photo] Aider d'urgence les personnes à trouver rapidement un logement et à stabiliser leur vie.](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F09%2F1765248230297_c-jpg.webp&w=3840&q=75)
![[Photo] Le secrétaire général To Lam travaille avec les sous-comités des comités permanents du 14e congrès du parti](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/12/09/1765265023554_image.jpeg)
Comment (0)