L’authentification par reconnaissance faciale Windows Hello peut, dans certaines conditions facilement corrigibles, être trompée par des photos

Les spécialistes du spécialiste allemand de la sécurité SySS GmbH ont découvert que l’authentification biométrique Windows Hello par reconnaissance faciale avec caméra infrarouge est vulnérable, dans certaines conditions, à la tromperie par photographie imprimée.

En modifiant spécialement la photographie d’un utilisateur authentifié, on peut déjouer le système.

Se protéger est simple: il faut mettre à jour Windows 10 vers l’une de ses dernières versions, 1709 (Windows 10 Falls Creators Edition d’octobre 2017) ou 1703 (Windows 10 Creators Update d’avril 2017), autoriser l’antispoofing et reconfigurer Windows Hello.

Pour autoriser l’option anti-spoofing, on modifie une stratégie de groupe ou on édite le registre de Windows. Comme la première solution ne fonctionne que sur les versions Professionnel et Entreprise de Windows, nous détaillons la deuxième, qui est compatible avec toutes les versions de Windows 10.

Il faut lancer regedit.exe et autoriser l'application à effectuer des changements.

Ensuite, il faut naviguer vers la clé:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Biometrics\FacialFeatures

Si Biometrics n'existe pas, il faut la créer avec bouton droit sur la clé Microsoft, Nouveau / Clé et entrer Biometrics.

Si FacialFeatures n'existe pas, il faut la créer avec bouton droit sur la clé Biometrics, Nouveau / Clé et entre FacialFeatures.

Enfin, on créée la valeur EnhancedAntiSpoofing en cliquant droit sur FacialFeatures, Nouveau / Valeur Dword 32 bits, et on entre sa valeur en la double-cliquant puis en entrant la valeur 1.

Il faut ensuite redémarrer l'ordinateur et relancer la configuration de la reconnaissance faciale.

 

Notons qu’à ce jour, la reconnaissance faciale de Windows Hello est toujours la plus fiable du mmrché: Face ID d’Apple est toujours susceptible d’être trompée avec des masques, voir d’être activée par les enfants de l’utilisateur authentifié, et les reconnaissances de visage et d’Iris de Samsung sont un agrément, plutôt qu’une authentification.