La reconnaissance faciale, c'est bien, mais la fiabilité n'est pas encore vraiment au rendez-vous. Le système du Samsung Galaxy S8 (reconnaissance d'iris) peut-être trompé facilement avec une photo, le Face ID d'Apple peut être leurré, certes plus difficilement, avec un scan partiel de visage, et Windows Hello, à son tour vient d'être leurré par une photo.

Les chercheurs en sécurité de la société allemande SySS en font la démonstration dans les vidéos ci-dessous. Une photo prise avec une caméra infrarouge leurre facilement la technologie de Windows Hello qui utilise l'imagerie infrarouge pour déverrouiller les PC.

Selon SySS, qui décrit ses expérimentations dans un billet (en allemand et anglais), la vulnérabilité à ce hack très simple diffère selon les versions de Windows 10. Toutes les versions de Windows 10 jusqu'au premières moutures de Windows 10 Fall Creators Update (versions 1703 et 1709) valident une photo infrarouge sans rechigner le moins du monde, sur les machines dont le matériel ne supporte pas la nouvelle fonctionnalité anti-usurpation améliorée (Enhanced Anti-Spoofing). Lorsque la fonctionnalité anti-usurpation améliorée est activée, Windows Hello n'est plus trompé par une simple photo infrarouge. Toutefois, la société prévoit de communiquer au printemps 2018 sur des variantes de l'attaque auxquelles Windows Hello pourrait être vulnérable. Une des vidéos ci-dessous montre déjà une variante de l'attaque qui consiste dans le coloriage grossier de la photo :-)

SySS conseille vivement de se limiter au bon vieux système du mot de passe sur les machines ne supportant pas Enhanced Anti-Spoofing. Ou sinon d'activer la fonctionnalité anti-usurpation améliorée et de reconfigurer ensuite l'authentification.