La nouvelle faille de Windows Hello permet aux pirates de se connecter avec leur propre visage

ERNW a démontré une nouvelle attaque contre Windows Hello for Business de Microsoft. Cette attaque a été présentée lors de la conférence Black Hat USA 2025. Ce nouvel exploit fait suite à un autre, très proche, que l'entreprise a partagé en juillet.

Cette nouvelle attaque, baptisée "Faceplant", permet à un attaquant disposant de privilèges administratifs de contourner complètement la connexion par reconnaissance faciale d'un autre utilisateur. Les chercheurs ont expliqué que l'attaquant peut d'abord enregistrer son visage sur n'importe quel ordinateur pour générer un modèle biométrique. Pour les non-initiés, un modèle biométrique est une représentation numérique de votre visage, que l'ordinateur crée et enregistre lorsque vous enregistrez votre visage ou votre empreinte digitale. C'est ce que l'ordinateur utilise ensuite pour identifier votre visage ou votre empreinte digitale chaque fois que vous essayez de les utiliser pour déverrouiller votre ordinateur.

Pour l'étape suivante, l'attaquant décrypte et extrait le modèle. Enfin, il injecte ce modèle dans la base de données biométriques de la victime sur l'ordinateur cible. Cela permet à l'attaquant de se connecter en tant que victime en utilisant son propre visage. Il s'agit d'une déviation significative par rapport à l'attaque Face Swap rapportée par ERNW en juillet.

L'attaque précédente nécessitait qu'un attaquant échange son visage contre celui de la victime l'attaque précédente nécessitait qu'un attaquant échange les identifiants (il s'agit en fait des balises qui identifient les modèles) entre deux comptes d'utilisateurs déjà enregistrés sur le même appareil. Cette nouvelle attaque va encore plus loin : elle cible les modèles plutôt que les identifiants, et l'attaquant peut générer le modèle malveillant sur n'importe quel ordinateur.