Résumé de la direction
Cette mise à jour de sécurité résout une faille de Windows Hello de reconnaissance faciale dans Windows 10 qui permet à un pirate informatique de relire une image pour accéder à un système. Cette dérivation nécessite un accès physique avec la possession complète du périphérique physique d’un utilisateur, du matériel personnalisé et une image infrarouge (IR) spécialisé.
Informations sur la vulnérabilité
La mise à jour de sécurité cumulative 2021-07 adresses CVE-2021-34466 et a été publiée le 13 juillet 2021.
Une exploitation réussie requiert les conditions préalables suivantes :
-
L’utilisateur doit déjà être inscrit à l’authentification Windows Hello visage.
-
L’pirate malveillant a un accès physique à l’appareil de l’victime.
-
L’pirate malveillant dispose d’une partie invisible des images infrarouges de l’victime.
-
L’pirate malveillant resserrait une caméra USB personnalisée qui imite une caméra Windows Hello Face. L’utilisateur malveillant branche la caméra malveillante sur l’appareil de l’victime et diffuse les images mentionnées dans l’élément 3.
Correctifs pour & atténuations
Le 13 juillet 2021, Microsoft a publié les correctifs suivants pour mettre à jour cette vulnérabilité :
-
KB5004237 pour Windows 10, version 2004, toutes les éditions, Windows 10, version 20H2, toutes les éditions et Windows 10, version 21H1, toutes les éditions
-
KB5004245 pour Windows 10 Entreprise, version 1909, Windows 10 Entreprise et Éducation, version 1909 et Windows 10 IoT Entreprise, version 1909
-
KB5004244 pour Windows 10 Entreprise 2019 LTSC et Windows 10 IoT Entreprise 2019 LTSC
-
KB5004281 Windows 10 version 1803 (disponible sur demande)
Détails de la résolution
Ces mises à jour de sécurité implémentent des restrictions afin que seules les caméras de confiance soient autorisées à être utilisées avec Windows Hello’authentification par visage.
-
Utilisateurs existants Windows Hello l’authentification par visage : il s’Windows Hello utilisateurs inscrits à l’authentification par visage avant d’appliquer cette mise à jour. Windows les invite à s’authentifier à nouveau avec leur code confidentiel une seule fois après avoir installé cette mise à jour.
-
Nouveaux utilisateurs Windows Hello’authentification par visage : il s’applique à cette mise à jour avant de s’inscrire Windows Hello’authentification par visage. Windows automatiquement faire confiance à l’appareil photo utilisé pour Windows Hello’authentification par le visage.
Configuration facultative
Les utilisateurs hautement soucieux de la sécurité peuvent également configurer la valeur de Registre suivante pour désactiver toutes les caméras externes pour une utilisation avec Windows Hello Visage.
Chemin d’accès à la reg : [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon]
Nom de la clé : « ShouldForbidExternalCameras »Valeur = 1
Type : DWORD
Les utilisateurs expérimentés ou professionnels de l’informatique peuvent également ajouter la valeur de Registre ci-dessus en exécutant la commande suivante à partir de l’invite de commandes de l’administrateur.
reg add « HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon » /v ShouldForbidExternalCameras /t REG_DWORD /d 1 /f
Veuillez noter que la configuration de cette valeur de Registre empêchera l’utilisation de toutes les caméras USB externes avec Windows Hello Visage. Toutefois, les utilisateurs peuvent continuer à utiliser la caméra externe avec d’autres applications telles que Microsoft Teams.
Sécurité de la sign-in renforcée
Les clients Windows Hello une sécurité de signer renforcée sont protégés contre cette vulnérabilité. Enhanced Sign-in Security est une nouvelle fonctionnalité de sécurité dans Windows qui nécessite un matériel, des pilotes et des microprogrammes spécialisés préinstallés sur le système par les fabricants d’appareils. Contactez le fabricant de votre appareil pour en savoir plus sur la prise en charge de la sécurité de la signature améliorée sur votre appareil.
Logiciels concernés
Les systèmes de Windows 10 suivants sont affectés par cette vulnérabilité :
-
Windows 10 Version 21H1 pour les systèmes x64
-
Windows 10 Version 21H1 pour systèmes 32 bits
-
Windows 10 Version 21H1 pour les systèmes ARM64
-
Windows 10 Version 21H1 pour ARM systèmes basés sur des systèmes
-
Windows 10 Version 20H2 pour les systèmes x64
-
Windows 10 Version 20H2 pour systèmes 32 bits
-
Windows 10 Version 20H2 pour les systèmes ARM64
-
Windows 10 Version 20H2 pour ARM systèmes basés sur des systèmes
-
Windows 10 Version 2004 pour les systèmes x64
-
Windows 10 Version 2004 pour systèmes 32 bits
-
Windows 10 Version 2004 pour les systèmes ARM64
-
Windows 10 Version 2004 pour ARM systèmes basés sur des systèmes
-
Windows 10 Version 1909 pour systèmes x64
-
Windows 10 Version 1909 pour systèmes 32 bits
-
Windows 10 Version 1909 pour systèmes ARM64
-
Windows 10 Version 1909 pour ARM systèmes basés sur des systèmes
-
Windows 10 Version 1809 pour systèmes x64
-
Windows 10 Version 1809 pour systèmes 32 bits
-
Windows 10 Version 1809 pour systèmes ARM64
-
Windows 10 Version 1809 pour ARM systèmes basés sur des systèmes
-
Windows 10 Version 1803 pour systèmes x64
-
Windows 10 Version 1803 pour systèmes 32 bits
-
Windows 10 Version 1803 pour systèmes ARM64
-
Windows 10 Version 1803 pour ARM systèmes basés sur des systèmes
Forum Aux Questions
Q. Je n’ai pas d’appareil compatible avec l’authentification Windows Hello visage ou je n’ai pas activé la reconnaissance faciale avec Windows Hello. Dois-je m’soucier de cette vulnérabilité ?
A. Non. Cette vulnérabilité s’applique uniquement aux utilisateurs qui ont un appareil compatible avec Windows Hello Visage et qui ont inscrit l’authentification de reconnaissance faciale.
Q. Que dois-je faire pour protéger mes utilisateurs contre cette vulnérabilité ?
A. Téléchargez et installez les mises à jour ci-dessus.
Q. Dois-je configurer le paramètre facultatif du Registre pour sécuriser mes appareils contre cette vulnérabilité ?
A. Si vous n’utilisez qu’une caméra Windows Hello interne ou intégrée, vous n’avez pas besoin d’ajouter la valeur de Registre facultative. Toutefois, si vous êtes un utilisateur mobile, votre appareil risque d’être perdu ou volé. Par conséquent, vous pouvez ajouter la valeur de Registre facultative pour empêcher l’utilisation de caméras Windows Hello face externe si vous utilisez une caméra externe. Notez que toutes les caméras USB externes ne pourront pas être utilisées avec Windows Hello Face une fois la valeur du Registre ajoutée. Les utilisateurs peuvent continuer à utiliser une caméra externe avec d’autres applications telles que Microsoft Teams.
Q. Cette vulnérabilité peut-elle être exploitée à distance ?
A. Non. Pour exploiter cette vulnérabilité, l’pirate malveillant doit avoir un accès physique total à l’appareil de l’victime.
Q. Dois-je toujours installer cette mise à jour si mon appareil prend en charge la sécurité de la sign-in renforcée ?
A. La sécurité de la sign-in renforcée réduit cette vulnérabilité, mais uniquement si la fonctionnalité est activée. Même si un appareil possède les composants matériels et logiciels nécessaires, vous avez encore besoin de la mise à jour mentionnée ci-dessus si la fonctionnalité n’est pas allumée. Quoi qu’il en soit, vous devez toujours installer cette mise à jour pour obtenir d’autres correctifs de sécurité.
Q. Puis-je continuer à utiliser Windows Hello reconnaissance faciale sans mettre à jour mon système ?
A. Windows Hello reconnaissance faciale continue de fonctionner, même si vous ne mettez pas à jour votre système. Nous vous conseillons vivement de mettre à jour votre système, particulièrement si vous êtes un utilisateur mobile.
Q. Puis-je désactiver Windows Hello reconnaissance faciale et continuer à utiliser Windows Hello empreinte digitale ?
A. Oui. Vous pouvez supprimer l’authentification visage Window Hello dans les optionsde>Windows Hello visage pour désactiver Windows Hello visage et continuer à utiliser les empreintes digitales Window Hello.