16 marques d'ordinateurs portables vulnérables via un logiciel de lecture d'empreintes digitales SecuObs - L'observatoire de la sécurite internet - Site d'informations professionnelles francophone sur la sécurité informatique

Failles

16 marques d'ordinateurs portables vulnérables via un logiciel de lecture d'empreintes digitales

Par Rédaction, secuobs.com
Le 05/09/2012

Résumé : L'exploitation d'une vulnérabilité de conception au sein de la suite UPEK Protector permet de contourner en quelques secondes les processus d'authentification par empreintes digitales sur l'ensemble des comptes liés à un système d'exploitation de type Microsoft Windows l'autorisant. - Lire l'article

Version imprimable de cet article
Suivre l'ensemble des commentaires SecuObs en RSS
Suivre tous les commentaires de la categorie Failles en RSS

Pré-installée sur les ordinateurs portables de 16 marques différentes, la suite UPEK Protector contient une vulnérabilité critique. Cette dernière permettant à un attaquant, qui bénéficie déjà d'un contrôle physique sur la machine, de récupérer rapidement tous les mots de passe des comptes liés à un système d'exploitation de type Microsoft Windows autorisant un accès par empreinte digitale.

Accompagnant habituellement un lecteur physique de la même marque, la suite UPEK Protector vulnérable a en effet été développée afin de permettre la connexion d'un utilisateur sur de tels systèmes d'exploitation via une empreinte digitale. Les mots de passe système d'origine étant dès lors censés être stockés dans les registres Windows sous une forme qui soit chiffrée et inviolable.

Après avoir analysé un grand nombre d'ordinateurs portables utilisant cette suite UPEK Protector avec le lecteur physique associé, la société Elcomsoft s'est néanmoins rendue compte que les mots de passe système étaient en fait stockés dans ce contexte sous une forme qualifiée extrêmement aisée à contourner. La récupération des mots de passe d'origine ne prenant que quelques secondes.

La désactivation de cette suite laissant les mots de passe sous cette forme, la suppression devra donc se faire manuellement sur les registres, l'emplacement n'étant pas révélé, les utilisateurs restent donc vulnérables. N'étant plus commercialisée, il n'est pas exclu qu'aucune mise à jour ne soit fournie, pas plus qu'un bulletin officiel, d'autant que le vendeur semblait déjà au courant.

Dès lors qu'ils embarquent la suite logicielle UPEK Protector pour la lecture des empreintes digitales, tous les ordinateurs portables des marques Amoi, Asus, Clevo, Compal, Dell, Gateway, IBM/Lenovo, Itronix, MPC, MSI, NEC, Sager, Samsung, Sony et Toshiba sont donc concernés par l'exploitation de cette vulnérabilité et les conséquences que cela implique pour les données privées.

Source :

« Widely used fingerprint reader exposes Windows passwords in seconds » sur Ars Technica Risk Assessment ( lien )

Les mots clés pour les articles publiés sur SecuObs : vulnérables
Voir tous les articles de "Rédaction" publiés sur SecuObs (221 résultats)
Voir tous les articles publiés par l'organisme "secuobs" sur SecuObs (962 résultats)

Version imprimable de cet article

Suivre l'ensemble des commentaires SecuObs en RSS
Suivre tous les commentaires de la categorie Failles en RSS

- Article suivant : Keychaindump ou comment abuser du système de gestion des mots de passe sous Mac Os X
- Article précédent : Publication de nouveaux modules Metasploit exploitant une vulnérabilité de SAP
- Article suivant dans la catégorie Failles : Vulnérabilité du protocole d'authentification au sein des versions courantes d'Oracle
- Article précédent dans la catégorie Failles : Interception des connexions via une vulnérabilité des solutions DPI de CyberOAM

Les derniers commentaires de la catégorie Failles:

- ESRT @sambowne - Russian firm Elcomsoft unveils tool to crack BlackBerry encryption security ... - SPIP recently fixed 2 vulnerabilities notified by Tehtri-Security 0day ... - PuttyHijack session hijack POC ... - ESRT @thierryzoller - Updated BEAST blog post with Proof of Concept code and the whitepaper ... - ESRT @y0ug @Securelist - New article published: MYBIOS Is BIOS infection a reality ...

Les derniers articles de la catégorie Failles :

- Nouveau vecteur d’exploitation sur les tablettes Samsung Galaxy S2 et Galaxy Note 2 - Une porte dérobée SNMP dans les imprimantes Dell et Samsung - Des compteurs électriques un peu trop bavards - Une preuve de concept pour exploiter à distance un lecteur USB de cartes à puce - Attaques cryptographiques de type Side-Channel entre des machines virtuelles - Une présentation annulée lors de Toorcon 14 suite à la demande de Hewlett-Packard - USB Stick of Death, élévation locale de privilèges via une clé USB au format NTFS - Injections SQL au sein d’un produit SCADA se destinant aux centrales solaires photovoltaïques - Une preuve de concept pour du Phishing abusant de l’API FullScreen d’HTML5 - Vulnérabilité du protocole d authentification au sein des versions courantes d Oracle + d'articles de la catégorie Failles

SecuToolBox :

Bluetooth Stack Smasher v0.6 / Bluetooth Stack Smasher v0.8 / Slides Bluetooth Eurosec 2006 / Exposé vidéo Windows Shellcode - Kostya Kortchinsky / Exposé audio Reverse Engineering - Nicolas Brulez / Exposé vidéo Securitech - Pierre Betouin / WEP aircrack + Ubiquiti (MadWifi) 300 mW + Yagi / Secure WIFI WPA + EAP-TLS + Freeradius / Audit Windows / Captive Password Windows / USBDumper / USBDumper 2 / Hacking Hardware / WishMaster backdoor / DNS Auditing Tool / Ettercap SSL MITM / Exploit vulnérabilités Windows / Memory Dumper Kernel Hardening / Reverse Engineering / Scapy / SecUbuLIVE CD / Metasploit / eEye Blink Sec Center / eEye Retina Scanner + d'outils / + de tutoriels

Mini-Tagwall des articles publiés sur SecuObs :

sécurité, exploit, windows, outil, attaque, réseau, microsoft, metasploit, audit, vulnérabilité, système, virus, internet, usbsploit, données, protocol, présentation, linux, source, réseaux, bluetooth, scanner, reverse, conférence, shell, meterpreter, vista, rootkit, engineering, mobile, security, wishmaster, malicieux, https, trames, paquet, noyau, téléphone, détection, botnet, forensic, libre, snort, utilisant, sysun + de mots clés avec l'annuaire des articles publiés sur SecuObs

Mini-Tagwall de l'annuaire video :

curit, security, biomet, metasploit, biometric, cking, password, windows, botnet, defcon, tutorial, crypt, xploit, exploit, lockpicking, linux, attack, wireshark, vmware, rootkit, conference, network, shmoocon, backtrack, virus, conficker, elcom, etter, elcomsoft, server, meterpreter, openvpn, ettercap, openbs, iphone, shell, openbsd, iptables, securitytube, deepsec, source, office, systm, openssh, radio + de mots clés avec l'annuaire des videos

Mini-Tagwall des articles de la revue de presse :

security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité + de mots clés avec l'annuaire de la revue de presse

Mini-Tagwall des Tweets de la revue Twitter :

security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack + de mots clés avec l'annuaire de la revue Twitter