Sécurité de connexion renforcée Windows Hello

Windows Hello permet à un utilisateur de s’authentifier à l’aide de ses données biométriques ou d’un PIN, éliminant ainsi la nécessité d’un mot de passe. L’authentification biométrique utilise la reconnaissance faciale ou une empreinte digitale pour prouver l’identité d’un utilisateur d’une manière sécurisée, personnelle et pratique. La sécurité de connexion renforcée offre un niveau de sécurité supplémentaire aux données biométriques en tirant parti de composants matériels et logiciels spécialisés, tels que la sécurité basée sur la virtualisation (VBS) et le Module de plateforme sécurisée (TPM) 2.0 pour isoler et protéger les données d’authentification d’un utilisateur et sécuriser le canal par lequel ces données sont communiquées.

Comment la sécurité de connexion renforcée protège-t-elle les données biométriques ?

Face

Lorsque la sécurité de connexion renforcée est activée, l’algorithme de reconnaissance faciale est protégé à l’aide de la VBS pour l’isoler du reste de Windows. L’hyperviseur est utilisé pour spécifier et protéger des zones de mémoire afin qu’elles soient accessibles uniquement par les processus s’exécutant dans la VBS. L’hyperviseur permet à la caméra faciale d’écrire dans ces zones de mémoire en donnant une voie isolée pour fournir des données de reconnaissance faciale provenant de la caméra à l’algorithme de correspondance de visage.

Les modèles faciaux sont générés en VBS par l’algorithme de reconnaissance faciale protégé. Lorsqu’elles ne sont pas utilisées, les données du modèle facial sont chiffrées à l’aide de clés générées et accessibles uniquement à la VBS, puis stockées sur disque.

Empreinte digitale

La sécurité de connexion renforcée est prise en charge uniquement sur les capteurs d’empreintes digitales avec des fonctionnalités de correspondance. Ce type de capteur est équipé d’un microprocesseur et de mémoire qui peuvent être utilisés pour isoler la correspondance d’empreintes digitales et le stockage de modèles à l’aide du matériel.

Les capteurs qui prennent en charge la sécurité de connexion renforcée ont un certificat incorporé pendant la fabrication. Ce certificat peut être validé par les composants biométriques Windows s’exécutant dans la VBS et il est utilisé pour établir une session sécurisée à l’aide du capteur. Le capteur et les composants biométriques Windows utilisent cette session pour communiquer les opérations d’inscription et faire correspondre les résultats en toute sécurité.

Opérations relatives aux informations d’identification

Les composants biométriques Windows s’exécutant dans la VBS établissent un canal sécurisé vers le module de plateforme sécurisée à l’aide des informations partagées avec la VBS par le module de plateforme sécurisée pendant le démarrage. Lorsqu’une opération de correspondance est réussie, les composants biométriques dans la VBS utilisent ce canal pour autoriser l’utilisation de clés Windows Hello pour l’authentification de l’utilisateur auprès de son fournisseur, ses applications et ses services d’identité.

Comment puis-je obtenir une sécurité de connexion renforcée ?

L’activation dépend du matériel, des pilotes et du microprogramme spécialisés qui sont préinstallés sur le système. Les fabricants de périphériques peuvent choisir d’activer la sécurité de connexion renforcée sur leurs périphériques lors de la configuration du périphérique en usine.

Compatibilité du système

Des composants matériels et logiciels compatibles sont nécessaires pour activer la sécurité de connexion renforcée :

• Périphériques avec Windows 10, mise à jour d’octobre 2020 configurée d’usine
• Répondre aux exigences de la sécurité basée sur la virtualisation (VBS), notamment l’activation de Device Guard et le module de plateforme sécurisée 2.0
• Matériel de capteur biométrique prenant en charge la sécurité de connexion renforcée
• Pilotes de capteurs biométriques compatibles avec la sécurité de connexion renforcée
• Microprogramme du périphérique avec une table ACPI SDEV (Secure Devices, périphériques sécurisés) correctement configurée par le fabricant du périphérique pour le matériel biométrique inclus

Compatibilité des capteurs biométriques

Capteur biométrique faciaux

La sécurité de connexion renforcée prend uniquement en charge certaines caméras infrarouges sur un nombre limité d’ensembles de puces. Les caméras prises en charge doivent prendre en charge la sécurité de connexion renforcée dans le microprogramme. L’utilisation du pilote de caméra UVC de la boîte de réception Windows est requise. Pour vérifier si le module de caméra prend en charge la sécurité de connexion renforcée, accédez d’abord au Gestionnaire de périphériques et ouvrez la section « Contrôleurs de bus USB ». Cliquez avec le bouton droit sur le périphérique nommé eXtensible Host Controller, puis sélectionnez l’option Propriétés pour afficher les propriétés du périphérique. S’il existe plusieurs entrées pour un contrôleur hôte, consultez la section sur les propriétés pour toutes. Accédez à l’onglet Détails du pilote et sélectionnez Fonctionnalités dans le menu déroulant Propriétés. L’un des périphériques doit indiquer qu’il dispose de la fonctionnalité « CM_DEVCAP_SECUREDEVICE ».

Ensuite, vérifiez les sections de propriétés des appareils photo du PC en accédant à la section « Appareils photo » dans Gestionnaire de périphériques. S’il existe plusieurs entrées pour les caméras du PC, consultez la section sur les propriétés pour toutes. Accédez à l’onglet Détails des pilotes et sélectionnez Fonctionnalités dans le menu déroulant Propriétés. L’une des caméras du PC doit avoir la fonctionnalité « CM_DEVCAP_SECUREDEVICE ».

Capteur biométrique d’empreintes digitales

Les capteurs d’empreintes digitales compatibles avec la sécurité améliorée doivent correspondre à la puce. Le capteur doit avoir un certificat émis par Microsoft gravé dans le périphérique lors de la fabrication. Le pilote de périphérique et le microprogramme doivent prendre en charge les fonctionnalités de sécurité de connexion renforcée. Pour vérifier si un module d’empreintes digitales est compatible avec la sécurité de connexion renforcée, accédez d’abord au gestionnaire de périphériques ouverts et développez la section Périphériques biométriques. Il doit y avoir une entrée pour un capteur d’empreinte digitale. Cliquez avec le bouton droit sur l’entrée du lecteur d’empreinte digitale, cliquez sur Propriétés, puis sur Détails. Sous l’option Propriété, sélectionnez « Chemin d’accès à l’instance du périphérique ».

Ouvrez regedit.exe et accédez à l’emplacement HKLM\SYSTEM\CurrentControlSet\Enum\[DeviceInstancePath]\Device Parameters\WinBio\Configurations où DeviceInstancePath est le chemin d’accès répertorié dans le Gestionnaire de périphériques. Sélectionner « Configurations ». Il doit y avoir une clé de Registre nommée « SecureFingerprint » avec une valeur de données de 1. Si elle pas présente, le périphérique n’est pas sécurisé.

Les configurations doivent également avoir deux dossiers en dessous : l’un étiqueté « 0 » et l’autre « 1 ». S’il n’existe qu’un seul dossier et non deux, le périphérique n’est pas sécurisé.

Comment faire savoir si la sécurité de connexion renforcée est activée

Security Center

Dans la section Sécurité des périphériques de l’application Sécurité Windows, il y a une entrée pour la sécurité de connexion renforcée si elle est activée sur le système. Cette entrée décrit la capacité du matériel du système. Si la section Sécurité de connexion renforcée n’est pas présente, la fonctionnalité n’est pas activée sur le système.

S’il existe un capteur biométrique incorporé dans le périphérique qui ne prend pas en charge la sécurité de connexion renforcée ou si le type de matériel biométrique est absent du système, cela est indiqué par la description « Indisponible en raison d’un matériel incompatible » en regard du capteur correspondant. Ce message indique que le matériel ne respecte pas les exigences du capteur nécessaires pour prendre en charge la sécurité de connexion renforcée.

Observateur d'événements

Windows Biometric Framework génère des événements de journalisation lorsque chaque capteur sur un système est énuméré. Ces journaux incluent des informations indiquant si un capteur fonctionne avec la sécurité de connexion renforcée activée. Les journaux des événements biométriques se trouvent dans observateur d'événements sous Observateur d'événements > Journaux des applications et des services > Microsoft > Windows > Biometrics > Opérationnel.

Si le périphérique biométrique a été chargé correctement par Windows Biometric Framework, il y a un journal d’événements avec l’ID 1108 pour le capteur correspondant. Si le périphérique fonctionne avec la sécurité de connexion renforcée activée, le capteur est spécifié comme étant isolé dans un processus de « Mode sécurisé virtuel ». Si le périphérique n’utilise pas la sécurité de connexion renforcée, il est spécifié comme isolé dans un processus « Système ».

Dans l’événement 1108, les appareils photo sont décrits à l’aide de « Windows Hello Face Software Device (ROOT\WINDOWSHELLOFACESOFTWAREDRIVER\0000) » et les périphériques à empreinte digitale sont décrits à l’aide du module et de l’ID de périphérique spécifiques du périphérique. Pour les périphériques à empreinte digitale, l’ID de périphérique se trouve dans le Gestionnaire de périphériques sous Périphériques biométriques > [Module d’empreinte digitale] > Propriétés > Détails > Chemin d’accès à l’instance du périphérique.

Compatibilité des applications

Pour les Périphériques avec des caméras compatibles avec la sécurité améliorée, une table SDEV (Périphériques sécurisés) est requise. Lorsqu’une table SDEV est implémentée et que la VBS est activé, la table SDEV est analysée par le noyau sécurisé et des restrictions sont appliquées lors de l’accès à l’espace de configuration de périphérique PCI (interconnexion de composants périphériques). Ces restrictions sont adoptées pour empêcher les processus malveillants de manipuler l’espace de configuration des Périphériques sécurisés spécifiés dans la table SDEV.

Les applications qui tentent de lire/écrire l’espace de configuration PCI (à l’exception des moyens explicitement pris en charge par Windows) entraînent des vérifications de bogues lorsque la table SDEV est analysée et appliquée.

La compatibilité de tous les pilotes et logiciels inclus dans l’image du périphérique doit être testée, en fonction de ces restrictions logicielles. Les logiciels ou pilotes distribués au système via Windows Update, le Microsoft Store ou d’autres canaux acceptables par le fabricant du périphérique doivent également être vérifiés quant à leur compatibilité. Sans cette vérification, il peut y avoir un comportement inattendu sur le système.

Scénarios non pris en charge

Activation de la prise en charge de connexion renforcée sur la mise à niveau de Windows

La sécurité de connexion renforcée est actuellement prise en charge uniquement sur les périphériques configurés par un fabricant de périphériques pour activer la fonctionnalité avec la mise à jour d’octobre 2020 de Windows 10. Sur le marché, les périphériques compatibles avec le matériel mis à niveau vers cette version de système d'exploitation ne sont pas pris en charge actuellement.

Capteurs pris en charge de connexion non renforcée

Lorsque la sécurité de connexion renforcée est activée, seuls les capteurs biométriques qui prennent en charge celle-ci fonctionnent sur le système. Tous les capteurs non compatibles ne seront pas énumérés par Windows Biometric Framework.

C’est le fabricant qui décide du matériel qu’il inclut dans le système et si la sécurité de connexion renforcée est activée par défaut. S’il existe des préoccupations concernant les modalités biométriques bloquées, contactez le fabricant du périphérique pour obtenir de l’aide.

Capteurs biométriques enfichables/périphériques

La sécurité de connexion renforcée n’est pas prise en charge pour les capteurs d’empreintes digitales externes ou les modules de caméra. Une fois la sécurité de connexion renforcée activée, les opérations du capteur biométrique externe ou périphérique sont bloquées, qu’elles soient sécurisées ou non. Si vous souhaitez utiliser un périphérique avec la sécurité de connexion améliorée pour vous connecter avec Windows Hello, consultez Désactivation/activation de la sécurité de connexion renforcée

Éveil au toucher pour les capteurs d’empreintes digitales

Wake on Touch (WoT) décrit la possibilité pour le capteur d’empreinte digitale de réveiller le système et de connecter l’utilisateur sans que l’utilisateur ne soit obligé de toucher le capteur deux fois. Les appareils qui prennent en charge la mise en veille moderne activent le comportement du capteur Wake on Touch.

À compter de Windows 11 SE, version 22H2 et Windows 11 Professionnel Edu/Education, version 22H2 avec KB5027303, WoT sera disponible sur les appareils ESS.

Résolution des problèmes

L’authentification faciale/par empreintes digitales ne fonctionne pas.

Si l’authentification biométrique ne fonctionne pas, vérifiez d’abord que la VBS est en cours d’exécution et que le composant sécurisé a démarré. Pour vérifier si la VBS est en cours d’exécution, ouvrez les Informations système et vérifiez si dans « Résumé système » se trouve bien une entrée « Sécurité basée sur la virtualisation » indiquée comme En cours d’exécution.

Vérifiez également que les truslets (processus approuvés) d’isolation biométrique sont en cours d’exécution. Ceux-ci doivent être répertoriés dans Informations système > Environnement logiciel > Tâches en cours en tant que « bioiso.exe » et « ngciso.exe ». Si l’une de ces vérifications échoue, le système est susceptibles de ne pas répondre aux exigences de sécurité de connexion renforcée. Essayez de redémarrer le service biométrique à l’aide de (3) ci-dessous.

Pour vérifier que la connexion sécurisée a réussi, reportez-vous à la section « Comment puis-je savoir si la sécurité de connexion renforcée est activée ? » un peu plus loin dans cet article, aborde l’actualisation de chaque type de source de données.

1. Dans Paramètres, sous Options de connexion, supprimez l’inscription qui ne fonctionne pas et procédez à une ré-inscription. Si l’entrée pour la Reconnaissance des visages/des empreintes digitales Windows Hello n’est pas disponible avec la condition « Nous n’avons pas trouvé de scanneur d’empreintes digitales compatible avec Reconnaissance des visages Windows Hello », ou une condition similaire, passez à (2). Vérifiez si l’authentification fonctionne.
2. Dans le gestionnaire de périphériques, le capteur doit être répertorié dans les Périphériques biométriques. Réinstallez le pilote en faisant un clic droit sur le nom du périphérique, puis sélectionnez Désinstaller le périphérique. Redémarrez l’appareil. Windows tentera alors de réinstaller le pilote. Vérifiez si l’authentification fonctionne.
3. Pour redémarrer le service de biométrie, commencez par supprimer le PIN du système en accédant aux options de connexion et en supprimant le PIN. Ouvrez une invite de commandes en tant qu’administrateur et entrez « net stop wbiosrvc », puis « net start wbiosrvc ». Vérifiez si l’authentification par empreintes digitales fonctionne.
4. Si la biométrie ne fonctionne toujours pas sur le périphérique, entrez un élément de commentaires à l’aide du Hub de commentaires.

Le PIN ne fonctionne pas.

Le PIN peut être réinitialisé dans l’écran de verrouillage sous les Options de connexion. Pour ce faire, supprimez le PIN et ajoutez-le à nouveau. Cette opération appelle la réinitialisation du PIN, ce qui doit restaurer la fonctionnalité de PIN.

Désactiver/activer la sécurité de connexion renforcée (ESS)

À compter de Windows 11, version 22H2 avec KB5031455, les utilisateurs peuvent désactiver temporairement l’ESS s’ils souhaitent utiliser un périphérique externe pour s’authentifier auprès de Windows Hello sur leur appareil.

Vous pouvez utiliser l’application Paramètres pour désactiver l’ESS. Sélectionnez Démarrer>Paramètres>Comptes>Options de connexion ou utilisez le raccourci suivant :

Options de connexion

Sous Paramètres supplémentaires>Se connecter avec une caméra externe ou un lecteur d’empreinte digitale, une bascule vous permet d’activer ou de désactiver l’ESS :

• Lorsque le bouton bascule est désactivé, l’ESS est activée et vous ne pouvez pas utiliser de périphériques externes pour vous connecter. N’oubliez pas que vous pouvez toujours utiliser des périphériques externes dans des applications telles que Teams
• Lorsque le bouton bascule est activé, l’ESS est désactivée et vous pouvez utiliser des périphériques compatibles Windows Hello pour vous connecter