Sécurité de connexion renforcée Windows Hello

Windows Hello permet l'authentification à l’aide de données biométriques ou d’un PIN, éliminant ainsi la nécessité d’un mot de passe. L’authentification biométrique utilise la reconnaissance faciale ou une empreinte digitale pour prouver l’identité d’un utilisateur d’une manière sécurisée, personnelle et pratique.

La sécurité de connexion renforcée (ESS) offre un niveau de sécurité supplémentaire aux données biométriques avec l’utilisation de composants matériels et logiciels spécialisés. La sécurité basée sur la virtualisation (VBS) et le module de plateforme sécurisée 2.0 sont utilisés pour isoler et protéger les données d’authentification de l’utilisateur et sécuriser le canal de communication des données.

Comment la sécurité de connexion renforcée protège-t-elle les données biométriques ?

ESS et reconnaissance faciale

Lorsque la sécurité de connexion renforcée (ESS) est activée, l’algorithme de reconnaissance faciale est protégé à l’aide de la VBS pour l’isoler du reste de Windows. L’hyperviseur est utilisé pour spécifier et protéger des zones de mémoire afin qu’elles soient accessibles uniquement par les processus s’exécutant dans la VBS. L’hyperviseur permet à la caméra faciale d’écrire dans ces zones de mémoire en donnant une voie isolée pour fournir des données de reconnaissance faciale provenant de la caméra à l’algorithme de correspondance de visage.

Les modèles faciaux sont générés en VBS par l’algorithme de reconnaissance faciale protégé. Lorsqu’elles ne sont pas utilisées, les données du modèle facial sont chiffrées à l’aide de clés générées et accessibles uniquement à la VBS, puis stockées sur disque.

ESS et reconnaissance par empreinte digitale

L'ESS est prise en charge uniquement sur les capteurs d’empreintes digitales avec des fonctionnalités de correspondance. Ce type de capteur est équipé d’un microprocesseur et de mémoire qui peuvent être utilisés pour isoler la correspondance d’empreintes digitales et le stockage de modèles à l’aide du matériel.

Les capteurs qui prennent en charge l'ESS ont un certificat incorporé pendant la fabrication. Le certificat peut être validé par les composants biométriques Windows s’exécutant dans la VBS et il est utilisé pour établir une session sécurisée à l’aide du capteur. Le capteur et les composants biométriques Windows utilisent la session pour communiquer les opérations d’inscription et faire correspondre les résultats en toute sécurité.

Opérations relatives aux informations d’identification

Les composants biométriques Windows s’exécutant dans la VBS établissent un canal sécurisé vers le module de plateforme sécurisée à l’aide des informations partagées avec la VBS par le module de plateforme sécurisée pendant le démarrage. Lorsqu’une opération de correspondance est réussie, les composants biométriques dans la VBS utilisent le canal sécurisé pour autoriser l’utilisation de clés Windows Hello pour l’authentification de l’utilisateur auprès de son fournisseur, ses applications et ses services d’identité.

Activer la sécurité de connexion renforcée

L’activation de l'ESS dépend du matériel, des pilotes et du microprogramme spécialisés préinstallés sur le système. Les fabricants de périphériques peuvent choisir d’activer la sécurité de connexion renforcée lors de la configuration des périphériques en usine.

Configuration requise

Des composants matériels et logiciels compatibles sont nécessaires pour activer la sécurité de connexion renforcée :

• Répondre aux exigences de la sécurité basée sur la virtualisation (VBS), notamment l’activation de Device Guard et le module de plateforme sécurisée 2.0
• Matériel de capteur biométrique prenant en charge l'ESS
• Pilotes de capteurs biométriques compatibles avec l'ESS
• Microprogramme du périphérique avec une table ACPI SDEV (Secure Devices, périphériques sécurisés) configurée par le fabricant du périphérique pour le matériel biométrique inclus

Compatibilité des capteurs biométriques

Capteur biométrique facial

L'ESS est conçue pour fonctionner avec une sélection de caméras IR et nécessite des jeux de puces spécifiques. Les caméras qui prennent en charge l'ESS doivent avoir cette fonctionnalité intégrée à leur microprogramme et l'utilisation du pilote de caméra Windows UVC standard fourni avec le système d’exploitation est nécessaire.

Pour vérifier si le module de caméra prend en charge l'ESS, accédez d’abord au Gestionnaire de périphériques et ouvrez la section Contrôleurs de bus USB. Cliquez avec le bouton droit sur le périphérique nommé eXtensible Host Controller, puis sélectionnez l’option Propriétés pour afficher les propriétés du périphérique. S’il existe plusieurs entrées pour un contrôleur hôte, consultez la section sur les propriétés pour toutes. Accédez à l’onglet Détails du pilote et sélectionnez Fonctionnalités dans le menu déroulant Propriétés. L’un des appareils doit afficher la fonctionnalité CM_DEVCAP_SECUREDEVICE.

Ensuite, vérifiez les sections de propriétés des appareils photo du PC en accédant à la section Appareils photo dans Gestionnaire de périphériques. S’il existe plusieurs entrées pour les caméras du PC, consultez la section sur les propriétés pour toutes. Accédez à l’onglet Détails des pilotes et sélectionnez Fonctionnalités dans le menu déroulant Propriétés. L’une des caméras du PC doit avoir la fonctionnalité CM_DEVCAP_SECUREDEVICE.

Capteur biométrique d’empreintes digitales

Les capteurs d’empreintes digitales compatibles avec l'ESS doivent correspondre à la puce :

• Le capteur doit avoir un certificat émis par Microsoft gravé dans le périphérique lors de la fabrication
• Le pilote de périphérique et le microprogramme doivent prendre en charge les fonctionnalités de sécurité de connexion renforcée

Pour vérifier si un module d’empreintes digitales est compatible avec l'ESS, accédez d’abord au Gestionnaire de périphériques et développez la section Périphériques biométriques. Il doit y avoir une entrée pour un capteur d’empreinte digitale. Cliquez avec le bouton droit sur l’entrée du lecteur d’empreinte digitale, cliquez sur Propriétés>Détails. Sous l’option Propriété, sélectionnez Chemin d’accès à l’instance du périphérique.

Ouvrez regedit.exe et accédez à l’emplacement HKLM\SYSTEM\CurrentControlSet\Enum\[DeviceInstancePath]\Device Parameters\WinBio\Configurations où DeviceInstancePath est le chemin d’accès répertorié dans le Gestionnaire de périphériques. Sélectionnez Configurations. Il doit y avoir une clé de Registre nommée SecureFingerprint avec une valeur de données de 1. Si elle pas présente, le périphérique n’est pas sécurisé.

Les configurations doivent également avoir deux dossiers en dessous : l’un étiqueté 0 et l’autre 1. S’il n’existe qu’un seul dossier et non deux, le périphérique n’est pas sécurisé.

Vérifier si l'ESS est activée

Security Center

Si l'ESS est activée, la section Sécurité de l’appareil de l’application Sécurité Windows comporte une entrée pour la sécurité renforcée de la connexion. L'entrée décrit la capacité du matériel du système. Si la section Sécurité de connexion renforcée n’est pas présente, la fonctionnalité n’est pas activée sur le système.

S’il existe un capteur biométrique incorporé dans le périphérique qui ne prend pas en charge l'ESS ou si le type de matériel biométrique est absent du système, cela est indiqué par la description Indisponible en raison d’un matériel incompatible en regard du capteur correspondant. Ce message indique que le matériel ne respecte pas les exigences du capteur nécessaires pour prendre en charge l'ESS.

Observateur d'événements

Windows Biometric Framework génère des événements de journalisation lorsque chaque capteur sur un système est énuméré. Ces journaux incluent des informations indiquant si un capteur fonctionne avec la sécurité de connexion renforcée activée. Les journaux des événements biométriques se trouvent dans Observateur d'événements sous Observateur d'événements>Journaux des applications et des services>Microsoft>Windows>Biometrics>Opérationnel.

Si le périphérique biométrique est chargé correctement par Windows Biometric Framework, il y a un journal d’événements avec l’ID 1108 pour le capteur correspondant. Si le périphérique fonctionne avec l'ESS activée, le capteur est spécifié comme isolé dans un processus en mode sécurisé virtuel. Si le périphérique n’utilise pas l'ESS, il est spécifié comme isolé dans un processus système.

Dans l’événement 1108, les appareils photo sont décrits à l’aide de Windows Hello Face Software Device (ROOT\WINDOWSHELLOFACESOFTWAREDRIVER\0000) et les périphériques à empreinte digitale sont décrits à l’aide du module et de l’ID de périphérique spécifiques du périphérique. Pour les périphériques à empreinte digitale, l’ID de périphérique est indiqué dans le Gestionnaire de périphériques sous Périphériques biométriques>[Module d’empreinte digitale]>Propriétés>Détails>Chemin d’accès à l’instance du périphérique.

Compatibilité des applications

Pour les périphériques dotés de caméras compatibles avec l'ESS, une table SDEV (Périphériques sécurisés) est requise. Lorsqu’une table SDEV est implémentée et que la VBS est activé, la table SDEV est analysée par le noyau sécurisé et des restrictions sont appliquées lors de l’accès à l’espace de configuration de périphérique PCI (interconnexion de composants périphériques). Ces restrictions sont adoptées pour empêcher les processus malveillants de manipuler l’espace de configuration des Périphériques sécurisés spécifiés dans la table SDEV.

Les applications qui tentent de lire/écrire l’espace de configuration PCI (à l’exception des moyens explicitement pris en charge par Windows) entraînent des vérifications de bogues lorsque la table SDEV est analysée et appliquée.

La compatibilité de tous les pilotes et logiciels inclus dans l’image du périphérique doit être testée, en fonction de ces restrictions logicielles. Les logiciels ou pilotes distribués au système via Windows Update, le Microsoft Store ou d’autres canaux acceptables par le fabricant du périphérique doivent également être vérifiés quant à leur compatibilité. Sans cette vérification, il peut y avoir un comportement inattendu sur le système.

Scénarios non pris en charge

Capteurs pris en charge sans ESS

Lorsque l’ESS est activée, seuls les capteurs biométriques qui prennent en charge l'ESS fonctionnent sur le système. Tous les capteurs non compatibles ne seront pas énumérés par Windows Biometric Framework.

C’est le fabricant qui décide du matériel qu’il inclut dans le système et si la sécurité de connexion renforcée est activée par défaut. S’il existe des préoccupations concernant les modalités biométriques bloquées, contactez le fabricant du périphérique pour obtenir de l’aide.

Capteurs biométriques enfichables/périphériques

L'ESS n’est pas prise en charge pour les capteurs d’empreintes digitales externes ou les modules de caméra. Une fois l'ESS activée, les opérations du capteur biométrique externe ou périphérique sont bloquées, qu’elles soient sécurisées ou non. Si vous souhaitez utiliser un périphérique avec l'ESS pour vous connecter avec Windows Hello, consultez Désactiver/activer l'ESS

Éveil au toucher pour les capteurs d’empreintes digitales

Wake on Touch (WoT) est la possibilité pour le capteur d’empreinte digitale de réveiller le système et de connecter l’utilisateur sans que l’utilisateur ne soit obligé de toucher le capteur deux fois. Les appareils qui prennent en charge la mise en veille moderne activent le comportement du capteur Wake on Touch.

À compter de Windows 11, version 22H2 avec KB5027303, WoT est disponible pour les périphériques ESS.

Dépannage

L’authentification faciale/par empreintes digitales ne fonctionne pas.

Si l’authentification biométrique ne fonctionne pas, vérifiez d’abord que la VBS est en cours d’exécution et que le composant sécurisé a démarré. Pour vérifier si VBS est en cours d’exécution, ouvrez Informations système>Résumé système. Il doit y avoir une entrée pour la sécurité basée sur la virtualisation répertoriée comme étant en cours d’exécution.

Vérifiez également que les truslets (processus approuvés) d’isolation biométrique sont en cours d’exécution. Ceux-ci doivent être répertoriés sous Informationssystème>Environnement logiciel>Exécution des tâches en tant que bioiso.exe et ngciso.exe. Si l’une de ces vérifications échoue, le système est susceptibles de ne pas répondre aux exigences de sécurité de connexion renforcée. Essayez de redémarrer le service biométrique à l’aide de l'étape 3.

1. Dans Paramètres>Options de connexion, supprimez l’inscription qui ne fonctionne pas et procédez à une réinscription
   1. si l’entrée pour la Reconnaissance des visages/des empreintes digitales Windows Hello n’est pas disponible avec la condition Nous n’avons pas trouvé de scanneur d’empreintes digitales compatible avec Reconnaissance des visages Windows Hello, ou une condition similaire, passez à l'étape suivante
2. Dans le gestionnaire de périphériques, le capteur doit être répertorié dans les Périphériques biométriques. Réinstallez le pilote en faisant un clic droit sur le nom du périphérique, puis sélectionnez Désinstaller le périphérique. Redémarrez l’appareil. Windows tente alors de réinstaller le pilote. Vérifiez si l’authentification fonctionne
3. Pour redémarrer le service de biométrie, commencez par supprimer le PIN du système en accédant aux options de connexion et en supprimant le PIN. Ouvrez une invite de commandes en tant qu’administrateur et saisissez net stop wbiosrvc && net start wbiosrvc. Vérifiez si l’authentification par empreintes digitales fonctionne
4. Si la biométrie ne fonctionne toujours pas sur le périphérique, entrez un élément de commentaires à l’aide du Hub de commentaires

Pour vérifier que la connexion sécurisée a réussi, reportez-vous à la section Vérifier si l'ESS est activée.

Le PIN ne fonctionne pas

Le PIN peut être réinitialisé dans l’écran de verrouillage sous les Options de connexion. Pour ce faire, supprimez le PIN et ajoutez-le à nouveau. Cette opération appelle la réinitialisation du PIN, ce qui doit restaurer la fonctionnalité de PIN.

Activer/désactiver l'ESS

À compter de Windows 11, version 22H2 avec KB5031455, les utilisateurs peuvent désactiver temporairement l’ESS s’ils souhaitent utiliser un périphérique externe pour s’authentifier auprès de Windows Hello sur leur appareil.

Vous pouvez utiliser l’application Paramètres pour désactiver l’ESS. Sélectionnez Démarrer>Paramètres>Comptes>Options de connexion ou utilisez le raccourci suivant :

Sous Paramètres supplémentaires>Se connecter avec une caméra externe ou un lecteur d’empreinte digitale, une bascule vous permet d’activer ou de désactiver l’ESS :

• Lorsque le bouton bascule est désactivé, l’ESS est activée et vous ne pouvez pas utiliser de périphériques externes pour vous connecter. N’oubliez pas que vous pouvez toujours utiliser des périphériques externes dans des applications telles que Teams
• Lorsque le bouton bascule est activé, l’ESS est désactivée et vous pouvez utiliser des périphériques compatibles Windows Hello pour vous connecter