Alors que le lecteur d’empreintes digitales est largement démocratisé sur les smartphones, même sur des modèles d’entrée de gamme, les ordinateurs portables sont encore trop souvent laissés de côté… sans parler des ordinateurs fixes. Cependant, il existe néanmoins des lecteurs compacts au format USB permettant d’ajouter cette fonctionnalité à une machine qui en est dépourvue. Pléthore de modèles sont vendus moins de 20 euros. Nous en avons acheté un à 17 euros, compatible Windows Hello.

Un rappel de Windows Hello tout d’abord. Comme l’explique Microsoft, cette fonctionnalité « permet l'authentification à l’aide de données biométriques ou d’un PIN, éliminant ainsi la nécessité d’un mot de passe ». Les données biométriques en question peuvent notamment passer par de la reconnaissance faciale ou une empreinte digitale.

Les caméras des portables ne sont pas toutes compatibles avec Windows Hello, loin de là même. Pour ajouter de la biométrie, le plus simple est donc de passer par la reconnaissance d’empreintes. Les ordinateurs portables sont davantage la cible, car les ports USB sont toujours à portée de main, mais rien n’empêche d’utiliser une rallonge sur un fixe si besoin.

Déballage et installation : une minute chrono

Une fois n’est pas coutume, entrons directement dans le vif du sujet avec le déballage et l’installation de la clé USB. Notre modèle est arrivé dans un petit emballage mélangeant carton et plastique. Au dos, on retrouve quelques informations sur les caractéristiques de la clé : poids de 5 g, mensurations de 24,4 x 17 x 12 mm, support de Windows 10 et 11 ainsi qu’un QR Code pour accéder à un manuel en ligne.

La clé en elle-même est on ne peut plus basique : un port USB d’un côté, une zone de détection pour l’empreinte de l’autre et nous avons fini le tour du propriétaire. On la branche dans un port USB et au bout de quelques secondes le pilote s’installe automatiquement (nous utilisons Windows 11).

Dans le gestionnaire de périphériques, on peut voir que le pilote date du 19 octobre 2021 et qu’il est signé par Microsoft. On découvre au passage le nom du fabricant : ChipSailing Electronics, en provenance (sans surprise) de Shenzhen en Chine.

Configurer ses empreintes dans Windows, une minute de plus

Il faut ensuite vous rendre dans les Paramètres de Windows, Comptes et Options de connexion (vous pouvez aussi utiliser la combinaison de touches Windows + i). Si le capteur s’est correctement installé, cliquez sur Reconnaissance des empreintes digitales (Windows Hello) et laissez-vous guider pour enregistrer une ou plusieurs empreintes.

Si vous avez plusieurs comptes, vous pouvez enregistrer des empreintes différentes pour chacun de vos comptes (qu’ils soient locaux ou rattachés à un compte Microsoft). Ensuite, il faudra réaliser la configuration des doigts pour chaque compte. Rien de spécial, la procédure est la même que celle sur les smartphones (poser le doigt dans différentes positions).

Une même empreinte ne peut pas être associée à deux comptes. On a tout de même essayé et Windows nous a envoyé balader.

Voilà, l’identification biométrique est en place

La suite est tout aussi simple. Déconnectez-vous ou verrouillez votre session et utilisez votre empreinte pour vous connecter. Au bout de trois tentatives échouées, il faudra saisir le code PIN ou mot de passe pour accéder à une de vos sessions. Sur l’écran de déverrouillage de Windows un menu « Options de connexion » permet de revenir au code PIN ou mot de passe si besoin.

Si vous avez configuré plusieurs comptes avec des empreintes, celui auquel est rattachée l’empreinte détectée se déverrouille automatiquement, pas besoin de le présélectionner dans la liste. Pratique si vous êtes plusieurs à utiliser la même machine, votre session s’ouvre directement avec votre doigt.

Un mot rapide sur les paramètres de Windows qui sont plus que limités. On peut ajouter plusieurs empreintes pour se connecter, mais pas voir le nombre d’empreintes enregistrées pour déverrouiller une session.

Le bouton Supprimer ne demande aucune confirmation et supprime toutes les empreintes associées au compte d’un coup. Avoir la liste des empreintes et la date à laquelle elles ont été ajoutées/validées serait un plus appréciable pour la sécurité et vérifier que personne n’est venu ajouter une empreinte lors d’un moment d’inattention.

Retirer la clé USB supprime simplement la possibilité de se connecter avec son empreinte. Si vous la réinstallez, c’est de nouveau possible sans avoir besoin de tout reconfigurer.

Les clés d’accès au bout des doigts

Windows Hello est intégré dans tout un écosystème et le lecteur d’empreintes peut servir à déverrouiller l’accès à d’autres services et applications. L’intégration faite par Microsoft de Windows Hello permet aussi d’utiliser son empreinte biométrique pour valider l’identification sur des services tiers, via les clés d‘accès notamment. Votre empreinte sert alors de validation. Nous avons pu confirmer le fonctionnement sur quelques services.

• Que sont les passkeys, comment on s’en sert ?

Le fonctionnement est donc extrêmement simple et ne prend que quelques minutes à mettre en place grâce à Windows Hello. Pour les applications tierces, il faudra le faire à la main, mais ce n’est généralement pas fastidieux.

En aparté : un mot sur la Sécurité de connexion renforcée

Dans ses documentations, Microsoft parle d’une sécurité de connexion renforcée (Enhanced Sign-in Security ou ESS). C’est à voir comme une couche de sécurité supplémentaire qui nécessite une partie matérielle et logicielle compatible.

L’éditeur précise en effet qu’elle est « prise en charge uniquement sur les capteurs d’empreintes digitales avec des fonctionnalités de correspondance. Ce type de capteur est équipé d’un microprocesseur et de mémoire qui peuvent être utilisés pour isoler la correspondance d’empreintes digitales et le stockage de modèles à l’aide du matériel ».

Pour être compatible ESS, un capteur doit « avoir un certificat émis par Microsoft gravé dans le périphérique lors de la fabrication ». De plus, « le pilote de périphérique et le microprogramme doivent prendre en charge les fonctionnalités de sécurité de connexion renforcée ».

L’expérience tourne court, les capteurs externes sont incompatibles

Inutile de garder le suspense plus longtemps, notre clé n'est pas compatible avec cette fonctionnalité de sécurité renforcée, sans que cela ne remette en cause tous les tests dont nous venons de parler. Microsoft explique que « l'ESS n’est pas prise en charge pour les capteurs d’empreintes digitales externes ou les modules de caméra ».

Curieux, nous avons creusé un peu. Sur cette page, Microsoft explique deux manières de vérifier si le capteur est compatible et si l’ESS est activée. Le nôtre échoue évidemment dans les deux cas puisqu’il ne peut pas être compatible. Premier point, vérifier une clé dans le registre (attention à ne pas faire n’importe quoi dans le registre…).

Tout d'abord passons par le Registre. Sur la partie liée à notre capteur d’empreintes, nous n’avons pas la clé SecureFingerprint. De plus, dans Configurations, nous n’avons qu’un seul dossier 0. Il nous en faudrait un second baptisé 1 pour qu’ESS soit prise en charge.

Seconde vérification avec l’observateur d'événements (sans espoir pour rappel, notre clé n’est pas compatible). On vous passe les étapes détaillées ici pour aller à l’essentiel : « Le mode du capteur est "Basic", son type de pool est "System" et il est isolé dans un processus "Local System" ». Il faudrait qu’il soit « isolé dans un processus en mode sécurisé virtuel » pour l'ESS soit activée.

Dernière précision : « les PC Copilot+ ont ESS activé par défaut ».

• Voilà les Copilot+ : des PC avec Windows 11 Arm, IA et Snapdragon X
• Copilot+ PC : pourquoi ce seuil imposé de 40 TOPS pour le NPU ?