Le 30 août 2018, Google commençait la commercialisation de ses clés Titan. Ces clés promettent une sécurisation maximale en remplaçant le deuxième facteur de la double authentification, un processus que nous avons longuement détaillée dans un précédent article.
Seulement voilà : plusieurs experts ont interpellé Motherboard sur la fiabilité de ces clés dès le jour suivant le début des ventes. La raison principale : sa fabrication délocalisée en Chine.
Des clés de sécurité made in China estampillées Google
S’adressant à Motherboard, l’ancien responsable de la sécurité des systèmes d’information chez Facebook, Alex Stamos, pointe le manque de transparence quant à la fabrication des clés Titan. « Je pense que cela serait bien s’ils documentaient leur chaîne d’approvisionnement », déclare ce professeur de l’université de Stanford.
Le véritable constructeur des clés Titan est Feitian Technologies Co. Ltd, une firme chinoise également connue pour fabriquer des clés de sécurité et autres appareils relatifs à la sécurité en ligne comme des terminaux de paiement mobiles.
Google ne voit aucun problème à travailler avec cette entreprise chinoise. Un avis que ne partagent pas d’autres experts en cybersécurité tel que le chef de la sécurité pour une grande multinationale, toujours pour Motherboard : « La chaîne d’approvisionnement est souvent dictée par la politique gouvernementale. »
https://twitter.com/alexstamos/status/1035192798306160641
L’idée que le gouvernement chinois puisse faire pression sur la compagnie Feitian afin qu’elle introduise des mouchards, une porte dérobée (backdoor) ou autres logiciels d’espionnage n’a, effectivement, rien de rassurant. D’autant plus lorsque Google se vante de ses 85 000 employés usant de l’outil en question. « Nous n’avons eu aucun cas signalé ou confirmé d’usurpation de compte depuis l’implantation des clés de sécurité chez Google », a déclaré un porte-parole de Google auprès de Business Insider, le 23 juillet 2018.
La directrice de gestion des produits Jennifer Lin a précisé dans un billet du 24 juillet 2018 que les clés contiennent un firmware développé par Google afin d’assurer son intégrité. Cet élément ne pourrait pas être retiré ou endommagé par l’entreprise chargée d’assembler le reste de la clé. Google n’a pas délivré plus d’information sur le procédé de fabrication mais ce manque de transparence de la part de l’entreprise pourrait lui coûter quelques ventes.
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
