Les clefs U2F de Google ne sont pas sûres à 100 % et Google rappelle donc les modèles Bluetooth.

En sécurité informatique, mitiger le risque est une nécessité absolue. Le 16 mai 2019, Google a annoncé un programme de reprise pour certaines versions de ses clefs Titan. Ces clefs de sécurité sont une manière d’utiliser la double authentification pour vos services, sans avoir à passer par un numéro de téléphone ou une application. Et sur les versions BLE (Bluetooth Low Energy), Google a remarqué qu’une attaque pouvait avoir lieu dans des conditions exceptionnelles. En effet, pour que l’attaquant piège votre clef de sécurité, il faut qu’il soit à moins de 9 mètres de vous au moment où vous appuyez sur le bouton de votre clef et qu’il connaisse votre identifiant et votre mot de passe. En d’autres termes, le risque est présent, mais minime.

Reste que Google ne souhaite proposer un produit de sécurité qui aurait de failles et rappelle donc ses clefs. Si vous avez un modèle de clef Titan avec T1 ou T2 inscrit au dos, vous êtes éligibles et vous pouvez vous rendre à cette adresse pour prétendre à l’échange. C’est au niveau du module Bluetooth que le problème peut survenir et les modèles T1 et T2 ont été « mal configurés  » d’après Google. Ironiquement, ce premier souci de Google avec ses clefs de sécurité vient du composant pointé du doigt par le concurrent Yubico, qui estimait que le Bluetooth n’était pas assez sécurisé — pas autant que l’USB ou le NFC tout du moins.

Clef Titan // Source : Google

Les attaques possibles

Les attaques possibles, détaillées dans un billet de blog par Google, restent improbables. La première implique qu’un attaquant sache que vous utilisez une clef Titan T1 et qu’il ait développé les outils nécessaires pour détourner son signal. Il doit alors se positionner à moins de 9 mètres de vous et procéder à son attaque au moment où vous appuyez sur le bouton de sécurité. Le tout, en ayant déjà connaissance de votre identifiant et de votre mot de passe.

La deuxième attaque reprend la même configuration, mais a lieu au moment de l’appairage de la clef U2F : l’attaquant peut alors se faire passer pour votre clef et changer son périphérique en clavier ou en souris, prenant ainsi le contrôle de votre ordinateur.

Partager sur les réseaux sociaux