Les clefs U2F de Google ne sont pas sûres à 100 % et Google rappelle donc les modèles Bluetooth.

En sécurité informatique, mitiger le risque est une nécessité absolue. Le 16 mai 2019, Google a annoncé un programme de reprise pour certaines versions de ses clefs Titan. Ces clefs de sécurité sont une manière d’utiliser la double authentification pour vos services, sans avoir à passer par un numéro de téléphone ou une application. Et sur les versions BLE (Bluetooth Low Energy), Google a remarqué qu’une attaque pouvait avoir lieu dans des conditions exceptionnelles. En effet, pour que l’attaquant piège votre clef de sécurité, il faut qu’il soit à moins de 9 mètres de vous au moment où vous appuyez sur le bouton de votre clef et qu’il connaisse votre identifiant et votre mot de passe. En d’autres termes, le risque est présent, mais minime.

Reste que Google ne souhaite proposer un produit de sécurité qui aurait de failles et rappelle donc ses clefs. Si vous avez un modèle de clef Titan avec T1 ou T2 inscrit au dos, vous êtes éligibles et vous pouvez vous rendre à cette adresse pour prétendre à l’échange. C’est au niveau du module Bluetooth que le problème peut survenir et les modèles T1 et T2 ont été « mal configurés » d’après Google. Ironiquement, ce premier souci de Google avec ses clefs de sécurité vient du composant pointé du doigt par le concurrent Yubico, qui estimait que le Bluetooth n’était pas assez sécurisé — pas autant que l’USB ou le NFC tout du moins.

Clef Titan // Source : Google

Clef Titan

Source : Google

Les attaques possibles

Les attaques possibles, détaillées dans un billet de blog par Google, restent improbables. La première implique qu’un attaquant sache que vous utilisez une clef Titan T1 et qu’il ait développé les outils nécessaires pour détourner son signal. Il doit alors se positionner à moins de 9 mètres de vous et procéder à son attaque au moment où vous appuyez sur le bouton de sécurité. Le tout, en ayant déjà connaissance de votre identifiant et de votre mot de passe.

La deuxième attaque reprend la même configuration, mais a lieu au moment de l’appairage de la clef U2F : l’attaquant peut alors se faire passer pour votre clef et changer son périphérique en clavier ou en souris, prenant ainsi le contrôle de votre ordinateur.

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par YouTube.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par YouTube avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

Gérer mes choix

une comparateur meilleur gestionnaire mdp numerama

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !