En sécurité informatique, mitiger le risque est une nécessité absolue. Le 16 mai 2019, Google a annoncé un programme de reprise pour certaines versions de ses clefs Titan. Ces clefs de sécurité sont une manière d’utiliser la double authentification pour vos services, sans avoir à passer par un numéro de téléphone ou une application. Et sur les versions BLE (Bluetooth Low Energy), Google a remarqué qu’une attaque pouvait avoir lieu dans des conditions exceptionnelles. En effet, pour que l’attaquant piège votre clef de sécurité, il faut qu’il soit à moins de 9 mètres de vous au moment où vous appuyez sur le bouton de votre clef et qu’il connaisse votre identifiant et votre mot de passe. En d’autres termes, le risque est présent, mais minime.
Reste que Google ne souhaite proposer un produit de sécurité qui aurait de failles et rappelle donc ses clefs. Si vous avez un modèle de clef Titan avec T1 ou T2 inscrit au dos, vous êtes éligibles et vous pouvez vous rendre à cette adresse pour prétendre à l’échange. C’est au niveau du module Bluetooth que le problème peut survenir et les modèles T1 et T2 ont été « mal configurés » d’après Google. Ironiquement, ce premier souci de Google avec ses clefs de sécurité vient du composant pointé du doigt par le concurrent Yubico, qui estimait que le Bluetooth n’était pas assez sécurisé — pas autant que l’USB ou le NFC tout du moins.
Les attaques possibles
Les attaques possibles, détaillées dans un billet de blog par Google, restent improbables. La première implique qu’un attaquant sache que vous utilisez une clef Titan T1 et qu’il ait développé les outils nécessaires pour détourner son signal. Il doit alors se positionner à moins de 9 mètres de vous et procéder à son attaque au moment où vous appuyez sur le bouton de sécurité. Le tout, en ayant déjà connaissance de votre identifiant et de votre mot de passe.
La deuxième attaque reprend la même configuration, mais a lieu au moment de l’appairage de la clef U2F : l’attaquant peut alors se faire passer pour votre clef et changer son périphérique en clavier ou en souris, prenant ainsi le contrôle de votre ordinateur.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !