Les clés de sécurité physiques de Google pourraient être ciblées par des pirates informatiques cherchant à s’introduire dans les appareils des utilisateurs et à voler des données personnelles, selon une nouvelle étude.
Les experts en sécurité ont découvert une vulnérabilité affectant le matériel inclus dans les clés de sécurité matérielles Google Titan et YubiKey, qui est devenue populaire auprès des utilisateurs à la recherche de ce niveau de protection supplémentaire.
La faille semble exposer les clés de chiffrement utilisées pour protéger un appareil, le laissant non sécurisé et ouvert aux attaques de sources extérieures.
Sommaire
Débloqué
Les résultats proviennent de Victor Lomne et Thomas Roche, chercheurs du NinjaLab de Montpellier, qui ont examiné toutes les versions de la clé de sécurité Titan de Google, du Yubico Yubikey Neo et de plusieurs appareils Feitian FIDO (Feitian FIDO NFC USB-A / K9, Feitian MultiPass FIDO / K13, Feitian ePass FIDO USB-C / K21 et Feitian FIDO NFC USB-C / K40)
Le duo a découvert une faille qui pourrait permettre aux pirates de récupérer la clé de cryptage principale utilisée par le périphérique clé pour générer des jetons cryptographiques utilisés dans les opérations d’authentification à deux facteurs (2FA).
Cela pourrait permettre aux acteurs de la menace de cloner des clés spécifiques Titan, YubiKey et d’autres, ce qui signifie que les pirates pourraient contourner les procédures 2FA qui sont censées offrir aux utilisateurs un niveau de protection supplémentaire.
Cependant, pour que l’attaque fonctionne, le pirate informatique devra se procurer physiquement le périphérique de clé de sécurité, car il ne fonctionnera pas sur Internet. Cela pourrait signifier que tout appareil perdu ou volé pourrait être temporairement utilisé et cloné, avant d’être retourné à la victime.
Une fois terminé, cependant, les attaquants pourraient cloner les clés de cryptage utilisées pour protéger les appareils Google ou Yubico, leur permettant ainsi d’accéder.
Les chercheurs ont également noté que les clés elles-mêmes offraient une protection robuste contre les attaques, mettant en place une forte lutte contre la chaleur et la pression pour résister aux tentatives d’effraction à la main.
Cela signifie que si un attaquant était capable de voler une clé dans un bureau ou une usine, par exemple, il aurait du mal à la restituer dans le même état dans lequel il a commencé.
Contacté par ZDNet, Google a souligné ce fait, soulignant qu’une telle attaque serait difficile à mener dans des «circonstances normales».
Via ZDNet
