Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Google remplace les clés de sécurité Bluetooth Titan en raison d'une vulnérabilité
Les versions USB ne sont pas concernées

Le , par Stéphane le calme

40PARTAGES

7  0 
Google a publié un avis de sécurité concernant ses clés de sécurité Bluetooth Titan qui semble suffisamment sérieux pour que l’éditeur soit disposé à les remplacer gratuitement.

« Nous avons pris connaissance d’un problème qui affecte la version Bluetooth Low Energy (BLE) de la clé de sécurité Titan disponible aux États-Unis. Nous fournissons aux utilisateurs les mesures à prendre immédiatement pour se protéger et recevoir une clé de remplacement gratuite. Ce bogue affecte uniquement le couplage Bluetooth. Par conséquent, les clés de sécurité non Bluetooth ne sont pas affectées. Les utilisateurs actuels des clés de sécurité Bluetooth Titan doivent continuer à utiliser leurs clés existantes en attendant leur remplacement, car les clés de sécurité offrent la meilleure protection contre le phishing », peut-on lire sur le billet explicatif de Google.

La société affirme qu'il existe une « mauvaise configuration dans les protocoles d'appariement Bluetooth des clés de sécurité Titan » qui pourrait potentiellement permettre à un attaquant d'accéder à votre compte ou à votre appareil, même si ce n'est que dans quelques circonstances spécifiques (et particulièrement difficiles à réaliser). .

En raison d'une mauvaise configuration dans les protocoles d'appariement Bluetooth des clés de sécurité Titan, il est possible pour un attaquant qui est physiquement proche de vous au moment où vous utilisez votre clé de sécurité - dans un rayon de 10 mètres - de (a) communiquer avec votre sécurité. clé, ou (b) de communiquer avec le périphérique auquel votre clé est associée. Pour que la mauvaise configuration soit exploitée, un attaquant devrait aligner une série d'événements en étroite coordination:
  • Lorsque vous essayez de vous connecter à un compte sur votre appareil, vous êtes normalement invité à appuyer sur le bouton de votre clé de sécurité BLE pour l'activer. Un attaquant se trouvant à proximité physique à ce moment-là peut potentiellement connecter son propre appareil à la clé de sécurité concernée avant que votre propre appareil ne se connecte. Dans ces circonstances, l'attaquant peut se connecter à votre compte à l'aide de son propre appareil s'il a déjà, d'une manière ou d'une autre, déjà obtenu votre nom d'utilisateur et votre mot de passe et peut chronométrer ces événements avec précision.
  • Avant de pouvoir utiliser votre clé de sécurité, vous devez l'associer à votre appareil. Une fois couplé, un attaquant proche de vous peut utiliser son appareil pour se faire passer pour la clé de sécurité affectée et se connecter à votre appareil au moment où vous êtes invité à appuyer sur le bouton de votre clé. Après cela, ils pourraient essayer de changer leur appareil pour qu'il apparaisse comme un clavier ou une souris Bluetooth et éventuellement entreprendre des actions sur votre appareil.



Google précise que ce problème de sécurité n'affecte pas l'objectif principal des clés de sécurité, qui est de vous protéger contre le phishing lancé par un attaquant distant. « Les clés de sécurité restent la protection la plus efficace contre le phishing; Il est toujours plus sûr d'utiliser une clé présentant ce problème plutôt que de désactiver la vérification en 2 étapes basée sur la clé de sécurité (2SV) sur votre compte Google ou de passer à une méthode moins résistante au phishing (codes SMS ou invites envoyées à votre appareil, par exemple). Ce problème Bluetooth de proximité locale n’affecte pas les clés de sécurité USB ou NFC ».

La société explique qu’il s’agit d’une divulgation coordonnée - ce qui signifie en partie que les sociétés qui fabriquent les produits concernés divulguent le problème en même temps. Feitian, la société qui fabrique la clé Titan de Google mais vend également des clés sous sa propre marque, a révélé la même vulnérabilité et propose un programme de remplacement pour ses utilisateurs.

Microsoft a découvert cette vulnérabilité et l'a révélée aux entreprises qui fabriquent les produits affectés, indique Google.

Google mène depuis longtemps la charge de l'authentification à deux facteurs (2FA). En particulier, l’entreprise a poussé ses clés de sécurité Titan comme un moyen plus sûr d'activer la 2FA qu'une simple application d'authentification (ou, pire encore, qu’une authentification incluant un code envoyé par SMS ou une invite envoyée à votre appareil). Étant donné que l’entreprise vise à fournir un niveau de sécurité plus élevé, les vulnérabilités potentielles en matière de sécurité seront davantage surveillées.

Que faut-il faire pour vous protéger ?

Si vous souhaitez réduire le risque restant jusqu'à la réception de vos clés de remplacement, vous pouvez effectuer les étapes supplémentaires suivantes:

appareils iOS:

Sur les appareils exécutant iOS version 12.2 ou antérieure, Google recommande d’utiliser votre clé de sécurité affectée dans un lieu privé où un attaquant potentiel ne se trouve pas à proximité physique (environ 10 mètres). Une fois que vous avez utilisé votre clé pour vous connecter à votre compte Google sur votre appareil, supprimez immédiatement l’appariement. Vous pouvez utiliser votre clé de cette manière à nouveau en attendant votre clé de remplacement et en attendant la mise à jour vers iOS 12.3.

Une fois la mise à jour vers iOS 12.3, votre clé de sécurité affectée ne fonctionnera plus. Vous ne pourrez pas utiliser votre clé affectée pour vous connecter à votre compte Google ni à aucun autre compte protégé par la clé. Vous devrez donc commander une clé de remplacement. Si vous êtes déjà connecté à votre compte Google sur votre appareil iOS, ne vous déconnectez pas car vous ne pourrez plus vous connecter avant d'avoir obtenu une nouvelle clé. Si votre compte Google sur votre appareil iOS est verrouillé avant l'arrivée de votre clé de remplacement, reportez-vous aux instructions ci-dessous pour retrouver votre compte. Notez que vous pouvez continuer à vous connecter à votre compte Google sur des appareils non iOS.

Sur Android et autres appareils:

Google recommande d’utiliser votre clé de sécurité affectée dans un lieu privé où un attaquant potentiel ne se trouve pas à proximité physique (environ 10 mètres). Une fois que vous avez utilisé votre clé de sécurité concernée pour vous connecter à votre compte Google, supprimez immédiatement l’appariement. Les appareils Android mis à jour avec les niveaux de sécurité SPL (Security Patch Level) de juin 2019 et ultérieurs annulent automatiquement le jumelage des périphériques Bluetooth concernés. Vous n'aurez donc pas besoin de dissocier manuellement le pairage. Vous pouvez également continuer à utiliser vos clés de sécurité USB ou NFC, prises en charge sur Android et non affectées par ce problème.


Dispositifs d'authentification YubiKey

Certaines acteurs dans l’industrie technologique avait critiqué le lancement d’une clé BLE

L’année dernière, Stina Ehrensvard, fondatrice et PDG de Yubico et co-inventeur du dispositif d’authentification YubiKey a critiqué le fait que Google ait lancé une clé BLE, estimant qu’elle ne serait pas aussi sûre que l’USB ou la NFC.

« Au cours des dernières années, Google a déployé en interne des centaines de milliers de périphériques Yubico compatibles FIDO U2F avec des résultats étonnants. Aujourd'hui, Google a publié sa propre version d'une clé de sécurité et, bien que nous ayons reçu la question de savoir si nous allons faire partie de cette production, ces appareils ne sont pas fabriqués par Yubico.

« Yubico croit fermement que la fabrication et la programmation de ses produits aux États-Unis et en Suède procurent des avantages à la sécurité et à la confidentialité pour nos clients.

« L’offre de Google comprend une clé compatible Bluetooth (BLE). Alors que Yubico avait précédemment initié le développement d'une clé de sécurité BLE et contribué aux travaux sur les normes BLE U2F, nous avons décidé de ne pas lancer le produit, car il ne répond pas à nos normes en matière de sécurité, de convivialité et de durabilité. BLE ne fournit pas les niveaux d'assurance de sécurité de NFC et USB, et nécessite des batteries et un couplage offrant une expérience utilisateur médiocre.

« Yubico est un fervent partisan de la technologie NFC et la conception de YubiKey NEO s’est révélée être à la hauteur, offrant une expérience utilisateur sans contact supérieure pour U2F ».

Sources : Google, Yubico

Et vous ?

Utilisez-vous une clé d'authentification ? Quel modèle ?
Sur quelle technologie repose-t-elle (USB, Bluetooth, etc.) ?
Qu'est-ce qui vous a motivé à utiliser un tel dispositif ?
Après, utilisation qu'en pensez-vous ?
Si vous n'en avez jamais acheté, pouvez-vous l'envisager ?

Voir aussi :

Google Summit Paris 2019, le grand rendez-vous annuel de l'innovation Cloud revient pour une nouvelle édition, le mardi 18 juin 2019 à Paris
Nest : la société est morte à Google I/O 2019, avec son écosystème, ses comptes, son pare-feu de confidentialité ; place maintenant à Google Nest
Google lance <portal> pour remplacer <iframe>, créant ainsi un nouveau système de navigation de page Web pour Chrome
Google promet de protéger les utilisateurs du fingerprinting et de sécuriser les cookies dans Chrome, avec l'utilisation de l'attribut Same-site

Une erreur dans cette actualité ? Signalez-le nous !