Cameron Summerson

Nous recommandons des clés de sécurité matérielles comme les YubiKeys de Yubico et la clé de sécurité Titan de Google. Mais les deux fabricants ont récemment rappelé des clés en raison de défauts matériels, et cela semble un peu inquiétant. Quel est le problème? Ces clés sont-elles toujours en sécurité?

Que sont les clés de sécurité matérielle?

Les clés de sécurité physiques comme la clé de sécurité Titan de Google et les YubiKeys de Yubico utilisent la norme WebAuthn, le successeur de U2F, pour vous aider à protéger vos comptes. Ils fonctionnent comme un autre type d’authentification à deux facteurs: plutôt qu’un code que vous saisissez, c’est une clé de sécurité physique que vous insérez dans un port USB – ou il peut communiquer sans fil via NFC (communication en champ proche) ou Bluetooth.

Vous pouvez utiliser votre clé comme jeton de sécurité matériel pour vous connecter à des comptes tels que vos comptes Google, Facebook, Dropbox et GitHub. Avec le programme de protection avancée facultatif de Google, vous pouvez même exiger une clé de sécurité physique pour vous connecter à votre compte.

EN RELATION: Comment sécuriser vos comptes avec une clé U2F ou YubiKey

Pourquoi Google et Yubico ont-ils rappelé des clés?

Clés Yubico FIPS
Yubico

Yubico et Google ont récemment fait les manchettes. Chacun a dû rappeler certaines clés de sécurité en raison de défauts matériels.

Le problème de Yubico affecte uniquement les appareils YubiKey FIPS Series, et non les appareils grand public. Comme l’explique l’avis de sécurité de Yubico, ces clés ont un caractère aléatoire insuffisant après la mise sous tension de l’appareil, ce qui pourrait rendre leur cryptage vulnérable. Ces appareils sont réservés aux agences gouvernementales et aux entrepreneurs. Nous ne recommandons pas FIPS, sauf si vous êtes légalement tenu de l’utiliser. Yubico n’est au courant d’aucune attaque ayant abusé de cela, mais la société remplace de manière proactive les appareils concernés.

Le problème de clé de sécurité Titan de Google, qui a conduit au rappel et au remplacement des clés concernées, était pire. La version Bluetooth de la clé de sécurité Titan, qui utilise Bluetooth Low Energy pour communiquer sans fil, était vulnérable aux attaques en raison de ce que Google a appelé une «mauvaise configuration». Un attaquant à moins de 30 pieds d’une personne utilisant une clé de sécurité pour se connecter pourrait exploiter la faille pour se connecter à son compte. Ou encore, l’attaquant pourrait tromper l’ordinateur de la personne afin de l’appairer avec un dongle Bluetooth différent plutôt qu’avec la clé de sécurité. La vulnérabilité affecte également les clés de sécurité Feitan — Feitan est la société qui fabrique les clés Titan pour Google.

Microsoft a également déployé une mise à jour Windows qui empêchera ces clés Google Titan et Feitan vulnérables de s’associer à Windows 10 et Windows 8.1 via Bluetooth.

Yubico n’a jamais proposé de clé Bluetooth. Lorsque Google a annoncé sa clé Titan, Yubico a déclaré qu’il avait précédemment exploré le lancement de sa propre clé Bluetooth Low Energy (BLE) mais que «BLE ne fournit pas les niveaux d’assurance de sécurité de NFC et USB». Les difficultés de Google semblaient justifier l’approche de Yubico consistant à se concentrer sur l’USB et le NFC plutôt que sur le Bluetooth.

Google et Yubico ont rappelé et remplacé gratuitement les clés concernées.

Recommandons-nous toujours ces clés?

Malgré les défauts et les rappels, nous recommandons toujours les clés de sécurité physiques. Yubico a rencontré un problème d’aléatoire dans une ligne de produits spécifiquement destinée au gouvernement et l’a remplacé. Google a rencontré des problèmes avec Bluetooth, mais même ce problème ne pouvait être exploité que par des attaquants à moins de 30 pieds de vous. Même une clé Bluetooth Titan défectueuse vous protégeait définitivement des attaquants distants.

Ces clés répondent toujours à des normes de sécurité élevées. Le fait que Yubico et Google divulguent de manière proactive les failles et proposent des remplacements gratuits du matériel affecté est encourageant. Les problèmes n’ont jamais affecté de clés de sécurité standard USB ou NFC pour les consommateurs réguliers.

Le plus gros problème avec ces clés est le problème avec toutes les authentifications à deux facteurs. Avec la plupart des services en ligne, vous pouvez simplement utiliser une méthode moins sécurisée comme SMS pour supprimer la clé de sécurité. Un attaquant qui aurait réussi une escroquerie de portage de téléphone pourrait accéder à votre compte même si une clé physique est attachée. Seuls les services de très haute sécurité, comme le programme de protection avancée de Google, peuvent vous protéger contre cela.

EN RELATION: Qu’est-ce que l’authentification à deux facteurs et pourquoi en ai-je besoin?

LEAVE A REPLY

Please enter your comment!
Please enter your name here