La clé de sécurité physique venue tout droit de Mountain View possède quelques concurrents avec en première ligne Feitan ePass ou YubiKey. Grâce à elle, vous pouvez vous connecter sans rentrer de mot de passe et ainsi verrouiller très fortement votre compte, puisqu’il faut accéder physiquement à la clef pour ouvrir les portes de vos données.
Mais la Google Titan possède une fonctionnalité en plus : le Bluetooth. Là où les autres clés sont obligées d’être branchées à l’ordinateur, la Titan pouvait se connecter par Bluetooth ce qui permettait une certaine flexibilité pour ceux qui n’auraient pas de port USB-A (coucou les MacBook).
Mais c’est là que le problème se fait sentir : Google a commencé à rappeler certaines de ces petites clés à cause d’une faille de sécurité au niveau du Bluetooth. Il est en effet possible pour quelqu’un de communiquer avec s’il se trouve à proximité.
Un risque connu, mais ignoré
9 mètres, voilà la distance maximale au pirate pour accéder à votre clé de sécurité par Bluetooth. Google a d’ailleurs précisé :
À cause d’une mauvaise configuration dans les protocoles de connexion Bluetooth de la clé de sécurité Titan, il est possible pour un attaquant proche de vous au moment où vous utilisez votre clé — à moins de 9 mètres — de soit communiquer avec votre clé de sécurité ou communiquer avec l’appareil qui est connecté.
Il faut quand même une bonne dose de paramètres favorables pour pouvoir exploiter cette faille. Mais le principe même de ce genre de clé est d’offrir une sécurité presque sans failles. Et les concurrents de Google ne l’ont pas proposé pour cette raison comme le précise Stina Ehrensvard, PDG de Yubico, fabriquant de la YubiKey :
L’offre de Google inclut le Bluetooth. Yubico avait commencé le développement d’une clé de ce genre, nous avons contribué à développer le Bluetooth avec la norme de sécurité U2F. Mais nous avons décidé de ne pas lancer le produit, car il ne nous permettait pas d’atteindre nos standards de sécurité, de facilité d’utilisation et de durabilité.
Gizmodo a contacté Google et un porte-parole leur a répondu que la firme était au courant de cette faille, mais avait décidé de l’ignorer, car le bénéfice de pouvoir l’utiliser sur des appareils n’ayant pas de port USB était plus important à leurs yeux.
Si vous possédez une clé de sécurité Titan, vérifiez que le code écrit dessus soit T1 ou T2, s’il l’est, vous pouvez faire la demande de remplacement auprès de Google.
Notre émission Twitch SURVOLTÉS, c’est un mercredi sur deux de 17h à 19h : retrouvez-vous nous pour parler voiture électrique ou vélo électrique, autour de débats, d’interviews, d’analyses et de jeux !
MDR. et certain te diront que mettre tous ses mots de passe dans chrome est sur.🤣
[…] Source […]
Si Google connaissait cette faille, comme le dit l'article, Google aurait donc menti par omission à ces clients en ne les prévenant pas que leur produit de sécurisation d'accès a lui même une faille de sécurité. Donc plus que les conditions improbables pour utiliser cette faille, c'est le respect dont à fait preuve Google après de ces futurs clients dans sa communication sur cette faille qui pourrait être mise en cause.
Google a vendu un produit de sécurisation d'accès tout en laissant sciemment une faille de sécurité dessus. Étonnant. Google avait il prévenu ses clients avant l'achat?
Ils suivent ça de tre tre près ! 🙄
Rajoutons aussi que le pirate doit savoir que vous l'utilisez à ce moment, doit enclencher le "hack" au moment où vous appuyez sur le bouton et connaître l'identifiant et le mot de passe. C'est une faille, certes, mais qui demande de réunir une flopée de conditions plutôt improbables
Pas Tre Tre sécurisé tout ça !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix