- La comparaison
- Tutoriels
- Même les outils de sécurité les plus puissants de Google ne peuvent pas protéger contre cette faille.
Les clés de sécurité physiques de Google pourraient être attaquées par des pirates informatiques cherchant à s'introduire dans les appareils des utilisateurs et à voler des données personnelles, selon une nouvelle étude. Les experts en sécurité ont découvert une vulnérabilité affectant le matériel inclus dans les clés de sécurité matérielles Google Titan et YubiKey, qui sont devenues populaires auprès des utilisateurs recherchant ce niveau de protection supplémentaire. La faille semble exposer les clés de cryptage utilisées pour protéger un appareil, le laissant non sécurisé et ouvert aux attaques provenant de sources extérieures.
Débloqué
Les résultats viennent de Victor Lomne et Thomas Roche, chercheurs au NinjaLab de Montpellier, qui ont examiné toutes les versions de la clé de sécurité Titan de Google, la Yubico Yubikey Neo, et divers appareils Feitian FIDO (Feitian FIDO NFC USB-A/K9, Feitian MultiPass FIDO/ K13, Feitian ePass FIDO USB-C/K21 et Feitian FIDO NFC USB-C/K40) Le duo a découvert une faille qui pourrait permettre aux pirates de récupérer la clé de cryptage principale utilisée par le périphérique clé pour générer des jetons cryptographiques utilisés en deux facteurs. opérations d’authentification (2FA). Cela pourrait permettre aux acteurs malveillants de cloner Titan, YubiKey et d'autres clés spécifiques, ce qui signifie que les pirates pourraient contourner les procédures 2FA censées offrir aux utilisateurs un niveau de protection supplémentaire. Cependant, pour que l’attaque fonctionne, le pirate informatique devra obtenir physiquement la clé de sécurité, car elle ne fonctionnera pas sur Internet. Cela pourrait signifier que tout appareil perdu ou volé pourrait être utilisé et cloné temporairement, avant d'être restitué à la victime. Cependant, une fois l'opération terminée, les attaquants pourraient cloner les clés de chiffrement utilisées pour protéger les appareils Google ou Yubico, leur permettant ainsi d'y accéder. Les chercheurs ont également noté que les clés elles-mêmes offraient une solide protection contre le piratage, luttant efficacement contre la chaleur et la pression pour résister aux tentatives de cambriolage. Cela signifie que si un attaquant pouvait voler une clé dans un bureau ou une usine, par exemple, il aurait du mal à la remettre dans le même état dans lequel elle était au départ. Contacté par ZDNet, Google a souligné ce fait, soulignant qu'une telle attaque serait difficile à mener dans des "circonstances normales". Via ZDNet