Yubico a annoncé qu'il remplacera bientôt sa série de clés de sécurité matérielles FIPS YubiKey en raison d'une faille du micrologiciel qui réduit le caractère aléatoire des clés cryptographiques générées par l'appareil. Contrairement aux produits phares de la société, la série FIPS de YubiKey est certifiée pour une utilisation sur les réseaux du gouvernement américain et porte le nom des normes fédérales de traitement de l'information (FIPS) du gouvernement américain. Dans un récent avis de sécurité, Yubico a expliqué que les appareils de la série YubiKey FIPS exécutant les versions de micrologiciel 4.4.2 .4.4.4 et XNUMX ont soulevé le problème que le premier ensemble de valeurs aléatoires utilisées par les applications YubiKey FIPS après que la puissance de chaque appareil ait été réduite de manière aléatoire. Cela signifie que ces dispositifs généreront des clés qui peuvent être partiellement ou totalement récupérées en fonction de l'algorithme cryptographique utilisé par la clé pour une opération d'authentification particulière.
Remplacement des clés de sécurité.
Yubico a découvert le problème en interne en mars et a mené une enquête approfondie sur la cause profonde, l'impact et la manière dont il pourrait atténuer le problème pour ses clients. La société a entièrement résolu le problème dans la version 4.4.5 du micrologiciel de la série YubiKey FIPS, mais après la mise à jour du micrologiciel, une recertification FIPS était également requise. Yubico conseille désormais également aux propriétaires d'appareils de la série Yubi FiPS de vérifier la version du micrologiciel de leur clé de sécurité et les utilisateurs concernés peuvent s'inscrire pour obtenir une nouvelle clé sur leur portail de remplacement. La société a annoncé que ses clients recevront de nouvelles clés de la série YubiKey FIPS avec la version 4.4.5 du firmware. Selon l'avis de sécurité, la plupart des appareils concernés ont été remplacés ou sont en train de l'être : "Pour assurer la sécurité de nos clients, Yubico mène un programme de remplacement de clé actif pour les appareils FIPS concernés (versions 4.4.2 et 4.4.4 .XNUMX) depuis la découverte du problème et la recertification. Au moment de cet avis, nous pensons que la plupart des appareils de la série YubiKey FIPS concernés ont été remplacés ou sont en train d'être remplacés par des versions mises à jour et corrigées des appareils. " Yubico a également assuré aux clients que l'entreprise était désormais au courant de toute atteinte à la sécurité survenue à la suite de ce problème. via ZDNet