Nous recommandons des clés de sécurité matérielles telles que YubiKeys de Yubico et Clé de sécurité Titan de Google. Mais les deux fabricants ont récemment rappelé des clés en raison de défauts matériels, ce qui semble un peu inquiétant. Quel est le problème? Ces clés sont-elles toujours en sécurité?
Table des matières
Que sont les clés de sécurité matérielles?
Les clés de sécurité physiques telles que la clé de sécurité Titan de Google et les YubiKeys de Yubico utilisent la norme WebAuthn, le successeur de U2F, pour protéger vos comptes. Ils fonctionnent comme un autre type d’authentification à deux facteurs: plutôt qu’un code que vous saisissez, c’est une clé de sécurité physique que vous insérez dans un port USB – ou il peut communiquer sans fil via NFC (communication en champ proche) ou Bluetooth.
Vous pouvez utiliser votre clé comme jeton de sécurité matériel pour vous connecter à des comptes tels que vos comptes Google, Facebook, Dropbox et GitHub. Avec le programme optionnel de protection avancée de Google, vous pouvez même exiger une clé de sécurité physique pour vous connecter à votre compte.
Pourquoi Google et Yubico ont-ils rappelé des clés?
Yubico et Google ont fait les manchettes ces derniers temps. Chacun a dû rappeler certaines clés de sécurité en raison de défauts matériels.
Le problème de Yubico affecte uniquement les appareils de la série YubiKey FIPS, et non les appareils grand public. Comme Avis de sécurité de Yubico explique que ces clés ont un caractère aléatoire insuffisant après la mise sous tension de l’appareil, ce qui pourrait rendre leur cryptage vulnérable. Ces appareils sont réservés aux agences gouvernementales et aux sous-traitants. Nous ne recommandons pas FIPS à moins que vous ne soyez légalement obligé de l’utiliser. Yubico n’est au courant d’aucune attaque qui en a abusé, mais la société remplace de manière proactive les appareils affectés.
Le problème de la clé de sécurité Titan de Google, qui a conduit à un rappel et au remplacement des clés affectées, était pire. La version Bluetooth de la clé de sécurité Titan, qui utilise Bluetooth Low Energy pour communiquer sans fil, était vulnérable aux attaques en raison de ce que Google a appelé un « mauvaise configuration. » Un attaquant à moins de 9 mètres d’une personne utilisant une clé de sécurité pour se connecter pourrait exploiter la faille pour se connecter à son compte. Ou bien, l’attaquant pourrait inciter l’ordinateur de la personne à s’associer avec une clé Bluetooth différente plutôt qu’avec la clé de sécurité. La vulnérabilité affecte également les clés de sécurité Feitan. Feitan est la société qui fabrique les clés Titan pour Google.
Microsoft a également déployé un Windows Update cela empêchera ces clés vulnérables Google Titan et Feitan de s’associer à Windows 10 et Windows 8.1 via Bluetooth.
Yubico n’a jamais proposé de clé Bluetooth. Lorsque Google a annoncé sa clé Titan, Yubico a déclaré qu’il avait déjà envisagé de lancer sa propre clé Bluetooth Low Energy (BLE), mais que «BLE ne fournit pas les niveaux d’assurance de sécurité NFC et USB». Les difficultés de Google ont apparemment justifié l’approche de Yubico consistant à se concentrer sur l’USB et le NFC plutôt que sur Bluetooth.
Google et Yubico ont rappelé et remplacé gratuitement les clés concernées.
Recommandons-nous toujours ces clés?
Malgré les failles et les rappels, nous recommandons toujours les clés de sécurité physiques. Yubico a rencontré un problème de caractère aléatoire dans une ligne de produits spécifiquement destinée au gouvernement et l’a remplacée. Google a rencontré des problèmes avec Bluetooth, mais même ce problème ne pouvait être exploité que par des attaquants à moins de 9 mètres de vous. Même une clé Bluetooth Titan défectueuse vous protégeait définitivement des attaquants à distance.
Ces clés répondent toujours à des normes de sécurité élevées. Le fait que Yubico et Google divulguent de manière proactive les failles et proposent des remplacements gratuits du matériel concerné est encourageant. Les problèmes n’ont jamais affecté les clés de sécurité standard USB ou NFC pour les consommateurs réguliers.
Le plus gros problème avec ces clés est le problème de toutes les authentifications à deux facteurs. Avec la plupart des services en ligne, vous pouvez simplement utiliser une méthode moins sécurisée comme le SMS pour supprimer la clé de sécurité. Un attaquant qui a réussi une escroquerie de port-out de téléphone pourrait accéder à votre compte même si vous avez une clé physique attachée. Seuls les services de très haute sécurité, comme le programme de protection avancée de Google, peuvent vous protéger contre cela.