Nous préconisons l’utilisation de dispositifs de sécurité matériels tels que les YubiKeys de Yubico et la clé de sécurité Titan de Google. Cependant, les deux entreprises ont récemment procédé à des rappels de clés en raison de défauts matériels, une situation qui soulève certaines questions. Quelle est la nature du problème? Ces clés sont-elles toujours dignes de confiance?
Que sont précisément les clés de sécurité matérielles?
Les clés de sécurité physiques, telles que la clé de sécurité Titan de Google et les YubiKeys de Yubico, s’appuient sur la norme WebAuthn, qui succède à U2F, pour sécuriser vos comptes. Elles constituent une forme d’authentification à deux facteurs : au lieu d’un code à saisir, il s’agit d’une clé physique que l’on introduit dans un port USB ou qui communique sans fil via NFC (communication en champ proche) ou Bluetooth.
Vous pouvez utiliser votre clé comme un jeton de sécurité matériel pour accéder à des comptes tels que Google, Facebook, Dropbox et GitHub. Avec le programme de protection avancée de Google, qui est optionnel, il est même possible d’exiger une clé de sécurité physique pour vous connecter à votre compte.
Pourquoi Google et Yubico ont-ils rappelé certaines clés ?
Yubico et Google ont récemment fait parler d’eux, ayant tous deux été contraints de rappeler certaines de leurs clés de sécurité à cause de défaillances matérielles.
Le problème rencontré par Yubico concerne exclusivement les dispositifs de la série YubiKey FIPS et non les produits grand public. Comme l’indique l’avis de sécurité de Yubico, ces clés présentent une génération aléatoire insuffisante après leur mise sous tension, ce qui pourrait fragiliser leur chiffrement. Ces dispositifs sont destinés aux organismes gouvernementaux et à leurs sous-traitants. L’utilisation des clés FIPS n’est recommandée que si elle est imposée par la loi. Yubico n’a connaissance d’aucune attaque ayant exploité cette faille, mais l’entreprise procède au remplacement proactif des dispositifs concernés.
Le problème affectant la clé de sécurité Titan de Google, qui a mené à un rappel et au remplacement des clés touchées, était plus sérieux. La version Bluetooth de la clé de sécurité Titan, qui utilise le Bluetooth Low Energy pour communiquer sans fil, était vulnérable aux attaques en raison de ce que Google a qualifié de « mauvaise configuration ». Un pirate se trouvant à moins de 9 mètres d’une personne utilisant une clé de sécurité pour se connecter pouvait exploiter cette faille et accéder à son compte. De plus, le pirate pouvait inciter l’ordinateur de la victime à s’associer à une autre clé Bluetooth que sa clé de sécurité. Cette vulnérabilité touchait également les clés de sécurité Feitan, la société qui fabrique les clés Titan pour Google.
Microsoft a également diffusé une mise à jour Windows qui empêche les clés Google Titan et Feitan concernées de s’apparier avec Windows 10 et Windows 8.1 via Bluetooth.
Yubico n’a jamais proposé de clé Bluetooth. Lorsque Google a annoncé sa clé Titan, Yubico a indiqué avoir envisagé de lancer sa propre clé Bluetooth Low Energy (BLE), mais que « le BLE ne garantit pas les mêmes niveaux de sécurité que le NFC et l’USB ». Les difficultés rencontrées par Google ont apparemment justifié l’approche de Yubico, qui a préféré se concentrer sur l’USB et le NFC plutôt que sur le Bluetooth.
Google et Yubico ont rappelé et remplacé gratuitement les clés concernées.
Recommandons-nous toujours ces clés ?
Malgré ces failles et rappels, nous continuons de recommander l’usage de clés de sécurité physiques. Yubico a rencontré un problème de génération aléatoire sur une gamme de produits spécialement conçue pour le secteur gouvernemental, et a procédé à son remplacement. Google a connu des difficultés avec le Bluetooth, mais même ce problème ne pouvait être exploité que par des pirates se trouvant à moins de 9 mètres de la victime. Même une clé Bluetooth Titan défaillante offrait une protection efficace contre les attaques à distance.
Ces clés continuent de respecter des normes de sécurité élevées. Le fait que Yubico et Google divulguent de façon proactive les failles et offrent des remplacements gratuits du matériel touché est un signe encourageant. Les problèmes rencontrés n’ont jamais affecté les clés de sécurité USB ou NFC standard pour les utilisateurs lambda.
Le problème majeur que posent ces clés est celui de tous les systèmes d’authentification à deux facteurs. La plupart des services en ligne autorisent l’utilisation de méthodes moins sécurisées, comme le SMS, pour désactiver la clé de sécurité. Un pirate ayant réussi une escroquerie de transfert de numéro de téléphone pourrait accéder à votre compte même si vous avez une clé physique associée. Seuls les services de très haute sécurité, comme le programme de protection avancée de Google, permettent de se protéger contre ce type d’attaque.