Avant d’entrer dans les détails, il faut commencer par rassurer les utilisateurs de YubiKey : la probabilité de se faire hacker en exploitant la faille de sécurité est très faible. La manipulation est en effet très complexe, elle nécessite d’abord que le pirate possède les informations de connexion du compte de l’application de la victime, qu’il ait un accès physique à la clé, qu’il faut ensuite ouvrir afin d’en bidouiller la carte logique à l’intérieur.
Pourquoi il ne faut pas paniquer
Il importe après de replacer la puce, et de refermer la clé sans que la victime se rende compte de rien. À cela s’ajoutent des étapes logicielles complexes. Autant dire qu’il s’agit d’une attaque largement virtuelle même si des pirates très motivés, ou engagés par des agences gouvernementales pour fouiller dans les données d’un utilisateur, pourront toujours tenter de l’exploiter.
D’après la recherche de Thomas Roche, spécialiste en sécurité de NinjaLab, les microcontrôleurs des clés YubiKey 5 sont atteints d’une faille (baptisée « EucLeak ») dans la bibliothèque cryptographique Infineon. De fait, le fabricant de ces clés ne serait pas le seul à être touché puisque d’autres produits peuvent intégrer ces microcontrôleurs (comme des portefeuilles crypto ou des systèmes embarqués), mais ils n’ont pas pu être testés.
L’attaque permet de récupérer la clé privée utilisée pour signer les défis FIDO, des demandes cryptographiques envoyées par un serveur à un dispositif d’authentification FIDO (comme une YubiKey) pour vérifier l’identité d’un utilisateur. Autrement dit, il s’agit de créer un clone de la clé qui permettra ensuite d’authentifier faussement l’utilisateur légitime pour accéder à un compte protégé par la clé physique.
Infineon a confirmé avoir corrigé la faille, par le biais d’une mise à jour de sa bibliothèque cryptographique. Malheureusement, il n’est pas possible de mettre à jour les clés YubiKey 5 sur lesquelles a été installée le firmware 5.7 et précédent. Rappelons encore une fois que l’attaque nécessite du matériel coûteux, du logiciel sur mesure et des compétences techniques spécifiques ; elle reste cependant réalisable en quelques minutes de collecte de données suivies de plusieurs heures d’analyse hors ligne.
La technologie FIDO demeure une des formes les plus robustes d’authentification, elle résiste au phishing de mots de passe et aux attaques de type « homme du milieu ». Tant que la clé reste hors de portée d’un attaquant, elle reste une des méthodes d’authentification les plus sûres du marché.
Yubico, le fabricant des clés, propose dans l’app Yubico Authenticator un outil qui permet de connaitre le numéro de série et le modèle d’une YubiKey. L’entreprise recommande aux utilisateurs la plus grande vigilance lors de l’installation de logiciels et de garder un contrôle serré de leur clé. En cas de perte ou de vol, il faut désinscrire immédiatement la YubiKey et utiliser d’autres dispositifs d’authentification.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : ArsTechnica