Passer au contenu

Google va remplacer certaines de ses clés de sécurité Titan… à cause d’une faille

Un bug dans le protocole Bluetooth Low Energy pourrait permettre à un attaquant d’accéder au compte Google d’un utilisateur ou de pirater son terminal de connexion.

Lancées en juillet 2018, les clés Google Titan Security Key étaient censées fournir une sécurité béton pour les utilisateurs particulièrement exposés à des attaques informatiques. Malheureusement, une faille de sécurité contraint le géant informatique à remplacer certains modèles, en l’occurrence, ceux qui utilisent la technologie Bluetooth Low Energy et qui portent le code « T1 » ou « T2 » sur leur face arrière. Les utilisateurs concernés peuvent demander un remplacement gratuit de leur clé en ligne.

Grâce à cette faille, un attaquant pourrait usurper l’identité de la clé vis-à-vis du terminal de connexion, ou inversement. Dans le premier cas, il pourrait alors se faire passer pour un clavier ou une souris et lancer des commandes malveillantes. Dans le second cas, il pourrait profiter du second facteur d’authentification pour accéder au compte de l’utilisateur, à condition de connaître déjà l’identifiant et le mot de passe.

Une faille difficile à exploiter

Toutefois, il n’y a pas lieu de paniquer. Pour exploiter cette faille, le pirate doit non seulement se trouver à moins de dix mètres, mais aussi lancer l’attaque pile au moment où l’utilisateur tente d’appairer sa clé avec le terminal de connexion. Le risque est donc, somme toute, limité. C’est pourquoi Google recommande de continuer à utiliser les clés défaillantes en attendant leur remplacement. « Il est toujours plus sûr d’utiliser une clé présentant ce problème plutôt que de désactiver la vérification en deux étapes basée sur la clé de sécurité (2SV) sur votre compte Google ou de passer à une méthode moins résistante au phishing (codes SMS ou invites envoyées à votre appareil, par exemple) », souligne Google.
Pour les utilisateurs les plus exposés à des attaques ciblées, le fournisseur préconise de n’utiliser la clé que dans un environnement privé sans personne à la ronde.

Source : Google

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN