Yubico a détecté une faille de sécurité dans les clés de sécurité Yubikey FIPS dotées d’une version de firmware 4.4.2 ou 4.4.4. Certains éléments cryptographiques de ces modèles sont prédictibles et, dans certaines situations, permettraient à un attaquant de reconstruire des clés privées FIDO U2F. Il serait alors possible d’usurper l’identité de l’utilisateur sur les services en question. Un attaquant pourrait également récupérer des codes à usage unique ou reconstruire des clés secrètes utilisées pour signer des documents.
Ces attaques ne seraient pas faciles à réaliser et nécessiteraient d’avoir un malware installé sur l’ordinateur. Mais comme les clients des modèles Yubikey FIPS sont principalement des agences gouvernementales américaines, ce risque n’est pas à prendre à la légère. Yubico propose, par conséquent, un remplacement gratuit des clés FIPS vulnérables. Les autres gammes de clés ne sont pas concernées par ce problème.
Yubico has discovered and fixed an issue with our YubiKey FIPS Series keys, see the following Advisory for technical details and information on how to obtain a free replacement device. No other YubiKey, Security Key or Yubico products are affected. https://t.co/l4ny0ZJfEW
— Yubico | #YubiKey (@Yubico) June 13, 2019
Yubico n’est pas le seul à avoir procéder à des retours de clés de sécurité. En mai dernier, Google a également mis en place un programme de remplacement pour certaines clés de sécurité Titan, en raison d’une faille dans l’implémentation du protocole Bluetooth Low Energy.
Source: Yubico
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.