La clé de sécurité physique de Google, Titan, est censée protéger les utilisateurs contre les intrusions sur leur ordinateur. Mais une dizaine de mois après sa sortie, la firme de Mountain View commence à en rappeler à cause d’une faille de sécurité au niveau du Bluetooth.

La clé de sécurité physique venue tout droit de Mountain View possède quelques concurrents avec en première ligne Feitan ePass ou YubiKey. Grâce à elle, vous pouvez vous connecter sans rentrer de mot de passe et ainsi verrouiller très fortement votre compte, puisqu’il faut accéder physiquement à la clef pour ouvrir les portes de vos données.

Mais la Google Titan possède une fonctionnalité en plus : le Bluetooth. Là où les autres clés sont obligées d’être branchées à l’ordinateur, la Titan pouvait se connecter par Bluetooth ce qui permettait une certaine flexibilité pour ceux qui n’auraient pas de port USB-A (coucou les MacBook).

Mais c’est là que le problème se fait sentir : Google a commencé à rappeler certaines de ces petites clés à cause d’une faille de sécurité au niveau du Bluetooth. Il est en effet possible pour quelqu’un de communiquer avec s’il se trouve à proximité.

Un risque connu, mais ignoré

9 mètres, voilà la distance maximale au pirate pour accéder à votre clé de sécurité par Bluetooth. Google a d’ailleurs précisé :

À cause d’une mauvaise configuration dans les protocoles de connexion Bluetooth de la clé de sécurité Titan, il est possible pour un attaquant proche de vous au moment où vous utilisez votre clé — à moins de 9 mètres — de soit communiquer avec votre clé de sécurité ou communiquer avec l’appareil qui est connecté.

Il faut quand même une bonne dose de paramètres favorables pour pouvoir exploiter cette faille. Mais le principe même de ce genre de clé est d’offrir une sécurité presque sans failles. Et les concurrents de Google ne l’ont pas proposé pour cette raison comme le précise Stina Ehrensvard, PDG de Yubico, fabriquant de la YubiKey :

L’offre de Google inclut le Bluetooth. Yubico avait commencé le développement d’une clé de ce genre, nous avons contribué à développer le Bluetooth avec la norme de sécurité U2F. Mais nous avons décidé de ne pas lancer le produit, car il ne nous permettait pas d’atteindre nos standards de sécurité, de facilité d’utilisation et de durabilité.

Gizmodo a contacté Google et un porte-parole leur a répondu que la firme était au courant de cette faille, mais avait décidé de l’ignorer, car le bénéfice de pouvoir l’utiliser sur des appareils n’ayant pas de port USB était plus important à leurs yeux.

Si vous possédez une clé de sécurité Titan, vérifiez que le code écrit dessus soit T1 ou T2, s’il l’est, vous pouvez faire la demande de remplacement auprès de Google.