Titan : la clé de sécurité de Google subit une faille forçant un rappel

 

La clé de sécurité physique de Google, Titan, est censée protéger les utilisateurs contre les intrusions sur leur ordinateur. Mais une dizaine de mois après sa sortie, la firme de Mountain View commence à en rappeler à cause d’une faille de sécurité au niveau du Bluetooth.

La clé de sécurité physique venue tout droit de Mountain View possède quelques concurrents avec en première ligne Feitan ePass ou YubiKey. Grâce à elle, vous pouvez vous connecter sans rentrer de mot de passe et ainsi verrouiller très fortement votre compte, puisqu’il faut accéder physiquement à la clef pour ouvrir les portes de vos données.

Mais la Google Titan possède une fonctionnalité en plus : le Bluetooth. Là où les autres clés sont obligées d’être branchées à l’ordinateur, la Titan pouvait se connecter par Bluetooth ce qui permettait une certaine flexibilité pour ceux qui n’auraient pas de port USB-A (coucou les MacBook).

Mais c’est là que le problème se fait sentir : Google a commencé à rappeler certaines de ces petites clés à cause d’une faille de sécurité au niveau du Bluetooth. Il est en effet possible pour quelqu’un de communiquer avec s’il se trouve à proximité.

Un risque connu, mais ignoré

9 mètres, voilà la distance maximale au pirate pour accéder à votre clé de sécurité par Bluetooth. Google a d’ailleurs précisé :

À cause d’une mauvaise configuration dans les protocoles de connexion Bluetooth de la clé de sécurité Titan, il est possible pour un attaquant proche de vous au moment où vous utilisez votre clé — à moins de 9 mètres — de soit communiquer avec votre clé de sécurité ou communiquer avec l’appareil qui est connecté.

Il faut quand même une bonne dose de paramètres favorables pour pouvoir exploiter cette faille. Mais le principe même de ce genre de clé est d’offrir une sécurité presque sans failles. Et les concurrents de Google ne l’ont pas proposé pour cette raison comme le précise Stina Ehrensvard, PDG de Yubico, fabriquant de la YubiKey :

L’offre de Google inclut le Bluetooth. Yubico avait commencé le développement d’une clé de ce genre, nous avons contribué à développer le Bluetooth avec la norme de sécurité U2F. Mais nous avons décidé de ne pas lancer le produit, car il ne nous permettait pas d’atteindre nos standards de sécurité, de facilité d’utilisation et de durabilité.

Gizmodo a contacté Google et un porte-parole leur a répondu que la firme était au courant de cette faille, mais avait décidé de l’ignorer, car le bénéfice de pouvoir l’utiliser sur des appareils n’ayant pas de port USB était plus important à leurs yeux.

Si vous possédez une clé de sécurité Titan, vérifiez que le code écrit dessus soit T1 ou T2, s’il l’est, vous pouvez faire la demande de remplacement auprès de Google.

Signaler une erreur dans le texte
Source : Gizmodo
Antoine Barbey
  • expert

    MDR. et certain te diront que mettre tous ses mots de passe dans chrome est sur.🤣

  • Titan : la clé de sécurité de Google subit une faille forçant un rappel – Alertesactus.fr

    […] Source […]

  • Serginio Paca

    Si Google connaissait cette faille, comme le dit l'article, Google aurait donc menti par omission à ces clients en ne les prévenant pas que leur produit de sécurisation d'accès a lui même une faille de sécurité. Donc plus que les conditions improbables pour utiliser cette faille, c'est le respect dont à fait preuve Google après de ces futurs clients dans sa communication sur cette faille qui pourrait être mise en cause.

  • Serginio Paca

    Google a vendu un produit de sécurisation d'accès tout en laissant sciemment une faille de sécurité dessus. Étonnant. Google avait il prévenu ses clients avant l'achat?

  • Tre

    Ils suivent ça de tre tre près ! 🙄

  • Mato Kuroi

    Rajoutons aussi que le pirate doit savoir que vous l'utilisez à ce moment, doit enclencher le "hack" au moment où vous appuyez sur le bouton et connaître l'identifiant et le mot de passe. C'est une faille, certes, mais qui demande de réunir une flopée de conditions plutôt improbables

  • moltes

    Pas Tre Tre sécurisé tout ça !

Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)

Gérer mes choix

Lectures liées

Humanoid Native
Clients Orange Bank : cette banque en ligne vous déroule le tapis rouge

Clients Orange Bank : cette banque en ligne vous déroule le tapis rouge

Malware Android // Source : Frandroid

Le Google Play Store n’a pas fini de se battre contre le fléau des fausses applications

Le problème de VLC sur le Play Store // Source : Frandroid

VLC a un gros problème avec Google et le Play Store

Vous avez toujours voulu créer votre propre Android Bot ? C'est maintenant possible // Source : Google

Google vous replonge dans le passé et vous permet de créer votre propre « Android bot »

La Samsung Galaxy Watch 6 Classic // Source : Brice Zerouk - Frandroid

Ces fonctions très utiles aux voyageurs arrivent sur les montres Wear OS

Source : Unsplash

Google Maps : une nouvelle fonctionnalité qui va vite devenir indispensable

Les derniers articles

Sécurité

La dernière vidéo

Vision Pro ou Quest 3 ? 🤔

Vision Pro ou Quest 3 ? 🤔

Les tendances

Les derniers articles