Clé de sécurité : Google remplace gratuitement la Titan à cause d’une faille sur le Bluetooth
2 min
Sciences et espace
Sciences
Lancée l’été dernier, il s’agit pour rappel de clés du chinois Feitian (lire notre test) rebadgées. Le géant du Net vient de publier un bulletin de sécurité pour annoncer une vulnérabilité sur le Bluetooth LE. La version USB/NFC n’est donc pas concernée.
En cause, « une mauvaise configuration dans les protocoles de couplage Bluetooth ». Il est ainsi possible pour un attaquant physiquement proche de vous – dans un rayon de 10 m environ– « de communiquer avec votre clé de sécurité ou avec le périphérique auquel elle est associée ».
Dans le premier cas, si l’attaquant dispose déjà de vos identifiants (email et mot de passe) il peut dans certaines circonstances se connecter à votre place à votre compte. Dans le second, il pourrait « entreprendre des actions sur votre appareil », sans plus de détail.
Dans tous les cas, le géant du Net se veut rassurant : « Ce problème de sécurité n’affecte pas l’objectif principal des clés de sécurité, qui est de vous protéger contre le phishing ». « Il est toujours plus sûr d’utiliser une clé présentant ce problème plutôt que de désactiver la vérification en deux étapes basée sur la clé de sécurité (2SV) ou de passer à une méthode moins résistante » comme les SMS.
Pour savoir si votre clé Titan est concernée, il faut regarder au dos. Si T1 ou T2 est écrit en bas, alors c’est le cas. Une clé de remplacement est alors envoyée gratuitement par Google sur demande.
Google donne quelques recommandations et explications pour l’utilisation d’une clé affectée par ce bug sur iOS et Android.
Commentaires (4)
Abonnez-vous pour prendre part au débat
Déjà abonné ou lecteur ? Se connecter
Cet article est en accès libre, mais il est le produit d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles d'un média expert
Profitez d'au moins 1 To de stockage pour vos sauvegardes
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 16/05/2019 à 09h05
Dans le premier cas, si l’attaquant dispose déjà de vos identifiants (email et mot de passe) il peut dans certaines circonstances se connecter à votre place à votre compte.
J’aurais tendance à dire que ça c’est déjà un problème de base bien plus grave mais j’peux me tromper
Le 16/05/2019 à 09h28
ça montre que c’est quand même vraiment dans les cas extrèmes que cette faille peut être exploitée, mais justement. belle réaction de Google en tout cas.
Le 16/05/2019 à 15h07
J’ai demandé un échange à Feitian j’espère que ce sera sérieux…
Le 18/05/2019 à 09h36
Les autres clefs Feitian sont également concernées, et font également l’objet d’un rappel organisé par Google et ce alors qu’elles n’ont pas été vendues par Google – Google envoie un courriel à toutes les personnes qui ont associé une clef vulnérable à leur compte Google.
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?