Clé de sécurité : Google remplace gratuitement la Titan à cause d’une faille sur le Bluetooth
Le 16 mai 2019 à 10h10
2 min
Sciences et espace
Sciences
Lancée l'été dernier, il s'agit pour rappel de clés du chinois Feitian (lire notre test) rebadgées. Le géant du Net vient de publier un bulletin de sécurité pour annoncer une vulnérabilité sur le Bluetooth LE. La version USB/NFC n'est donc pas concernée.
En cause, « une mauvaise configuration dans les protocoles de couplage Bluetooth ». Il est ainsi possible pour un attaquant physiquement proche de vous – dans un rayon de 10 m environ– « de communiquer avec votre clé de sécurité ou avec le périphérique auquel elle est associée ».
Dans le premier cas, si l'attaquant dispose déjà de vos identifiants (email et mot de passe) il peut dans certaines circonstances se connecter à votre place à votre compte. Dans le second, il pourrait « entreprendre des actions sur votre appareil », sans plus de détail.
Dans tous les cas, le géant du Net se veut rassurant : « Ce problème de sécurité n'affecte pas l'objectif principal des clés de sécurité, qui est de vous protéger contre le phishing ». « Il est toujours plus sûr d'utiliser une clé présentant ce problème plutôt que de désactiver la vérification en deux étapes basée sur la clé de sécurité (2SV) ou de passer à une méthode moins résistante » comme les SMS.
Pour savoir si votre clé Titan est concernée, il faut regarder au dos. Si T1 ou T2 est écrit en bas, alors c'est le cas. Une clé de remplacement est alors envoyée gratuitement par Google sur demande.
Google donne quelques recommandations et explications pour l'utilisation d'une clé affectée par ce bug sur iOS et Android.
Le 16 mai 2019 à 10h10
Commentaires (4)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 16/05/2019 à 09h05
Dans le premier cas, si l’attaquant dispose déjà de vos identifiants (email et mot de passe) il peut dans certaines circonstances se connecter à votre place à votre compte.
J’aurais tendance à dire que ça c’est déjà un problème de base bien plus grave mais j’peux me tromper " />
Le 16/05/2019 à 09h28
ça montre que c’est quand même vraiment dans les cas extrèmes que cette faille peut être exploitée, mais justement. belle réaction de Google en tout cas.
Le 16/05/2019 à 15h07
J’ai demandé un échange à Feitian j’espère que ce sera sérieux…
Le 18/05/2019 à 09h36
Les autres clefs Feitian sont également concernées, et font également l’objet d’un rappel organisé par Google et ce alors qu’elles n’ont pas été vendues par Google – Google envoie un courriel à toutes les personnes qui ont associé une clef vulnérable à leur compte Google.