Posté le mai 16, 2019 à 21:39
GOOGLE AFFIRME QUE BLUETOOTH TITAN EST VULNÉRABLE AUX CYBERATTAQUES
Google a récemment publié un avertissement pour les utilisateurs de la clé de sécurité Titan qui ont acheté sa version Bluetooth à basse consommation, affirmant que son authentification à deux facteurs n’est pas aussi sûre qu’il puisse sembler. Selon l’avertissement, la version Bluetooth Titan peut être piratée. Les utilisateurs sont invités à se procurer un périphérique de remplacement qui peut être obtenu gratuitement. Le périphérique de remplacement a déjà implémenté un correctif pour la faille nouvellement découverte.
Quel est le problème ?
Le problème semble provenir d’une mauvaise configuration des protocoles de couplage Bluetooth de la clé de sécurité. La mauvaise configuration permet aux hackers de communiquer avec la clé s’ils arrivent à s’en approcher dans les 9 mètres. Cependant, ils peuvent également accéder à l’appareil avec lequel la clé est couplée en utilisant la même méthode. L’avertissement sur la faille a été publié hier, 15 mai, par Google Cloud Product Manager, Christiaan Brand.
La version Titan Bluetooth est apparue après que l’on ait découvert que cette variété de clés de sécurité à faible coût semble être le meilleur moyen d’empêcher la prise de contrôle des comptes des sites Web qui soutiennent cette protection. Les comptes seraient normalement protégés par un mot de passe, créé par les utilisateurs eux-mêmes. Cependant, en ajoutant la clé de sécurité, l’utilisateur sécuriserait son compte avec une mesure secondaire appelée « assertion cryptographique ».
Cela s’est avéré être le meilleur moyen de sécuriser complètement le compte, car il est impossible à tout attaquant de la deviner. Même l’hameçonnage s’avère inefficace contre ce type de mesure de sécurité. De plus, les clés de sécurité, qui utilisent généralement la communication en champ proche ou un simple USB, n’en seraient pas affectées.
Cependant, Brand a maintenant signalé un type d’attaque qui permettrait aux mauvais acteurs de détourner le processus d’appariement, à condition que l’attaquant soit relativement proche, à moins de 9 mètres aux alentours. Bien qu’il s’agisse d’une condition précise, c’est tout de même plus que possible, ce qui représente un danger important pour les utilisateurs de Titan.
Comment se déroule le piratage ?
Brand signale qu’une tentative de connexion à un compte sur un périphérique utilisateur nécessite que l’utilisateur appuie sur le bouton de sa clé de sécurité Bluetooth LE. C’est ainsi que l’appareil est activé.
Cependant, si un attaquant se trouve à moins de 9 mètres au moment où la clé est activée, il peut connecter son propre dispositif à la clé présentant un défaut de sécurité. S’ils parviennent à se connecter avant l’utilisateur, ils pourront se connecter au compte de l’utilisateur via leur propre appareil. Bien entendu, l’attaquant aurait toujours besoin du nom et du mot de passe de l’utilisateur, et de chronométrer parfaitement les événements.
Un autre problème soulevé par Brand est que, avant d’utiliser la clé de sécurité, l’utilisateur doit la coupler à son appareil. Cependant, si l’attaquant est le premier à s’associer à la clé, il pourrait utiliser son propre dispositif pour imiter la clé de sécurité de l’utilisateur. Sans le savoir, l’utilisateur s’apparierait avec l’attaquant et lui donnerait éventuellement accès à son appareil.
Que faire si votre clé Titan est vulnérable ?
La grande question est maintenant de savoir si vous avez le périphérique affecté ou celui avec un correctif. Heureusement, il est assez facile de vérifier. Il vous suffit de vérifier l’arrière de votre appareil s’il porte l’inscription « T1 » ou « T2 ». Le cas échéant, le périphérique est vulnérable et peut être remplacé gratuitement.
Pendant ce temps, Brand invite vivement les utilisateurs de Titan et d’autres clés de sécurité à ne pas se laisser décourager par cette expérience. Selon lui, les clés de sécurité sont toujours le meilleur moyen de protéger votre compte et doivent être utilisées. Titan lui-même est plutôt abordable, avec un prix de seulement 50 $ dans Google Store. Si les utilisateurs ne sont actuellement pas en mesure de remplacer immédiatement leurs appareils, Brand suggère d’essayer d’utiliser leur clé de sécurité uniquement dans des environnements sûrs et sans que personne à moins de 9 mètres ne puisse agir comme un attaquant potentiel.
De plus, les utilisateurs ne doivent pas oublier de déapparier leurs appareils dès qu’ils se connectent. Il existe une mise à jour Android en cours de développement qui devrait être disponible dans un mois environ. Une fois la publication effectuée, la mise à jour annulera automatiquement la clé de sécurité de Bluetooth. Mais, jusqu’à ce que le logiciel sorte, les utilisateurs doivent s’efforcer de le faire manuellement.
En ce qui concerne les utilisateurs d’iOS, M. Brand a souligné que l’iOS 12.3, qui a déjà été publié ce lundi, ne fonctionne pas avec la clé vulnérable. Toutefois, cela signifie également que les utilisateurs ne verront pas leurs comptes Google s’ils se déconnectent. Brand recommande donc de ne pas le faire, si possible. Une autre mesure de sécurité supplémentaire serait l’utilisation d’une application d’authentification de sauvegarde. Cela peut servir jusqu’à l’arrivée de la nouvelle clé de sécurité, ou les utilisateurs pourraient simplement choisir de l’utiliser au lieu d’une clé de sécurité.
https://twitter.com/matthew_d_green/status/1128706561164173314/photo/1
Par ailleurs, la découverte d’une faille a suscité de nombreuses critiques à l’égard des appareils qui utilisent Bluetooth pour apporter une sécurité supplémentaire, malgré les affirmations de Brand selon lesquelles ils sont toujours la meilleure option disponible. Alors que les clés basées sur la technologie BLE (Bluetooth Low Energy) inspiraient déjà peu la confiance, leur réputation sera probablement davantage endommagée par cette faille. De plus, la situation permet de mieux comprendre la décision d’Apple et de Yubico de ne pas prendre en charge les clés BLE – ce que beaucoup s’interrogent depuis un moment.
