InternetGoogle trouve une faille dans ses clés de sécurité
La firme tech a lancé un programme de remplacement gratuit de clés Titan, jugées vulnérables.
Google va remplacer gratuitement certaines clés de sécurité Titan par des versions plus robustes. Ces accessoires servent à protéger les comptes et données en ligne en utilisant la technologie de validation en deux étapes (appelée aussi double authentification) sans passer par un téléphone ou une app. Le géant du web a découvert que les modèles Bluetooth LE (T1 et T2) peuvent être vulnérables à une attaque informatique en raison d'une «erreur de configuration dans les protocoles de jumelage Bluetooth».
Le risque est toutefois minime. En pratique, la personne malveillante doit se trouver dans un rayon de 9 mètres de la victime, connaître son identifiant et son mot de passe et faire preuve d'un grand sens du timing. Il doit en effet agir lorsque l'utilisateur appuie sur le bouton pour activer la clé de sécurité. Il peut ainsi intercepter la connexion du dispositif de sécurité et accéder au compte de l'utilisateur dupé. Une deuxième attaque est possible dans les mêmes conditions. Elle consiste à faire passer l'ordinateur du pirate pour la clé Titan, afin de prendre le contrôle de la machine.
Google indique que la faille ne compromet pas la capacité de ses clés, qu'il conseille de continuer à utiliser pour se protéger contre le hameçonnage. Quant au concurrent Yubico, il doit ricaner. Le site «Techcrunch» rappelle qu'il avait critiqué l'an dernier le choix d'utiliser la technologie Bluetooth, jugée moins sûre que l'USB ou le NFC.
(L'essentiel/man)