Les YubiKeys, largement utilises pour lauthentification deux facteurs (2FA), sont rputes pour leur scurit robuste. Cependant, une rcente dcouverte a rvl une vulnrabilit critique qui pourrait compromettre cette rputation. Des chercheurs en scurit ont identifi une faille cryptographique dans les YubiKeys de la srie 5, qui permettrait des attaquants de cloner ces dispositifs. Cette vulnrabilit, connue sous le nom de canal auxiliaire, rside dans un microcontrleur utilis dans de nombreux dispositifs dauthentification.
Le YubiKey 5, le jeton matriel le plus largement utilis pour l’authentification deux facteurs base sur la norme FIDO, contient une faille cryptographique qui rend le dispositif de la taille d’un doigt vulnrable au clonage lorsqu’un attaquant y accde physiquement de manire temporaire, ont dclar des chercheurs mardi.
La faille cryptographique, connue sous le nom de canal latral, rside dans un petit microcontrleur utilis dans un grand nombre d’autres dispositifs d’authentification, notamment les cartes puce utilises dans le secteur bancaire, les passeports lectroniques et l’accs aux zones scurises. Si les chercheurs ont confirm que tous les modles de la srie YubiKey 5 peuvent tre clons, ils n’ont pas test d’autres dispositifs utilisant le microcontrleur, tels que le SLE78 fabriqu par Infineon et les microcontrleurs qui lui ont succd, connus sous le nom d’Infineon Optiga Trust M et d’Infineon Optiga TPM. Les chercheurs pensent que tout appareil utilisant l’un de ces trois microcontrleurs et la bibliothque cryptographique d’Infineon prsente la mme vulnrabilit.
Il n’est pas possible d’apporter un correctif via une mise jour du micrologiciel
Le fabricant de YubiKey, Yubico, a publi un avis en coordination avec un rapport de divulgation dtaill de NinjaLab, l’entreprise de scurit qui a procd l’ingnierie inverse de la srie YubiKey 5 et a conu l’attaque par clonage. Toutes les cls YubiKeys dont le micrologiciel est antrieur la version 5.7 (qui a t publie en mai et qui remplace la cryptothque Infineon par une cryptothque personnalise) sont vulnrables. Il n’est pas possible de mettre jour le micrologiciel de la cl YubiKey. Toutes les cls YubiKey concernes sont donc vulnrables en permanence.
Un pirate pourrait exploiter ce problme dans le cadre d’une attaque sophistique et cible afin de rcuprer les cls prives concernes , confirme l’avis. L’attaquant devrait tre en possession physique de la YubiKey, de la Security Key ou du YubiHSM, connatre les comptes qu’il souhaite cibler et disposer d’un quipement spcialis pour mener bien l’attaque ncessaire. En fonction du cas d’utilisation, l’attaquant peut galement avoir besoin de connaissances supplmentaires, notamment le nom d’utilisateur, le code PIN, le mot de passe du compte ou la cl d’authentification.
Comment fonctionne lattaque
Lattaque exploite des indices laisss par des manifestations physiques telles que les manations lectromagntiques, des caches de donnes ou le temps ncessaire pour accomplir une tche, autant d’lments qui laissent s’chapper des secrets cryptographiques. Dans ce cas, le canal auxiliaire est li au temps pris pour effectuer une inversion modulaire, une opration mathmatique essentielle dans lalgorithme de signature numrique courbe elliptique (ECDSA)
Les canaux latraux sont le rsultat d’indices laisss dans des manifestations physiques telles que des manations lectromagntiques, des caches de donnes ou le temps ncessaire pour accomplir une tche cryptographique. Dans le cas prsent, le canal auxiliaire est li au temps pris pour effectuer une inversion modulaire, une opration mathmatique essentielle dans lalgorithme de signature numrique courbe elliptique (ECDSA)
La cryptothque Infineon n’a pas mis en uvre une dfense courante contre les canaux latraux, connue sous le nom de temps constant, lorsqu’elle effectue des oprations d’inversion modulaire impliquant l’algorithme de signature numrique courbe elliptique. Le temps constant garantit que l’excution des oprations cryptographiques sensibles au temps est uniforme plutt que variable en fonction des cls spcifiques.
En utilisant un oscilloscope pour mesurer le rayonnement lectromagntique pendant que le jeton s’authentifie, les chercheurs peuvent dtecter de minuscules diffrences de temps d’excution qui rvlent la cl ECDSA phmre d’un jeton, galement connue sous le nom de nonce. Une analyse plus pousse permet aux chercheurs d’extraire la cl secrte ECDSA qui sous-tend toute la scurit du jeton.
Une attaque qui demande de l’quipement coteux et des connaissances pointues pour tre mene bien
Ces attaques ncessitent un quipement d’une valeur d’environ 11 000 dollars et une connaissance approfondie de l’ingnierie lectrique et cryptographique. La difficult de l’attaque signifie qu’elle ne pourrait tre mene que par des tats-nations ou d’autres entits disposant de ressources comparables, et uniquement dans le cadre de scnarios trs cibls. La probabilit qu’une telle attaque soit utilise grande chelle dans la nature est extrmement faible. Thomas Roche, chercheur au NinjaLab de Montpellier, a prcis que les fonctionnalits d’authentification deux facteurs et de mot de passe usage unique ne sont pas affectes, car elles n’utilisent pas la partie vulnrable de la bibliothque.
Le rapport publi mardi par NinjaLab dcrit le droulement complet de l’attaque par clonage :
- L’adversaire vole le login et le mot de passe du compte d’une application de la victime protge par FIDO (par exemple, par le biais d’une attaque de phishing).
- L’adversaire obtient un accs physique l’appareil de la victime pendant une priode de temps limite sans que la victime s’en aperoive.
- Grce au login et au mot de passe vols la victime (pour un compte d’application donn), l’adversaire envoie la demande d’authentification l’appareil autant de fois que ncessaire tout en effectuant des mesures de canal latral.
- L’adversaire remet discrtement le dispositif FIDO la victime.
- L’adversaire effectue une attaque par canal latral sur les mesures et russit extraire la cl prive ECDSA lie au compte d’application de la victime.
- L’adversaire peut se connecter au compte de l’application de la victime sans le dispositif FIDO et sans que la victime s’en aperoive. En d’autres termes, l’adversaire a cr un clone du dispositif FIDO pour le compte d’application de la victime. Ce clone donnera accs au compte de l’application tant que l’utilisateur lgitime ne rvoquera pas ses identifiants d’authentification.
La liste omet toutefois une tape essentielle, qui consiste dmonter la YubiKey et exposer la carte logique qu’elle contient. Pour ce faire, il utiliserait probablement un pistolet air chaud et un scalpel pour retirer le botier en plastique de la cl et exposer la partie de la carte logique qui sert d’lment scuris stockant les secrets cryptographiques. partir de l, le pirate connecterait la puce du matriel et des logiciels qui prennent des mesures pendant que la cl est utilise pour authentifier un compte existant. Une fois la prise de mesures termine, le pirate scelle la puce dans un nouveau botier et la rend la victime.
Les cls physiques restent parmi les mthodes d’authentification les plus sres
L’attaque et la vulnrabilit sous-jacente qui la rend possible sont presque entirement les mmes que celles qui ont permis NinjaLab de cloner les cls Google Titan en 2021. Cette attaque avait ncessit un accs physique au jeton pendant une dizaine d’heures.
Ces attaques violent une garantie fondamentale des cls conformes la norme FIDO, savoir que le matriel cryptographique secret qu’elles stockent ne peut tre lu ou copi par aucun autre appareil. Cette garantie est cruciale car les cls FIDO sont utilises dans divers environnements o la scurit est essentielle, notamment dans l’arme et les rseaux d’entreprise.
Cela dit, l’authentification conforme la norme FIDO est l’une des formes d’authentification les plus robustes, qui n’est pas susceptible de faire l’objet d’un hameonnage des informations d’identification ou d’attaques de type adversary-in-the-middle (adversaire au milieu). Tant que la cl n’est pas entre les mains d’un attaquant hautement qualifi et bien quip, elle reste l’une des formes d’authentification les plus solides. Il convient galement de noter que le clonage du jeton n’est que l’une des deux principales tapes ncessaires pour obtenir un accs non autoris un compte ou un appareil. Un pirate doit galement obtenir le mot de passe de l’utilisateur utilis pour le premier facteur d’authentification. Ces exigences signifient que les cls physiques restent parmi les mthodes d’authentification les plus sres.
Pour dcouvrir le canal latral, les chercheurs ont procd l’ingnierie inverse de la bibliothque cryptographique d’Infineon, un ensemble de codes fortement fortifis que le fabricant s’efforce de garder confidentiels. La description dtaille de la bibliothque devrait intresser au plus haut point les chercheurs en cryptographie qui analysent son fonctionnement dans d’autres dispositifs de scurit.
Les personnes qui souhaitent connatre la version du micrologiciel de leur YubiKey peuvent utiliser l’application Yubico Authenticator. Le coin suprieur gauche de l’cran d’accueil affiche la srie et le modle de la cl. Dans l’exemple ci-dessous, tir de l’avis de mardi, la YubiKey est une YubiKey 5C NFC version 5.7.0.
Les YubiKeys offrent des protections optionnelles d’authentification de l’utilisateur, y compris l’exigence d’un code PIN fourni par l’utilisateur ou d’une empreinte digitale ou d’un balayage du visage. Pour que l’attaque par clonage fonctionne contre les YubiKeys utilisant ces mesures supplmentaires, un attaquant devrait galement possder le facteur de vrification de l’utilisateur.
Conclusion
Cette dcouverte souligne limportance de la vigilance continue en matire de scurit des dispositifs dauthentification. Bien que les YubiKeys soient considres comme des outils de scurit de premier plan, cette faille rappelle que mme les technologies les plus avances peuvent tre vulnrables. Les utilisateurs doivent rester informs et prendre les mesures ncessaires pour protger leurs informations sensibles.
Source : recherche
Et vous ?
Pensez-vous que les dispositifs dauthentification physique comme les YubiKeys sont toujours plus srs que les solutions logicielles, malgr cette nouvelle vulnrabilit ? Pourquoi ?
Comment cette dcouverte affecte-t-elle votre confiance dans les dispositifs de scurit physique ? Envisagez-vous de changer vos pratiques de scurit ?
Quelles mesures supplmentaires, selon vous, devraient tre mises en place par les fabricants de dispositifs de scurit pour prvenir ce type de vulnrabilit ?
Estimez-vous que les utilisateurs devraient tre mieux informs des risques potentiels lis aux dispositifs de scurit quils utilisent ? Si oui, comment ?
Comment grez-vous lquilibre entre la commodit et la scurit dans vos pratiques dauthentification ?
Pensez-vous que les entreprises devraient offrir des remplacements gratuits pour les dispositifs affects par des vulnrabilits critiques ? Pourquoi ou pourquoi pas ?
Quels autres dispositifs ou mthodes dauthentification recommanderiez-vous en tant qualternatives aux YubiKeys ?