Des chercheurs en sécurité ont découvert une faille dans les clés de sécurité d’authentification à deux facteurs YubiKey 5, les rendant vulnérables au clonage. Si vous êtes un utilisateur de YubiKey 5, voici ce que vous devez savoir.
Quelle est la faille de YubiKey 5 ?
Des chercheurs de NinjaLabs ont découvert l’attaque. Cette attaque sophistiquée exploite un bug cryptographique, connu sous le nom d’attaque par canal latéral, présent dans une minuscule puce – l’Infineon SLE78 – à l’intérieur de la clé.
Le processus nécessite un accès physique à la clé, son démontage, la connexion de la puce à un équipement d’une valeur de 11 000 dollars et l’extraction des clés privées de la clé.
Pour accéder aux comptes du propriétaire de la clé, le pirate aurait également besoin des noms d’utilisateur, des mots de passe des comptes, des codes PIN ou de toute autre clé d’authentification utilisée pour sécuriser le compte.
Quelles sont les clés YubiKey 5 concernées ?
Yubico, le fabricant des clés de sécurité YubiKey, a publié un avis mettant en évidence les clés concernées :
- YubiKey 5 Series versions antérieures à 5.7
- YubiKey 5 FIPS Series avant la version 5.7
- YubiKey 5 CSPN Series avant 5.7
- YubiKey Bio Series versions antérieures à 5.7.2
- Secutity Keys Series toutes versions antérieures à 5.7
- YubiHSM 2 versions antérieures à 2.4.0
- YubiHSM 2 FIPS versions antérieures à 2.4.0
Ces clés ne sont pas affectées :
- YubiKey 5 Series version 5.7.0 et plus récente
- YubiKey 5 FIPS Series 5.7 et plus récentes (soumission FIPS en cours)
- YubiKey Bio Series versions 5.7.2 et plus récentes
- Security Key Series versions 5.7.0 et plus récentes
- YubiHSM 2 versions 2.4.0 et plus récentes
- YubiHSM 2 FIPS versions 2.4.0 et plus récentes
Le micrologiciel 5.7 pour YubiKeys a été publié en mai de cette année, de sorte que toutes les clés achetées avant cette date sont concernées.
Comment savoir si mes clés sont concernées ?
Téléchargez l’application Yubico Authenticator (disponible pour Linux, Mac, Windows, iOS et Android). Cette application identifiera le modèle et la version de toute YubiKey connectée à l’appareil qui exécute l’application.
Yubico Authenticator met en évidence une clé de sécurité vulnérable. Adrian Kingsley-Hughes/ZDNET
Les YubiKeys affectées peuvent-elles être corrigées ?
Non. Dans le cadre de la protection des clés contre les manipulations, le micrologiciel ne peut pas être mis à jour sur les clés de sécurité.
D’autres dispositifs de sécurité sont-ils concernés ?
L’Infineon SLE78 est utilisé dans une grande variété de dispositifs, des passeports aux cartes bancaires, mais il n’est pas certain qu’ils soient vulnérables.
Faut-il paniquer ?
Non.
Pour la plupart des utilisateurs, il ne s’agit pas d’un problème important. Le processus consistant à voler une clé et à la cloner pour pirater des comptes en ligne est trop complexe et trop coûteux pour la plupart des attaquants.
Cela dit, ce problème devrait préoccuper les personnes qui travaillent avec des informations très sensibles ou précieuses, comme les organisations gouvernementales ou des banques. L’utilisation de ces clés anciennes et vulnérables par les personnes travaillant dans ces secteurs devrait être progressivement abandonnée.