Sécurité

Une faille dans des clés de sécurité Yubikey permet l’usurpation d’identité


Yubico a détecté une faille de sécurité dans les clés de sécurité Yubikey FIPS dotées d’une version de firmware 4.4.2 ou 4.4.4. Certains éléments cryptographiques de ces modèles sont prédictibles et, dans certaines situations, permettraient à un attaquant de reconstruire des clés privées FIDO U2F. Il serait alors possible d’usurper l’identité de l’utilisateur sur les services en question. Un attaquant pourrait également récupérer des codes à usage unique ou reconstruire des clés secrètes utilisées pour signer des documents.   

Ces attaques ne seraient pas faciles à réaliser et nécessiteraient d’avoir un malware installé sur l’ordinateur. Mais comme les clients des modèles Yubikey FIPS sont principalement des agences gouvernementales américaines, ce risque n’est pas à prendre à la légère. Yubico propose, par conséquent, un remplacement gratuit des clés FIPS vulnérables. Les autres gammes de clés ne sont pas concernées par ce problème.

Yubico n’est pas le seul à avoir procéder à des retours de clés de sécurité. En mai dernier, Google a également mis en place un programme de remplacement pour certaines clés de sécurité Titan, en raison d’une faille dans l’implémentation du protocole Bluetooth Low Energy.

Source: Yubico




Source link