Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Clé de sécurité : Google remplace gratuitement la Titan à cause d'une faille sur le Bluetooth

Lancée l'été dernier, il s'agit pour rappel de clés du chinois Feitian (lire notre test) rebadgées. Le géant du Net vient de publier un bulletin de sécurité pour annoncer une vulnérabilité sur le Bluetooth LE. La version USB/NFC n'est donc pas concernée.

En cause, « une mauvaise configuration dans les protocoles de couplage Bluetooth ». Il est ainsi possible pour un attaquant physiquement proche de vous – dans un rayon de 10 m environ– « de communiquer avec votre clé de sécurité ou avec le périphérique auquel elle est associée ».

Dans le premier cas, si l'attaquant dispose déjà de vos identifiants (email et mot de passe) il peut dans certaines circonstances se connecter à votre place à votre compte. Dans le second, il pourrait « entreprendre des actions sur votre appareil », sans plus de détail.

Dans tous les cas, le géant du Net se veut rassurant : « Ce problème de sécurité n'affecte pas l'objectif principal des clés de sécurité, qui est de vous protéger contre le phishing ». « Il est toujours plus sûr d'utiliser une clé présentant ce problème plutôt que de désactiver la vérification en deux étapes basée sur la clé de sécurité (2SV) ou de passer à une méthode moins résistante » comme les SMS.

Pour savoir si votre clé Titan est concernée, il faut regarder au dos. Si T1 ou T2 est écrit en bas, alors c'est le cas. Une clé de remplacement est alors envoyée gratuitement par Google sur demande.

Google donne quelques recommandations et explications pour l'utilisation d'une clé affectée par ce bug sur iOS et Android.

4 commentaires
Avatar de TriEdge INpactien
Avatar de TriEdgeTriEdge- 16/05/19 à 09:05:41

Dans le premier cas, si l'attaquant dispose déjà de vos identifiants (email et mot de passe) il peut dans certaines circonstances se connecter à votre place à votre compte.

J'aurais tendance à dire que ça c'est déjà un problème de base bien plus grave mais j'peux me tromper :fumer:

Avatar de hellmut Abonné
Avatar de hellmuthellmut- 16/05/19 à 09:28:44

ça montre que c'est quand même vraiment dans les cas extrèmes que cette faille peut être exploitée, mais justement. belle réaction de Google en tout cas.

Avatar de SLV17 Abonné
Avatar de SLV17SLV17- 16/05/19 à 15:07:07

J’ai demandé un échange à Feitian j’espère que ce sera sérieux...

Avatar de lool Abonné
Avatar de loollool- 18/05/19 à 09:36:03

Les autres clefs Feitian sont également concernées, et font également l'objet d'un rappel organisé par Google et ce alors qu'elles n'ont pas été vendues par Google – Google envoie un courriel à toutes les personnes qui ont associé une clef vulnérable à leur compte Google.

Il n'est plus possible de commenter cette actualité.