Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Yubico rappelle des clés de sécurité « YubiKey FIPS Series »

Seules les versions FIPS (Nano FIPS, C FIPS, C NANO FIPS) sont concernées et « tous les autres produits Yubico ne sont pas impactés par ce problème », explique le constructeur.

Avec les firmwares 4.4.2 et 4.4.4 (il n'y a pas eu de version 4.4.3), certaines valeurs aléatoires ne l'étaient pas vraiment après la mise sous tension de la clé de sécurité. En effet, la mémoire tampon « contient du contenu prévisible issu des tests de démarrage ». Par la suite, des valeurs aléatoires sont correctement générées.

Les conséquences sont plus ou moins graves. Dans le cas d'une clé RSA sur 2 048 bits, jusqu'à 80 bits peuvent être prédits ; ce qui ne représenterait selon le fabricant pas un risque immédiat.

Par contre, c'est bien plus gênant pour une clé de signature ECDSA avec 80 bits prévisibles sur 256. Même chose pour les clés ECC. Bien d'autres cas sont détaillés par ici.

Enfin, le constructeur estime que « la majorité des clés YubiKey FIPS concernées a été remplacée ou est en cours de remplacement ». Une page dédiée a été mise en ligne.

6 commentaires
Avatar de fred42 INpactien
Avatar de fred42fred42- 14/06/19 à 09:11:10

Ce problème est quand même un classique. Je ne comprends même pas que le produit soit sorti.

La sécurité, c'est un métier ! :fumer:

Avatar de sylvere Abonné
Avatar de sylveresylvere- 14/06/19 à 09:48:01

Et utiliser l'initialisation aleatoire des cellule de SRAM ca reste quand meme une methode low-cost pour generer des cles RSA, pour du hardware a 30eur c'est du foutage de gueule

Avatar de SLV17 Abonné
Avatar de SLV17SLV17- 14/06/19 à 11:13:08

Je comprends pas j'ai des yubikey de toutes générations dont des 5 NFC et 5C.
Ces modèles sont-ils concernés où est-ce que ça concerne des clés spécifiques dédiées aux entreprises ?
Merci

Avatar de SLV17 Abonné
Avatar de SLV17SLV17- 14/06/19 à 11:20:48

Nous sommes plus sur du matériel à 60€ l'unité la ! Moi qui croyais ce système plus secure que le simple SMS.
Le mieux reste l'authenticator au final

Avatar de sylvere Abonné
Avatar de sylveresylvere- 14/06/19 à 18:21:35

Il ne faut pas exagérer non plus, le SMS est une passoire, l'authenticator est juste software.
On est quand meme sur quelque chose de bien plus robuste (apres patch de la faille presente ici)

Avatar de OB Abonné
Avatar de OBOB- 15/06/19 à 07:05:04

Yubico a quand même plutôt bonne réputation, en général.

 Les version FIPS sont normalement les versions prévues pour le marché américain, notamment pour les administrations et les sociétés privées qui travaillent avec elles notamment sur l'aviation & l'armement (et généralement les secteurs sensibles).
C'est un recueil de normes & de bonne pratiques.

https://www.thalesesecurity.com/faq/key-secrets-management/what-fips-140-2
 
=> D'ici que Yubico ait rajouté un truc à l'arrache pour que ce soit compliant...
(Je ne parlerais pas de mon autre hypothèse qui me ferait passer pour un complotiste :-) )

Un article intéressant de la part de microsoft :https://blogs.technet.microsoft.com/secguide/2014/04/07/why-were-not-recommendin...
 

Il n'est plus possible de commenter cette actualité.