Vous aimez nos contenus ?
Recevez chaque jour nos dernières publications gratuitement et directement dans votre boite mail
Découvrez comment des hackers peuvent cloner votre YubiKey grâce à une faille effrayante
publié le 6 septembre 2024 à 15h00.
C'est un processus très onéreux et particulièrement difficile. Cette complexité et le coût élevé peuvent-ils être un frein à son développement ?
Tl;dr
- NinjaLab découvre une vulnérabilité permettant de cloner les YubiKey.
- La vulnérabilité se trouve dans la bibliothèque cryptographique utilisée par YubiKey.
- Les attaquants nécessitent un accès physique au token et un équipement coûteux pour l’exploiter.
- Malgré la vulnérabilité, l’utilisation de YubiKey reste plus sûre que de ne pas en utiliser.
Une vulnérabilité découverte dans les YubiKey
NinjaLab, une société de recherche en sécurité, a révélé une vulnérabilité permettant de cloner les YubiKey, des clés d’authentification FIDO très répandues. En effet, selon un avis de sécurité, une faille a été détectée dans la bibliothèque cryptographique utilisée par la série YubiKey 5.
Le fonctionnement de la vulnérabilité
La faille concerne plus précisément le microcontrôleur qui « génère/stocke des secrets et exécute des opérations cryptographiques » pour des dispositifs de sécurité tels que les cartes bancaires et les tokens matériels FIDO. Les chercheurs ont pu découvrir cette vulnérabilité en étudiant une plateforme ouverte basée sur la bibliothèque cryptographique d’Infineon, utilisée par Yubico, le fabricant des YubiKey. Ils ont confirmé que tous les modèles de YubiKey 5 peuvent être clonés.
Des conditions d’exploitation complexes
Cependant, exploiter cette vulnérabilité n’est pas une tâche simple. En effet, les attaquants doivent avoir un accès physique au token qu’ils souhaitent copier. De plus, ils doivent démonter le token et utiliser un équipement coûteux, notamment un oscilloscope, pour « effectuer des mesures de canaux latéraux électromagnétiques » nécessaires à l’analyse du token. Selon les chercheurs, leur configuration leur a coûté environ 11 000 dollars, et l’utilisation d’oscilloscopes plus avancés pourrait augmenter le coût jusqu’à 33 000 dollars.
Les YubiKey restent sûres malgré la vulnérabilité
En dépit de cette vulnérabilité, il convient de rappeler que les utilisateurs ordinaires ont tout intérêt à continuer d’utiliser les YubiKey ou d’autres produits impactés comme tokens d’authentification matérielle FIDO. Comme le soulignent les chercheurs, « il est toujours plus sûr d’utiliser un YubiKey pour se connecter à des applications plutôt que de ne pas en utiliser ».
Le Récap